Vous en avez forcément entendu parler !

La GDPR c’est la General Data Protection Regulation ou en français RGPD, la nouvelle loi européenne sur la protection des données personnelles. Elle rentre en vigueur le 25 mai 2018 et si vous ne vous y êtes pas préparé, ça risque de faire mal – ou au moins de faire peur.

La RGPD / GDPR en deux mots (ou presque)

Oublié le système déclaratif auprès de la CNIL qui est la norme depuis une vingtaine d’années.
La nouvelle réglementation responsabilise (principe d’accountability) les entreprises qui collectent et traitent (directement ou via des sous-traitants) les données à caractère personnelles (DCP pour les intimes).
L’objectif c’est avant tout la sécurité des données personnelles et leur traçabilité. Sont également confortés le consentement préalable et le droit à l’oubli pour l’utilisateur tracé. Enfin, la mise en place d’un système de communication adapté en cas de fuite de données.
Ce qui est également intéressant pour cette directive, c’est qu’elle ne s’applique pas seulement aux entreprises résidentes de l’UE. Toutes les entreprises qui collectent et manipulent des données de personnes localisées sur le territoire de l’UE sont concernées… Non non, les US ne sont pas du tout visés !
Si vous voulez tout savoir en détails sur la RGPD / GDPR, vous trouverez nombre d’articles fournis, comme celui-ci décrivant les notions fondamentales de la GDPR.

OK mais qu’est-ce qui change réellement ?

Cette règlementation ne fait finalement que suivre le tournant vers la data opéré depuis +10 ans, plaçant l’exploitation des données et des comportements utilisateurs au centre du système de valeurs.
Ce qui change c’est la volonté d’établir la sécurité et la traçabilité comme principe de base du système d’information (privacy by design). Le problème c’est surtout la mise en conformité de l’existant et l’identification des risques.
Pour le marketing B2B en France, il devrait y avoir peu d’impact car la réglementation existante impliquait déjà ce formalisme, pour peu que l’on veuille être en conformité avec la CNIL. Sur le sujet B2B, lire cette analyse : pas de big bang pour le marketing B2B.
[EDIT du 15/12/2017]
Suite à un commentaire avisé, je rectifie le tir sur cette notion, mon point de vue ayant évolué depuis la rédaction de l’article.
Oui, le marketing B2B est concerné par la RGPD. Pas forcément sur la collecte quoique son formalisme sera accru et le devoir . Mais beaucoup plus sur les adresses professionnelles qui pouvaient être exonérées de consentement.
Désormais, et la RGPD est très claire sur ce point, une adresse type [email protected] est considérée comme une adresse personnelle et ainsi soumise aux même droits que des adresses personnelles non-professionnelles.
Au final, ce n’est que du bon sens mais le point mérite d’être éclairci 🙂

Et concrètement, on fait comment ?

La CNIL a édité depuis plusieurs mois un guide de mise en conformité en 6 étapes, qui permet d’anticiper la nouvelle loi.
Dans la réalité, cela semble compliqué de se préparer en moins d’un an si aucun travail n’a jamais été fait pour recenser ou optimiser le traitement des données en interne. La recette reste pourtant assez simple quoique chronophage :

 

  • Identifier et cartographier les données et les traitements
  • Lister les sous-traitants des données
  • Segmenter les données par degré de sensibilité (les données des mineurs par exemple)
  • Sécuriser par ordre de priorité, et bien sûr documenter !
  • Anticiper une fuite des données personnelles

 

Changement culturel sur les données personnelles

Certes, cette évolution réglementaire est assorti d’un volet coercitif qui peut faire peur (jusqu’à 20M€ ou 4% du CA annuel mondial pour une entreprise). Mais il faut plutôt prendre ce texte comme l’opportunité de prendre le tournant de la data (en tout cas de ne pas rater le train).
Centraliser les données personnelles, avoir une structure réfléchie et maîtrisée, optimiser les traitements : ce ne sont que des bonnes pratiques qu’un certain nombre d’acteurs ont déjà mis en application depuis un bon moment…
Et guess what ? Ce sont souvent ceux qui sur-performent sur leur marché.