Image fusée

Protection des données personnelles (GDPR) : épouvantail ou opportunité ?

Vous en avez forcément entendu parler !

La GDPR c’est la General Data Protection Regulation ou en français RGPD, la nouvelle loi européenne sur la protection des données personnelles. Elle rentre en vigueur le 25 mai 2018 et si vous ne vous y êtes pas préparé, ça risque de faire mal - ou au moins de faire peur.

La RGPD / GDPR en deux mots (ou presque)

Oublié le système déclaratif auprès de la CNIL qui est la norme depuis une vingtaine d’années. La nouvelle réglementation responsabilise (principe d’accountability) les entreprises qui collectent et traitent (directement ou via des sous-traitants) les données à caractère personnelles (DCP pour les intimes). L’objectif c’est avant tout la sécurité des données personnelles et leur traçabilité. Sont également confortés le consentement préalable et le droit à l’oubli pour l’utilisateur tracé. Enfin, la mise en place d'un système de communication adapté en cas de fuite de données. Ce qui est également intéressant pour cette directive, c’est qu’elle ne s’applique pas seulement aux entreprises résidentes de l’UE. Toutes les entreprises qui collectent et manipulent des données de personnes localisées sur le territoire de l’UE sont concernées… Non non, les US ne sont pas du tout visés ! Si vous voulez tout savoir en détails sur la RGPD / GDPR, vous trouverez nombre d’articles fournis, comme celui-ci décrivant les notions fondamentales de la GDPR.

OK mais qu’est-ce qui change réellement ?

Cette règlementation ne fait finalement que suivre le tournant vers la data opéré depuis +10 ans, plaçant l’exploitation des données et des comportements utilisateurs au centre du système de valeurs. Ce qui change c’est la volonté d’établir la sécurité et la traçabilité comme principe de base du système d’information (privacy by design). Le problème c’est surtout la mise en conformité de l’existant et l’identification des risques. Pour le marketing B2B en France, il devrait y avoir peu d’impact car la réglementation existante impliquait déjà ce formalisme, pour peu que l’on veuille être en conformité avec la CNIL. Sur le sujet B2B, lire cette analyse : pas de big bang pour le marketing B2B.
[EDIT du 15/12/2017] Suite à un commentaire avisé, je rectifie le tir sur cette notion, mon point de vue ayant évolué depuis la rédaction de l'article. Oui, le marketing B2B est concerné par la RGPD. Pas forcément sur la collecte quoique son formalisme sera accru et le devoir . Mais beaucoup plus sur les adresses professionnelles qui pouvaient être exonérées de consentement. Désormais, et la RGPD est très claire sur ce point, une adresse type [email protected] est considérée comme une adresse personnelle et ainsi soumise aux même droits que des adresses personnelles non-professionnelles. Au final, ce n'est que du bon sens mais le point mérite d'être éclairci :)

Et concrètement, on fait comment ?

La CNIL a édité depuis plusieurs mois un guide de mise en conformité en 6 étapes, qui permet d’anticiper la nouvelle loi. Dans la réalité, cela semble compliqué de se préparer en moins d’un an si aucun travail n’a jamais été fait pour recenser ou optimiser le traitement des données en interne. La recette reste pourtant assez simple quoique chronophage :  
  • Identifier et cartographier les données et les traitements
  • Lister les sous-traitants des données
  • Segmenter les données par degré de sensibilité (les données des mineurs par exemple)
  • Sécuriser par ordre de priorité, et bien sûr documenter !
  • Anticiper une fuite des données personnelles
 

Changement culturel sur les données personnelles

Certes, cette évolution réglementaire est assorti d’un volet coercitif qui peut faire peur (jusqu’à 20M€ ou 4% du CA annuel mondial pour une entreprise). Mais il faut plutôt prendre ce texte comme l’opportunité de prendre le tournant de la data (en tout cas de ne pas rater le train). Centraliser les données personnelles, avoir une structure réfléchie et maîtrisée, optimiser les traitements : ce ne sont que des bonnes pratiques qu’un certain nombre d’acteurs ont déjà mis en application depuis un bon moment… Et guess what ? Ce sont souvent ceux qui sur-performent sur leur marché.

6 commentaires pour "Protection des données personnelles (GDPR) : épouvantail ou opportunité ?"

  • Vincent

    15/12/2017

    Merci pour votre commentaire ! Effectivement je partage largement votre retour : mon point de vue sur le sujet a considérablement évolué depuis la rédaction de cet article. Ayant organisé une conférence sur la RGPD et en ayant suivi quelques autres, j'ai pu noter que la réaction typique de l'interlocuteur B2B était "de toute façon je ne suis pas concerné, moi je travaille en B2B". Or la RGPD est très claire sur le point suivant : une adresse email type [email protected] est considérée comme une adresse personnelle et donc soumis à la protection des données personnelles. Ce n'est pas le cas d'une adresse basique type [email protected]. J'annote donc mon article en ce sens et vous remercie encore de me donner l'opportunité de corriger ce point. Au plaisir !


  • Vincent

    15/12/2017

    Merci pour votre commentaire ! Effectivement je partage largement votre retour : mon point de vue sur le sujet a considérablement évolué depuis la rédaction de cet article. Ayant organisé une conférence sur la RGPD et en ayant suivi quelques autres, j'ai pu noter que la réaction typique de l'interlocuteur B2B était "de toute façon je ne suis pas concerné, moi je travaille en B2B". Or la RGPD est très claire sur le point suivant : une adresse email type [email protected] est considérée comme une adresse personnelle et donc soumis à la protection des données personnelles. Ce n'est pas le cas d'une adresse basique type [email protected]. J'annote donc mon article en ce sens et vous remercie encore de me donner l'opportunité de corriger ce point. Au plaisir !


  • Vincent

    15/12/2017

    Merci pour votre commentaire ! Effectivement je partage largement votre retour : mon point de vue sur le sujet a considérablement évolué depuis la rédaction de cet article. Ayant organisé une conférence sur la RGPD et en ayant suivi quelques autres, j'ai pu noter que la réaction typique de l'interlocuteur B2B était "de toute façon je ne suis pas concerné, moi je travaille en B2B". Or la RGPD est très claire sur le point suivant : une adresse email type [email protected] est considérée comme une adresse personnelle et donc soumis à la protection des données personnelles. Ce n'est pas le cas d'une adresse basique type [email protected]. J'annote donc mon article en ce sens et vous remercie encore de me donner l'opportunité de corriger ce point. Au plaisir !


  • Marc-Antoine Ledieu - Avocat

    15/12/2017

    Cher Monsieur, D'abord merci pour votre lien vers mon blog, c'est sympa. Ensuite, hélas, l'affirmation "Pour le marketing B2B en France, il devrait y avoir peu d’impact car la réglementation existante impliquait déjà ce formalisme, pour peu que l’on veuille être en conformité avec la CNIL." n'est pas exacte. Je dirai meme tout au contraire. La CNIL (seule) faisait une exception pour le traitement des données prospect BtoB, laquelle a (franchement) disparue avec le RGPD - GDPR et ne devrait plus revoir le jour pour des raisons d'harmonisation entre les 27 Etats de l'UE. A votre disposition pour vous en dire plus. Cordialement. Marc-Antoine Ledieu - Avocat


  • Marc-Antoine Ledieu - Avocat

    15/12/2017

    Cher Monsieur, D'abord merci pour votre lien vers mon blog, c'est sympa. Ensuite, hélas, l'affirmation "Pour le marketing B2B en France, il devrait y avoir peu d’impact car la réglementation existante impliquait déjà ce formalisme, pour peu que l’on veuille être en conformité avec la CNIL." n'est pas exacte. Je dirai meme tout au contraire. La CNIL (seule) faisait une exception pour le traitement des données prospect BtoB, laquelle a (franchement) disparue avec le RGPD - GDPR et ne devrait plus revoir le jour pour des raisons d'harmonisation entre les 27 Etats de l'UE. A votre disposition pour vous en dire plus. Cordialement. Marc-Antoine Ledieu - Avocat


  • Marc-Antoine Ledieu - Avocat

    15/12/2017

    Cher Monsieur, D'abord merci pour votre lien vers mon blog, c'est sympa. Ensuite, hélas, l'affirmation "Pour le marketing B2B en France, il devrait y avoir peu d’impact car la réglementation existante impliquait déjà ce formalisme, pour peu que l’on veuille être en conformité avec la CNIL." n'est pas exacte. Je dirai meme tout au contraire. La CNIL (seule) faisait une exception pour le traitement des données prospect BtoB, laquelle a (franchement) disparue avec le RGPD - GDPR et ne devrait plus revoir le jour pour des raisons d'harmonisation entre les 27 Etats de l'UE. A votre disposition pour vous en dire plus. Cordialement. Marc-Antoine Ledieu - Avocat


Laissez nous un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous aimerez aussi ...

Icone fusée

Démarrez votre projet digital !

Je me lance