Le règlement européen « RGPD »

Le 25 mai 2018, les sociétés qui stockent, traitent, analysent, voire seulement transmettent des données personnelles et comportementales devront se conformer au RGPD – Règlement Général européen consacré à la Protection des Données Personnelles.

Quelle démarche mettre en place pour être en conformité avec ce règlement ? Comment bien évaluer les enjeux et les moyens à mettre en œuvre ? Comment éviter un défaut d’application quant aux obligations à remplir ?

Informez-vous dès à présent et faîtes appel à nos expertises pour agir en conséquence !

Le contexte du règlement européen du 27 avril 2016

Le 27 avril 2016, l’Union Européenne a adopté le RGPD, un Règlement spécifiquement consacré à la protection des données personnelles des résidents européens. Ce texte est d’application directe dans tous les pays et vient par conséquent se substituer à la Directive de 1995 ; il remplace très largement la loi n°78-17 du 6 janvier 1978, qui constituait jusqu’à présent le référentiel légal français.

RGPDCe Règlement intègre l’évolution en quelques années de l’économie traditionnelle vers un écosystème digital mondialisé. Dans le domaine du marketing, ce n’est pas une évolution mais une révolution qui a mis la data au cœur de tous les enjeux. En moins de 20 ans, quelques dizaines de start-ups sont devenues des géants de l’internet, sans compter les groupes existants qui ont réalisé leur transformation digitale. Moteurs de recherche, systèmes d’exploitation, commerce en ligne, réseaux sociaux, tourisme, applications ludiques, tous ces métiers s’appuient très largement sur la collecte, l’enrichissement et l’exploitation de la donnée personnelle. Ce texte vise tout particulièrement les métadonnées dont le traitement et les recoupements permettent l’identification de personnes physiques, souvent à leur insu. En Europe, les données personnelles sont considérées comme une émanation de la personnalité, elles doivent donc faire l’objet d’un accord préalable de collecte auprès des individus concernés, de protections spécifiques et de restrictions d’utilisation.

Les principes fondamentaux de la GDPR – General Data Protection Regulation (ou RGDP chez nous)

Le prérequis du RGPD est que les données personnelles ne peuvent être utilisées qu’avec le consentement des personnes concernées.

Il existe cependant un cas où la collecte de données personnelles à des fins marketing et commerciales peut se concevoir dans la mesure où elle respecte 6 conditions impératives. C’est si « le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données personnelles, notamment lorsque la personne concernée est un enfant ».

Les 6 conditions impératives sont :

  • Le principe de loyauté et de transparence
  • Le principe de limitation des finalités
  • Le principe de minimisation
  • Le principe d’exactitude
  • Le principe de limitation de la conservation
  • Le principe d’intégrité et de confidentialité

Mais cette possibilité n’a pas encore été validée par l’Autorité de Contrôle (CNIL) alors que les instances représentatives des acteurs de la donnée marketing militent en sa faveur.

Quelles sont les mesures à appliquer pour être « GDPR compliant » ?

  1. Adapter tout le corpus juridique de l’entreprise à ces obligations et notamment actualiser les contrats avec les tiers (fournisseurs, clients, sous-traitants)
  2. Mettre en œuvre les process informatiques qui vont protéger et anonymiser les données personnelles stockées ou en circulation dans vos systèmes d’informations
  3. Mener les actions de formation auprès des collaborateurs pour les sensibiliser aux bonnes pratiques de la protection de ces données. Cette conduite du changement est un travail de longue haleine car il faudra vous assurer régulièrement du respect des procédures qui auront été définies dans le cadre de la « RGPD compliance ». C’est une vraie évolution des comportements qu’il faut instaurer en interne.

Histoire d’Adresses peut vous accompagner dans cette démarche d’audit et de recommandations, en particulier sur le volet de la conduite du changement.

Nos compétences en gestion de la data seront mises à votre disposition pour vous aider dans cette phase délicate de transition à court terme.

Une question ?
Contactez-nous