Le GDPR modifie radicalement la façon dont les entreprises peuvent utiliser les données des consommateurs. Il importe, dès lors, de bien comprendre l’impact de cette nouvelle réglementation sur votre business. Cette vidéo de 7 minutes et cet article vous présentent l'essentiel du GDPR.
Qu’est-ce que le GDPR ?
Le GDPR ou « General Data Protection Regulation » est le règlement européen qui traite de la problématique et du cadre légal de la collecte, de l’enregistrement et de l’utilisation des données à caractère personnel.
Le GDPR modifie radicalement la façon dont les entreprises peuvent utiliser les données des consommateurs. Il importe, dès lors, de bien comprendre l’impact de cette nouvelle réglementation et d’en implémenter correctement les règles.
Quand et à qui s’applique le GDPR ?
La réglementation GDPR entrera en vigueur le 25 mai 2018 et sera d’application pour toutes les entreprises établies dans l’UE qui traitent tout type de données à caractère personnel (y compris celles des personnes établies hors de l’UE), ainsi que pour les entreprises établies en dehors de l’UE qui traitent les données à caractère personnel de personnes établies dans l’UE.
Que sont les données à caractère personnel selon le GDPR ?
La définition des données personnelles dans le GDPR est très large : il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment en faisant référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne (p.ex. une adresse IP), ou un ou plusieurs éléments spécifiques propres à son identité. Cette identification peut donc se faire par des moyens propres ou externes, maintenant ou à l’avenir.
Quels sont les principes de base du GDPR ?
Le GDPR se fonde sur 4 piliers :
Transparence : les entreprises doivent informer les citoyens sur la façon dont les données sont collectées et traitées, et ce, d’une manière compréhensible ;
Responsabilité : les entreprises sont tenues d’assumer la responsabilité du traitement des données à caractère personnel ;
Droits des consommateurs : le GDPR introduit le droit à l’oubli, le droit à la portabilité des données et le droit d’opposition au profilage ;
Obligation de notification : les entreprises sont tenues de notifier toute fuite de données dans un délai de 72 heures.
L’autorisation du consommateur est-elle toujours nécessaire ?
Si, en tant qu’entreprise, vous utilisez ou traitez des données à caractère personnel, demandez l’autorisation aux personnes concernées (opt-in).
Dans certains cas exceptionnels, vous êtes dispensé de demander l’autorisation : le fait d’être lié par un contrat ou la nécessité de disposer des données afin de pouvoir exécuter un contrat ; un intérêt légitime, vital ou public ; une base légale (p.ex. RH et finance).
L’intérêt légitime (« legitimate interest ») est une alternative possible à l’autorisation. Il peut, par exemple, être invoqué afin d’attirer de nouveaux clients via la prospection.
Quels sont les droits du consommateur ?
La législation GDPR accorde de nouveaux droits au consommateur :
Droit de suppression : toute personne a le droit d’exiger que vous effaciez les données personnelles dont vous disposez à son égard. Les autres lois qui vous obligent à conserver certaines données prévalent sur le GDPR. Il est aussi parfois appelé le « droit à l’oubli » ;
Droit d’information : toute personne a le droit d’être informée sur : les données que vous collectez à son sujet ; les fins auxquelles vous utilisez ces données ; la durée pendant laquelle vous stockez les données ; le fondement juridique sur lequel est basée la collecte ; la manière de faire valoir ses autres droits, tels que le droit d’accéder à ses données, de les faire corriger… Lorsque vous demandez l’autorisation, ces informations doivent également figurer à l’endroit où vous demandez l’autorisation ;
Droit de consultation : toute personne peut demander à voir de quelles données il s’agit exactement. Vous êtes alors tenu de partager avec cette personne toutes les informations que vous possédez. De toute évidence, il est important de vérifier l’identité du demandeur ;
Droit de portabilité : toute personne à propos de laquelle vous avez collecté des données peut les demander au format électronique (fichiers .xls, .txt ou .csv, par exemple) ou en demander le transfert à un nouveau fournisseur ;
Droit de rectification : toute personne a le droit de demander la rectification de ses données. En tant qu’entreprise, vous êtes dès lors obligé de les corriger avant de les utiliser à nouveau ;
Droit d’opposition : toute personne a le droit de s’opposer à l’utilisation de ses données. Elle peut également vous demander de n’effectuer aucune activité de profilage (e.a. segmentation) ou de traitement automatique avec ses données.
Les données peuvent-elles être réutilisées à d’autres fins ?
Les données ne peuvent être utilisées qu’aux fins annoncées lors de leur collecte. Ces données ne peuvent être réutilisées à d’autres fins ni être transmises à d’autres parties. Si vous souhaitez partager ces données avec une tierce partie, vous devez toujours en demander l’autorisation (à moins que vous souhaitiez confier leur traitement à un sous-traitant).
Qu’advient-il si le GDPR n’est pas respecté ?
Les entreprises qui ne respectent pas le GDPR s’exposent à des amendes. Si les données collectées ne sont pas gérées correctement, si une fuite importante de données n’est pas signalée ou si l’entreprise n’effectue aucune évaluation des risques, l’amende peut aller jusqu’à 2 % du chiffre d’affaires annuel. En ce qui concerne les fautes graves, ce montant peut grimper jusqu’à 4 % du chiffre d’affaires.
Les entreprises qui traitent des données pour le compte d’autres entreprises peuvent, quant à elles, s’attendre à d’autres conséquences : elles seront contrôlées par leur donneur d’ordre. Ce dernier peut uniquement collaborer avec des entreprises qui respectent la réglementation GDPR. Le non-respect du GDPR implique donc une éventuelle rupture de la collaboration avec certains clients.
Quelles étapes concrètes dois-je entreprendre dès aujourd’hui ?
1) Mettez votre système CRM actuel en conformité avec le GDPR
Si vous n’avez jamais demandé d’opt-in, vous êtes, en principe, tenu de le faire avant le 25 mai 2018. Si vous ne demandez pas de nouvelle autorisation, un autre fondement juridique (contrat, intérêt légitime…) doit justifier la conservation des données.
2) Publiez une politique transparente
Les entreprises doivent informer les citoyens sur la façon dont les données sont collectées et traitées, et ce, d’une manière compréhensible. Publiez, par exemple, votre politique de confidentialité sur votre site web.
3) Demandez, dès aujourd’hui, l’autorisation chaque fois que cela est nécessaire
Chaque fois que vous collectez des données à caractère personnel, veillez à demander l’autorisation expresse de la personne concernée pour ce qui concerne l’utilisation de ces données. Mentionnez clairement les fins auxquelles vous souhaitez utiliser ces données et renvoyez à votre politique de confidentialité.
4) Établissez des procédures internes claires
Le GDPR exige un certain nombre de procédures internes. Par exemple : comment les personnes doivent traiter les données, qui a accès à quelles données, comment les données sont protégées, que faire en cas de fuite de données, etc. Dans certains cas, il est également nécessaire d’effectuer une évaluation des risques et de tenir à jour des registres lors du traitement des données. Veillez à ce que ces procédures soient écrites, communiquées à vos collaborateurs et mises en pratique.
5) Révisez vos contrats avec vos fournisseurs
Il importe d’être attentif à la relation avec les fournisseurs qui traiteraient éventuellement des données en votre nom. Pensez à une société événementielle qui crée les cartes d’accès personnalisées pour votre événement, ou encore à une agence de communication qui traite vos données dans le cadre d’une campagne spécifique. Vous devez établir un contrat spécifique avec ces sous-traitants, conforme au GDPR en ce qui concerne le transfert des données à caractère personnel.
Qu’en est-il des actions de prospection ?
À certaines conditions, le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.
Concrètement, la législation GDPR stipule que pour invoquer l’intérêt légitime, un équilibre doit être démontré entre les intérêts de l’individu et les intérêts de votre entreprise, ainsi qu’une attente raisonnable de l’individu qui sera contacté par l’entreprise à des fins de prospection.
L’UBA a, dans ce contexte, publié une charte transparente en matière de GDPR qui clarifie les conditions à cet égard.