Après une première édition en octobre 2017, les adhérents de la Digital League se sont à nouveau penchés sur le RGPD / GDPR au cours d’une Thema League axée sur le partage d’expériences. Pour vous, Akuiteo et ses pairs se sont creusé la tête sur les enjeux d’un tel règlement. Alors, qu’implique le RGPD ? Et comment s’y conformer ? Réponse dans une série de 3 articles !
Découvrez nos deux autres articles sur le RGPD :
- Gestion et stockage des données à caractère personnel.
- Méthodes d'anonymisation et de pseudonymisation.
Le RGPD fait moins peur, mais il reste du chemin à faire
Notons d’abord que les entreprises se familiarisent progressivement avec les implications du Règlement européen sur la protection des données. Des sociétés proposent d’ailleurs des offres d’accompagnement sur le sujet, même s’il faut aussi se méfier d’une forme de business qui se nourrit de la peur des entreprises. Les prestataires proposant une aide à la mise en conformité peuvent ainsi proposer des tarifs variant du simple au sextuple.
Pour dédramatiser les conséquences du RGPD, un excellent livre blanc a été produit par le CIGREF, l’AFAI et TECH’IN France, proposant notamment une checklist de 50 questions à se poser pour être en conformité avec ce nouveau règlement, portant aussi bien sur des enjeux de gouvernance que de cybersécurité. Un bon outil pour vous créer sereinement une feuille de route !
Découvrez l'ebook Entreprises : Les clés d’une application réussie du GDPR
Qui a besoin d’un Data Protection Officer (DPO) ?
Quelles entreprises ont pour obligation de désigner un DPO ?
La mise en place d’un DPO, ou délégué à la protection des données (DPD), est imposée par le RGPD aux organismes publics ainsi qu’aux entreprises dont le cœur d’activité implique le suivi régulier, systématique et à grande échelle de personnes ou le traitement de données dites « sensibles » ou relatives à des condamnations pénales et des infractions.
Même si votre entreprise n’est pas concernée, prenez le temps de mener une analyse de l’utilisation et du stockage des données personnelles mobilisées dans le cadre de votre activité, vous permettant de justifier votre choix de ne pas désigner un DPO.
Toutefois, se doter d’une telle ressource, qui doit être indépendante de la direction, peut constituer un atout non négligeable : le délégué à la protection des données pourra s’informer sur la règlementation et ses évolutions, aider les différents services à se mettre en conformité et communiquer directement avec l’autorité de contrôle (en France, la CNIL).
Qui peut jouer le rôle de délégué à la protection des données ?
Si vous faites le choix d’internaliser la fonction de DPO, privilégiez des profils combinant connaissances en droit, pratiques en matière de protection des données et capacité à mener à bien des missions complexes en mobilisant plusieurs acteurs. En ce sens, son rôle s’apparente à celui des anciens CIL (correspondants Informatique et Libertés), qui constituent une option tout à fait pertinente.
Pour tout savoir sur le rôle de délégué à la protection des données, téléchargez la ligne directrice du G29, groupe de travail européen sur le RGPD, qui fournit une clarification concrète des attentes de la CNIL.
Téléchargez les lignes directrices concernant la désignation d’un DPO / DPD
Autorisation de recueil des informations : pour vos emailings, sus aux opt-in !
Avec le RGPD, les entreprises ne pourront plus simplement acheter des bases de contact et envoyer des campagnes marketing sans s’être d’abord assurées d’avoir l’accord des cibles. L’email professionnel d’une personne physique est en effet considéré comme une donnée personnelle et la gestion des consentements est au cœur des préoccupations de cette nouvelle règlementation.
À quoi correspondent l'opt-out et l'opt-in en marketing digital ?L’opt-out implique d’envoyer un email à une personne sans avoir recueilli préalablement son autorisation, mais en lui donnant toutefois le moyen d’indiquer son refus de recevoir des messages similaires à l’avenir. L’opt-in fonctionne en revanche sur la base d’un consentement préalable explicite. La cible ne recevra un email commercial, une newsletter, etc. que si elle y a indiqué son accord. La RGPD impose désormais le recours à l’opt-in avant toute sollicitation de ce type. |
La première chose à faire est donc de mettre à jour tous les formulaires en place, en décochant notamment par défaut l’inscription aux campagnes, aux newsletters, etc. Et pour les bases de contacts déjà existantes, vous avez jusqu’au 25 mai 2018 pour obtenir leur consentement explicite. Ne tardez pas !
Privilégiez toutefois les propositions de désinscription personnalisée et partielle plutôt que globale : votre cible pourra sélectionner précisément les campagnes et communications qui l’intéresse vraiment, et elles n’en seront que plus efficaces.
Le consentement accordé dans le cadre d’un opt-in doit être donné pour une finalité objective et explicite : vous devez indiquer ce qu’impliquera précisément l’inscription à un emailing marketing et rappeler dans chaque mail pourquoi votre interlocuteur le reçoit. À tout moment, le destinataire d’une campagne doit également savoir à quoi il est abonné et pouvoir facilement se désinscrire.
Découvrez la présentation de Suntseu : L’impact du RGPD sur le marketing automatisé
Dans nos deux autres articles de cette série dédiée au RGPD / GDPR, nous revenons sur le stockage et la gestion des données personnelles et sur les raisons et les moyens de pseudonymiser et anonymiser les données.
À propos de l'auteur :
Par Jean-baptiste Sachot
Ambassadeur et conférencier chez Akuiteo SAS
