Chief Data Officer de C-Ways, Antoine Bonnin nous donne sa vision de l’impact de l’entrée de vigueur du RGPD, texte européen de protection des données personnelles, sur l’innovation data marketing.

Antoine Bonnin CDO // C-Ways

Que signifie RGPD et quels sont les entreprises et secteurs concernés ?
RGPD, Règlement Général de Protection des Données, concernent toutes les entreprises et tous les secteurs qui traitent de la donnée à caractère personnelle.

En quoi cela consiste ?
Avant, la protection des données se faisait ex ante c’est à dire en amont, et une seule fois lors de l’agrément de l’utilisateur aux conditions générales. Désormais, il va falloir demander la permission et historiser tous les traitements. Il pourra y avoir des contrôles a posteriori pour vérifier si l’on respecte bien ce règlement, ce qui amène à un renforcement du droit du consommateur. La principale évolution qu’apporte le texte concerne le consentement ; il ne peut plus désormais se résumer à un accord global mais doit s’articuler autour de 4 nouveaux points :

  • Le consentement doit porter sur des finalités spécifiques, l’utilisateur doit accepter de céder ses données dans un but précis. Il doit toujours y avoir une finalité, donc si elle a besoin d’utiliser les données à d’autres buts, l’entreprise devra redemander les droits au consommateur.

  • Le consentement doit être univoque et doit avoir un seul sens et ce sens doit être clair, finies donc les cases pré-cochées et les phrases tournées en faveur de l’entreprise, le consentement doit être donné par un acte positif.

  • Il doit aussi être libre, c’est à dire que l’utilisateur va pouvoir accéder au service ou à une partie du service même s’il n’a pas consenti à céder ses données.

  • Le consentement doit être également éclairé c’est à dire il doit être compris de tous. Évitez ainsi les mots trop complexes et scientifiques, il faut être simple.

Ce règlement s’appliquera à toutes les entreprises de l’Union Européenne ciblant des personnes de l’UE ou non, également les entreprises ayant à gérer des données sur le territoire européen même si l’entreprise n’appartient pas à l’UE. Alibaba par exemple, acteur chinois de l’e-commerce doit être RGPD compliant avec ses clients UE.

Qu’est-ce que cela implique concrètement pour les entreprises qui traitent déjà de la donnée ?
Elles vont devoir redemander le consentement spécifique, univoque, libre et éclairé, comme on vient de le voir à leurs utilisateurs, clients, pour le traitement qu’ils en feront. Les grandes entreprises internationales comme Facebook, Youtube, Linkedin qui brassent le plus de données, ainsi que les acteurs e-commerce, ont déjà redemandé le consentement à leur base utilisateur.

Ce qui change aussi pour les entreprises, c’est que le sous-traitant, prestataire, est également garant de la bonne conformité du RGPD des bases de données utilisées. Le sous-traitant pourra lui aussi être poursuivi en cas de non-conformité. Il faut donc changer les règles de confidentialité des entreprises en trouvant la bonne balance, le bon équilibre entre spécificité et globalité afin de faire plusieurs traitements avec un seul et même consentement.

Afin d’éviter toutes fuites de données lors de piratage, le RGPD permet d’anonymiser au maximum les données des utilisateurs. On traite toujours des données personnelles mais sans information de reconnaissance ou de contact, donc ce n’est plus nominatif. Le RGPD empêche ainsi la reconnaissance des personnes physiques identifiées ou identifiables, mais la frontière est mince entre données personnelles et données nominatives car grâce à certains rapprochements (adresses physiques, e-mails, IP, cookies de navigation, etc), les acteurs de la donnée peuvent finir par identifier clairement un individu. Quoiqu’il en soit, le RDPG va progressivement contraindre les annonceurs et les fournisseurs de services à travailler leur marketing client en audience et en segments, et non plus nominativement.

Dernier point et pas des moindre, il est administratif. Il faut que chaque entreprise qui traite de la donnée personnelle se dote ou désigne un DPO soit un Data Protection Officer, qui devra assurer que son employeur ou son client respecte la législation RGPD lorsqu’ils utilisent des données à caractère personnel. L’entreprise doit également mettre en place un registre des activités de traitement, prendre des mesures techniques pour anonymiser les données traitées, veiller à une obligation de transparence avec ses utilisateurs et veiller à la sécurité de ces dernières. Si on lit le texte à la lettre, c’est un travail extrêmement méticuleux qui doit être entrepris.

Il y a-t-il des cas où le RGPD ne s’applique pas ?
Oui et dans plusieurs cas. Lorsque les données sont nécessaires à l’exécution d’un contrat, par exemple, une entreprise de e-commerce faisant de la livraison a besoin de l’adresse physique de son client afin qu’il soit livré.
Lorsque les données relèvent d’une obligation légale, avec le gouvernement par exemple.
Lorsque les données ont un intérêt vital, au sens premier du terme, de vie ou de mort.

Quelle est la date d’entrée en vigueur du RGPD ?
Le 25 mai prochain est clairement une étape clé dans la mise en place du RGPD. Même si c’est la date officielle d’entrée en vigueur, les entreprises ont quand même un peu de temps avant les premiers contrôles mais il ne leur faut pas sous-estimer l’impact que ce texte peut avoir : les amendes pourront aller jusqu’à 4% du chiffre d’affaires de l’entreprise…

Pour résumer : la cession des données doit être légitime, en accord avec le droit et la liberté du cédant. La personne doit être informée du traitement précis futur lors de la collecte de données avec le droit de s’y opposer. En conséquence, les acteurs de la donnée devront trouver le meilleur moyen d’anonymiser les données personnelles, ainsi que d’en contrôler et tracer le traitement.

Entretien réalisé par Eva Lekic – mai 2018