Une nouvelle législation européenne relative à la protection des données personnelles va bientôt entrer en vigueur fin Mai 2018. Le règlement européen sur la protection des données personnelles (RGPD) va révolutionner la collecte, le traitement, la conservation et la destruction des données à caractère personnelles dans bien des domaines de la vie quotidienne.
Le RGPD concerne toutes les entreprises, européennes comme non-européennes qui exercent sur le territoire des pays de l’U.E, et a pour objectif de donner plus de visibilité et de contrôle sur leurs données personnelles aux citoyens de l’U.E (ça, c’est pour le discours officiel)
Que dit le RGPD?
le RGPD va inaugurer une nouvelle ère, en renforçant les droits des citoyens de l’U.E sur leurs données ( c’est l’objectif affiché) mais elle va surtout rajouter de la complexification et des contraintes inutiles à toutes les organisations (entreprises, collectivités, associations..) qui offrent des biens et des services en ligne à l’occasion de la collecte des données personnelles. A telle enseigne qu’à quelques semaines de son entrée en vigueur, la plupart des entreprises n’y sont pas encore prêtes !
Concrètement, il deviendra obligatoire de recueillir le consentement préalable des utilisateurs en cas de collecte de données personnelles ( nom, prénom, adresse, e-mail, etc.) par exemple, pour de la publicité ciblée, via un formulaire de capture ou de contact, qui concerne plus spécifiquement les webmarketeurs. Mais aussi, pour toutes autres données à caractère personnel ( Numéro de sécurité sociale, données relatives à la santé, casier judiciaire etc. )
L’enjeu pour les entreprises, comme pour les collectivités, les administrations, les associations, va être de savoir à un instant « T » où se trouvent les données, pour pouvoir les transmettre sur simple demande à la personne qui en fait la demande ou exige leur effacement.
Le grand principe de ce règlement, va peut-être dans le bon sens dans son intention, mais s’avère être un cauchemar à appliquer concrètement dans la « vraie » vie, qui n’a rien à voir avec l’univers feutré et déconnecté des réalités des technocrates de l’entité non élue et anti-démocratique appelée « Commission européenne » et de ses fonctionnaires, qui se permettent de voter des lois et règlements qu’ils imposent aux pays de l’UE alors qu’ils n’ont aucune légitimité pour le faire ! Enfin, ça, c’est un autre débat…
Pour en revenir avec le RGPD donc, la collecte des données personnelles doit s’effectuer dans un but précis, communiqué clairement à la personne concernée, et la personne doit donner son accord explicite. Elle doit aussi se limiter aux éléments nécessaires à son objet (on ne devra donc pas demander une adresse postale ou une date de naissance par exemple pour une simple inscription à une newsletter)
On se demande d’ailleurs comment vont faire les flics quand il s’agira de prendre les empreintes digitales ou génétiques d’un délinquant ou d’un criminel qui s’y opposera en évoquant le RGPD ! Les radicaux de tous poils, fichés « S » ou autres auront t’ils aussi le « droit » de s’opposer à leur fichage???
Autre situation : lors d’un contrôle dans les transports en commun par exemple, les contrevenants auront t’ils la possibilité de s’opposer au dressage du procès-verbal qui implique la collecte de données personnelles ? Les automobilistes auront-t’ils la faculté de s’opposer aux P.V des radars automatiques au motif que ceux-ci relèvent nos plaques minéralogiques et prennent notre photo sans notre consentement??? Ça risque d’être assez comique à partir du 25 Mai 2018…
et devant l’explosion des litiges et autres contestations ubuesques, les tribunaux risquent de s’arracher les cheveux, enfin bref !
Dans la pratique, le RGPD est donc une usine à gaz qui va accroître considérablement les contraintes et les exigences en matière de collecte, de traitement, de conservation et de destruction des données à caractère personnelles, avec des sanctions dissuasives à la clé :
4% du C.A d’une entreprise pouvant aller jusqu’à 20 millions d’euros (on peut parler de racket de type mafieux)
le diktat de la mafia europeiste
Quelles sont les exigences du RGPD?
Outre le consentement et l’information des personnes concernées sur l’utilisation de leurs données personnelles, les données devront être exactes et tenues à jour, conservé pour une durée limitée nécessaire à leur exploitation.
Les personnes concernées devront pouvoir demander l’effacement de leurs données personnelles ou bien leur portabilité vers un autre responsable de traitement, nommé le D.P.O pour « data protection officer« . Bien sûr, ce DPO est le webmarketeur lui-même dans le cas d’un business en ligne.
Les responsables de traitement de données ou DPO, devront aussi assurer la traçabilité des données dans un registre. Enfin, le RGPD instaure la protection des données personnelles « dès la conception « , c’est-à-dire dès que le produit ou service nécessitant la collecte de données personnelles sera crée.
Bref, je vous le disais, ça s’annonce être une belle usine à gaz, inapplicable dans les faits pour les plus petites structures et organisations.
le premier effet qu’inspire le RGPD…
Les principes
le RGPD introduit une logique de responsabilisation en matière de protection des données qui peut être demandé lors d’un contrôle de la CNIL par exemple. Donc ce RGPD aura des implications profondes qui va chambouler la vie de toutes les organisations…
Le principe de « sécurité par défaut » renforce le rôle de la sécurité dans le système d’information par exemple avec un système de contrôle d’accès ou un système de prévention contre les failles de sécurité.
Le « data protection officer » (DPO) quant à lui, instaure un rôle de délégué à la protection des données. Il devra être associé à toutes les décisions impliquant la sécurité des données personnelles et sera l’interlocuteur entre l’entreprise et les autorités de contrôle.
Enfin, le dernier principe concerne la réalisation d’une étude d’impact. Comme nous allons le voir, il va concerner les blogueurs. Le RGPD demande aux organisations la réalisation d’une « étude d’impact » sur la protection des données personnelles, avant la mise en œuvre de nouveaux traitement de données qui pourraient présenter des risques d’atteinte aux droits et libertés individuelles.
la CNIL, (Commission Nationale Informatique et Libertés) chargée de la mise en œuvre et du contrôle du RGPD en France, a édité un guide que vous pouvez retrouver ici :
GDPR Pocket Guide A4 FRENCH 02_07_17
Les implications du RGPD dans un business en ligne
Les webmarketeurs sont bien entendus concernés par l’entrée en vigueur le 25 Mai 2018 du RGPD. Les données personnelles qui concernent un internaute visitant un site web ou une application mobile peuvent être de plusieurs natures :
- Données bancaires
- adresse e-mail
- Nom, Prénom
- adresse postale
- Adresse I.P
- photo, vidéo (droit à l’image)
- identifiant de connexion
- numéro de sécurité sociale
- identifiant Pôle-emploi, etc.
En revanche, la simple saisie d’un pseudo n’est pas considérée comme une donnée personnelle.
Bref, les données personnelles, ce sont toutes ces informations que l’on est amené à saisir à un moment donné sur un site web ou une application et qui nous appartiennent ou permettent de nous identifier.
Pour les webmarketeurs, voici les préconisations pour pouvoir prouver sa volonté de se mettre en conformité avec le RGPD :
Faire un audit des données utilisateurs
1. Identifier toutes les pages contenant un formulaire de saisie ou d’inscription (newsletter, formulaire de contact, saisie de commentaire, espace membres, téléchargement d’un produit ou service contre une adresse e-mail)
2. lister pour chaque page, les champs de saisie et types d’information collectés
3. Vérifier pour chaque formulaire que l’internaute est bien informé de ses droits et de l’utilisation qui sera faîte de ses données, via une mention ou une case à cocher par exemple
et préciser la procédure de suppression des informations liées à l’ouverture d’un compte par exemple.
La plupart des webmarketeurs n’ont pas attendus le RGPD pour demander le consentement des utilisateurs lorsqu’ils s’inscrivent via un formulaire en ligne. En effet, si vous faîtes de l’e-mailing, vous utilisez sûrement l’option « double-optin » qui demande a l’abonné de confirmer son inscription pour s’assurer de son consentement, ce qui anticipe depuis longtemps le RGPD. Mais comme nous venons de le voir, cela ne s’arrête pas là.
Voilà, n’hésitez pas à aller visiter le site de la CNIL sur https://www.cnil.fr/ pour en savoir plus sur le RGPD et son impact sur votre activité.
Et vous, êtes-vous prêt pour le big-bang du RGPD???
[delipress_optin id= »1669″]
