webleads-tracker

24/06/2017

Le GDPR vous oblige à être au clair sur les données personnelles de vos clients

GDPR_Protection de données

-

Le GDPR, c’est le petit nom du règlement européen sur la protection des données personnelles – General Data Protection Regulation – qui s’appliquera aux entreprises et à toutes les organisations publiques à compter du 25 mai 2018. On le sait depuis un bon moment puisque, après de longues négociations — dont nous vous parlions déjà en 2013 ! — le texte de loi a été publié au Journal officiel de l’Union européenne le 16 mai 2016. Mais la date d’applicabilité se rapprochant à grands pas, les articles sur le GDPR se multiplient, ainsi que les offres des cabinets de conseil et éditeurs spécialisés qui vous proposent de vous mettre en conformité avant la date fatidique. Il faut dire que le GDPR comporte une disposition qui pousse fortement les entreprises à la mise en conformité : une sanction pouvant atteindre 4% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros… ça fait forcément réfléchir.

Comme je me doute que, pas plus que moi, vous n’avez l’intention de vous coltiner la lecture du texte officiel (88 pages bien touffues) pour savoir ce que change le GDPR par rapport à la directive de 1995 (95/46/CE) sur la protection des données personnelles, je vous signale ce site très bien fait, réalisé par le cabinet d’avocats franco-belge ULYS, qui vous permet d’explorer le nouveau règlement par mot-clé.

Au cœur du GDPR : la protection de la vie privée de vos clients

En fait, c’est à tort que l’on parle d’une législation sur la protection des données. L’intitulé complet du règlement en rappelle la principale finalité : « Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ».

Il s’agit de protéger non pas les données mais les personnes physiques et leur vie privée. Bien entendu, cela revient à peu près au même dans un contexte où, du fait de la généralisation d’internet et digitalisation de la société, les données permettant d’identifier directement ou indirectement une personne prolifèrent dans des proportions qui échappent au contrôle des individus. Le GDPR se veut donc, au niveau européen, une réponse à une préoccupation mondialement partagée. Selon ce sondage Wavestone de 2016 (publié début 2017) portant sur 6 pays (Chine, France, Allemagne, Italie, Royaume-Uni, États-Unis)  :

  • 68% des citoyens interrogés jugent n’avoir qu’un contrôle partiel sur leurs informations personnelles, malgré les différentes lois en vigueur.
  • La moitié des citoyens pensent que leurs informations sont utilisées dans d’autres buts que ceux qu’ils ont approuvés. Je note que les Français sont ceux qui ont le plus faible niveau de confiance dans les organisations publiques ou privées à qui ils « confient » des données.

Les données dont la protection préoccupe les citoyens

Je tire de la même étude Wavestone ce graphique très éclairant sur les types de données que les citoyens considèrent comme les plus sensibles.

GDPR_Données sensibles

Autant dire que cela recouvre à peu près tout ce qu’on peut communément trouver dans les bases de connaissance client utilisées à des fins de marketing et de relation client, à l’exception des données financières (sauf pour les banques, évidemment) et des données de santé. Et puisqu’on en parle, c’est l’occasion ou jamais de relire mon mon précédent billet et de télécharger notre e-book sur les enjeux de la connaissance client pour les Services Clients :

cta-lb-connaissance

Les 3 changements qui impactent la Relation Client

La mise en conformité avec le GDPR se joue évidemment à l’échelle de l’entreprise et pas seulement au niveau d’un service. C’est fondamentalement une réforme de la gouvernance des données clients, qui impose à l’entreprise de définir précisément les règles et les responsabilités et, le cas échéant, de prouver qu’elle a tout mis en œuvre pour protéger les données à caractère personnel de ses clients et leur vie privée.

Cependant, 3 points me paraissent particulièrement importants eu égard aux pratiques des Services Clients et des services marketing en matière de gestion de la connaissance client :

1/ Renforcement du consentement — Une entreprise ne pourra plus recueillir de données personnelles sans que les personnes concernées l’y aient préalablement explicitement autorisée. Comme le souligne cet article, c’est la fin du « qui ne dit mot consent ». Vos clients doivent donc être informés de l’usage que vous allez faire de leurs données et donner leur accord pour le traitement, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable du traitement des données.

2/ Le droit à la portabilité des données — Ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.

3/ Des transferts hors UE possibles mais mieux encadrés — Les responsables de traitement et les sous–traitants peuvent transférer des données hors UE seulement s’ils encadrent ces transferts avec des outils  assurant un niveau de protection suffisant et appropriés des personnes. Les données transférées hors Union restent soumises au droit de l’Union non seulement pour leur transfert, mais aussi pour tout traitement et transfert ultérieur.

Bref, vous allez être obligé de clarifier un certain nombre de choses avec les grands chefs des données de votre entreprise et vos éventuels fournisseurs et sous-traitants. Sauf si vous avez déjà fait le nécessaire, il vous reste un peu plus d’un an pour vous préparer et montrer à vos clients qu’ils ont raison de vous faire confiance.

Vous aimerez aussi :

Laissez un commentaire