« Le RGPD n’interdit pas en soit le profilage, mais il renforce la pratique de l’opt-in »

Dans le cadre de notre livre blanc « Donnée intentionniste et moments de vie », nous nous sommes intéressés à la nouvelle réglementation qui entrera bientôt en vigueur. Le GDPR (General Data Protection Regulation) ou RGPD (règlement général sur la protection des données), règlement européen qui renforce le droit des utilisateurs en matière de données personnelles, entrera en application en mai 2018. Un challenge pour les entreprises qui doivent se mettre en ordre de marche d’ici là. Maître Prebost, avocat associé, et Maître Basque, avocat, spécialistes des technologies au sein du Cabinet Harlay, nous éclairent.

Fabrice Perbost, Avocat associé du cabinet Harlay

Morgane Basque, Avocat du cabinet Harlay

Quelles sont les principales mesures de cette loi qui impacte directement les entreprises ?

Rappelons que le Règlement Général de la Protection des données (RGPD) ou General Data Protection Regulation (GDPR) en anglais, règlement UE 2016/679 a été adopté le 27 avril 2016 et sera d’application immédiate dans l’ensemble des Etats membres de l’Union Européenne le 25 mai 2018.

Les principales mesures du nouveau règlement auxquelles devront se conformer les entreprises sont les suivantes :

  • Tenue d’un registre des traitements

L’allégement des formalités préalables auprès de la CNIL s’accompagne d’une obligation de tenir un registre des traitements. Ce registre permet notamment aux entreprises de démontrer le respect des obligations du règlement européen (« Accountability »). La CNIL a d’ores et déjà publié un modèle de registre conforme au RGPD.

  • Protection des données dès la conception et par défaut

Les entreprises devront mettre en œuvre les mesures techniques disponibles pour minimiser les risques dans leur projet (« Privacy by design ») et garantir que seul le minimum indispensable de données sera traité.

  • Relations de sous-traitance

En cas de violation de ses droits, une personne pourra agir à son choix, soit contre l’entreprise responsable de traitement, soit contre le sous-traitant (responsabilité solidaire entre le responsable de traitement et le sous-traitant). Il conviendra d’encadrer contractuellement les relations entre le responsable de traitement et le sous-traitant, et reprendre les exigences du RGPD.

  • Délégué à la protection des données ou DPO

Avant même qu’il soit obligatoire de nommer un DPO et dans le cas même où l’entreprise ne serait pas soumise à cette obligation, il est fortement recommandé de désigner un Correspondant Informatique et Libertés (CIL).

  • Analyse de risques et/ou d’impact sur la vie privée

Une étude d’impact vie privée est obligatoire pour les entreprises dont les traitements sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques (profiling, traitement à grande échelle de données sensibles).

Les obligations relatives aux droits des personnes sont renforcées, et notamment :

  • Information claire, intelligible et facilement accessible ;
  • Consentement clair et explicite lors de la collecte des données ;
  • Droit d’accès, droit de rectification, et droit d’opposition (notamment pour le profiling) ;
  • Droit d’effacement ou « droit à l’oubli » ;
  • Droit à la limitation du traitement ;
  • Droit à la portabilité des données.

Seules 10% des entreprises françaises s’estiment en conformité (Etude IDC – octobre 2017)

 

Toutes les entreprises sont-elles concernées ?

Le RGPD concerne tout acteur économique traitant des données à caractère personnel, à savoir toutes les entreprises, peu importe leur activité (moteurs de recherche, hébergeur cloud, annonceurs, banques, etc.) et agissant en qualité de responsable de traitement ou en qualité de sous-traitant.

Rappelons que les organismes publics, administrations, collectivités locales, syndicats, hôpitaux, etc. sont également concernés par le RGPD.

Le RGPD a élargi considérablement le champ d’application territorial de la réglementation européenne en matière de protection des données personnelles.

Toutes les entreprises établies hors UE, offrant des biens ou services à des personnes résidents dans l’UE, sont désormais visées par le RGPD, et notamment les sites d’e-commerce et de ventes en ligne, ou toute entreprise proposant un service de cloud computing à des résidents européens.

Le RGPD concerne tout acteur économique traitant des données à caractère personnel

Toutes les entreprises établies hors UE, menant des activités d’analyse du comportement des personnes (profiling) sont également visées par le RGPD. Par exemple, sont ainsi concernés les annonceurs qui utilisent des cookies pour suivre la navigation des internautes résidents dans l’UE sur les sites web afin de leur proposer de la publicité ciblée.

 

Sur quels points les entreprises doivent-elles être particulièrement vigilantes ?

Il est recommandé aux entreprises de réaliser un audit de conformité au RGPD pendant cette phase transitoire (avant le 25 mai 2018) afin de procéder à un état des lieux de ses traitements.

L’audit doit permettre en particulier d’établir une cartographie des données, de recenser les différentes finalités de traitements, d’identifier les utilisateurs, destinataires des données et les transferts hors Union européenne, de comprendre les processus relatifs à l’usage, à la conservation et à la destruction de ces données, d’analyser les mesures de sécurité. Ces processus internes devront prévoir notamment de protéger les données dès la conception (minimisation des données traitées au regard des finalités).

Il suppose dans la plupart des cas à tout le moins une consultation de la Direction Générale, de la DSI, du RSSI, du CIL, de la direction des ressources humaines, de la direction marketing et de la direction commerciale.

Les traitements à risques en matière de protection des données feront l’objet d’une analyse de risques et/ou d’impact vie privée. Cette analyse sera obligatoire lors d’un traitement susceptible d’engendrer des risques élevés pour les droits et libertés des personnes physiques (profiling) ou d’un traitement à grande échelle de données sensibles. Cette analyse permettra aux entreprises d’évaluer ces risques et de mettre en place les mesures (juridiques/sécurité) adéquates pour y faire face.

Il est recommandé aux entreprises de réaliser un audit de conformité

L’audit s’achèvera par la formalisation de recommandations qui seront présentées à la direction sous la forme d’un plan d’action adapté avec des priorités définies.

Enfin, les entreprises devront tenir une documentation sur leurs procédures internes de gestion des données pour prouver leur conformité au RGPD (« Accountability« ). Cette documentation pourra être réalisée en parallèle de l’audit. Les entreprises devront notamment tenir un registre de l’ensemble de leurs traitements, encadrer les transferts de données hors UE (Clauses contractuelles types ou BCR), revoir leurs contrats sous-traitance, leurs formulaires de recueil du consentement des personnes, etc.

 

Quels sont les risques encourus par les organisations qui ne seraient pas en conformité avec la loi ?

Les risques pour les organisations doivent être envisagés essentiellement à la lumière des sanctions financières appliquées par la CNIL.

En cas de non-respect des dispositions antérieures de la loi Informatique et Libertés (article 47), la CNIL pouvait prononcer des sanctions dont le montant maximal n’excédait pas 150 000 euros. La loi pour la République Numérique (article 65) a augmenté le plafond des sanctions pécuniaires que peut prononcer la CNIL à hauteur de 3 millions d’euros, anticipant ainsi les dispositions du RGPD.

Le RGPD va encore plus loin en prévoyant des sanctions inédites car déterminées en fonction du chiffre d’affaires annuel mondial consolidé de l’entreprise. Par exemple, le défaut de tenue du registre des traitements, l’absence de notification d’une violation de données, ou la non-réalisation d’une étude d’impact vie privée pourront être punis de sanctions allant jusqu’à 2% du chiffre d’affaires annuel mondial ou 10 millions d’euros (le montant le plus élevé étant retenu).

Les entreprises sont passibles de sanctions allant jusqu’à 4% de leur chiffre d’affaires annuel mondial

Le non-respect des droits des personnes concernées (information, accès, rectification, effacement, portabilité, profilage, etc.), l’absence du recueil du consentement des personnes concernées lorsqu’il est requis, ou encore le non-respect des règles relatives au transfert des données à caractère personnel seront punis de sanctions allant jusqu’à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros (le montant le plus élevé étant retenu).

Au regard de l’ampleur des sanctions financières, certaines sociétés songeront peut-être à souscrire une assurance spécifique.

 

Comment continuer à pratiquer le marketing digital tout en respectant la loi ?

Le RGPD n’interdit pas en soit le profilage (profiling) mais l’encadre avec de nouvelles garanties appropriées afin d’en éviter les conséquences négatives pour la personne concernée.

Ainsi, le RGPD prévoit le droit de ne pas faire l’objet d’une décision exclusivement fondée sur un traitement automatisé sans prise en compte de la situation individuelle de la personne concernée (p.ex. en matière de crédit, le rejet d’une demande de crédit en ligne basée sur des fichiers de données personnelles).

Ainsi, le profilage à des fins de marketing est autorisé dans la mesure où les principes de licéité sont respectés, à savoir que la personne en est spécifiquement informée et qu’elle peut à tout moment s’y opposer (articles 21 et 22 du RGPD).

Le RGPD renforce la pratique de l’ « opt-in » qui suppose l’information et le recueil du consentement libre et éclairé de la personne visée. Pour rappel, l’opt-in est le procédé par lequel un individu donne son consentement préalable avant de pouvoir être la cible d’une prospection directe effectuée par un canal marketing automatisé.

Le RGPD renforce la pratique de l’ « opt-in »

Ainsi, l’internaute lors de sa navigation devra avoir été informé au préalable par le client de l’annonceur d’un certain nombre d’informations et en particulier sans que cette liste soit exhaustive des éléments suivants:

  • l’identité du responsable de traitement ;
  • la finalité (prospection commerciale et opérations marketing) ;
  • le destinataire de ces informations, à savoir la transmission à un prestataire commercial des données collectées ;
  • les droits d’accès, d’opposition, de rectification et de suppression des données traitées et les modalités d’exercice de ces droits.

Ces informations détaillées permettront à l’internaute de donner librement son consentement pour des traitements parfaitement identifiés, et notamment, s’agissant du partage de ses données à des fins de prospection commerciale.

 

Comment sensibiliser sa direction à cet enjeu majeur qui n’est pas toujours perçu comme prioritaire ?

Le montant des sanctions financières est un argument de poids afin de convaincre la direction de son entreprise mais il n’est pas le seul.

Il convient de transformer ce projet règlementaire peu attractif en un avantage marketing

Il convient de transformer ce projet règlementaire peu attractif pour la direction en un avantage marketing, véritablement qualitatif dans la relation commerciale client.

En effet, l’enjeu consiste à renforcer la confiance de ses clients sur les dispositifs mis en oeuvre par l’entreprise en matière de gestion des données à caractère personnel.

Le RGPD encourageant les labels et certificats de conformité en matière de protection des données personnelles, il est recommandé aux entreprises disposant d’un CIL d’obtenir un Label Gouvernance.

Ce Label est un réel indicateur de confiance pour les clients et présente un avantage concurrentiel certain.

 

Pour télécharger le livre blanc « Donnée intentionniste et moments de vie », cliquez ici.