Comment mettre en œuvre le RGPD applicable le 25 mai ?

Le nouveau Règlement Général de Protection des Données entre en application le 25 mai 2018, il est donc plus que temps de se préparer pour sa mise en œuvre. S’il n’est pas simple de savoir exactement ce qu’il convient de faire, voici les grandes lignes de cette nouvelle réglementation et un focus sur quelques évolutions à mettre en œuvre dès maintenant sur votre site internet.

Pourquoi un Règlement Général de Protection des Données

Le RGPD (Règlement Général de protection des Données) est destiné à améliorer la protection des citoyens. Cet objectif est louable, tant la généralisation de l’utilisation des données personnelles, générées depuis nos smartphones en premier lieu, rend le concept de vie privée peu à peu illusoire. Il est probable, par exemple, qu’aucun d’entre nous ne souhaite que ses données de santé soient demain vendues aux laboratoires et assureurs …

De quoi s’agit-il ?

Le RGPD donne des droits supplémentaires au citoyen dans la maîtrise de ses données, et en conséquence pose des obligations complémentaires aux entreprises, qui devront développer leur responsabilité dans la gestion des données personnelles.

Pour le citoyen, les principales mesures sont les suivantes :

• Des droits pour accéder aux données et les modifier,
• La possibilité de naviguer sur internet sans laisser de traces,
• Un droit à l’oubli renforcé.

Qui est concerné ?

Toutes les organisations gérant des données personnelles (autant dire toute organisation) sont concernées par le RGPD.

Les organisations relevant des 3 catégories ci-dessous doivent appliquer des règles beaucoup plus strictes :

• Les autorités publiques ou organismes publics qui traitent des données personnelles,
• Les entreprises dont l’activité de base consiste en des traitements qui exigent un suivi systématique à grande échelle des personnes concernées,
• Les entreprises dont l’activité de base consiste en un traitement à grande échelle de catégories particulières de données (données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les préférences et l’orientation sexuelles, l’état de santé, les données génétiques et biométriques, et ou de données relatives à des condamnations pénales ou à des infractions)

L’impact sur votre organisation

La mise en place du RGPD repose sur quelques grands principes, en voici les principaux points :

La protection des données dès la conception (privacy by design)

Les responsables de traitements devront mettre en œuvre dès la conception du produit ou du service toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles. Concrètement, ils devront veiller à limiter la quantité de données traitées dès le départ (principe dit de « minimisation »).

De nouveaux outils de conformité

• La tenue d’un registre des traitements mis en oeuvre,
• Les « études d’impact sur la vie privée »
• Pour tous les traitements à risque, le responsable de traitement devra conduire une étude d’impact complète,
• Une obligation de sécurité et de notification des violations de données personnelles pour tous les responsables de traitements,
• La mise en place d’un Délégué à la Protection des données (Data Protection Officer).

S’agissant des PME

Pour les PME (selon la définition de l’INSEE il s’agit d’entreprises qui occupent moins de 250 personnes, et qui ont un chiffre d’affaires annuel inférieur à 50 millions d’euros ou un total de bilan n’excédant pas 43 millions d’euros). « Compte tenu de la complexité particulière du RGPD pour les petites et moyennes entreprises », dixit la CNIL (Commission Nationale Informatique et Liberté), complexité qui n’aura d’ailleurs échappé à personne, la CNIL annonce un « pack TPE-PME » pour mars 2018 (“dès avril 2018”, mise à jour du 22 mars). Mise à disposition bien tardive compte tenu de l’échéance de mai 2018.

L’impact sur votre site internet

Voici les principales mesures qu’il est nécessaire de mettre en œuvre sur son site internet :

• Renforcement du cadre de collecte de l’opt-in : consentement explicite pour le stockage des données et reprise de contact ultérieure sur l’ensemble des formulares, le consentement doit être actif et ne doit pas être activé par défaut
• La charge de la preuve du consentement incombe au responsable du traitement qui doit conserver ce à quoi la personne a consenti et à quel moment,
• Renforcement de la possibilité de retirer son consentement (de se désabonner) facilement et de l’information sur comment procéder pour cela
• Permettre la suppression des données personnelles et leur portabilité (restituer les données personnelles pour pouvoir les transférer sur une autre plate-forme)
• Création d’une page « Gestion des données personnelles » incluant l’ensemble des informations permettant aux internautes de faire valoir leurs droits.
• La gestion des cookies : voir la partie suivante spécifiquement consacrée à ce point.

La nouvelle gestion des cookies, un bouleversement des pratiques de marketing digital

Le RGPD impose de donner à l’internaute d’accepter ou de refuser la mise en place de cookies (traceurs), et ceci de façon très explicite.
Aucun cookie ne devra d’ailleurs être positionné avant leur acceptation.
L’impact sur le suivi de l’activité internet est majeur puisque la désactivation de tout traceur suppose, par exemple :

• la désactivation des statistiques Google Analytics (lire l’article de la Cnil qui précise que les cookies ayant comme seul objectif la mesure d’audience sont dispensés de cette désactivation, ce qui n’est pas le cas du cookie de Google Analytics qui génère également des données personnelles, celles-ci n’étant pas exploitées par Google Analytics mais utilisées à des fins de ciblage publicitaire), et donc de la capacité d’une mesure fine du comportement des utilisateurs, et des statistiques Google Adwords, et donc là aussi d’une évaluation beaucoup moins aisée du comportement des internautes ayant cliqué sur un lien sponsorisé, et in fine l’impossibilité d’une attribution précise des conversions,
• des boutons de partage sur les réseaux sociaux, ces boutons étant utilisés, cela se sait peu, par les réseaux, Facebook par exemple, pour connaître les sites visités par les utilisateurs du réseau et donc identifier leurs centres d’intérêt pour leur proposer les publicités adaptées à leur profil,
• des traceurs sur lesquels reposent de nombreux outils de ciblage publicitaire (souvent fort intrusifs, il faut le reconnaitre). Des acteurs tels que Criteo, par exemple, peuvent voir leur marché potentiel se rétrécir du pourcentage d’internautes qui choisiront de désactiver les cookies sur leur site.

L’ensemble de ces règles va donc sensiblement modifier le paysage du marketing digital. Le paradoxe étant que plus que jamais ce seront les GAFA’s qui disposeront de la connaissance la plus fine des utilisateurs, ce qui renforcera leur possibilité de contrôle d’un marché publicitaire déjà outrageusement concentré au profit du duopole Google – Facebook, qui en 2017, a capté 78% du marché de la publicité numérique en France et même 92% de la croissance de ce marché !)

Comment mettre en place ces nouvelles règles ?

Aussi surprenant que ce soit, à la date où cet article est écrit (5 mars), peu d’informations sont disponibles sur la façon exacte dont seront mises en œuvre ces exigences par les acteurs du marketing digital. Informations pourtant très utiles car un certain nombre de points peuvent appeler des interprétations, et donc des approches différentes.

Si, bien sûr, la nouvelle législation s’impose à tous, celle-ci nécessite de nombreuses précisions d’application qui ne sont pas aujourd’hui toutes disponibles. Il appartient maintenant à chaque organisation de définir sa propre position, entre un respect immédiat, mais compliqué, de l’ensemble du dispositif, et une mise en œuvre progressive, s’effectuant pour partie dès maintenant et complétée lorsque certaines dispositions d’application seront précisées (ceci étant particulièrement vrai pour les PME via la mise à disposition du Pack dédié annoncé par la CNIL).

Cet article n’aborde évidemment que certains points essentiels du RGPD. Nous vous invitons à consulter le site de la CNIL (www.cnil.fr) pour plus de précisions.

Par ailleurs, afin de prendre les meilleures décisions, nous vous recommandons de vous rapprocher de votre conseil juridique pour déterminer les mesures précises à mettre en œuvre compte tenu de votre situation.