Depuis le 25/05/18, le Règlement Général pour la Protection des Données a été activé, afin de protéger les données personnelles des habitants de l’Union Européenne. Ce RGPD dont on a tant parlé limite les possibilités d’utilisation des données privées, les entreprises devant désormais obtenir le consentement de leurs utilisateurs. Il entraîne également des sanctions plus fermes envers ceux ne respectant pas ces nouvelles règles. Quels impacts sur les activités d’une entreprise, et plus particulièrement sur les incontournables réseaux sociaux ? C’est ce a quoi nous allons essayer de répondre dans notre étude de cas du jour.

RGPD : quel intérêt, quelles conséquences ?

Le RGPD vient remplacer le dernier texte en date qui protégeait les données personnelles des utilisateurs : celui-ci, datant de 1995, était totalement obsolète depuis le développement d’Internet, l’importance prise par le Big Data, le Cloud, etc.

Chaque réseau social et chaque entreprise est concerné par le RGPD, indépendamment de son chiffre d’affaire, de sa localisation ou des produits et services proposés, à partir du moment où des données personnelles sont collectées dans l’Union Européenne.

Les méthodes consistant à envoyer quantité de mails non sollicités sont donc révolues. Concrètement, pour toute donnée personnelle collectée (nom, photo, mail, adresse IP, numéros de téléphone, etc.), le consentement de l’internaute doit être écrit, explicite et sans ambiguïté ; il pourra être résilié par l’utilisateur, et ne sera valable que pour le motif précisé. Les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) sont directement concernés par ce règlement général, dès lors qu’ils récoltent les informations des internautes européens.

consentement-rgpdLe RGPD se donne avant tout un rôle de prévention : les utilisateurs de tout réseau social sont amenés à s’interroger sur la marchandisation de leur vie privée, et sur les conséquences de l’utilisation de leurs données personnelles. Si cette intention de mieux protéger la vie privée est louable, le résultat reste mitigé depuis le mois de mai : les géants du web sont très peu impactés de par leurs larges moyens d’intervention, les perdants étant les petites sociétés pour qui le coût d’adaptation représente une lourde charge.

Quel impact des RGPD sur la prospection ?

A une époque où la valeur des données personnelles n’a jamais eu tant d’ampleur, suscitant autant d’appétits en termes de marketing que d’actions malveillantes, le RGPD a permis certaines évolutions notables sur les plateformes sociales :

  • La transparence des conditions générales d’utilisation, plus accessibles pour les utilisateurs et incitant davantage à un consentement éclairé,
  • Le droit à la portabilité des données, permettant de récupérer les données d’un réseau social pour les réutiliser ou les transmettre à une tierce personne,
  • Des conditions appliquées aux internautes de moins de 15 ans, pour qui l’autorisation parentale est obligatoire avant toute inscription.

Les offres publicitaires des plateformes sont désormais dans l’obligation de proposer une case explicite de consentement, et le RGPD impacte aussi directement la prospection digitale B2B. Ainsi, l’export d’adresses de contacts LinkedIn en vue de l’envoi de mails, ou le prélèvement de données personnelles d’abonnés ou de fans sans leur consentement express est aujourd’hui proscrit.

Réseau social et collecte de données personnelles : qui est responsable ?

reseaux-sociaux-rgdpPour faire simple, les deux sont impliqués. Pour les marques utilisant les réseaux sociaux, les responsabilités sont en effet partagées : les entreprises ne peuvent pas se contenter d’utiliser les services proposés, en renvoyant la responsabilité sur le réseau social en cas de problème lié à la collecte de données personnelles. Déjà présente dans la réglementation de 1995, cette idée de « co-traitance » est restée d’actualité dans le RGPD : dans le cas où plusieurs institutions interviennent dans les finalités et les moyens de traitement, elles sont co-responsables et la loi les contraint aux mêmes obligations.

En pratique, le risque est quasi inexistant sur les principaux réseaux, qui sont soumis à l’application du RGPD et ont fait en sorte que leurs utilisateurs se mettent en conformité ; ceux-ci ont forcément validé les nouvelles conditions générales, sous peine de devoir se passer de leurs services en ligne. Pour éviter toute complication ultérieure, l’idéal reste de s’assurer que chaque plateforme utilisée est effectivement conforme au RGPD, ainsi que de privilégier la pédagogie envers les clients en les informant clairement, et en les incitant à la prudence concernant leur vie privée. Autant d’efforts de transparence qui peuvent s’avérer payant, en termes de confiance et de fidélisation des usagers.

Le rôle de la Cnil dans le RGPD

Avec un recul de 4 mois, la Commission nationale de l’informatique et des libertés (Cnil) tire un premier bilan de l’application du RGPD : si les difficultés pratiques restent présentes, la majorité des professionnels réussissent à s’adapter progressivement. Côté utilisateurs, la prise de conscience s’est traduit par une augmentation de plus de 60% des plaintes concernant la protection de leurs données.

Les principes fondamentaux concernant la protection de données restent identiques au niveau de la sécurité des données, des durées de conservation, etc. La Cnil continue ses vérifications sur le même principe qu’auparavant : les contrôles sont réalisés selon un planning annuel, ainsi qu’en fonction des plaintes reçues ou encore des informations médiatiques.

Du côté des changements, signalons la création de contrôles concernant les dernières obligations et droits issus du RGPD (droit à la portabilité, analyses d’impact, etc.). Ceux-ci sont pour le moment non punitifs, l’objectif visant plutôt à aider les organismes à assimiler les enjeux et la mise en pratique des nouvelles réglementations. Autre nouveauté, les contrôles réalisés sur les entités internationales sont mis en œuvre par plusieurs organismes, ce qui doit permettre des décisions à portée européenne.

Le bilan au niveau des professionnels se traduit notamment par 24 500 organismes ayant désigné un délégué à la protection de données, une nette hausse des demandes d’information (avec notamment +45% d’appels), et 150 000 téléchargements du modèle simplifié de registre.

Il n’y a en revanche eu aucune enquête sur les changements de pratique des professionnels, ce compte-rendu de la Cnil se limitant à ces constats chiffrés. Ceci dit, la commission va déployer prochainement de nouveaux outils de régulation, dont des référentiels touchant à la gestion des clients et des prospects. Il est également question de travaux sur l’adaptation des packs de conformité, (véhicules connectés, cloud et code de conduite, etc.). Il s’agit d’un travail de fond a mener sur le long terme, qui devra s’adapter aux évolutions rapides du monde numérique.

Entreprises connectées : quelles étapes pour se mettre en conformité ?

Pour résumer, le RGPD s’articule autour de quatre grands principes : consentement, transparence, droit des personnes et notion de responsabilité.

Les entreprises qui ne l’ont pas encore fait doivent tout d’abord désigner un Délégué à la Protection des Données (DPO), qui veillera à l’application du RGPD. Un audit devra ensuite être réalisé, ce qui permettra d’avoir un aperçu de la sécurité des données à caractère personnel et d’établir un plan d’action (où les données sont-elles stockées, qui est responsable de l’application, quels moyens de protection sont utilisés, etc.).

La sécurisation des relations contractuelles avec les partenaires est également primordiale dans cette stratégie. Le DPO est en ce sens chargé de s’assurer que les collaborateurs respectent les dispositions du règlement lorsqu’ils utilisent des données. Face au nombre de mesures à prendre, le DPO devra s’adapter et faire appel à des moyens techniques, des outils d’organisation, des aides juridiques, etc.

Les conséquences en cas de non-conformité au RGDP se veulent dissuasives : les amendes vont jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires. Retenons toutefois qu’il existe toujours de nombreux moyens pour les entreprises de faire de la publicité ciblée et personnalisée, en respectant la confidentialité des utilisateurs. Le RGPD peut être vu comme un gage de progrès vers des pratiques plus saines, dans le sens où il pousse à plus de créativité et moins d’algorithmes de ciblage.

L’intégralité du règlement général sur la protection des données personnelles est accessible ici :

https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR