Le GDPR entre mythes et réalités !
Le GDPR est LE sujet brûlant du moment pour les professionnels du marketing. Composé de 99 articles, le texte, entré en vigueur le 25 mai, soulève de nombreuses questions. EMB vous propose d’y voir plus clair sur les notions clés de la nouvelle réglementation. Prêts ?
Le GDPR rend obligatoire l’opt-in pour les démarches en B2C comme en B2B.
Faux. Le consentement préalable est bien l’un des points cruciaux du nouveau règlement et sera la norme en B2C. Par contre, la prospection bénéficie d’un régime dérogatoire à condition que la sollicitation soit en rapport avec la profession de la personne ciblée. L’opt-out restera donc la norme dans le cadre des pratiques B2B.
Les données dites «pseudonymisées» (ne permettant pas de connaître l’identité exacte de la personne) sont également soumises au GDPR.
Vrai. La donnée pseudonymisée ne permet pas d’identifier directement une personne. Elle peut toutefois permettre d’isoler des comportements individuels et même, après traitement spécifique, devenir réidentifiable ! Elle entre dès lors complètement dans le cadre de l’article 4 du GDPR. À ne pas confondre avec la donnée anonymisée qui, elle, n’est pas soumise à la réglementation.
Les Français sont globalement opposés au partage de leurs données à des fins marketing.
Faux. Si 90% des Français avouent être préoccupés par la protection des données personnelles sur Internet, 71% se disent en revanche prêts à partager certaines informations avec les marques. Un lien de confiance restauré entre les différents acteurs serait ainsi profitable à tous et le GDPR peut ainsi être entrevu comme une vraie opportunité pour les professionnels.
La nomination d’un Délégué à la protection des données (DPO) est obligatoire.
Faux. Le DPO sera le maître d’œuvre de la mise en conformité au GDPR au sein de l’organisme qu’il intégrera. Si sa désignation est fortement conseillée, elle n’est cependant rendue obligatoire que
dans trois cas précis :
Les organismes et autorités publiques
Les structures procédant à un suivi à grande échelle systématique des personnes physiques
Les organismes traitant à grande échelle des données dites sensibles
Le GDPR inclut l’exigence de tenir un registre de l’ensemble des activités de traitement des données.
Vrai et Faux. Cette obligation concerne toutes les entreprises de plus de 250 salariés. Les structures plus petites n’y sont pas systématiquement soumises mais devront malgré tout appliquer cette règle dans des cas particuliers :
si le traitement des données est susceptible de comporter un risque pour les droits et libertés des personnes
s’il n’est pas occasionnel
s’il porte sur des données sensibles (cf articles 9 et 10)
Le GDPR impose de nouvelles règles concernant la durée de conservation des données.
Vrai. Selon les termes de la CNIL, «une fois que l’objectif poursuivi est atteint, il n’y a plus lieu de conserver les données et elles doivent être supprimées». La durée peut donc varier selon l’objectif qui a été défini et varie en fonction des cas de figure. Concernant le B2B, notez qu’il vous faudra supprimer définitivement de votre base tout prospect inactif depuis 3 ans. Enfin, si une personne fait valoir son droit à l’oubli (article 17), vous aurez un délai d’un mois pour effacer ses données personnelles de votre base.
Le règlement e-Privacy est l’une des mesures phares intégrée au GDPR.
Faux…pour l’instant. Dès lors qu’est évoqué le GDPR, la mention du e-Privacy n’est jamais loin. Il faut néanmoins bien faire la distinction entre deux règlements différents et ayant chacun leurs spécificités afin d’éviter tout malentendu. Le e-Privacy, qui concerne la protection de la vie privée des communications électroniques, n’est pas encore entré en vigueur et devrait être voté en 2019. Mais il reste à voir s’il sera voté en l’état, ou bien adapté pour chaque pays, voir même pour certains métiers.
Son principal enjeu réside dans la pratique de l’opt-in associé au dépôt des cookies. Le recueil de ce consentement se fera probablement directement au niveau du navigateur et non plus sur chaque site visité.
Les sanctions seront durcies pour les contrevenants à la réglementation.
Vrai. Actuellement, la loi informatique et libertés prévoit une sanction maximale de 3 millions d’euros. Le GDPR place la barre bien plus haut avec son article 83 qui fixe des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial de la dernière année pour une entreprise. Les contrôles de la CNIL seront réguliers, n’escomptez donc pas passer entre les mailles du filet !