Le 25 mai 2018, le règlement général sur la protection des données (RGPD) entrait en vigueur. 12 mois se sont écoulés. L’occasion de tirer un premier bilan de cette initiative européenne, qui a fait évoluer les pratiques au sein des entreprises bien au-delà des frontières de l’Union.
Nous apprendrons que si des progrès ont été accomplis, certaines données un peu moins accessibles échappent encore à la vigilance des entreprises.
Nous verrons que sur le périmètre de la communication directe, des dispositifs existent pour témoigner de la conformité et de la responsabilisation des acteurs. Le label Privacy Protection Pact et la certification ISO 27001:2013 viennent par exemple compléter les dispositions internes des donneurs d’ordres pour constituer un continuum robuste. Quand une marque ou une enseigne fait appel pour sa communication directe à un partenaire ainsi valorisé, elle peut intégrer son engagement de conformité dans sa propre documentation sur son respect du RGPD.
Une autre façon de dire les choses est que le RGPD apporte davantage de confiance et de transparence dans la relation client-fournisseur. Et ça, c’est plutôt une bonne nouvelle !
Le RGPD, un succès européen
Un an après l’entrée en service du RGPD, un chiffre donne la mesure de la prise de conscience globale des entreprises. Le nombre de DPO – Délégués à la Protection des Données – officiellement déclarés auprès de la CNIL est 3 fois plus important que le nombre des Correspondants Informatique et Liberté (CIL) en place dans le contexte précédent1.
L’Europe a réussi à faire valoir une nouvelle philosophie et les données personnelles des citoyens européens sont mieux protégées, dans un cadre harmonisé. La prise de conscience des citoyens est réelle : 66% des Français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles2.
Les entreprises se sont mobilisées pour mettre en œuvre en leur sein cette petite révolution. Au-delà de l’Europe, il y a clairement une prise de conscience mondiale autour de la question de la propriété et de la protection des données.
Pour autant, les manquements existent puisque 1 300 plaintes ont été déposées en France1 (et 100 000 en Europe) depuis l’entrée en vigueur du RGPD. Avec des niveaux de pénalités encourues sans commune mesure avec ce qui prévalait auparavant.
Les entreprises sont invitées à intensifier leur vigilance, notamment dans le domaine des précautions contre le vol et/ou le détournement des données.
Un champ d’investigation étendu pour l’année 2 du RGPD
Dans son principe, l’application du RGPD est simple. L’entreprise doit se conformer à un schéma en cinq points :
- Désigner un DPO,
- Cartographier les traitements de données que son activité induit,
- Évaluer les risques que la détention ou le traitement de ces données fait courir aux personnes,
- Promouvoir la vigilance et le respect du droit auprès des collaborateurs,
- Documenter les efforts entrepris : c’est désormais à l’entreprise de prouver qu’elle est réellement engagée dans la mise en conformité de ses procédures.
Dans la réalité, l’année 1 a permis aux acteurs de lancer la démarche et d’atteindre les résultats les plus faciles, relatifs aux traitements visibles de données.
L’enjeu pour l’année 2 – et très certainement pour les suivantes, tant la tâche est ardue – est d’identifier et de sécuriser les traitements de données moins facilement accessibles.
Il appartient aux entreprises de réévaluer la solidité des processus portant sur les données détenues ou collectées par leurs partenaires, sous-traitants, distributeurs ou fournisseurs. Il y a aussi les données dormantes, par exemple figurant dans les contrats de travail. On peut aussi penser aux données enregistrées par les caméras de vidéosurveillance. Et bien sûr à celles collectées automatiquement par les sites Internet.
Rappelons que ce qu’on entend par données dans le cadre du RGPD est très vaste. Les plaques minéralogiques, les empreintes digitales, les adresses IP sont également des données personnelles et entrent à ce titre dans le champ de la vigilance.
La nouvelle présidente de la CNIL, Marie-Laure Denis, a prévenu les acteurs. « Trois ans après l’adoption du RGPD et un an après son entrée en vigueur, c’est la fin d’une forme de tolérance. »
Le RGPD, une opportunité de valorisation pour les acteurs de la communication directe
Parmi les partenaires des entreprises, les acteurs de la communication directe sont très concernés par les aspects de protection des droits des consommateurs et de conformité par rapport au RGPD. La plupart des acteurs de la donnée ont gagné en maturité et en transparence. Dans la considération étendue du champ de responsabilité des entreprises clientes, l’intensité de l’engagement des partenaires est à prendre en compte.
Le Syndicat National de la Communication Directe (SNCD) a pris l’initiative de créer un label pour identifier ses adhérents respectueux du RGPD. Le Privacy Protection Pact (c’est le nom de ce label) repose sur le respect de bonnes pratiques organisées en 8 thématiques :
- La politique de protection des données et des droits des personnes
- La nomination d’un DPO ou d’un interlocuteur équivalent
- La traçabilité des traitements
- Les relations Responsable de traitement / Sous-traitant
- Une politique de sécurité pérenne
- La localisation des données personnelles
- Les tests et mises à jour des processus
- La formation et la veille continue
La certification ISO 27001:2013 sur le traitement, l’enrichissement et l’analyse de données dans le cadre de campagnes de communication peut être aussi une bonne façon de faire valoir son engagement. C’est par exemple la démarche choisie par MEDIAPOSTE, première entreprise certifiée ISO 27001:2013 sur le marché de la communication de proximité, pour souligner son respect de principes comme la garantie de la sécurité et de la confidentialité des données confiées ou mise à disposition, l’utilisation de bases de données de manière éthique et responsable et bien sûr le respect permanent des exigences du RGPD.
Contraignant et sécurisant, le RGPD conduit chacun à se poser les bonnes questions en matière de recueil, de traitement et de conservation des données personnelles. L’intensification des investigations et l’extension des procédures aux relations clients fournisseurs donnent l’opportunité aux donneurs d’ordres de réévaluer leurs partenaires. Un grand pas aussi dans l’efficacité collective !
Profitez de notre Webinar en replay !
Sources
1 Serge Yablonsky 2019 – www.sage.com/fr-fr/blog/rgpd-1-an-apres-entree-en-vigueur/
2 IFOP 2018 pour la CNIL
