Comment les affaires Cambridge Analytica et Snowden ont modifié le quotidien des marketeurs #2

La réglementation européenne sur les données personnelles (RGPD) 2ème partie :

Révolution ou évolution ?

rgpd

 

 

Le RGPD dans sa version définitive compte 99 articles et 173 considérants, obtenus suite à 4000 amendements… soit beaucoup plus que le texte de la PAC !

Datavisualisation du RGPD- Carte interactive

L’objectif du règlement est d’encadrer la libre circulation des données dans l’espace économique européen par l’harmonisation des différents droits aujourd’hui en vigueur dans les différents pays.

Il donne aux citoyens les moyens de reprendre le contrôle sur leurs données personnelles en considérant que la protection de ces données est un droit fondamental.

Le critère retenu pour l’application géographique du règlement est la territorialité de la cible :  le règlement s’applique dès que l’audience ciblée est située en Europe, peu importe où se trouve l’entreprise.

Avec le RGPD, on assiste également à un changement de paradigme sur la protection des données personnelles : finies les déclarations préalables à la CNIL, et bienvenue à la protection de la vie privée dès l’origine et par défaut (la célèbre “Privacy by Design and by default”).

Ce qui implique que la protection des données personnelles doit être aujourd’hui pensée dès les premières phases de création d’un bien ou d’un service. Autre principe-clé : la responsabilisation des acteurs, “l’Accountability”.

Il s’agit de documenter sa conformité. Et pour mettre en œuvre la documentation, il faut un pilote dans l’avion. Si précédemment seules les grandes entreprises ou celles spécialisées dans la donnée avaient nommé un CIL (correspondant informatique et liberté), désormais le champ est étendu.

Le DPO :

Le célèbre Data Protection Office (le DPO), profil qui tend à devenir aussi couru que les data scientists, est un décodeur juridico-technico-opérationnel capable de comprendre les enjeux de la loi et de les traduire pour les opérationnels tout en étant neutre vis à vis de l’IT ou du marketing.

Se poser la question du DPO (oui ou non, interne ou externe) et plus largement réaliser la mise en conformité, c’est se poser la bonne question de la gouvernance de la donnée.

On a l’impression que l’entrée en vigueur de ce règlement est une véritable révolution, notamment car depuis 1995 il ne s’était pas passé grand-chose sur le front des données, alors qu’il ne s’agit en réalité que d’une évolution !

Et notamment pour nous Français, car le RGPD s’inspire fortement de notre si méconnue loi Informatique et Libertés- qui date tout de même de …1978 !!- et même de certains principes de l’oubliée Loi pour une République Numérique (loi Lemaire) comme le droit à la portabilité ou le droit à l’oubli.

D’ailleurs, ce droit au déréférencement avait été consacré en mai 2014 par « l’arrêt Google Spain »  : la CJUE avait statué en faveur d’un particulier et de l’Autorité Espagnole qui poursuivaient Google Espagne pour que le moteur de recherche efface des données le concernant.

Avec le RGPD, un palier est également franchi au niveau des sanctions que peuvent infliger les autorités de contrôle. 4 % du CA mondial consolidé ou 20 millions d’euros, ces sanctions sont souvent brandies comme une épée de Damoclès au-dessus des entreprises qui ne seraient pas conformes. Mais la menace la plus grave ne serait-elle pas le bad buzz ?

Quand la CNIL avait épinglé Facebook  en 2017 (déjà), l’amende s’était élevée à 150 000€, soit une broutille pour le géant californien. Mais l’action du groupe avait perdu plus de 6% avec Cambridge Analytica.

De même, la faille liée aux mots de passe chez Twitter lui a coûté 1% en Bourse. L’annonce publique de failles de sécurité chez Yahoo ou de la Banque Australienne Commonwealth Bank a beaucoup plus entaillé leur image de marque que d’éventuelles sanctions administratives à venir !

La mise en conformité n’est certes pas une partie de plaisir, mieux vaut la considérer comme une opportunité de mettre à plat tout ce qui concerne les datas….

Et peut-être votre marque deviendra-t-elle une Data Cool Brand ?

Facebook
Twitter
LinkedIn
Email