25 mai 2018 : qui ne dit mot ne consent plus!

La date fatidique approche à grands pas. Le Règlement Européen sur la Protection des Données (GDPR en anglais) est sur toutes les lèvres, à la une de tous les magazines. A entendre les experts et juristes les plus formels, il sera interdit aux entreprises d’adresser la parole à quiconque pour présenter un produit ou un service sans avoir obtenu son accord préalable. L’envoi d’un simple e-mail de présentation, une newsletter, voire un catalogue à un prospect, et même à un ancien client, sans son consentement explicite sera passible d’amendes salées, voire du pénal. De quoi réfléchir !

Protection des données : ne pas confondre avec backup

Aujourd'hui encore, beaucoup de chefs d'entreprises TPE/PME ont une vision erronée de la ''protection des données''. Il ne faut pas confondre la protection des données de l'entreprise par la sauvegarde informatique (back-up) avec la protection des données (privées) dans le cadre de leur exploitation commerciale. Ce sont deux métiers totalement différents, l'un exigeant une maîtrise technique des systèmes informatiques, l'autre étant plutôt juridique et administratif.
 

Le RGPD concerne aussi les TPE et PME

Le RGPD ne concerne pas que les grandes entreprises et les multinationales de l’informatique. Toute entreprise traite des données à caractère personnel dans le cadre de ses activités : fichiers du personnel, fichier de la clientèle et des prospects, gestion et accès à des bases de données. Si toutes les données ne sont pas forcément des données à caractère personnel, force est de constater que nombre d’entre elles le sont. Par conséquent, aucune entreprise n’échappe à l’application du RGPD. La taille de l’entreprise, son chiffre d’affaires, son nombre de travailleurs ou son activité importe peu : le RGPD concerne aussi les TPE et PME.
 

Les grands principes du RGPD : sans oui c'est non!

- obtenir le consentement préalable et explicite du destinataire à recevoir les messages
- avoir un intérêt légitime à lui adresser de la communication
- l'informer de l'usage de ses données qui est fait et sera fait dans le futur
- lui permettre l'accès à ces données, avec le droit à les corriger et à se faire oublier
- inscrire les opérations dans les registres
 

Tout commerçant entrepreneur qui investit dans sa publicité par le marketing direct et les campagnes e-mails sait à quel point il est difficile d’obtenir une réaction des personnes ciblées. L’application du RGPD aura certainement un impact encore plus négatif sur les taux de réponse et de conversion.
 

Les grandes obligations administratives du RGPD
- créer des registres et analyser régulièrement la gestion des données de l'entreprise
- consigner tout traitement de données dans les registres
- archiver les consentements, leur origine et pouvoir en apporter la preuve
- protéger les données de tout vol, fuite ou transmission involontaire à des tiers inconnus
- aviser immédiatement les Autorités de tout litige ou fuite, même sans importance
 
La désignation d'un DPD s’impose aux TPE et PME

Le RGPD consacre le rôle d’une personne responsable de la conformité au règlement, le Délégué à la Protection des Données (DPD). Cette personne peut être un employé ou une personne externe à l’entreprise. Dans certains cas, une entreprise peut être obligée de désigner un DPD tandis que dans d’autres, cette désignation sera optionnelle, bien que fortement recommandée pour toutes les entreprises qui communiquent directement vers leurs clients et prospects. L’obligation d'impose aussi aux TPE et aux PME qui traitent des données sensibles, quelles qu'elles soient. (médical, finance, etc...)

La désignation d'un DPD externe et indépendant présente de multiples atouts pour une TPE ou PME :
- transfert d'une grande part de la responsabilité juridique liée à la communication
- spécialisation du DPD qui ne devra pas être formé au sein de l’entreprise
- expertise du DPD par ses contacts réguliers avec les différentes autorités de protection des données
- coût réduit car le DPD externe exercera la même fonction pour d’autres TPE et PME
- vision indépendante de l’entreprise permettant le conseil
- capacité à diagnostiquer avec suffisamment de recul les problèmes inhérents à l'entreprise
- expertise sur la récolte, gestion et conservation des données par l’entreprise.
 

Qui peut se plaindre ? Gare aux sanctions !

N'importe qui touché par une communication non consentie pourra se plaindre, même pour des motifs futiles. Certes, le gain de cause n'est pas acquit sans preuve suffisante, mais s'en défendre entrainera toujours des frais, tracas et pertes de temps pour les entrepreneurs et commerçants.
 
L'entrepreneur sera toujours responsable.
Il faudra ainsi se méfier des usurpations d'identité et des concurrents peu scrupuleux. 

La violation du RGPD peut entraîner des sanctions imposées par l'Autorité de Protection des Données (anciennement Commission pour la Protection de la Vie Privée CPVP) jusqu’à concurrence de 4% du chiffre d’affaire mondial de l’entreprise.
 

Méfiance et précautions

Le temps où l'on pouvait remplir une base de données de prospection en automatisant la récupération des emails et des contacts via des newsletters ou du spam plus ou moins bien fait est révolu.
 
Les outils américains de newsletters, tels que Mailchimp, ne sont pas obligés de se conformer au RGPD. Et tant bien même Facebook et Google affirment vouloir respecter la réglementation pour la collecte et le profilage des données des citoyens européens, il n’y a aucune garantie quant à leur exploitation en dehors de l’Europe.

Difficile d’imaginer que les géants du web, acteurs du Big Data, abandonneront si facilement leurs principales sources de revenus publicitaires, et plus encore qu’ils puissent être suffisamment sanctionnés de leurs éventuelles infractions. Les récentes amendes ne semblent pas dissuasives.

 

Où sont les risques ?

- Une dénonciation par un client déçu, mécontent ou en litige (service après-vente,...)
- Une délation par un concurrent commercial ou un prestataire de contre-référencement
- Une plainte d’un tiers irrité par la violation de ses données ou un message non sollicité
- Une action commune lancée par une Association de Consommateurs
- Une erreur d’un employé de l’entreprise ou d’un prestataire externe
- Un contrôle inopiné par l’Autorité de Protection des Données
 
Dans tous les cas, en Europe, chaque entreprise restera responsable, à tout moment, des données dont elle dispose et de leur utilisation.
 

Positivons le RGPD comme un investissement

Un positionnement clair et des méthodes permettent toujours de remplir les objectifs dans le respect du client et de ses données.
 
Pour les loueurs d’adresses et les professionnels du marketing direct qui ont placé le client au centre de leurs préoccupations, ce changement n’aura pas un impact énorme sur la façon de travailler. Tout au plus quelques procédures réglementaires à gérer.

Pour les autres, ce sera la fin d’un marché peu respectueux des droits les plus élémentaires.
 

La solution : confier la gestion aux experts externes

L'externalisation de la gestion et de la protection des données est avantageuse pour une TPE/PME.
 
L'intégration par un prestataire spécialisé offre de nombreux atouts complémentaires :

- transfert de la responsabilité sur un DPD externe
- décharge des formalités administratives
- traitement optimalisé des mailinglists, fichiers clients et prospects
- collecte des consentements conformément au RGPD
- contrôle et qualification des adresses
- distribution des messages électroniques par des serveurs sécurisés
- routage du courrier publicitaire par un prestataire spécialisé (la Poste, ...)
- prospection de nouvelles cibles
- veille stratégique et e-réputation
- gestion des litiges et plaintes
- encadrement par un cabinet d'avocats spécialisés
- relations avec les Autorités de Contrôle, déclarations légales
- adaptation des procédures suivant l'évolution des règlements   
 

Un Groupement Economique pour gérer le RGPD

Le premier objectif du Groupement est de décharger ses membres de la plupart des formalités en transférant la gestion de la communication à risque et le traitement des fichiers sensibles sous la responsabilité d'un prestataire externe compétant (Data Protection Officer). De même pour la tenue de registres, formalités légales, déclarations d'incident, etc... avec l'assistance d'avocats spécialisés.
 
En second, de mutualiser les actions de marketing direct et la communication publicitaire faisant usage des informations sensibles en confiant l'exploitation aux experts du Groupement.
 
Un tel engagement de part et autre implique une relation bilatérale de confiance qui dépasse largement un simple contrat de sous-traitance.

Informations et conditions sur demande écrite : groupement (at) agcom.pro
 
 

 

Informations légales et guides sur le site de la CPVP www.privacycommission.be/fr


 

 
   

20, rue de l'Industrie // B-1400 Nivelles  //  067 86 00 18  //  rgpd @ agcom .pro

11/04/2018 14:04:29