Catégorie : RGPD

Comment les affaires Cambridge Analytica et Snowden ont modifié le quotidien des marketeurs #2

La réglementation européenne sur les données personnelles (RGPD) 2ème partie :

Révolution ou évolution ?

 

rgpd

 

 

Le RGPD dans sa version définitive compte 99 articles et 173 considérants, obtenus suite à 4000 amendements… soit beaucoup plus que le texte de la PAC !

Datavisualisation du RGPD- Carte interactive

L’objectif du règlement est d’encadrer la libre circulation des données dans l’espace économique européen par l’harmonisation des différents droits aujourd’hui en vigueur dans les différents pays.

Il donne aux citoyens les moyens de reprendre le contrôle sur leurs données personnelles en considérant que la protection de ces données est un droit fondamental.

Le critère retenu pour l’application géographique du règlement est la territorialité de la cible :  le règlement s’applique dès que l’audience ciblée est située en Europe, peu importe où se trouve l’entreprise.

Avec le RGPD, on assiste également à un changement de paradigme sur la protection des données personnelles : finies les déclarations préalables à la CNIL, et bienvenue à la protection de la vie privée dès l’origine et par défaut (la célèbre “Privacy by Design and by default”).

Ce qui implique que la protection des données personnelles doit être aujourd’hui pensée dès les premières phases de création d’un bien ou d’un service. Autre principe-clé : la responsabilisation des acteurs, “l’Accountability”.

Il s’agit de documenter sa conformité. Et pour mettre en œuvre la documentation, il faut un pilote dans l’avion. Si précédemment seules les grandes entreprises ou celles spécialisées dans la donnée avaient nommé un CIL (correspondant informatique et liberté), désormais le champ est étendu.

Le DPO :

Le célèbre Data Protection Office (le DPO), profil qui tend à devenir aussi couru que les data scientists, est un décodeur juridico-technico-opérationnel capable de comprendre les enjeux de la loi et de les traduire pour les opérationnels tout en étant neutre vis à vis de l’IT ou du marketing.

Se poser la question du DPO (oui ou non, interne ou externe) et plus largement réaliser la mise en conformité, c’est se poser la bonne question de la gouvernance de la donnée.

On a l’impression que l’entrée en vigueur de ce règlement est une véritable révolution, notamment car depuis 1995 il ne s’était pas passé grand-chose sur le front des données, alors qu’il ne s’agit en réalité que d’une évolution !

Et notamment pour nous Français, car le RGPD s’inspire fortement de notre si méconnue loi Informatique et Libertés- qui date tout de même de …1978 !!- et même de certains principes de l’oubliée Loi pour une République Numérique (loi Lemaire) comme le droit à la portabilité ou le droit à l’oubli.

D’ailleurs, ce droit au déréférencement avait été consacré en mai 2014 par « l’arrêt Google Spain »  : la CJUE avait statué en faveur d’un particulier et de l’Autorité Espagnole qui poursuivaient Google Espagne pour que le moteur de recherche efface des données le concernant.

Avec le RGPD, un palier est également franchi au niveau des sanctions que peuvent infliger les autorités de contrôle. 4 % du CA mondial consolidé ou 20 millions d’euros, ces sanctions sont souvent brandies comme une épée de Damoclès au-dessus des entreprises qui ne seraient pas conformes. Mais la menace la plus grave ne serait-elle pas le bad buzz ?

Quand la CNIL avait épinglé Facebook  en 2017 (déjà), l’amende s’était élevée à 150 000€, soit une broutille pour le géant californien. Mais l’action du groupe avait perdu plus de 6% avec Cambridge Analytica.

De même, la faille liée aux mots de passe chez Twitter lui a coûté 1% en Bourse. L’annonce publique de failles de sécurité chez Yahoo ou de la Banque Australienne Commonwealth Bank a beaucoup plus entaillé leur image de marque que d’éventuelles sanctions administratives à venir !

La mise en conformité n’est certes pas une partie de plaisir, mieux vaut la considérer comme une opportunité de mettre à plat tout ce qui concerne les datas….

Et peut-être votre marque deviendra-t-elle une Data Cool Brand ?

PARTAGEZ CET ARTICLE :

Comment les affaires Cambridge Analytica et Snowden ont modifié le quotidien des marketeurs #1

La réglementation européenne sur les données personnelles (RGPD) 1ère partie :
Comment les affaires Cambridge Analytica et Snowden ont modifié le quotidien des marketeurs

« Sorry is not enough ! » C’est le cri des autorités européennes qui ont lancé des investigations suite à l’affaire Cambridge Analytica.

Le G29 – le groupe lié à l’article 29 de la directive de 1995 – avait créé une task force dédiée à Facebook menée par les « CNIL » irlandaise et anglaise, et lance aujourd’hui un sous-groupe pour les réseaux sociaux.

rgpd

 

Ce scandale arrive alors que les parlementaires européens négocient le futur règlement E-Privacy (en remplacement de la directive du même nom) et que les lobbies de l’Adtech sont à la manœuvre. Nul doute que l’affaire aura des répercussions sur la rédaction des clauses du règlement, reste à savoir dans quelles proportions.

Et ce ne sera pas la première fois qu’un scandale concernant les données personnelles modifie la législation sur le sujet ; et par conséquent le quotidien des marketeurs. La genèse du Règlement européen sur la Protection des Données Personnelles, le fameux RPGD (ou GDPR en anglais, pour General Data Protection Regulation) est elle-même marquée par les scandales et la jurisprudence.

En juin 2013 intervient l’affaire Snowden et les révélations sur l’utilisation de données personnelles en masse par la NSA.

L’Europe prend conscience de l’importance du respect de la vie privée et la volonté de bénéficier d’un règlement commun s’en trouve renforcée.

Si la 1ère proposition de règlement est publiée par la Commission Européenne en janvier 2012, le texte final n’est adopté que le 14 avril 2016 car il a été négocié entre les délégations de la Commission Européenne, du Parlement Européen et du Conseil de l’Union Européenne (le trilogue) pour une application le 25 mai 2018.

Suite à l’affaire Snowden, Maximilien Schrems, étudiant en droit autrichien et défenseur de la protection des données personnelles, poursuit Facebook devant la Cour de Justice de l’Union Européenne (CJUE) pour défaut de protection des données personnelles.

La CJUE lui donne raison  en octobre 2015 (pdf) et invalide dans la foulée le « Safe Harbor » qui encadrait les transferts de données entre l’UE et les USA. S’en est suivi le dispositif du « Privacy Shield » ainsi que l’intégralité du chapitre V du RPGD définissant le cadre des transferts internationaux et leurs bases légales.

Pour en savoir plus sur la genèse du règlement, voir l’excellent documentaire DEMOCRACY.

à suivre…

 

PARTAGEZ CET ARTICLE :