Le RGPD a bouleversé les organisations en mai 2018, mais les entreprises et les États ont aujourd’hui pris conscience de l’importance de la protection des données personnelles. Depuis, le California Consumer Privacy Act est entré en vigueur au 1er janvier 2020. EBG a réalisé une infographie sur ce texte européen qui est toujours source de malentendus.
Cette infographie est le fruit de la conférence : « Mobile Marketing & RGPD : Comment transformer votre projet privacy en une opportunité », consacrée à la Privacy et aux évolutions du RGPD, réalisée par l’EBG, premier think tank français sur l’innovation digitale, en partenariat avec Commanders Act, leader européen de la CDP en mode SaaS.
Contrairement à une idée reçue, la protection des données n’est pas une préoccupation récente. En 1974, la Suède est le premier pays à formaliser une loi sur la protection des données personnelles.
Dans l’hexagone, tout le monde connait la Loi Informatique et Libertés de 1978. En 1994, c’est la création du consortium international World Wide Web et l’expérimentation des premiers cookies. Elle sera suivie deux ans plus tard, par l’introduction d’un droit d’opposition aux cookies sur les sites web.
Précisons que la CNIL fournit une liste de traceurs exemptés dans son projet de recommandations. Cette commission a par ailleurs ouvert une consultation publique sur son projet de recommandation relative aux modalités pratiques de recueil du consentement pour le dépôt de cookies. Achevée le 25 février 2020, elle devrait déboucher sur une version définitive.
Le 25 mai prochain, le RGPD aura deux ans. Certains points soulèvent toujours des inquiétudes, des polémiques et des plaintes. C’est en particulier le cas du consentement.
Le consentement est une des bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données personnelles. Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque. Les conditions applicables au consentement sont définies aux articles 4 et 7 du RGPD.
Selon le RGPD, le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
Mais de nombreuses entreprises n’interprètent pas de la même façon cette définition. Résultat, les demandes de consentement sont multiples :
Rappelons que l’exigence de consentement prévue par la directive ePrivacy et transposée à l’article 82 de la Loi Informatique et Libertés ne s’applique pas aux opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ou sont strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.
Ce texte européen a aussi donné naissance à un nouveau métier : le DPO ou Data protection officer (Délégué à la protection des données). Là aussi, cette « création » a donné lieu à des malentendus.
Rappelons que pour garantir l’effectivité de ses missions, le délégué :
- doit disposer de qualités professionnelles et de connaissances spécifiques ;
- doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer ses missions.
La protection des données est toujours perçue comme un centre de coûts par la direction générale : difficile en effet de quantifier précisément le ROI. Le véritable gain repose sur le processus organisationnel : l’organisation collaborative reste le chantier principal pour mener vers la performance opérationnelle.
Source : EBG