Comment est vu le RGPD par les entreprises qui sont hors de l’Union européennes, et quels judicieux conseils leurs sont donnés ?
Le premier conseil donné par les experts en RGPD/GDPR, le Règlement général européen pour la protection des données personnelles, à leurs clients dans l’e-commerce est surprenant : « Pressez-vous de vous mettre en conformité avant que le Brexit ne vienne complexifier l’opération ! ».
Passé cette remarque inattendue pour nous, européens, la mise en place de la GDPR (nous emploierons l’acronyme anglais dans le cadre de cet article qui se veut plus international) à l’échéance du 25 mai devient un vrai sujet dans les médias hors de l’Europe. Et cela pour deux raisons :
- L’incompréhension par ces acteurs de la notion de protection de la donnée personnelle, données qui culturellement dans le business anglo-saxon en particulier ont certes une valeur importante, mais appartiennent à l’entreprise qui les possèdent et en use librement, et non pas à leurs vrais propriétaires, les individu auxquels elles correspondent !
- La nécessité de se mettre en conformité avec le Règlement européen, de justifier les dépenses afférentes, et de différencier les données et leurs usages dans une dimension marketing.
GDPR et e-commerce
Nous ne reviendrons pas sur la présentation de la GDPR, voilà 2 ans que nous l’évoquons ici régulièrement, et que l’entreprise soit européenne ou non ne change rien. Nous nous intéresserons plutôt aux conseils donnés par les experts non-européens.
- « Ne paniquez pas ! » - Le premier conseil est plein de bon sens, mais également totalement justifié. Les acteurs de l’e-commerce craignent l’impact du règlement sur leurs activités.
- Le second conseil concerne la compréhension de la notion de traitement des données personnelles. Un examen du traitement des données doit aboutir à l’identification des données qui sont concernées par la GDPR, dont les courriels, les photos, les publications dans les médias sociaux, les adresses IP, les coordonnées bancaires ou tout autre information sur un client permettant d'identifier un individu, directement ou indirectement.
- Le traitement des données devra introduire le consentement du client, et la capacité de mettre ses informations à sa disposition à sa demande, mais également de les effacer. Le droit à l’oubli est une notion bien troublante...
- La géolocalisation des données est également une notion à laquelle peu d’acteurs apportaient de l’importance, hors de l’optimisation des connexions et des temps de réponse. Quant au transfert des données hors de l’Espace économique européen, il n’est autorisé que si le pays où l’information est stockée peut « assurer un niveau adéquat de protection des droits et libertés des personnes concernées par le traitement des données personnelles ». Simple lorsque l’on commerce depuis la Grande-Bretagne ou les Etats-Unis, pour le reste du monde le ‘niveau adéquat de protection’ doit en faire sourire plus d’un...
La méthode
Un site d’e-commerce qui vend à des clients européens et qui prévoit d’utiliser leurs informations à des fins de marketing devra être en mesure de prouver leur consentement pour que leurs données personnelles soient collectées, traitées et stockées. Ce consentement doit même être explicite, donc pas de consentement implicite, de rejet à fortiori (opt out) à la demande du client, ou d’avertissement en petits caractères. Et des cases à cocher, pas de case pré-cochée !
Les acteurs de l’e-commerce doivent revoir leurs méthodes, mettre en oeuvre les modification nécessaires, et être en mesure de prouver que le client a consenti. Le volet répressif - tout manquement à l’obligation de consentement peut entraîner des amendes pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel par rapport à l'année précédente selon le montant le plus élevé - est en la matière un bon rappel à l’ordre.
Ce qui rassure en particulier les grandes entreprises, c’est que si elles s’appuient déjà sur les réglementations existantes, la mise en conformité sera simplifiée. En théorie, car pour garantir la conformité, elles devront vérifier les plateformes de CRM, les applications de marketing relationnel, et plus généralement toutes les plateformes qui peuvent capturer des données.
Enfin, ces mêmes grandes entreprises devront désigner un responsable de la protection des données. Étonnamment, la possibilité de faire appel à un tiers pour assurer cette mission a été oubliée dans la majorité des conseils !
Image d’entête 905305516 @ iStock SBphotos