Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données est entré en vigueur ? Dès l’envoi d’un mail ou la moindre collecte de coordonnées client, le RGPD est d’application, et ce, que l’on soit à la tête d’une PME comme d’un grand groupe. De quoi remettre en question certaines pratiques, plus ou moins bonnes, notamment en matière de marketing. Petit tour d’horizon avec Nicolas Roland, partner au cabinet d’avocats Younity et spécialisé en propriété intellectuelle et vie privée.

Avec le RGPD, va-t-on tous avoir des soucis à la Mark Zuckerberg ?

Ce règlement général semble attribuer tous les droits à l'individu et par contre tous les devoirs aux entreprises, administrations ou collectivités.

Lorsque l’on demande à Nicolas Roland si cette législation ne risque pas de nuire à l’activité marketing, il nuance :« Le RGPD, c’est surtout une piqûre de rappel de la législation vie privée actuelle. Le législateur reconnaît bien l’intérêt des données au sein des entreprises et organisations. A priori, cela peut constituer une contrainte lors des activités marketing, comme adresser une newsletter, ou encore freiner certaines initiatives lors des prises de contact avec les prospects et clients. En réalité, il s’agit de revenir à une certaine maîtrise, alors que ces dernières années on avait été face à des cas d’abus lors de l’emploi de données de personnes physiques. Il s’agit en fait de trouver un compromis et permettre de revenir à des prises de contacts ‘raisonnées’. »

Nicolas Roland ajoute : « Certes, le patron de Facebook, Mark Zuckerberg, est replacé devant ses responsabilités en matière de RGPD. Mais évidemment, le niveau de conformité exigé auprès d’une TPE ne sera pas le même qu’au sein d’une multinationale avec de gros moyens. Le fait d’avoir un antivirus est déjà une bonne chose pour le médecin qui doit sécuriser ses données patient et devra veiller à adopter les « meilleurs pratiques » qui lui sont accessibles. Pour autant, on ne va jamais lui demander de déployer les moyens de la NSA ».

Quand faut-il un consentement pour utiliser des données personnelles ?

Tout dépend surtout de l’usage que vous comptez faire des données collectées. Car il existe quantité de situations où il n’est pas nécessaire d’avoir obtenu le consentement des personnes concernées pour pouvoir valablement traiter leurs données. En tout cas, tant que cela ne devient pas intrusif. Leur traitement devra alors reposer sur une autre base juridique. Vous n’avez sans doute jamais donné votre consentement pour recevoir les publicités toutes-boîtes hebdomadaires, par exemple. Par contre, si vous souhaitez envoyer des e-mails publicitaires, y compris des newsletters, vous n’avez normalement pas d’autre choix que d’avoir obtenu l’accord préalable des destinataires.

Que mettre en place pour être conforme d’un point de vue marketing ?

Le RGPD a renforcé les conditions nécessaires pour obtenir un consentement valable et vise à protéger davantage encore le traitement des données à caractère privé. Au vu de cela, vous devez prendre certaines dispositions. Par exemple, dans le cas de :

  • Mails : vous devez veiller lors de tout échange à rester en conformité avec la législation vie privée. Pensez notamment à mettre en place une privacy policy au sein de votre entreprise. Faites-y référence lors de vos échanges. C’est une façon d’encadrer la relation, comme on le fait avec des conditions générales ;
  • Cases « accord » dans les formulaires en ligne : le consentement doit être explicite et « actif ». Les cases pré-cochées ne sont plus tolérées depuis ce 25 mai 2018 ;
  • Conservation d’une data base client dans un service cloud : il faut obtenir la garantie du fournisseur cloud quant à la conformité de l’hébergement selon les normes européennes ;
  • Newsletters : si vous êtes sûr d’avoir, à une époque, valablement collecté le consentement des destinataires conformément au RGPD, vous ne devez rien faire. Si par contre, vous n’en êtes pas sûr, vous devriez vous interroger sur la poursuite ou non de ces newsletters aux personnes concernées. Certains cependant leur demandent de « confirmer » leur consentement. Comment ? En leur envoyant, par exemple, un e-mail les invitant à cliquer sur un lien afin de confirmer leur accord. S’ils ne cliquent pas sur ce lien, ils ne pourront plus leur envoyer d’e-mails ;
  • Soft opt-in : cette pratique qui consiste à obtenir l’e-mail d’un client ‒ à l’occasion d’un achat de produit ou service,en magasin par exemple, afin de lui adresser ensuite des e-mails publicitaires ‒ reste d’usage si vous l’en aviez valablement informé à cette occasion et qu’il ne s’y est pas opposé. Mais cela ne vaut que pour les produits ou services analogues que vous-même fournissez, et non pas ceux de partenaires ;
  • Unsubscribe : dans chaque e-mail que vous envoyez, vous devez toujours donner la possibilité au destinataire de s’opposer à recevoir, à l’avenir, de nouveaux e-mails de votre part. C’est la raison du ‘unsubscribe’ qui apparaît le plus souvent dans chaque e-mail reçu.

Que va-t-il se passer en cas de litige ?

Il est possible qu’un client ou consommateur vienne à se plaindre auprès de l’autorité de protection des données de l’emploi inadéquat de ses données. Si la médiation possible auprès de l’autorité de protection des données même n’aboutit pas et qu’il n’y a donc pas d’accord entre les deux parties, il peut y avoir une procédure en sanctions. Celles-ci peuvent être lourdes. Jusqu’à 4% du chiffre d’affaires annuel global pour une amende, cela représente vite un montant conséquent, tant pour une PME qu’une multinationale. Un recours est cependant possible.

Nicolas Roland rassure : « Dans la pratique, ce sera en réalité au cas par cas. Et les cas de jurisprudence vont se présenter. Les bonnes pratiques vont aussi se multiplier et on va se les approprier progressivement. On développera surtout de la guidance. Dans un premier temps, les autorités seront en effet plutôt dans une démarche d’accompagnement plutôt que de sanction. Bref, sauf cas « lourds » il y aura dans un premier temps un certain niveau de tolérance et les contrôles seront plutôt ‘pédagogiques’ ».

Pour plus d’informations, consultez : https://www.privacycommission.be/fr/preparez-vous-en-13-etapes

0

Nicolas Roland

Nicolas Roland est partner au cabinet d’avocats Younity. En parallèle, il enseigne également à l’ULB, depuis une quinzaine d’années. Il a comme spécialité le droit des médias et les matières relatives à la propriété intellectuelle et à la vie privée.