Manu-blogpost-1.jpg

RGPD : Consent is King

24 janvier 2018
Manuel Singeot

Le Règlement Général européen sur la Protection des Données (RGPD) arrive et, en ce moment, tout le monde parle de consentement.
 
Pourquoi ?
 
L'Union européenne est très soucieuse de protéger ses citoyens de certaines dérives des entreprises. Alors que l'économie numérique continue de se développer, les données personnelles sont devenues une ressource très précieuse pour les départements marketing et commerciaux. Plus vous en savez sur vos clients, plus vous êtes en mesure d'adapter vos produits à leurs besoins ou de créer des campagnes marketing qui seront entendues et vues par la majorité.

Mais la vision européenne des données personnelles a toujours été différente de la vision américaine: le point de vue de l'UE privilégie le côté "personnelles" de l'expression alors que le point de vue des États-Unis se concentre sur "données".

Par conséquent, pour l'Union Européenne, les données personnelles sont la propriété de l'utilisateur et ce dernier doit en avoir le contrôle. Ce contrôle doit, bien sûr, être effectif partout où l'utilisateur européen va. La réglementation européenne s'applique donc à toute entreprise susceptible de collecter des données personnelles auprès d'un utilisateur européen.
 
Soyons concrets.
 
La mise en conformité avec le RGPD est obligatoire pour le 25 mai. L'heure tourne, alors soyons concrets. Quand on parle de RGPD, il y a trois types d'entreprises :

Les bons élèves : entièrement préparés, ils ont étudié la régulation ligne par ligne. Certains d'entre nous sont comme ça, toute l'entreprise est déjà totalement conforme : les logiciels ont été mis à jour, testés et mis en production, les équipes ont été briefées, les gens ont suivi les formations, un délégué à la protection des données (DPD ou DPO) est d'ores et déjà désigné. En fait, pour ces entreprises, le RGPD est un sujet réglé.

Les retardataires : Manque de temps, de ressources ou de compréhension, ces entreprises sont prêtes à se faire dépasser la date limite du 25 mai, mais elles sont en retard et ne savent pas exactement comment s'y prendre. Si l'approche de GDPR de votre entreprise est similaire à cette description, vous faites partie de la majorité. Vous devez savoir que le temps est écoulé, mais vous pouvez toujours obtenir une pleine conformité ou être sur la bonne voie d'ici le 25 mai, ce qui est primordial pour éviter les amendes.

Les tranquilles : Avec une approche très décontractée, quelques entreprises sont dans une position attentiste. C'est une stratégie audacieuse car les instances de régulation européennes ont déjà dit qu'elles auraient peu de mansuétude vis à vis des entreprises qui n'auront rien fait pour se conformer à la réglementation.

Dans quelle catégorie votre entreprise se trouve-t-elle ? Si vous êtes parmi les rares qui sont déjà conformes, vous avez mérité nos félicitations : le chemin n'a pas été facile pour les " early adopters " ! Un conseil si vous nous le permettez: vérifiez votre conformité une dernière fois avant le 25 mai. Juste au cas où : vous avez peut-être manqué quelque chose.

Si la position de votre entreprise se situe dans l'un des deux autres cas, vous serez intéressé par les données suivantes.

Les principes du consentement

La conformité au RGPD est un chemin qui comporte beaucoup d'étapes, mais nous pouvons le résumer en quelques principes.

Tout d'abord, vous devez obtenir le consentement explicite de votre audience avant de collecter des données personnelles. Cette règle de fer a deux conséquences majeures :

  • Le consentement doit être explicite : un système d'opt-out ne correspond pas aux exigences requises par le règlement européen. Si votre fonctionnalité de collecte de data commence par un opt-out, vous devez l'inverser et passer à un opt-in.
  • Il est toujours permis de collecter - sans aucun consentement préalable - des données qui ne peuvent pas être liées à un individu.

 
La collecte du consentement doit être sur toutes les sources de données : puisque désormais, un internaute peut arriver sur n'importe quelle page de votre site web, elle doit figurer sur toutes les pages de votre site web où les données personnelles sont collectées. La fonction doit également figurer sur la version mobile de votre site Web, sur votre app, etc.

Le consentement doit également être stocké dans votre data management platform: vous devez être en mesure de prouver que vous avez obtenu le consentement de toute personne étant venue sur vos plateformes numériques.

Ensuite tout citoyen européen a le droit de révoquer son consentement et de vous demander de supprimer ses données personnelles, sans avoir à donner de raison. La fonctionnalité doit être accessible, simple, efficace, en suivant deux règles :
 

  • Toutes les données personnelles doivent être supprimées
  • Toutes les données qui ne peuvent être reliées à un individu peuvent être gardées.

 
Évidemment, une conformité complète au RGPD englobe un plus large éventail de sujets et de modifications dans votre environnement numérique, mais concernant la gestion du consentement, vous serez sur la bonne voie si votre système est conforme aux principes généraux énumérés ci-dessus.
 
Conclusion

Bien sûr, nous avons une connaissance approfondie d'une gestion de consentement conforme au RGPD : Jahia est un éditeur de logiciels basé en Suisse, travaillant pour de multiples organisations européennes. Nous devons, nous aussi, conformer à la norme RGPD et nous avons également travaillé pour nos clients afin de rendre nos solutions compatibles RGPD. Nous avons développé un Consent Manager ainsi qu'un Privacy manager intégrés à notre solution de A/B testing et de personnalisation. Ils prennent en charge tous les aspects des fonctions de collecte de consentement et de gestion des données personnelles pour un site Web utilisant les technologies Jahia. N'hésitez pas à nous contacter pour avoir plus d'information !

Dernière chose : nous organisons le 6 février une matinée d'information et d'échanges sur le RGPD. Les experts de quelques "bons élèves" comme Miccrosoft France, BNP Paribas Security Services et Converteo seront là pour partager leurs expériences concrètes sur la mise en conformité au RGPD de leur entreprise respective. C'est gratuit (on le garantit), utile (on le pense) mais les places sont limitées. Nous vous attendons !

Author : Manuel Singeot
Retour