Règlement général sur la protection des données (RGPD, ou encore GDPR)

GDPR – que devez-vous vraiment savoir ?

En principe, toutes les entreprises qui ont leur siège social dans l’Union européenne (UE) ou qui servent ou fournissent des clients de l’UE sont concernées par le GDPR. Le règlement général de l’UE sur la protection des données remplace la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données de 1995. Les six bases juridiques du traitement des données à caractère personnel constituent un élément essentiel du GDPR :

1. Consentement : Toute entreprise doit obtenir le consentement du client ou de l’abonné pour stocker ses données. L’envoi d’e-mails sans consentement explicite constitue donc une violation de la directive européenne sur la protection des données.
2. Exécution du contrat : Il est nécessaire de conclure un contrat avec le client dans lequel il accepte le traitement des données. Pour les clients existants, un consentement actualisé doit être obtenu du client.
3. Exécution d’une obligation légale : Il existe également des données qui doivent être traitées sans consentement spécifique parce qu’elles sont exigées par la loi. Il s’agit, par exemple, des dossiers d’emploi, des dossiers de santé et de sécurité au travail ou des rapports d’accident.
4. Intérêts vitaux : Ne concerne que les entreprises telles que les services d’urgence qui reçoivent une liste de patients et n’ont donc pas besoin de consentement écrit.
5. Intérêt public : Cette base juridique comprend les intérêts officiels, tels que les bureaux des impôts, ou également les parties. Ici aussi, il n’y a pas d’obligation de donner son consentement en raison de la situation d’intérêt public.
6. Intérêt légitime : Cette base juridique est probablement la moins claire. Par exemple, il existe certains scénarios, bien que vagues, dans lesquels les données peuvent être traitées sans consentement. Il peut s’agir, par exemple, de relations avec les clients ou les services, ou de procédures de prévention des fraudes. En cas de doute, il convient de consulter d’abord un avocat lors de l’application de cette base juridique.

Grâce à ces fondements juridiques, les protecteurs des données de l’UE veulent freiner la collecte inutile de données sur les clients et créer une sécurité juridique pour tous ceux qui sont autorisés à traiter des données même sans consentement. Inversement, cela signifie que les données ne valent la peine d’être collectées que si elles sont vraiment importantes, par exemple pour pouvoir profiter pleinement de l’expérience d’une offre en ligne ou pour pouvoir effectuer une facturation.

Mais même ces données ne peuvent être obtenues par l’entreprise que d’une manière juridiquement valable. C’est-à-dire qu’ils ont besoin du consentement du client ou de la partie intéressée. Cela peut se faire, par exemple, au moyen d’un formulaire d’inscription avec un double opt-in et une référence aux règles de protection des données de l’entreprise.

La nécessité d’adapter également les règles de protection des données de l’entreprise dépend de l’offre et des données obtenues. Dans tous les cas, si ce n’est pas déjà fait, chaque entreprise devrait se soumettre à un contrôle GDPR. Les avocats peuvent vous aider, mais aussi de nombreuses agences en ligne, qui ont souvent acquis un savoir-faire en la matière, mais ne peuvent bien sûr pas garantir l’exactitude juridique.

Le GDPR et l’économie d’abonnement

Les offres d’abonnement numérique sont particulièrement concernées par le GDPR. Les raisons en sont évidentes : pour une expérience utilisateur sans faille, la société d’abonnement a besoin de données telles que l’adresse électronique, le nom, l’adresse postale et même les données de paiement pour la transaction d’achat. L’entreprise a besoin du consentement pour toutes ces données – non seulement du client, mais aussi de la partie intéressée qui, par exemple, s’est simplement inscrite à la liste de distribution de la newsletter via le site web.

Plus précisément, vous devez obtenir un consentement pour utiliser des données personnelles dans les cas suivants :

• Clients existants (acheteurs) : Le consentement est supposé être donné, mais les contrats existants doivent être vérifiés.
• Anciens clients : Les entreprises n’ont plus le droit de stocker les données d’anciens clients – sauf s’ils ont donné leur consentement.
• Abonnés actifs au courrier électronique sans consentement vérifiable : Les entreprises doivent démontrer que la liste de distribution de la newsletter offre une valeur ajoutée aux destinataires. Sinon, ils doivent les supprimer.
• Inactif Abonné au courrier électronique : Ces données doivent être supprimées.
• Nouveaux clients / abonnés au courrier électronique : Afin de prouver aux autorités de protection des données que le consentement a été donné, le libellé de la déclaration de consentement doit également être sauvegardé pour chaque client. Une liste Excel contenant des données sur les clients avec l’intitulé exemplaire « Clients consentants » n’est pas suffisante ici.

En outre, les entreprises doivent également conclure des contrats actualisés avec les employés et les agences et autres fournisseurs. La nouvelle loi sur la protection des données établit une distinction entre le responsable du traitement des données (généralement l’entreprise qui a besoin des données) et le sous-traitant (généralement un employé ou une agence agissant au nom de l’entreprise).

GDPR – les tâches les plus importantes en un coup d’œil

À première vue, la nouvelle loi sur la protection des données prévoit plus d’obligations que de droits. Après tout, la conformité au GDPR implique beaucoup de devoirs de la part de l’entreprise :

• Quelles données sur les clients sont obtenues ?
• Quelles sont les données clients réellement nécessaires (proportionnalité des mots-clés) ?
• Tenez-vous un répertoire de traitement des commandes afin de pouvoir prouver qui a accès à quelles données clients dans votre entreprise et au-delà ?
• Comment les données sont-elles sécurisées (par exemple, les données professionnelles sont-elles utilisées sur des smartphones privés) ?
• Le consentement à la protection des données doit-il être mis à jour ? (par exemple, formulaires d’inscription et de contact)
• Toutes les sources de données en ligne et hors ligne sont-elles conformes au GDPR ?
• Y a-t-il un avis sur la protection des données sur le site web ?
• L’utilisateur doit avoir la possibilité de s’opposer à la réception de publicités.
• L’utilisateur doit bénéficier d’un droit à l’oubli. Dans quel délai l’entreprise peut-elle mettre en œuvre une demande de suppression ?
• Les directives relatives à la protection des données sont-elles à jour ?

Il ne s’agit là que des exemples les plus importants de mesures nécessaires pour exploiter une offre conforme au GDPR.

Utiliser le GDPR comme un avantage concurrentiel

Les sociétés d’abonnement européennes, et pas seulement elles, sont souvent en concurrence directe avec les sociétés américaines ou asiatiques. À l’instar du label « Made in Germany », la protection européenne des données peut certainement être utilisée comme un avantage concurrentiel. Après tout, le règlement général sur la protection des données a été élaboré principalement dans un souci de convivialité. Les entreprises qui font de la publicité avec le GDPR sont donc considérées comme particulièrement sûres et dignes de confiance par les utilisateurs.

Cependant, chaque entreprise doit rester à l’écoute et comprendre le GDPR comme un processus dynamique. Pour 2019, de nouvelles mesures seront prises pour optimiser la loi sur la protection des données. Il s’agit tout d’abord du règlement relatif à la protection de la vie privée dans le secteur des communications électroniques, ou ePV en abrégé. Son contenu n’a pas encore été finalisé, mais il est considéré comme la prochaine étape du GDPR. Tous les fournisseurs en ligne, tels que les sites web, les outils de suivi en ligne ou les offres qui utilisent le marketing direct électronique, y compris les fournisseurs de bulletins d’information et d’abonnements, seront concernés.