RGPD – Un peu d’information… et de recul

(Publié sur le Blogue de Mme Natmark)

Un vent de panique s’abat sur le monde numérique suite à l’adoption du Règlement général sur la protection des données (RGPD).

Je ne prétends pas tout comprendre de ce règlement et mon avis ne remplace pas celui d’un juriste formé en droit numérique (que je vous invite à consulter sur le sujet), mais je vous partage ma position et quelques pistes à la sauce « gros bon sens » que j’affectionne tant, pour mieux vous y retrouver.

Les « on dit »

À la base, une grande partie de cette panique provient des « on dit », des « j’ai entendu » et des « il parait ». Car sur le RGPD, les opinions et les interprétations sont variées, allant de la nonchalance au scénario catastrophe. Même les juristes ne s’entendent pas d’un pays à l’autre.

L’affirmation la plus répandue est qu’à partir du moment où un visiteur de l’Union Européenne navigue sur ton site, tu dois respecter toutes les obligations du règlement, que tu fasses des affaires ou non avec l’Europe.

Sur cette seule rumeur, plusieurs entreprises, prises de panique, ont tout simplement bloqué l’accès à leur site aux visiteurs provenant de l’un des États membres. Pourtant, à la lumière de ce que j’ai compris, je ne crois pas que ce soit exact.

Pourquoi ce règlement

L’objectif est simple : permettre aux citoyens de l’Union européenne (UE) de mieux contrôler leurs données à caractère personnel.

Internet et la mondialisation ont fait de nous les citoyens d’une société planétaire où les droits de l’un finissent là où ceux de l’autre débutent. Malheureusement, chacun interprète les limites (les siennes et celles de l’autre) à sa façon et ce sont les abus et débordements en tous genres qui rendent nécessaire l’établissement de balises claires. Ergo les lois et règlements.

Une donnée isolée est généralement anonyme et banale. Mais avec les outils actuels qui permettent le traitement automatisé des données comme l’agrégation, l’analyse, le croisement et le recoupement des données (A+B+C+D=X), la vie privée est réellement compromise. La pub de voyage qui vous suit soudainement au fil de vos séances sur le Web après que vous ayez partagé une photo de Cuba sur Facebook n’est pas un hasard.

À force de croisement, on peut facilement avoir accès à des données personnelles sensibles très précises (identité, ethnie, état de santé, allégeances politiques, préférences sexuelles, etc.). Cette information personnelle pigée ici et là, à l’insu de l’individu, permet de mieux le cibler, que ce soit pour de la pub… ou de la manipulation (pensez aux élections américaines).

Le Big Data, c’est du sérieux! Notre vie privée n’est plus et ce règlement vise à redonner aux citoyens de l’UE le contrôle sur les données personnelles qui sont collectées à leur sujet.

Qui est visé

Votre entreprise est-elle *réellement* visée et concernée par ce Règlement?

Si vous êtes basé dans l’un des États membres de l’UE, les chances sont que vous faites des affaires localement et que vous êtes évidemment visé et devez vous conformer. Cas réglé!

Pour les entreprises basées hors de l’Union Européenne, c’est différent. Elles sont assujetties à ce règlement « quand elles proposent des services ou des biens, ou suivent le comportement des personnes au sein de l’UE ». (source : EUR-Lex – Synthèse du règlement que je vous recopie en bas d’article pour vous sauver un clic)

En d’autres termes, si vous desservez une clientèle exclusivement canadienne et qu’un citoyen de l’UE s’aventure sur votre site Web et y laisse son adresse IP, s’il « aime » l’une de vos publications Facebook ou visite votre blogue en y laissant un commentaire identifié avec son nom et son adresse courriel, non, ça ne fait pas automatiquement tomber votre entreprise sous l’emprise du RGPD.

Toutefois, si vous êtes une agence de marketing numérique qui n’avez aucun client ni ne visez directement les citoyens dans un État membre de l’UE, mais que vous collectez, analysez et utilisez des données de citoyens de l’UE pour l’un de vos clients qui LUI, cible ce marché, alors là, oui, vous devez vous conformer, car vous agissez comme si vous étiez une extension de votre client qui, lui, est visé par ce règlement.

Vous avez une boutique en ligne qui offre des produits aux citoyens de l’UE? Vous avez une plateforme de formation en ligne à laquelle des citoyens de l’UE peuvent s’inscrire pour suivre vos cours? Vous offrez des services de coaching par Skype à des citoyens de l’UE? Oui, vous êtes définitivement concerné par ce règlement et devez vous y conformer depuis le 25 mai 2018.

Adopter de saines pratiques

Comme toute nouvelle loi, le RGDP sera mis au défi et tous les yeux seront tournés vers l’UE au cours des prochaines années pour voir comment ce règlement sera imposé et mis en pratique au quotidien. Il fera également l’objet d’une évaluation et d’un réexamen d’ici 2020 et il y a fort à parier que certains articles seront modifiés et ajustés.

D’ici là, il faudra vous conformer si vous visez le marché européen et ça débute par une révision générale de vos pratiques de collection, de stockage, d’utilisation et de gestion des données, allant de la validité du consentement donné à la pertinence et la sécurité de l’information collectée.

Ça implique également l’adoption et la rédaction d’une politique de confidentialité détaillée (voici la nôtre) qui informe vos clients et visiteurs de vos pratiques en matière de données personnelles. Vous avez probablement déjà reçu quantité de courriels de la part des gestionnaires de vos différents comptes numériques vous invitant à prendre connaissance de leur nouvelle politique de confidentialité en lien avec le RGDP. Pourquoi ne pas vous en inspirer?

Que votre entreprise soit assujettie ou non au RGDP, ce règlement est un important rappel :

• qu’il n’est plus éthique à proprement parler de simplement collecter de l’information personnelle, juste au cas où on en aurait besoin plus tard;
• que nous ne pouvons pas l’utiliser à d’autres fins que celles pour lesquelles elle a été collectée;
• que le consentement de l’individu qui donne cette information doit être délibéré, clair et volontaire pour les fins établies;
• que tout consentement reçu peut être révoqué en tout temps (il n’est plus irrévocable comme auparavant);
• que cette information, même volontairement donnée, demeure la propriété de la personne qui est visée et qu’elle doit pouvoir la consulter, la contester et la faire détruire si elle le désire;
• qu’à titre de dépositaire de ces données, nous avons la responsabilité de la protéger contre le vol et l’utilisation malveillante.

Bref, demander de l’information personnelle à un prospect pour pouvoir lui fournir une proposition d’assurance est une chose. La stocker indéfiniment dans une base de données dans le but de lui faire des relances futures, alors que le prospect n’a finalement pas accepté notre proposition, n’est plus acceptable (à moins qu’il y ait explicitement consenti).

Somme toute, ce règlement est une bonne occasion d’implanter de saines pratiques de gestion des données de vos visiteurs et clients, même si vous n’êtes pas directement visé par le RGPD. Parce que ça fait du sens tant au niveau du respect que de la transparence et de l’éthique d’entreprise envers sa clientèle… et que ce n’est qu’une question de temps avant que le Québec et le Canada emboîtent le pas et se dotent d’une réglementation numérique très similaire. Nous avons déjà la Loi C-28 concernant le consentement pour les courriels, le reste suit très très prochainement.

Quelques liens pour en savoir plus

• Le texte lui-même de la législation. Si vous ne voulez pas vous taper les 88 pages du projet ou désirez vous sauver un clic, consultez la Synthèse de la législation disponible ici.
• Un cours vidéo gratuit (env. 80 minutes en anglais) bien divisé et très bien vulgarisé sur la préparation au RDPD. Je vous suggère très fortement de l’écouter au moins une fois.

___________________________

À propos de Mme Natmark - Active sur le Web depuis 1997, Mme Natmark est reconnue pour son esprit d'analyse et sa facilité à vulgariser la complexité du Web et des affaires. On la consulte tout spécialement pour avoir l'heure juste et pour clarifier ses réels besoins Web face à un nouveau projet difficile à cerner.

Vous aimez cet article, partagez-le avec vos contacts ou suivez-moi pour ne pas rater les prochains!