Ce n’est plus un secret, en Avril 2016 le Parlement européen a fait passer un nouveau règlement général sur la protection des données (RGPD ou plus souvent cité comme le GDPR) applicable à partir du 25 mai 2018. Il reste maintenant à savoir à qui ce texte s’adresse et comment se mettre à jour pour respecter les nouvelles règles. Cette réforme du règlement met donc à jour et modernise les principes déclarés en 1995 dans la directive européenne. Elle voit de plus l’établissement d’une nouvelle directive relative dédiée aux données personnelles et à leur protection dans le cadre des activités judiciaires et policière.
Nous sommes conscients qu’en tant qu’organisateurs d’événements cette thématique vous intéresse pour les données que vous êtes amenés à récolter.
A qui s’applique la loi ?
Cette loi s’applique à toutes les entreprises qui font de la collecte, du traitement et du stockage de données personnelles dont l’utilisation peut permettre d’identifier une personne de manière directe ou indirecte.
Vous l’aurez donc compris, cette loi s’applique à la plupart des entreprises qui traitent des données européennes. Néanmoins les acteurs sociaux tels que les associations, les syndicats, les collectivités locales et les administrations sont aussi concernés. Toutes les structures qui incluent des données personnelles sont donc concernées. Personne ne pourra échapper à ces réformes car si vous recueillez des données personnelles de vos employés, partenaires, prospects ou clients permettant de les identifier (directement ou non) et qu’elles se trouvent sur un dispositif numérique (ordinateurs, serveurs, mails…) vous êtes concernés !
5 points primordiaux du GDPR qui vont impacter le milieu Marketing et Event ?
La nomination d’un DPO (Data Protection Officer)
Cette nomination sera obligatoire pour les entreprises privées et toutes les instances publiques qui sont amenées à traiter des données personnelles à grande échelle. Ce poste sera donc nécessairement à créer puisque ce dernier devra s’occuper intégralement des thématiques de protection des données.
Le DPO aura à charge :
- De diriger la mise en place, le suivi et la mise en conformité GDPR,
- D’informer l’entreprise ou l’instance des obligations en matière de la gestion des données à caractère personnel,
- De centraliser toutes les demandes relatives à l’application des droits des individus,
- De communiquer et de coopérer avec les autorités de contrôle,
- D’être présent dans l’élaboration des analyses d’impacts (qui sont obligatoires dans certains types de traitement).
Le droit à l’effacement plus connu sous le nom de « Droit à l’oubli »
Sans aucun doute le droit le plus médiatisé de ce GDPR car c’est la mesure qui a directement été adoptée par certains pays (notamment par la France dans le cadre de la loi pour une république numérique) avant même l’adoption du GDPR. Ce droit à l’effacement permettra à tout un chacun de demander que ses données soient supprimées par l’organisation à laquelle elle s’adresse dans un délai de 30 jours.
Le consentement des utilisateurs
Lors de la collecte de données, si celles-ci ne sont pas obtenues au cours d’un contrat et que celles-ci ne visent pas l’intérêt général ou les intérêts vitaux de la personne ou enfin que cette organisation n’a pas de motif légitime pour détenir ces informations alors l’organisation n’a pas le droit de les traiter, sous n’importe quelle forme, sauf bien entendu si celle-ci a obtenu le consentement de la personne.
Les organisations collectant des données auront maintenant l’obligation d’obtenir le consentement de chaque individu et devra être en mesure de prouver le consentement des utilisateurs. Il faudra désormais centraliser tous ces consentements pour permettre aux autorités de contrôle et aux utilisateurs d’obtenir suffisamment de visibilité et ainsi pouvoir prendre en compte le droit à l’effacement dans les meilleurs délais.
La portabilité des données
Après avoir obligés les différents opérateurs à transmettre les données personnelles de chaque client et ainsi faciliter la migration et la résiliation de contrat pour la concurrence, le GDPR force les organisations à mettre à disposition les données personnelles aux personnes les demandant sous une forme lisible. Tout comme pour les opérateurs, les organisations seront obligées de transférer les données à une organisation tiers sur une demande de l’utilisateur lorsque c’est possible techniquement.
La protection des données
Point principal de cette réforme : la protection des données. Toutes les organisations vont désormais devoir penser à la protection des données avant de mettre en place de nouveaux process ou projets. Toutes les applications et autres solutions devront intégrer nativement les exigences du Parlement européen sur le sujet. Il est donc temps pour vous de revoir les phases de vos projets pour prendre en compte cet élément.
Comment votre fournisseur/éditeur doit-il s’adapter ?
Leur rôle
Votre fournisseur doit absolument mettre en place des écrits pour expliquer clairement qui il est, pourquoi il collecte des données, combien de temps il les stocke, qui pourra les consulter et pour quelles raisons.
Consentement
Les informations collectées par votre fournisseur doivent être obtenues avec le consentement formel des utilisateurs.
Droit d’accès
Les utilisateurs doivent avoir accès à leurs données personnelles et doivent pouvoir les modifier ou les supprimer quand ils le souhaitent. Une fonctionnalité doit être disponible pour permettre la désinscription des utilisateurs.
Le droit à l’information
En cas d’une quelconque brèche de sécurité, de fuite de données, votre fournisseur doit s’engager à vous en informer.
Quelques questions à poser à votre fournisseur/éditeur
- Vos services et votre logiciel respectent-ils la régulation sur la protection des données personnelles ?
- Quelles sont les données personnelles que vous récoltez ?
- Quel usage faites-vous des données personnelles ?
- Où sont hébergées les données utilisateurs ?
- Les données personnelles sont-elles protégées et chiffrées ?
- Le contrat ou les conditions générales de vente engagent-elles le fournisseur/éditeur à respecter la régulation sur la protection des données personnelles ?
