En avril 2016 le Parlement européen a fait adopter un règlement Général sur la Protection des Données (RGPD ou plus souvent cité comme le GDPR) applicable depuis le 25 mai 2018. Il reste maintenant à savoir à qui ce texte s’adresse et comment se mettre à jour pour respecter les nouvelles règles. Cette réforme du règlement met donc à jour et modernise les principes déclarés en 1995 dans la directive européenne. Elle voit de plus l’établissement d’une nouvelle directive relative dédiée aux données personnelles et à leur protection dans le cadre des activités judiciaires et policière. Il est vrai que le RGPD peut sembler obscur pour les PME et start-up. Quelles sont les conséquences de cette régulation sur les entreprises en général et plus particulièrement sur le monde de l’événement ? Prenons les choses dans l’ordre.
Etes-vous concernés par le changement de régulation ?
Cette loi s’applique à toutes les entreprises qui font de la collecte, du traitement et du stockage de données personnelles dont l’utilisation peut permettre d’identifier une personne de manière directe ou indirecte. Vous l’aurez donc compris, cette loi s’applique à la plupart des entreprises qui traitent des données européennes. Néanmoins les acteurs sociaux tels que les associations, les syndicats, les collectivités locales et les administrations sont aussi concernés. Toutes les structures qui incluent des données personnelles sont donc concernées. Personne ne pourra échapper à ces réformes car si vous recueillez des données personnelles de vos employés, partenaires, prospects ou clients permettant de les identifier (directement ou non) et qu’elles se trouvent sur un dispositif numérique (ordinateurs, serveurs, mails…) vous êtes concernés ! Dans une certaine mesure en effet, si vous traitez quelconque données de membres de l’union européenne, vous allez faire face au changement quoi qu’il arrive. Néanmoins vous n’aurez pas à nommer de DPO (Data Protection Officer) si vous ne traitez pas de données de manière massive et n’aurez pas besoin de tenir un registre des activités de traitement si votre entreprise compte moins de 250 salariés. Si vous avez un CRM ou bien que vous récoltez des données dans le cadre de vos opérations marketing vous allez devoir faire face à des changements. Cette régulation s’applique que vous soyez dans le secteur du BtoC ou du BtoB.
Ne passez pas à coté des tendances de 2020
Formulaires
Si vous récoltez des données via votre site internet au travers de formulaires pour l’inscription à des newsletters, assurez-vous bien de demander le consentement des inscrits en expliquant nécessairement le but de cette récolte de données, vous devez être clair et précis au risque d’être sanctionné.
Cookies
Toujours pour la récolte de données marketing, si vous utilisez des cookies sur votre site, veillez à bien spécifier dans le bandeau prévu à cet effet l’usage que vous en faites et l’intérêt pour l’utilisateur. Cela devrait déjà être le cas mais soyez en sûr pour éviter quelconques problèmes.
Date
Pour chaque nouveau contact dans vos mailing list vous allez devoir spécifier la date à laquelle vous avez récupéré l’information ainsi que la provenance de cette dernière. Vous devrez renouveler le consentement de l’utilisateur au bout de 13 mois au travers de vos cookies. De plus, si un contact est ancien de plus de 3 ans vous devrez vous en séparer si celui-ci n’a pas été actif au cours de cette période.
Portabilité
De plus vous allez devoir faciliter l’export des données de vos contacts, dans le cadre du RGPD, vous devez simplifier la portabilité des données des utilisateurs vers des acteurs tiers.
Droit à l’oubli
Un utilisateur à désormais le droit de vous demander les informations que vous avez stockées à son sujet. Ainsi cet utilisateur a le droit de vous demander la suppression de ces données dans le cadre du droit à l’effacement (droit à l’oubli).
Mentions légales
Vous aurez l’obligation de préciser dans vos mentions légales la nature des données collectées ainsi que la finalité de cette collecte.
Transparence de l’information
Le RGPD compte amener une transparence pour tous les internautes, l’information étant le sésame des entreprises pour la croissance économique de celles-ci. Le profilage est donc bien dans le viseur de cette nouvelle réglementation et risque de toucher de plein fouet l’activité marketing des entreprises. Toute forme de profilage devra être faite avec le consentement direct et explicite de l’utilisateur.
Ne passez pas à coté de tous nos mails d’invitation !
Je veux recevoir les 10 conseils
Exceptions dans le cadre légal
Le RGPD prévoit 5 cadres légaux pour lequel le traitement reste licite, même sans consentement :
- Lorsque le traitement découle d’une obligation légale ;
- Lorsque le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne;
- Lorsque le traitement est nécessaire à l’exécution d’un contrat accepté par la personne ;
- Lorsque le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
- Tout autre intérêt légitime du responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne, en particulier s’il s’agit d’un enfant.
Quelles sont les données qui sont concernées ?
- Téléphone professionnel
- Titre de poste
- Adresse postale de l’entreprise
- Données GPS et Adresse IP
- Cookies
- Numéro d’identification, identifiant
- Eléments correspondants à l’identité physique, psychique, génétique ou économique
Toutes ces données sont désormais reconnues comme données personnelles. Elles sont donc soumises au RGPD. Vous ne pourrez plus récupérer, par exemple, d’adresse mail via un site tiers ou par toute autre moyen non consenti par l’utilisateur.
La solution
La solution à ce jour reste la pseudonymisation des données, un genre de clé qui permettra de protéger les données de l’internaute de manière efficace. Un document, sans celui de déchiffrement ne sera pas réellement lisible et permettra l’anonymat de l’individu en cas de piratage de vos données par exemple. L’emploi de cette méthode est encouragé mais non obligatoire. Néanmoins cela semble pour nous être le meilleur dispositif possible.
Le monde de l’événementiel dans tout ça ?
Le monde de l’événementiel est très particulier et très concerné par cette nouvelle régulation puisque dans ce domaine, l’accès aux données personnelles (mail, genre, nom, prénom…) est simplifié pour les organisateurs d’événements. Il est donc inévitable pour les organisateurs et les Event Management Software (même s’ils ne sont pas basés en Europe mais qu’ils stockent ou traitent des données de membres de l’Union Européenne) de se mettre à jour concernant le RGPD.
Comment réagir en tant qu’#eventprofs ?
Vous devez surement être en train d’organiser des événements pour l’année 2018, si vous avez des invités provenant de l’Union Européenne, vous allez devoir être sur que les process que vous avez pu mettre en place sont en accord avec la régulation.
Trouvez quelles données vous conservez et traitez à propos de vos invités issus de l’Union Européenne, vous comprendrez de cette manière quelles sont les données personnelles que vous allez devoir protéger. Vous allez devoir enquêter sur la manière dont les données sont transférée d’un système/serveur à un autre, de quelle manière votre éditeur assure la sécurité des données collectées. Dans le cas où vous stockez des données sur une plateforme cloud basée aux USA vous devez être sûr de mettre en place un système de contrôle et demander l’ajout de nouvelles mentions sur le contrat. Implémenter ces changements va demander beaucoup de temps et d’effort. Prenez le temps d’expliquer aux membres de votre entreprise l’importance de cette régulation sur votre travail et ainsi obtenir du renfort pour éviter de ne pas être à jour le 25 mai 2018, ce qui pourrait être lourd en conséquence en effet, puisque l’on parle de 20 millions d’euros d’amende ou 4% du chiffre d’affaire global de votre entreprise (le plus gros montant étant retenu).
Quel impact sur le monde événementiel ?
Il empêchera certaines organisations de revendiquer un grand nombre de listes de diffusion et l’industrie de l’événement devra se tourner vers les données et les relations. Cette nouvelle régulation va donc apporter plus de relationnel au sein du monde des événements. En effet, le consentement devenu maintenant obligatoire, il va être nécessaire de créer une relation de confiance avec les utilisateurs pour obtenir leurs consentements. Actuellement, les plus grandes entreprises devraient être plus concernées car elles collectent plus de données depuis plus longtemps. Le RGPD va définitivement empêcher que certaines entreprises n’achètent ou n’échangent avec d’autres. L’industrie événementielle va réellement devoir reconsidérer la manière dont elle perçoit les données récoltées et les traiter comme s’il s’agissait d’individus réels. Le relationnel va prendre une part encore plus importante qu’avant dans le secteur des événements. Il est temps pour les professionnels de l’événement de reprendre en main leurs systèmes de gestions des données, de les protéger et de permettre aux utilisateurs de ne pas être cibler sans consentement comme ils ont l’habitude de l’être quotidiennement. Cette régulation est un changement majeur pour les marketeurs d’événements. À l’avenir, pour toute collecte de données, ils seront obligés de dire de quelle manière ils utilisent les données et pourquoi ils les stockent. Plus important encore, les professionnels de l’événement ne devront pas collecter des données qu’ils n’utiliseront pas. Plus important encore, le consentement devra être mis en avant quoi qu’il arrive. Si les entreprises souhaitent partager des listes, elles devront désormais avoir le consentement de tous les contacts en leur expliquant clairement et dans un langage simple.
Les questions essentielles à poser à votre éditeur / fournisseur / agence
- Vos services / votre logiciel respectent-ils la régulation sur la protection des données personnelles ?
- Quelles sont les données personnelles que vous récoltez ?
- Quel usage faites-vous des données personnelles ?
- Où sont hébergées les données utilisateurs ?
- Les données personnelles sont-elles protégées et chiffrées ?
- Le contrat ou les conditions générales de vente engagent-elles le fournisseur/éditeur à respecter la régulation sur la protection des données personnelles ?
- Les listings envoyez à vos fournisseurs sont-ils bien protégés et chiffrés ?
- Qui est responsable du bon déroulement des process pour la protection des données ?
- Quelle est la relation entre l’agence et le prestataire lorsqu’il s’agit du transfert des données ?
Au final, le RGPD va surement faire fermer certaines entreprises qui ne pourront plus vendre de données mais c’est l’occasion de faire les choses différemment et d’enfin traiter les données personnelles comme des individus. Il est temps de revenir à l’humain et de traiter les gens comme on souhaiterait être traité.
