25 mai 2018 : qui ne dit mot ne consent plus!

La date fatidique approche à grands pas. A entendre les experts et juristes les plus formels, il sera interdit aux entreprises d’adresser la parole à quiconque pour présenter un produit ou un service sans avoir obtenu son accord préalable.
L’envoi d’un simple e-mail de présentation, une newsletter, voire un catalogue à un prospect, et même à un ancien client, sans son consentement explicite sera passible d’amendes salées, voire du pénal. De quoi réfléchir !

Les obligations du RGPD freineront la publicité directe

Tout commerçant entrepreneur qui investit dans sa publicité par le marketing direct et les campagnes e-mails sait à quel point il est difficile d’obtenir une réaction des personnes ciblées. L’application du RGPD aura certainement un impact encore plus négatif sur les taux de réponse et de conversion.
 

Le RGPD concerne aussi les TPE et PME

Le RGPD ne concerne pas que les grandes entreprises et les multinationales de l’informatique. Toute entreprise traite des données à caractère personnel dans le cadre de ses activités : fichiers du personnel, fichier de la clientèle et des prospects, gestion et accès à des bases de données. Si toutes les données ne sont pas forcément des données à caractère personnel, force est de constater que nombre d’entre elles le sont. Par conséquent, aucune entreprise n’échappe à l’application du RGPD. La taille de l’entreprise, son chiffre d’affaires, son nombre de travailleurs ou son activité importe peu : le RGPD concerne aussi les TPE et PME.
 

Les grands principes du RGPD : sans oui c'est non!

- obtenir le consentement préalable et explicite du destinataire à recevoir les messages
- avoir un intérêt légitime à lui adresser de la communication
- l'informer de l'usage de ses données qui est fait et sera fait dans le futur
- lui permettre l'accès à ces données, avec le droit à les corriger et à se faire oublier
- inscrire les opérations dans les registres
 
Les grandes obligations administratives du RGPD
- créer des registres et analyser régulièrement la gestion des données de l'entreprise
- consigner tout traitement de données dans les registres
- archiver les consentements, leur origine et pouvoir en apporter la preuve
- protéger les données de tout vol, fuite ou transmission involontaire à des tiers inconnus
- aviser immédiatement les Autorités de tout litige ou fuite, même sans importance
 
La désignation d'un DPD s’impose aux TPE et PME

Le RGPD consacre le rôle d’une personne responsable de la conformité au règlement, le Délégué à la Protection des Données (DPD). Cette personne peut être un employé ou une personne externe à l’entreprise. Dans certains cas, une entreprise peut être obligée de désigner un DPD tandis que dans d’autres, cette désignation sera optionnelle, bien que fortement recommandée pour toutes les entreprises qui communiquent directement vers leurs clients et prospects. L’obligation d'impose aussi aux TPE et aux PME qui traitent des données sensibles, quelles qu'elles soient. (médical, finance, etc...)

La désignation d'un DPD externe et indépendant présente de multiples atouts pour une TPE ou PME :
- transfert d'une grande part de la responsabilité juridique liée à la communication
- spécialisation du DPD qui ne devra pas être formé au sein de l’entreprise
- expertise du DPD par ses contacts réguliers avec les différentes autorités de protection des données
- coût réduit car le DPD externe exercera la même fonction pour d’autres TPE et PME
- vision indépendante de l’entreprise permettant le conseil
- capacité à diagnostiquer avec suffisamment de recul les problèmes inhérents à l'entreprise
- expertise sur la récolte, gestion et conservation des données par l’entreprise.
 

Qui peut se plaindre ? Gare aux sanctions !

N'importe qui touché par une communication non consentie pourra se plaindre, même pour des motifs futiles. Certes, le gain de cause n'est pas acquit sans preuve suffisante, mais s'en défendre entrainera toujours des frais, tracas et pertes de temps pour les entrepreneurs et commerçants.
 
L'entrepreneur sera toujours responsable.
Il faudra ainsi se méfier des usurpations d'identité et des concurrents peu scrupuleux. 

La violation du RGPD peut entraîner des sanctions imposées par l'Autorité de Protection des Données (anciennement Commission pour la Protection de la Vie Privée CPVP) jusqu’à concurrence de 4% du chiffre d’affaire mondial de l’entreprise.
 

Méfiance et précautions

Le temps où l'on pouvait remplir une base de données de prospection en automatisant la récupération des emails et des contacts via des newsletters ou du spam plus ou moins bien fait est révolu.
 
Les outils américains de newsletters, tels que Mailchimp, ne sont pas obligés de se conformer au RGPD. Et tant bien même Facebook et Google affirment vouloir respecter la réglementation pour la collecte et le profilage des données des citoyens européens, il n’y a aucune garantie quant à leur exploitation en dehors de l’Europe.

Difficile d’imaginer que les géants du web, acteurs du Big Data, abandonneront si facilement leurs principales sources de revenus publicitaires, et plus encore qu’ils puissent être suffisamment sanctionnés de leurs éventuelles infractions. Les récentes amendes ne semblent pas dissuasives.

 

Où sont les risques ?

- Une dénonciation par un client déçu, mécontent ou en litige (service après-vente,...)
- Une délation par un concurrent commercial ou un prestataire de contre-référencement
- Une plainte d’un tiers irrité par la violation de ses données ou un message non sollicité
- Une action commune lancée par une Association de Consommateurs
- Une erreur d’un employé de l’entreprise ou d’un prestataire externe
- Un contrôle inopiné par l’Autorité de Protection des Données
 
Dans tous les cas, en Europe, chaque entreprise restera responsable, à tout moment, des données dont elle dispose et de leur utilisation.
 

Positivons le RGPD comme un investissement

Un positionnement clair et des méthodes permettent toujours de remplir les objectifs dans le respect du client et de ses données.
 
Pour les loueurs d’adresses et les professionnels du marketing direct qui ont placé le client au centre de leurs préoccupations, ce changement n’aura pas un impact énorme sur la façon de travailler. Tout au plus quelques procédures réglementaires à gérer.

Pour les autres, ce sera la fin d’un marché peu respectueux des droits les plus élémentaires.
 

La solution : confier la gestion aux experts externes

L'externalisation de la gestion et de la protection des données est avantageuse pour une TPE/PME.
 
L'intégration par un prestataire spécialisé offre de nombreux atouts complémentaires :

- transfert de la responsabilité sur un DPD externe
- décharge des formalités administratives
- traitement optimalisé des mailinglists, fichiers clients et prospects
- collecte des consentements conformément au RGPD
- contrôle et qualification des adresses
- distribution des messages électroniques par des serveurs sécurisés
- routage du courrier publicitaire par un prestataire spécialisé (la Poste, ...)
- prospection de nouvelles cibles
- veille stratégique et e-réputation
- gestion des litiges et plaintes
- encadrement par un cabinet d'avocats spécialisés
- relations avec les Autorités de Contrôle, déclarations légales
- adaptation des procédures suivant l'évolution des règlements   
 

   

Informations légales et guides sur le site de la CPVP www.privacycommission.be/fr


 

 
   

20, rue de l'Industrie // B-1400 Nivelles  //  067 86 00 18  //  rgpd @ agcom .pro

26/03/2018 13:15:44