Le Règlement Général sur la Protection des Données (RGPD) est entré en application en mai 2018. Son objectif est de protéger les données à caractère personnel et le respect de la vie privée des citoyens européens. Ce texte a accéléré un processus déjà en place, et fait désormais figure de référence dans le monde.

Nous avons eu la chance de discuter avec M° Alexandra Iteanu le 3 mai dernier. Nous avons fait un point sur le RGPD et la sécurité des données, spécialement pour les équipes Marketing B2B.

• Comment appliquer concrètement le RGPD ?
• Quelles précautions devons-nous prendre côté Marketing B2B?
• Quelles conséquences de l’arrêt de la CNIL concernant Google analytics?

Plan de la vidéo

00:00 – Introduction
00:46 – Historique du RGPD
02:25 – Les risques de non-conformité au RGPD
03:46 – Les grands principes du RGPD
08:49 – Focus sur la notion de donnée personnelle
15:08 – Sécurité des données
16:56 – Droit à l’effacement et droit à l’information
20:30 – Arrêt de la CNIL sur Google Analytics
25:33 – Le futur de la protection des données

C’est parti !

Qui est Maître Alexandra Iteanu?

Avocate au Barreau de Paris, elle est Responsable du pôle data et RGPD au sein du Cabinet ITEANU Avocats. Elle est spécialisée en droit du numérique et des données de santé.

Elle conseille des sociétés dans leur mise en conformité RGPD (audit, violation de données personnelles, gestion des droits …); mais également dans la défense de leurs droits et la rédaction de leurs contrats informatiques.

Elle a notamment publié en 2016,  un mémoire à l’université King’s College sur les données de santé et objets connectés (“The Quantified Self within the European Data protection model”).

Le RGPD – un vrai impact depuis 2018

Le Règlement Général sur la Protection des Données est entré en application le 25 mai 2018. Il est devenu un incontournable des entreprises, faisant par exemple jeu égal avec Kaamelott en France.

Quel impact du RGPD dans les entreprises?

Data Legal Drive met à jour le baromètre RGPD en partenariat avec Lefebvre Dalloz et l’AFJE (l’Association française des juristes d’entreprise) tous les ans et l’édition 2021 nous apprenait les faits suivants :

• 47% des entreprises interrogées estiment avoir un niveau suffisant vis-à-vis du RGPD. C’est à dire un taux de complétude supérieur à 70%.
• La digitalisation des données personnelles progresse. 31 % des DPO (data protection officer ou délégué à la protection des données) et juristes interrogés ont digitalisé en 2021 leurs registres des traitements. C’est une augmentation de 120 % en 2 ans (14 % en 2019 et 13 % en 2020)
• 65 % des structures interrogées ont accéléré et renforcé leur sécurité en instaurant de nouvelles mesures
• 76 % des employés sont de plus en plus attentifs à la protection de leurs données au sein de leur entreprise; 60 % des entreprises ont formé leurs salariés au RGPD
• 53 % ont mis à jour leurs mentions légales politiques de confidentialité et assuré la gestion des cookies et informations satisfaisante.

Cela progresse mais il reste du travail !

L’influence du RGPD sur les autres législations

L’Europe est perçue comme précurseur sur ces sujets. Certains pays ont étudié ce texte soit pour mettre en conformité leurs propres lois et permettre les échanges avec l’UE, soit pour s’en inspirer pour leur propre législation.

Par exemple le Brésil a adopté mi 2018 la LGPD qui s’approche du RGPD.

Le Japon a assez vite mis ses lois en conformité avec le RGPD pour continuer à pouvoir échanger des données avec l’Europe.

La CNIL nous donne l’état des pays dans le monde considérés comme adéquats ou non au regard du RGPD.

Cette carte vous permet de visualiser les différents niveaux de protection des données des pays dans le monde. Vous pouvez afficher les autorités de protection des données à l’aide de l’icône « calque » située en haut à gauche de la carte.

Historique du RGPD – Petit retour en arrière

La Loi Informatique et Libertés de 1978, ancêtre du RGPD

La réglementation existe en France peu ou prou depuis 40 ans avec la loi Informatique et Libertés de 1978, qui est une des plus anciennes lois sur la protection des données en Europe ; cette loi contenait déjà les grands principes qui ont été repris dans le RGPD.

Mais depuis les années 2000, il est désormais plus facile de capter, stocker, échanger de la donnée, ce qui a motivé une nouvelle réglementation, qui tenait compte des possibilités d’internet.

L’avantage est une uniformisation des règles au sein de l’UE, alors qu’avant chaque État avait son texte

Elle s’applique à toute entreprise opérant sur la marché Européen, qu’elle soit basée en Europe ou pas.

Une vision positive du RGPD avec Seth Godin

Déjà en 1999 Seth Godin nous expliquait dans “Permission Marketing” qu’il fallait en finir avec le marketing de l’interruption et passer au marketing de la permission. Ne pas “agresser” son interlocuteur, mais mériter son écoute et sa confiance pas à pas, en s’assurant à chaque étape que nous avons son consentement.

Le RGPD a mis dans les textes cette philosophie.

Respecter le RGPD ne doit pas être vu comme une contrainte mais comme une bonne pratique en vue de faire vivre une meilleure expérience client à ses visiteurs.

Quelles conséquences en cas de non-respect du RGPD?

Le non-respect du RGPD peut amener à des sanctions qui peuvent monter à 4% du chiffre d’affaires mondial d’une entreprise ou 20 Millions d’euros. En 2021 les sanctions ont représenté 3,5 Millions d’euros, après 138 Millions d’euros en 2020.

Ces sanctions font suite à une procédure qui peut être longue, assez souvent initiée par une ou plusieurs plaintes de consommateurs, d’associations ou d’entreprises.

Quelles sont les entreprises condamnées depuis 3 ans pour non-conformité au RGPD ?

• Optical Centre : 250.000 € pour ne pas avoir suffisamment sécurisé les données de commandes des clients.
• RATP : 400.000 euros. Plusieurs centres de bus avaient intégré le nombre de jours de grève des agents dans des fichiers d’évaluation qui servaient à préparer les choix de promotion ainsi qu’une durée de conservation excessive des données et des manquements relatifs à la sécurité des données.
• Monsanto : 400.000 euros pour fichage illégal de plus de 200 personnalités et journalistes à des fins de lobbying sur le renouvellement du glyphosate.
• Brico Privé : 500.000 euros pour conservation des données au-delà de ce qui était indiqué dans son registre des traitements (clients n’ayant pas passé commande depuis 5 ans ou personnes ne s’étant pas connectés à leur compte depuis 5 ans), des demandes d’effacement non traitées, absence de demande de mot de passe robuste lors de la création du compte pour les clients ou les salariés, ou encore dépôt des cookies avant le consentement de l’internaute et des messages de prospection, non consentis.
• AG2R La Mondiale : 1,75 million d’euros, du fait de conservation de données (dont bancaires et santé) au-delà de la limite  et un défaut d’information pour les personnes démarchées.
• Google et sa filiale Google Ireland : après 50 Millions en 2019 pour manque de transparence, 150 Millions d’euros concernant les sites web google.fr et youtube.com car la commission a estimé qu’il n’était pas aussi simple de refuser les cookies que de les accepter
• idem pour Facebook Ireland : 60 Millions d’euros, même motif

Le ministère de l’Intérieur s’est vu infliger deux rappels à la loi, l’un sur les drones de surveillance et l’autre sur le fichier des empreintes digitales :

• interdiction d’utiliser des drones équipés de caméras pour surveiller le respect des mesures de confinement
• mauvaise gestion du fichier d’empreintes digitales

On le voit néanmoins, la CNIL s’est d’abord attaqué à des services publics ou des sites B2C. Les entreprises B2B semblent moins ciblées.

Quelles sont les priorités de la CNIL en 2022 ?

La priorité de l’année 2021 pour la CNIL était les cookies tiers, et elle a depuis annoncé plusieurs mises en demeure :

• la société FranceTests a été épinglée pour la découverte d’une base de données de 700.000 résultats de tests Covid librement accessible sur Internet
• Clearview AI qui calcule l’empreinte numérique d’une photo en vue de trouver des photos similaires

En 2022 les thématiques seront la prospection commerciale, le cloud et la surveillance du télétravail. En particulier, son action portera sur :

• Limiter la prospection commerciale non sollicitée (le CPF? 😂) qui est un sujet récurrent de plaintes
• La surveillance des outils de suivi des collaborateurs en télétravail
• Approfondir, tout au long de l’année, les questions relatives aux transferts de données et à l’encadrement des relations contractuelles entre responsables de traitement et sous-traitants fournisseurs de solution cloud.

Les grands principes du RGPD

Le RGPD couvre tout traitement de données à caractère personnel. Les quelques grands principes du RGPD sont les suivants :

• consentement clair et loyal sur le traitement des données personnelles ; 
• droit à l’oubli : en supprimant les données des personnes qui en font la demande ;
• information obligatoire en cas de piratage et violation des données ; 
• limitation des finalités : en communiquant sur l’usage des données et leur délai de stockage ; 
• sécurité : en prévoyant une protection particulière pour les données sensibles.

Côté Marketing B2B, une bonne partie de ces obligations peuvent être réalisées grâce :

• à des formulaires qui proposent un consentement par finalité,
• et à un centre de préférences de communication qui va regrouper l’ensemble des consentements, les informations personnelles collectées et un certain nombre d’options

J’ai détaillé comment construire cela dans un Marketo Office Hours dédié à notre centre de préférences.

Focus sur la notion de donnée personnelle

Comprendre la notion de donnée à caractère personnel est clé pour appliquer le RGPD. Une donnée à caractère personnel est toute information permettant d’identifier une personne de manière directe ou indirecte. Par exemple une plaque d’immatriculation, une adresse IP pour le marketing.

C’est là où l’on s’aperçoit que la définition de la donnée personnelle est contextuelle. Par exemple une adresse IP collectée chez un vendeur de chaussure en ligne va permettre d’identifier assez vite une personne qui vient d’entrer sur le site depuis son domicile.

Par contre côté B2B, assez souvent, l’adresse IP sera l’adresse d’une entreprise derrière laquelle nous aurons peut-être des milliers de personnes.

Un croisement de données non personnelles peut donner une donnée personnelle. Par exemple une IP et un parcours sur un site web.

Principe de “Data Minimization”

Le RGPD indique que nous ne pouvons collecter que des données dont nous envisageons de nous servir.

Donc nous devons faire attention à ne collecter que les données que nous allons effectivement utiliser. Parmi les données souvent demandées sur lesquelles on peut se poser des questions

• l’adresse postale peut être utile en fin de parcours si l’on veut que les commerciaux rencontrent le client, ou en cas de livraison, mais sûrement pas avant.
• le pays est souvent nécessaire pour filtrer les leads intéressants 
• la date de naissance ne devrait être collectée que si vous souhaitez envoyer une cadeau à la personne (ou si elle sert dans un processus d’authentification)
• les hobbies des visiteurs de devraient pas être demandés, sauf à offrir des parcours de golf à vos clients 😉

Registre des traitements

Ce document obligatoire va permettre de définir :

• les différentes finalités de traitements
• Les différentes catégories de données
• la durée de conservation des données

Le DPO doit le tenir à jour. La CNIL nous donne un exemple de registre, qui au départ peut être un fichier Excel.

D’abord les interlocuteurs et la liste des traitements

Puis une fiche par traitement

Sécurité des données

Ceci est défini à l’article 32 du RGPD. Le responsable du traitement doit au cas par cas mettre en place les mesures de sécurité adaptées au regard des risques potentiels sur le traitement.

En cas de piratage oui de violation de données, il faut le notifier à la CNIL sous les 72 heures, ainsi qu’aux personnes concernées.

Droit à l’effacement et droit à l’information

Nous faisons un focus sur ces deux droits qui ne sont pas  évidents à mettre en place. Ils sont définis dans les articles 15 et 16 du RGPD.

Durée de conservation des données

Le RGPD nous dit que nous ne devons conserver les données uniquement le temps nécessaire à la réalisation de notre finalité. Mais il ne donne pas de durée définie.

Les durées seront définies dans le registre des traitements plus haut.

La CNIL donne des recommandations en cas d’inactivité : 3 ans pour des données prospects ; idem pour les données clients, après la fin de la gestion commerciale.

Droit à l’effacement ou droit à l’oubli

Toute personne peut demander l’effacement de ses données de tous vos systèmes. Cela peut assez vite être un projet informatique transverse compliqué !

Il faut répondre à cette demande sous un mois, sous peine de s’exposer à des sanctions.

Droit à l’information

Avant tout traitement, nous sommes censés porter à l’attention des visiteurs un certain nombre d’informations listées à l’article 13 du RGPD. Nous avons recensé ces informations dans deux pages chez Merlin/Leonard

• Politique de cookies (UE)
• Mentions légales et Déclaration de confidentialité (UE)

Elles sont disponibles à l’entrée du site dans notre bannière de cookies et à tout moment en pied de page du site.

Droit d’accès

Là encore, toute personne peut demander l’ensemble des informations que l’on détient sur elle, et nous avons un mois pour nous y conformer. Comme pour le droit à l’oubli, la façon de demander n’est pas définie et est au choix de l’entreprise.

Droit d’accès et Marketo Engage

Ce droit est là encore géré dans notre centre de préférences
1/ Nous avons défini sur le centre de préférence un champ qui – s’il est coché – signifie que le visiteur souhaite exercer son droit à d’accès 2/ Lorsque la personne soumet le formulaire, nous recevons une notification indiquant la demande 3/ Nous pouvons alors activer une campagne Marketo qui va envoyer l’ensemble des données de la personne contenues dans Marketo et Salesforce par email.

Et pour les cookies?

Le RGPD distingue les cookies nécessaires au fonctionnement du site, les cookies d’analyse ou encore les cookies marketing (liste non limitative). Il oblige à obtenir le consentement spécifique pour les cookies d’analyse ou marketing.

On ne peut ni avoir un consentement général, ni supposer que la navigation sur le site vaut consentement aux cookies.

La CNIL recommande de supprimer les cookies au bout de 13 mois.

Par exemple lorsqu’on a Marketo :

• Les formulaires Marketo sont des scripts posés sur les pages web et peuvent être considérés comme des éléments essentiels au fonctionnement du site.
• Le cookie Marketo permettant d’identifier le visiteur via son IP et de tracer son parcours digital est considéré comme un cookie marketing.

Que penser de la suppression des cookies tiers dans Chrome?

Google a annoncé en janvier 2020 la fin des cookies tiers dans son navigateur Chrome, leader du marché, d’ici 2023. L’entreprise travaille sur un autre procédé pour les remplacer, la méthode des “Federated Learning of Cohorts” (FloC) dans le cadre de son programme “Privacy Sandbox“.

Il s’agit de proposer aux annonceurs des segments d’audience établis par Chrome, via des algorithmes, en fonction des habitudes de navigation des internautes.

La Commission Européenne a ouvert une enquête sur ce nouveau procédé.

Arrêt de la CNIL sur Google Analytics

L’invalidation du Privacy Shield en 2021

Jusqu’au 16 juillet 2020, les échanges de données entre l’Europe et les Etats-Unis étaient couverts par le “Privacy Shield”. Ce texte rendait légaux ces échanges. La Cour Européenne de Justice a invalidé cet accord, rendant illégaux de facto les échanges de données entre ces deux blocs.

Cette dernière a estimé que les citoyens n’étaient pas assez protégés au regard des lois de surveillance en vigueur aux États-Unis.

Concrètement, cela signifie que l’utilisation d’une solution d’un éditeur de logiciels américain présente un risque. D’autant qu’il est souvent impossible de négocier le contrat de ces géants.

Bien sûr les Etats-Unis et l’Europe travaillent pour recréer un cadre légal permettant de nouveau les échanges de données. Mais pour l’instant la négociation n’a pas abouti.

Le 25 mars 2022 était publié par le Comité européen de la protection des données une déclaration des responsables Européens et États-Uniens se félicitant d’un accord de principe entre Europe et Etats-Unis. Pas de texte juridique pour l’instant mais l’espoir de voir une négociation aboutir dans les prochains mois.

Google Analytics désormais interdit

Dans ce contexte, la CNIL française et son homologue néerlandaise ont de facto interdit Google Analytics. Cela a fait suite à 101 réclamations déposées dans 27 Etats membres par l’association NYOB.

Après étude, la CNIL a constaté que les données des internautes sont ainsi transférées vers les États-Unis en violation des articles 44 et suivants du RGPD. Elle a donné un mois pour se mettre en conformité.

Google a d’ailleurs réagi en proposant d’abandonner Google Universal Analytics et de migrer vers Google Analytics 4, qui propose une anonymisation des adresses IP par défaut.