Sélectionner une page
Temps de lecture: 5 minutes

Adopté en avril 2016, le Règlement européen sur la Protection des Données (RGPD) entre en vigueur le 25 mai 2018. L’objectif de ce règlement est de mieux protéger les droits des personnes dont les données personnelles sont collectées et de responsabiliser les acteurs traitant ces données. Le RGPD n’est pas sans impact sur la vie des organisations, et notamment sur celle des agences marketing, qui peuvent être amenées à traiter, voire sous-traiter, des données concernées par le règlement.
 

Ce qu’on entend par « Données Personnelles » dans le RGPD

Données personnelles : il s’agit des données qui permettent d’identifier directement ou indirectement une personne (le nom, le prénom, l’adresse postale, l’email etc.). Les données qui concernent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé, la vie et l’orientation sexuelle, les données génétiques et biométriques, sont considérées comme sensibles.

Responsable de traitement et sous-traitant :  le responsable de traitement désigne la personne chargée de la mise en place du traitement de fichier, automatisé ou non, de données. Le sous-traitant est le prestataire de service traitant des données personnelles pour le compte d’un client c’est-à-dire un responsable de traitement.

Une agence marketing en sa qualité de sous-traitant est donc concernée par les dispositions du règlement.
 

Quel est l’impact du RGDP sur le marketing ?

Le règlement définit pour la première fois la notion de consentement et renforce son obtention auprès des consommateurs. Le consentement consiste en une déclaration ou un acte positif. Il doit être clair, non ambigu mais surtout donné pour un traitement spécifique. Le règlement favorise les formulaires par l’opt-in. La récolte et l’exploitation des données personnelles devront désormais se faire de manière transparente et explicite auprès des personnes concernées. De plus, le règlement permet désormais à toute personne de retirer son consentement à tout moment (droit de rétractation).

Concrètement, les personnes auxquelles vous envoyez des emails doivent préalablement donner leur accord pour que leurs données soient traitées. En outre, vous devez mentionner à ces personnes toutes les utilisations qui seront faites de leurs données collectées et obtenir leur consentement. Vous devez les informer par des mentions claires de leurs différents droits parmi lesquels figurent notamment le droit de rétractation, le droit d’effacement et le droit d’accès à ses données. Il est à noter que le règlement s’applique également aux données collectées avant le 25 mai 2018. Cela signifie, que vous devez recueillir à nouveau le consentement des personnes qui avaient déjà consenti au traitement de leurs données.

RGPD 2
 

RGPD, quelles sont mes obligations en tant qu’agence de marketing ?

Jusqu’à la mise en place du RGPD, la loi Informatique et Libertés ne s’impose qu’aux responsables de traitement. A partir du 25 mai 2018, vous êtes désormais soumis à des obligations spécifiques prévues aux articles 28 et 29 du règlement. Le non-respect de ces obligations entraine votre responsabilité.

Pour assurer votre conformité et éviter une amende (de 10 à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2% ou 4% du chiffre d’affaire) vous devez :

  • Conclure un contrat de sous-traitance 

En tant que sous-traitant vous devez établir un contrat avec votre client afin de préciser les obligations de chacune des parties. Ce contrat doit définir l’objet et la durée du traitement, la nature et finalité du traitement, le type de données traitées et les catégories de personnes concernées ainsi que les obligations et droits du responsable de traitement. Ce contrat doit également recenser par écrit les instructions de votre client concernant le traitement des données personnelles afin de prouver que vous agissez sur son instruction.

  • Conclure un contrat de sous-traitance avec les sous-traitants tiers

Dans l’hypothèse où vous avez recours à un sous-traitant tiers, vous devez obtenir préalablement l’autorisation écrite du client. Cette autorisation peut être spécifique, accordée pour un sous-traitant spécifique, ou bien générale. Dans ce second cas, vous devez informer votre client si vous ajoutez ou remplacez d’autres sous-traitants qui pourra émettre des objections à ces changements. Le sous-traitant que vous recrutez est soumis aux mêmes obligations que celles prévues entre votre client et vous-même. En cas de non-respect de ses obligations, vous êtes entièrement responsable du traitement de l’exécution par ce sous-traitant de ses obligations.

  • Assurer la transparence

Vous devez justifier auprès de votre client les mesures techniques et organisationnelles mises en œuvre qui garantissent la protection des droits des personnes. Vous devez mettre à sa disposition toutes les informations nécessaires pour démontrer le respect de ses obligations et pour la réalisation d’audits. Vous devez également être en mesure de supprimer les données ou les transmettre à votre client à la fin de la sous-traitance, ainsi que détruire les copies existantes.

  • Sécuriser les données personnelles

Vous êtes soumis à la même obligation de sécurité et de confidentialité des données que votre client c’est-à-dire garantir la sécurité des données personnelles à l’aide de mesures techniques ou organisationnelles appropriées. La protection des données personnelles doit être prévue dès la conception du traitement (privacy by design). Chaque traitement ne doit collecter que les informations utiles et assurer le plus haut niveau de confidentialité (privacy by default).

  • Notifier les violations de données personnelles 

Cette notification doit être portée à votre client dans les meilleurs délais après en avoir eu connaissance. Vous n’êtes pas en charge de notifier les violations de données à la CNIL et aux personnes concernées. Cette obligation est à la charge du responsable de traitement, sauf si cela a été prévu contractuellement.

  • Tenir un registre des traitements 

Vous devez tenir un registre des catégories d’activités de traitement que vous opérez pour le compte de vos clients. A noter, si vous mettez en place des traitements au sein de votre agence pour vos propres données, vous devez tenir un second registre.

  • Désigner un DPO 

Le délégué à la protection des données personnelles (DPO en anglais pour data protection officer) est le garant de la conformité au sein d’une entreprise. Sa désignation est obligatoire si votre activité amène un suivi régulier et systématique des personnes à grande échelle ou si vous traitez de données sensibles. Dans les autres hypothèses, sa désignation reste facultative mais fortement recommandée.

Si le RGPD pose un cadre qui peut paraître plus contraignant pour certains acteurs, notamment les agences marketing, il est aussi une opportunité pour renforcer la relation de confiance et le partenariat mis en place, avec transparence et engagement, avec vos clients.