Une Masterclass sur le RGPD pour comprendre la protection des données personnelles

La protection des données personnelles est une nouvelle réalité pour les entreprises et les salariés. Ils doivent la mettre en oeuvre conformément au RGPD. Guillaume Tollet, DPO (Data Protection Officer) chez Dentsu Aegis Network, est venu en présenter les enjeux aux élèves du bi-cursus Digital Marketing & Data Analytics.

A l’heure de Facebook et des publicités ciblées, l’acronyme dont tout le monde parle, c’est le RGPD ! Le Règlement Général sur la Protection des Données est entré en vigueur le 25 mai 2018 et il bouleverse les façons de traiter les données personnelles dans les entreprises. Les élèves issus d’une formation en marketing digital et data analytics devront tous s’y confronter à un moment ou à un autre de leur carrière. Ils pourront même en faire leur métier, car on manque cruellement de DPO en France.

Qu’est-ce que le RGPD et pourquoi a-t-il été créé ?

Le RGPD porte sur l’ensemble des données personnelles détenues par les entreprises. Il représente une nécessaire mise à jour de règles vieillissantes. En France, la « Loi Informatique et Libertés » date de 1978. Elle encadre l’utilisation des données par l’administration et les entreprises et renforce les droits des personnes sur leurs données.

Le RGPD a l’ambition d’uniformiser les règles sur les données personnelles au sein de l’union européenne. Chaque Européen doit être traité à la même enseigne.

Une entreprise non conforme peut être sanctionnée d’une amende pouvant s’élever jusqu’à 4% de son CA mondial.

Quels impacts pour le marketing et la communication ?

Dans ce secteur d’activité, trois typologies de données sont couramment utilisées. Elles sont maintenant maniées avec plus de précaution :

1. Les données de Gestion de la Relation Client ou CRM : noms, prénoms, adresses mails, adresses postales, etc. ;
2. Les données de navigation web : comme les cookies ou les adresses IP ;
3. Les données de géolocalisation : localisastion précise ou approximative via les smartphones.

« Le RGPD force les entreprises à manier les données de marketing avec plus de précaution : consentement des clients, droit d’opposition, conservation des données, sécurité des données. »

Par exemple, toute personne a le droit de s’opposer à la collecte de ses données et à demander la rectification et la suppression de ses données. La conservation des données personnelles doit aussi être limitée dans le temps.

Exemple de règles à suivre pour les cookies web

• Informer et recueillir le consentement préalable de l’utilisateur (avec un bandeau type : « En poursuivant votre navigation, vous acceptez l’utilisation de cookies pour mesurer notre audience, etc.)
• Ne pas déposer ou lire les cookies tant que la personne n’a pas donné son consentement !
• Conserver au maximum 13 mois les cookies. A l’expiration de ce délai, le consentement devra être à nouveau recueilli.

Une Masterclass et des exemples parlants pour les étudiants

L’objectif de la présentation : montrer que la protection des données est devenue incontournable dans les entreprises. Le RGPD n’est entré en application que le 25 mai 2018 !

« D’où l’urgence de former les salariés, mais aussi les étudiants. »

Au-delà de la théorie, le DPO a souhaité illustrer son cours avec des cas existants.

« Il fallait que cette session soit très concrète par rapport au cursus des élèves. Ce sont des étudiants qui viennent de la Data, du Marketing et du Digital. La clé, c’est de contextualiser pour démystifier le RGPD. La théorie du RGPD est assez simple en fait à acquérir. Mais le problème, c’est de la rendre opérationnelle. C’est beaucoup plus complexe. »

« Il faut se poser les bonnes questions. Il faut vulgariser le big data et la Data Science pour le public, adapter des concepts généraux à des cas particuliers et à des produits spécifiques. »

Le DPO, un métier en plein essor

La désignation d’un DPO est obligatoire pour :

• Les autorités ou les organismes publics,
• Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
• Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Aujourd’hui 15 000 DPO ont été nommés, il en faudrait 80 000 en France !

« Chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme, le délégué à la protection des données est principalement chargé :

• D’informer et de conseiller son organisme,
• De former et de sensibiliser les employés,
• De contrôler le respect du règlement et du droit national en matière de protection des données
• De conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution
• De coopérer avec la CNIL en cas de besoin et d’être le point de contact de celle-ci.

En savoir plus sur le bi-cursus IIM/EMLV Digital Marketing & Data Analytics