Et le RGPD dans votre développement international ?

Oct 13, 2020 | Développement international

En plus d’éléments techniques, votre stratégie marketing digital internationale devra intégrer le traitement des éléments juridiques imposés par la loi européenne sur le règlement général de la protection des données, dites RGPD.

La nouvelle réglementation

La CNIL, est l’autorité administrative indépendante française en charge d’informer et de contrôler, que l’informatique soit au service du citoyen et qu’elle ne porte pas atteinte ni à l’identité humaine, ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

La CNIL a donc naturellement intégré dans son périmètre la loi RGPD. Elle propose un ensemble d’outils très pédagogiques sur son site internet, pour aider les entreprises à comprendre les enjeux du RGPD et les moyens à mettre en oeuvre, y compris une formation en ligne ouverte à tous sous forme de mooc.

L’objectif ici n’est pas de refaire ce qui a déjà été très bien fait ailleurs, mais de vous sensibiliser à cette nouvelle réglementation et de vous donner quelques clés utiles pour vous éviter de faire des erreurs qui pourraient vous coûter cher.

Marketing digital & RGPD 

Concernant le marketing digital, le RGPD impose quelques principes simples :

  • Avoir un processus interne clairement définis sur les données collectées et être transparent sur l’usage des données collectées en affichant clairement sa politique de confidentialité. Des modèles sont notamment disponibles sur le site de la CNIL.
  • Mettre en place un processus de traitement des demandes de corrections et de suppression voire de droit à l’oubli. En général, ce processus est intégré dans les outils de collecte d’informations compatibles au RGPD comme Sendinblue, SharpSpring ou encore Hubspot.
  • Sécuriser l’accès aux données en privilégiant un stockage des données collectées sur des serveurs basés en Europe ou sur des serveurs qui respectent à minima les normes européennes de sécurité, comme par exemple le standard américain Privacy Shield.
  • Ensuite, en fonction du profil des personnes ciblées B2C ou B2B et du type d’information collecté : personnel, nom, prénom, adresse, e-mail… ou sensible : sexe, religion, santé, l’impact sera plus ou moins important.

Les 3 principaux cas de figure rencontrés

Dans le cas d’une activité B2B, si vous collectez des données personnelles, non considérées comme sensibles, un outil de collecte et de traitement des données compatibles RGPD, ainsi, qu’une politique de confidentialité peuvent suffire, c’est le principe de l’opt-out.

Dans le cas d’une activité B2C par contre, l’impact sera beaucoup plus important. Le consentement est obligatoire pour être prospecté et vous avez l’interdiction d’envoyer un e-mail à une personne qui n’a pas donné expressément son accord préalable, c’est le principe de l’opt-in.

Dans le cas d’une collecte de données personnelles, considéré comme sensible, peu importe que votre activité soit BtoB ou BtoC, il vous faudra absolument vous mettre en conformité avec les registres et procédures spécifiques liés à la sécurité des données.

Les sanctions de la non-conformité

Depuis, l’entrée en vigueur du RGPD, en mai 2018, certaines sociétés ont été prises de panique et ont mis en place des moyens surdimensionnés par rapport à la loi, au point de limiter voire même de stopper leurs campagnes de marketing digital. D’autres au contraire, négligent cette loi et pensent qu’elles sont trop petites ou trop grosses pour être concernées.

Il ne faut pas tomber dans l’un ou dans l’autre de ces deux extrêmes, car les sanctions peuvent être importantes jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.

Par ailleurs, ces sanctions peuvent être rendus publiques. Par exemple, fin 2018, la formation restreinte de la CNIL a prononcé une sanction de 400 000 € à l’encontre de la société Uber pour avoir insuffisamment sécurisé les données des utilisateurs de son service de vtc et depuis 2019, elle a infligé une amende record de 50 millions d’euros à Google pour manque de transparence, informations insatisfaisantes et absence de consentement valable pour la personnalisation de la publicité.

Mais les entreprises qui souhaitent exporter sont souvent dans le cas de figure le moins impacté, activité BtoB avec collecte de données personnelles non considérée comme sensible. Il est donc souvent possible de se mettre en conformité avec un minimum d’actions. Définir et afficher sur son site sa politique de confidentialité et disposer d’un outil compatible RGPD pour la collecte des informations et le traitement des demandes de modifications.

Pour définir et mettre en place les moyens nécessaires à votre situation, n’hésitez pas à faire appel à un expert (interne ou externe). Consultez le site de la CNIL pour plus d’informations et surtout restez en veille permanente, car la jurisprudence, évolue régulièrement sur ce sujet.