Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Incidences de la RGPD sur la communication et le marketing

481 views

Published on

Le Règlement Général de la Protection des Données (RGPD) s’appliquera à partir du 25 mai 2018, en France, comme dans tous les Etats de l’Union Européenne. Si vous exploitez une base de données personnelles de clients, prospects, fournisseurs, …. , vous devez mettre en place des mesures de protection des données.

Les incidences de la nouvelle règlementation sont importantes dans la collecte des données, le type de données collectées, la durée de conservation des données, les utilisateurs et destinataires, les relations avec les prestataires utilisateurs de ces données, …. Le marketing et la communication sont fortement impactés ; c’est le cas par exemple, pour tous les outils de data marketing et de stratégie média.

Il est important d’être bien préparé à cette nouvelle règlementation pour aborder de façon très concrète les sujets qui vont impacter notre quotidien. Nous traiterons de la capture de données, la pratique des cookies, l’enrichissement des bases de données, le profilage de clients, etc.

Published in: Marketing
  • Be the first to comment

Incidences de la RGPD sur la communication et le marketing

  1. 1. La protection des données personnelles Comment assurer en pratique la conformité au RGPD ? Anne SENDRA et Amandine MASSE, Avocats
  2. 2. 26 mars 2018 La protection des données personnellesPage 1 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. 1. Propos introductifs : pourquoi respecter le RGPD ? 2. Quelques définitions 3. Focus sur quelques notions 4. Les impacts sur votre pratique / mise en conformité SOMMAIRE
  3. 3. 26 mars 2018 La protection des données personnellesPage 2 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. 1. Propos introductifs : pourquoi respecter le RGPD ? 1. Quels risques en cas de non-conformité ? 2. Le risque de sanction CNIL, chimère ou réalité ?
  4. 4. 26 mars 2018 La protection des données personnellesPage 3 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Quels risques en cas de non-conformité ?
  5. 5. 26 mars 2018 La protection des données personnellesPage 4 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Des sanctions relayées par la presse
  6. 6. 26 mars 2018 La protection des données personnellesPage 5 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Illustration : l’affaire ACADOMIA
  7. 7. 26 mars 2018 La protection des données personnellesPage 6 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Illustration : l’affaire ACADOMIA
  8. 8. 26 mars 2018 La protection des données personnellesPage 7 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Origine des contrôles
  9. 9. 26 mars 2018 La protection des données personnellesPage 8 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Le programme annuel de contrôles prioritaires de la CNIL (de 2013 à 2017) 2017 Ø La confidentialité des données de santé traitées par les sociétés d'assurance Ø Les fichiers de renseignement Ø Les télévisions connectées (« Smart TV »)
  10. 10. 26 mars 2018 La protection des données personnellesPage 9 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Typologies des contrôles de la CNIL Contrôle sur place Contrôle sur pièces Contrôle sur convocation Contrôle en ligne (loi relative à la consommation du 17 mars 2014)
  11. 11. 26 mars 2018 La protection des données personnellesPage 10 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Orientations de la politique de contrôle de la CNIL à compter du 25 mai 2018
  12. 12. 26 mars 2018 La protection des données personnellesPage 11 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. 2. Quelques définitions 1. Accountability 2. Proportionnalité 3. Droit des personnes concernées
  13. 13. 26 mars 2018 La protection des données personnellesPage 12 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Principe d’accountability, pierre angulaire du RGPD
  14. 14. 26 mars 2018 La protection des données personnellesPage 13 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. RGDP : répartition des responsabilités
  15. 15. 26 mars 2018 La protection des données personnellesPage 14 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Principe de proportionnalité ► Toute opération de collecte des données doit être proportionnée au regard de la finalité du traitement ► Concrètement, la CNIL se référera à ce principe pour vérifier quelles informations peuvent être collectées ► Exemple pratique de Fichiers Clients d’agences immobilières Données jugées excessives Données acceptables Jugement de divorce, information relative au compagnon d’un candidat célibataire Situation familiale, composition du foyer Emprunts bancaires contractés Situation professionnelle, coordonnées de l’employeur, ressources du candidat et des cautions « Personne visiblement atteinte d’un cancer »
  16. 16. 26 mars 2018 La protection des données personnellesPage 15 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Proportionnalité : attention à certaines données ► Données sensibles ► « Les données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » sont des données considérées comme sensibles par la Loi. ► Numéro de sécurité sociale ► Données utilisées à des fins de gestion du risque ► Données de nature pénale ► Zones « bloc-notes »
  17. 17. 26 mars 2018 La protection des données personnellesPage 16 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Illustration : délibération de la CNIL du 15 décembre 2016
  18. 18. 26 mars 2018 La protection des données personnellesPage 17 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Quels sont les droits des personnes concernées ? ► Consentement préalable ► Prospection commerciale par email et SMS ► Article L.34-5 du Code des postes et des communications électroniques ► Décision de la CNIL du 12 janvier 2012 : sanction de 20.000 € contre D.S.E France
  19. 19. 26 mars 2018 La protection des données personnellesPage 18 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Quels sont les droits des personnes concernées ? Cookies ► Cookies – Consentement ► Action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer: ► Le consentement doit être préalable à l'insertion ou à la lecture de cookies ► Le consentement est une manifestation de volonté, libre, spécifique et informée : La validité du consentement est donc liée à la qualité de l'information reçue ► Le consentement n'est valide que si la personne exerce un choix réel ► Le consentement doit pouvoir être retiré par l'internaute ► À l'expiration de ce délai, le consentement devra être à nouveau recueilli. ► Leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site.
  20. 20. 26 mars 2018 La protection des données personnellesPage 19 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Quels sont les droits des personnes concernées ? Cookies ► Cookies – Concrètement, comment se mettre en conformité ? ► Etape 1: L'internaute doit être informé, par l'apparition d'un bandeau : ► des finalités précises des cookies utilisés ; ► de la possibilité de s'opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ; ► du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal. ► Etape 2: les personnes doivent disposer de solutions leur permettant de refuser l'insertion des cookies. Le choix offert à l'usager d'accepter ou de refuser : ► Doit être possible pour l'ensemble des technologies de traçage utilisées par l'éditeur (cookies, cookies flash, fingerprinting, les plugins, certaines images stockées dans le navigateur, les espaces mémoires spécifiques aux différents navigateurs, etc) ; ► Il doit permettre à l'usager d'accepter ou de refuser les cookies par finalités (tel que la publicité, les réseaux sociaux, la mesure d'audience).
  21. 21. 26 mars 2018 La protection des données personnellesPage 20 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Focus sur la durée de conservation ► Mention obligatoire depuis la Loi pour une République numérique du 7 octobre 2016 ► Durée de conservation à définir systématiquement. A l’issue de cette période, les données doivent être supprimées ou archivées. ► Annuaire des Anciens élèves : mise à jour annuelle et effacement de toutes les données si le courrier/email revient avec la mention « N’habite plus à l’adresse indiquée » ► Recommandations de la CNIL en matière d’archivage du 11 octobre 2005 ► Archives courantes : données d'utilisation courante; ► Archives intermédiaires : données qui présentent encore pour les services concernés un intérêt administratif, comme par exemple en cas de contentieux, et dont les durées de conservation sont fixées par les règles de prescription applicables; ► Archives définitives : données présentant un intérêt historique, scientifique ou statistique justifiant qu'elles ne fassent l'objet d'aucune destruction. ► Difficultés opérationnelles ► Solution informatique peu adaptée ► Difficulté de gérer des durées de conservation distinctes
  22. 22. 26 mars 2018 La protection des données personnellesPage 21 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Quels sont les droits des personnes concernées ? Paiement par carte bancaire ► Recommandation de la CNIL du 20 juillet 2017 ► Autorisation du consommateur pour la conservation au-delà de la transaction ► Intégration sur le site Internet d’un moyen simple de retirer, sans frais, le consentement initialement donné ► Autorisation de la CNIL pour les traitements de lutte contre la fraude au paiement
  23. 23. 26 mars 2018 La protection des données personnellesPage 22 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. RGPD : de nouveaux droits
  24. 24. 26 mars 2018 La protection des données personnellesPage 23 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Droit à la sécurité et à la confidentialité des données ► Obligation de mettre en œuvre des mesures de sécurité physique et logique contre : ► L’ accès et la communication non autorisés ► La destruction et la perte accidentelles ou illicites ► L’altération des données ► Délibérations des 17 janvier 2017 et 22 juin 2017 relatives à la gestion des mots de passe ► Obligation d’intégrer certaines stipulations dans les contrats avec les sous- traitants ► Le sous-traitant ne pourra agir que selon les instructions du responsable ► Les mesures de sécurité et de confidentialité mises en place par le sous-traitant ► Obligation de notifier les failles de sécurité ► Ordonnance du 24 août 2011 : limitation aux fournisseurs d’accès aux services de communications électroniques ► RGDP : extension à tous les responsables (articles 33 et 34)
  25. 25. 26 mars 2018 La protection des données personnellesPage 24 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Décision récente de la CNIL
  26. 26. 26 mars 2018 La protection des données personnellesPage 25 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Notification des « failles de sécurité »
  27. 27. 26 mars 2018 La protection des données personnellesPage 26 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Notification des « failles de sécurité »
  28. 28. 26 mars 2018 La protection des données personnellesPage 27 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. 3. Focus sur quelques notions 1. Profilage 2. Enrichissement de bases de données
  29. 29. 26 mars 2018 La protection des données personnellesPage 28 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Focus sur le Profilage ► Article 4 RGPD ► un traitement automatisé ; ► un traitement qui porte sur des données personnelles ; ► un traitement dont l’objectif est d’évaluer les aspects personnels d’une personne physique, notamment pour analyser ou prédire des éléments (rendement au travail, comportement, intérêts). ► Droits de la personne concernée: ► Information ► Opposition
  30. 30. 26 mars 2018 La protection des données personnellesPage 29 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Focus sur le Profilage ► Notion de prise de décision automatisée ► une décision ; ► fondée exclusivement sur un traitement automatisé ; ► produisant des effets juridiques ou susceptibles d’affecter de manière significative la personne concernée. ► Art 22 RGPD: ► droit pour une personne de ne pas faire l’objet d’une prise de décision individuelle automatisée ► Exceptions: ► décision nécessaire à la conclusion ou à l’exécution d’un contrat ► décision autorisée par la loi et qui prévoit des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ; ou ► décision fondée sur le consentement explicite de la personne concernée.
  31. 31. 26 mars 2018 La protection des données personnellesPage 30 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Focus sur l’enrichissement de bases de données ► Necessité d’une information claire des personnes concernées ► Respecter les droits des personnes concernées (notamment droit d’opposition) ► Exhaustivité des mentions d’information
  32. 32. Février 2018 La protection des données personnellesPage 31 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. 4. Impacts sur votre pratique / mise en conformité Et concrètement ? 1. Par quoi commencer ? 2. Quel plan d’actions ?
  33. 33. 26 mars 2018 La protection des données personnellesPage 32 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Par où commencer ? Niveau 1 • Evaluer son risque Niveau 2 • Définir un plan d’actions Niveau 3 • Hiérarchiser les actions à mettre en œuvre
  34. 34. Février 2018 La protection des données personnellesPage 33 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Exemple de cartographie des risques 0 1 2 3 4 5 Cartographie du SI Codes de conduite et Certification Contractualisation avec les sous-traitants Dispositif de détection et de notification Etude d'impact sur la vie privée (DPIA) Gestion de l’exercice des droits des personnes Protection de la vie privée dès la conception(« privacy by design ») Sécurité des données personnelles Transparence, information
  35. 35. Février 2018 La protection des données personnellesPage 34 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Impacts du RGPD Organisation Processus PolitiquesSystèmes d’information Impacts du RGPD Quels types d’impacts ?
  36. 36. 26 mars 2018 La protection des données personnellesPage 35 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Sélectionner les bons outils Technologies nécessaires à la sécurisation de la confidentialité des données Technologies d’archivage et de suppression des données Documenter la conformité Traduire les exigences juridiques et les « positions » métiers en des politiques internes et des mesures externes pour justifier de la mise en conformité Identifier les impacts métiers Quels sont les finalités et les flux de données ? Quels sont les impacts ? Hiérarchiser les risques en termes de priorité Cartographier les traitements Identifier les traitements au sein de l’entité Identifier les relais pour être conforme tout au long du processus. S’assurer de la remontée des informations Pilotage de la mise en conformité
  37. 37. 26 mars 2018 La protection des données personnellesPage 36 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Nouveaux « outils »
  38. 38. Février 2018 La protection des données personnellesPage 37 © 2018 Propriété d’Ernst & Young Société d’Avocats – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Pour me contacter Anne SENDRA Avocat, Senior Manager, bureau de Marseille Direct Tel : +33 4 91 23 99 14 Mobile : +33 6 22 85 47 41 anne.sendra@ey-avocats.com Amandine MASSE Avocat, Senior, bureau de Montpellier Direct Tel : +33 4 67 13 32 14 Mobile : +33 6 35 27 68 97 amandine.masse@ey-avocats.com

×