RGPD : "privacy by design" ou "privacy by default" ?

RGPD : "privacy by design" ou "privacy by default" ?

Le règlement européen sur la protection des données entre en vigueur dans moins d'un mois mais les principes qu'il introduit ne sont probablement pas encore entrés dans les mœurs... et les bonnes pratiques des marketeurs. Un concours, glissé dans ma boîte aux lettres il y a quelques jours, me donne une bonne opportunité de réflexion sur le sujet. Il s'agit d'un coupon-réponse qu'il faut compléter, affranchir et envoyer par voie postale. C'est un type d’opération marketing assez répandu mais qui devra, comme beaucoup d'autres, se plier aux principes du RGPD,  à partir du 25 mai prochain.

 

gdpr-1.jpeg

Un nouveau cadre pour le traitement des données

Avant de revenir sur ce cas d'étude qui a littéralement atterri entre mes mains, voici un rappel rapide du contexte.

Le règlement général sur la protection des données, plus connu sous son acronyme anglais – GDPR, est une législation européenne qui entre en vigueur le 25 mai 2018. Il vise à encadrer le traitement de données à caractère personnel de citoyens européens par les entreprises (y compris, voire surtout, si le traitement se fait hors UE/EEE). Le but est de responsabiliser les acteurs pour que des cas comme, récemment, Cambridge Analytica, soient évités. Avec des sanctions pouvant monter à 4% du chiffre d'affaires mondial du groupe ou 20 millions d'euros, la législation se donne des moyens de dissuasion, y compris pour les mastodontes comme Facebook.

Le renforcement des droits des individus et la responsabilisation des acteurs (responsables de traitement et sous-traitants) s'articulent autour de 6 principes consacrés par l'article 5. Mais le règlement introduit également un changement de paradigme dans l'approche de la protection des données en imposant, par son article 25, la protection dès la conception et par défaut.

La protection des données comme partie intégrante du processus de conception

À compter du 25 mai, donc, il faudra systématiquement intégrer les considérations de protection des données, dès qu'un traitement est envisagé. Il faudra bien sûr s'assurer de la conformité aux principes, comme la minimisation des données (est-ce qu'on a vraiment besoin de la date de naissance de l'individu dans le cadre d'un jeu concours ?) mais également anticiper — et idéalement éviter — ce qui pourrait poser un risque dans le processus de traitement.

Le coupon-réponse de notre exemple comporte, à cet égard, un défaut évident : il invite l'individu à le remplir, l'affranchir et le renvoyer, exposant ainsi ses données personnelles sur tout ou partie du parcours. Le responsable du traitement pourra éventuellement prétendre que l'individu consent, en pleine conscience, à exposer ses données lorsqu'il choisit d'envoyer le coupon-réponse en l'état plutôt que dans une enveloppe. Toutefois, ne serait-ce pas là une facile exonération de sa responsabilité au sens de l'article 25 ?

Je pense que cette question se posera assez globalement pour beaucoup d'opérations de couponing. Par exemple, dans le cadre d'une invitation à un événement, est-ce que l'éventualité d'exposer la présence d'une personne peut être un problème au regard du nouveau règlement ?

J'ai posé la question à la CNPD et je mettrai à jour cet article dès que j'aurai une réponse. Pour ma part, il me semble contestable de présumer que l'individu est conscient du risque que pose cet envoi. De plus, il me semble qu'en application des principes de protection par défaut et dès la conception, le responsable du traitement devrait avoir identifié ce risque en amont et au moins, attirer l'attention de l'individu sur ce dernier.

Qu'en pensez-vous ? La question est "tricky", vos avis m'intéressent ! Donc n'hésitez pas à partager votre analyse ou d'autres exemples qui pourraient illustrer l'application de ces principes du RGPD.

Si le sujet vous intéresse...

La CNPD a publié un dossier thématique très complet sur le concept de Privacy by Design.

Nvision a publié un livre blanc digital sur les questions RGPD/GDPR dans le cadre de l'email marketing.

Nouveau site pour Fedas Luxembourg, spécialiste de la formation continue

Nouveau site pour Fedas Luxembourg, spécialiste de la formation continue

RGPD : Nvision x Grant Thornton

RGPD : Nvision x Grant Thornton