RGPD : Best Practices / Mise en conformité – 11 avril 2018

Réunion animée par Vincent Potier, Founder, London Digital Ventures Ltd, GDPR consent working group, IAB Europe

Comme le rappelle Vincent Potier, le RGPD est un règlement qui sapplique à tous les secteurs de lindustrie, avec un focus sur l’industrie numérique. Selon lui, « le RGPD n‘est pas un obstacle mais va véritablement transformer lindustrie et répondre à un certain nombre de questions que se posent les acteurs. Il y a une vraie tendance mondiale qui se manifeste dans toutes les régions, dont les EtatsUnis, la Chine et lAustralie » 

« Ce qui est clé à comprendre dans le RGPD est quil sagit dun règlement et quon reste dans une continuité légale censée uniformiser la législation en étendant les droits des personnes concernées, en donnant une définition précise des données à caractère personnel et en faisant du consentement la principale base légale pour lindustrie » 

L’article 5 du RGPD prévoit les principes relatifs au traitement des données à caractère personnel et notamment le principe selon lequel les données doivent être collectées pour des finalités déterminées, explicites et légitimes

Sagissant de la durée de conservation des données, cellesci ne doivent pas être conservées plus longtemps que nécessaire. Les autorités nationales vont dailleurs devoir saccorder sur ce point au niveau du G29

Larticle 6 du RGPD prévoit 6 bases légales de traitement des données à caractère personnel dont les deux principales sont le consentement et lintérêt légit rappel, lintérêt légitime de la société ne doit pas dépasser lintérêt de la personne concernée

Sagissant du champ dapplication, le RGPD sapplique aux personnes concernées en 

fonction de leur localisation, et non en fonction de l’endroit se situe le business. Le règlement sapplique donc à toute entreprise dont le siège social est situé en Europe

« Le champ dapplication est lune des raisons pour lesquelles certains acteurs américains sont si impliqués« , explique Vincent Potier. « En effet, ces derniers ont une vision assez binaire de la législation et craignent les sanctions prévues par les textes. Certains acteurs ont dailleurs dores et déjà suspendue leur activité en Europe » 

Comme le précise André Banden Semper, Managing Director Europe, Purch, « ce qui est très inquiétant pour ces acteurs et quils pensent que dans certains cas, pour certains flux, lamende peut être supérieure aux bénéfices quils nèrent en Europe. Ils se concentrent donc sur des marchés qui leur pose moins de problèmes » 

Sagissant du consentement, comme le prévoit larticle 6 du Règlement européen, cest lune des conditions de la licéité du traitement. Larticle 4 du règlement le définit comme « toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent lobjet dun traitement. » Il doit pouvoir être retiré aussi facilement quil a été donné

Sagissant de linitiative de lIAB Europe, « Transparency and Consent Framework« , selon Vincent Potier, plusieurs questions se posent

Estce que le consentement est votre base légale ? Comment obtiendrezvous le consentement ? Quel est limpact sur lUX ? Comment distribuer les données consenties

Ce framework sappuie sur quatre piliers : la transparence et le choix de lutilisateur, la réglementation relative au consentement, la liste globale de vendeurs et une architecture de référencement. Cette dernière, qui est en fait du code, est insérée dans un cookie. La compliancy dépendra des interprétations des autorités de contrôle

A date, les specs techniques de linitiative ne sont pas encore définitivement arrêtées

Comme le rappelle Maître Corinne Thiérache, en matière de conformité, le régime actuel reste en vigueur tant que le Règlement ePrivacy n’est pas adopté. 

Lire l’article publié sur le site du GESTE. 

Néanmoins, comme le précise Vincent Potier, « les acteurs internationaux qui ont une activité plus internationale que française ne se fieront pas à l’interprétation spécifique de la CNIL mais aux interprétations des autres autorités de contrôle européennes » 

S’agissant des mécanismes de recueil du consentement, selon Vincent Potier, « aujourd’hui, la plupart sont fluides et rapides mais avec plusieurs étapes que l’on retrouve systématiquement comme le droit d’opposition finalité par finalité et donc vis-à-vis des partenaires associés » 

Pour ce qui est de la roadmap de mise en conformité avec le RGPD, Vincent Potier conseille : 

– De mettre en place une task force avec un project manager -De consulter des avocats pour avoir leur interprétation légale -De mener des audits de données – De réaliser une cartographie des données qui peut mener à une analyse d’impact informelle 

-De s’assurer que l’ensemble de la chaîne est en conformité en ayant en tête qu’on est tous responsables 

– D’avoir une politique et des procédures de confidentialité -De prévoir la conservation et la minimisation des données ainsi que la gestion du consentement -D’avoir une démarche d’éducation et de pédagogie auprès des partenaires s’agissant du RGPD -De traduire la politique de confidentialité selon les langues concernées : empreinte géographique 

– De désigner un DPO – De se poser les questions liées à l’industrie numérique: transferts internationaux de données, localisation des serveurs, … 

Prochain rendez-vous : Dans la continuité de ces discussions, nous vous proposons de nous retrouver au Figaro le mercredi 16 mai, à 16h30, pour échanger avec l’IAB Europe et GroupM au sujet de leurs initiatives respectives.