L’entrée en vigueur du Règlement Général pour la Protection des Données (RGPD ou GRPD* en anglais) le 25 mai 2018 donne de nouvelles responsabilités aux entreprises en matière de collecte et de traitement des informations à caractère personnel de ses prospects et clients.
Les nouvelles obligations impliquent également les partenaires de ces entreprises dès lors qu’ils ont accès aux données. Votre agence marketing est donc particulièrement concernée à partir du moment où elle traite des données pour votre compte. Plus qu’une possibilité de vous donner un coup de main, votre agence a l’obligation de vous guider dans votre processus de GDPR compliance.
En conséquence, non seulement les nouveaux contrats devront être mis à jour pour intégrer les nouvelles clauses obligatoires, mais c’est également le cas des contrats de sous-traitance en cours d'exécution.
Le concept de "Responsable du traitement"
Le responsable du traitement est par définition la personne ou l’organisme qui détermine les finalités et les moyens du traitement des données. Dans le cas d’une entreprise, il s’agit de son représentant légal : le Président, le Directeur général, etc. ou de la personne à qui a été déléguée ce pouvoir.
Par exemple : Le Directeur Marketing peut se voir déléguer ce pouvoir pour les traitements concernant les prospects et clients de l’entreprise.
*General Data Protection Regulation GDPR pour la traduction anglaise du RGPD
Les opérations de traitement des données (data processing) de la part d’une agence pour son client doivent être définies de façon claire et transparente. C’est à dire qu’elles doivent désormais être encadrées par un contrat listant l’ensemble des obligations de chaque partie, et notamment les types de traitements de données que le prestataire peut réaliser pour son client.
Pour toute action entreprise par une agence, il sera nécessaire de prouver qu’elle en a reçu l’instruction de la part du responsable de traitement de son client. Elle devra également être en mesure de prouver que ces actions sont en conformité avec le RGPD en cas d’audit.
L’obligation de transparence s’étend également au sous-traitant d’une agence. Si elle y fait appel, elle doit tenir informer et demander l’autorisation écrite de son entreprise cliente. En cas de non respect des obligations de protection des données de la part du sous-traitant, l’agence est directement responsable vis à vis de son client.
Prendre en compte le principe de protection des données par défaut
Une agence marketing doit être en mesure de prouver la GDPR compliance de ses clients. Cela passe notamment par le fait de garantir que les modalités de traitements de données personnelles répondent aux exigences réglementaires dès leur conception et par défaut. Il ne doit pas être nécessaire de paramétrer un logiciel pour le mettre en conformité, il doit être “livré conforme”. En ce sens, il est primordiale d'évaluer si les outils marketing utilisés sont GDPR compliant.
Parmi les principes clés du RGPD auxquels doit tenir compte une agence marketing, on trouve entre autres :
Votre prestataire doit garantir un niveau de sécurité suffisant pour vos données (principe de data security). Ce niveau de sécurité doit être adapté au risque encouru et donc au type de données. Plus les données sont sensibles (informations bancaires, médicales, etc.), plus le dispositif de protection doit être élaboré et robuste.
En cas de violation de vos données (notion de data breaches), qu’elle soit accidentelle ou volontaire, une agence est dans l’obligation de la notifier à ses entreprises clientes, à la Commission Nationale Informatique et Liberté (CNIL) ainsi qu’aux utilisateurs victimes de la violation.
Le nouveau règlement européen promeut une responsabilisation de tous les acteurs qui à un moment donnée traitent des informations à caractère personnel. À ce titre, les agences marketing ont désormais l’obligation d’aider leur client dans leur démarche de mise en conformité.
En ce sens, une agence est tenue d'alerter une entreprise cliente dans le cas où ses instructions seraient en contradiction avec le RGPD. En cas de traitement à risque élevé pour la sécurité des données, elle doit également accompagner son client dans la mise en place d’une analyse d’impact.
Le prestataire doit également aider son client à répondre aux demandes provenant des utilisateurs, que ce soit pour accéder à leurs données personnelles, les modifier, ou les effacer.
Nous venons de le voir, votre agence marketing joue un rôle important dans votre mise en conformité RGPD. En tant que sous-traitant intervenant dans le traitement des données personnelles pour votre compte, elle doit vous accompagner dans la mise en oeuvre de vos nouvelles obligations.
C’est un tournant à 180° par rapport à la logique actuelle qui veut que seule l’entreprise cliente soit responsable du respect de la loi Informatique et Liberté. À partir du 25 mai 2018, tous les acteurs impliqués dans le traitement des données personnelles devront se responsabiliser. Les agences marketing auront notamment un rôle clé avec l’obligation d’aider leurs clients dans leur démarche de mise en conformité.
L’entrée en vigueur du GDPR implique de nombreux changements et la mise en place de nouveaux process, l’aide de votre agence marketing ne sera pas de trop pour vous accompagner dans cette évolution.
Être proactif dans cette démarche et le fait d’anticiper les nouvelles obligations de vos équipes marketing vous permettront de fluidifier la transition vers la GDPR compliance. Ces dernières constituent autant de contraintes qu’une opportunité d’instaurer une relation plus forte avec vos prospects et clients. La mise en oeuvre d’un marketing plus permissif, basé sur la génération de valeur ajoutée pour vos prospects, devient incontournable pour réconcilier performance et respect de la vie privée… à ce propos, avez vous entendu parler d’Inbound Marketing ;) ?