Make data protection great again

La GDPR est d’application depuis 5 mois. 1er bilan au Luxembourg.

La GDPR (General Data Protection Regulation) est en vigueur depuis le 25 mai en Europe et le Luxembourg. Et malgré les cris d’orfraie de certains, l’apocalypse n’a pas eu lieu.
Mais pour les marketeurs, la vie est quand même un peu plus compliquée. La chambre de Commerce américaine à Luxembourg (Amcham) a invité le public ce mardi soir à la Chambre de Commerce pour une conférence sur le thème :

« Marketing in the GDPR world: Same, same… but different ». Pour en débattre, 3 témoins privilégiés:

  • Jean-François Mirarchi, DPO et Risk Manager chez Luxair
  • Gary Cywie, Consel at Elvinger Hoss Prüssen
  • Pascal Steichen, CEO chez SECURITYMADEIN.LU

Frédéric Vonner (Partner chez PwC) a animé la discussion après l’avoir lancée sur les chapeaux de roues avec quelque scoop provenant de la CNPD. Un premier état des lieux chiffrés depuis l’avènement de la GDPR :

  • La CNPD a reçu 89 notifications de fuites de données
  • Elle a enregistré une baisse en août et septembre
  • Ces chiffres sont comparables avec la moyenne européenne
  • Parmi les incidents notifiés ont des origines :
    • 40 sont d’origine interne et non intentionnelle
    • 6 sont d’origine interne et intentionnelle
    • Dans 29 cas, des données ont été envoyées à la mauvaise personne
    • 21 sont la conséquence d’un hacking
    • 6 ont été causées par du phishing

Ces incidents n’ont débouché sur aucune sanction pour l’instant. La CNPD s’est concentrée sur l’aide à la résolution des problèmes. Par contre, la baisse des notifications enregistrée ces dernières semaines est sans doute le signe qu’un certain nombre d’incidents n’ont pas été déclarés. La CNPD en appelle à la vigilance et exhorte toutes les organisations à notifier TOUT incident impliquant des données personnelles. Plus de détail sur les notifications

L’idéal est bien entendu de ne pas avoir de problème à notifier…  Pour cela quelques bonnes pratiques sont à rappeler. L’Amcham en a listé 7 :

  • S’assurer de la base légale des processus marketing (intérêt légitime ou consentement des personnes dont les données sont traitées) ;
  • Si le traitement repose sur un consentement, s’assurer que celui-ci est et reste valide.
  • Donner la possibilité d’un opt-out lors de chaque interaction avec les clients
  • Donner aux contacts toutes les informations sur la manière dont leurs données sont utilisées
  • Demander au service IT de mettre en place des mesures permettant de protéger les données et d’assurer que leurs propriétaires puissent exercer leur droit de correction ou de suppression.
  • Préparer un plan de réaction en cas d’incident ou de plainte
  • Revoir tous les textes sur les sites web et emails pour s’assurer qu’ils sont précis et conformes à la réalité.

Les débats se sont d’abord concentrés sur la question du consentement, avec un cas pratique : les cartes de visite. D’un point de vue juridique, le fait de donner sa carte de visite n’implique aucun consentement au traitement de ses données. On pourrait objecter qu’implicitement,  l’échange de cartes de visite ouvre la porte à une prise de contact. Objection rejetée, le consentement doit être explicite. La vie des commerciaux et adeptes du networking intensif va devenir plus compliquée…  Mais Me Gary Cywie a prodigué un conseil pratique qui pourrait les soulager : « Attendez quelques jours après avoir reçu la carte de visite et ensuite envoyez-leur un mail pour leur proposer, entre autres, d’être intégrés à telle mailing-list ou telle base de données… »

La question du consentement a également été abordée : il faut toujours en conserver la preuve, par exemple dans le CRM. Sauf pour les clients existants, dont les données peuvent être conservées sans consentement préalable, à condition de leur garantir une possibilité d’opt-out lors de chaque interaction.

La conservation et la suppression des données ont ensuite été abordées. Combien de temps peut-on / doit-on conserver les données personnelles. Dans certains cas, comme chez Luxair, des réglementations internationales s’imposent aux opérateurs. En l’absence de réglementation spécifique, la durée de conservation doit être étudiée au cas par cas, et objectivée selon les besoins. Mais attention, la décision en matière de conservation des données doit être documentée et conservée. Accountability est un des mots-clés majeurs de la GDPR.

On peut également mettre en place un « principe de précaution » en décidant que les contacts inactifs depuis plus de 24 mois seront automatiquement supprimés du CRM. La suppression est également une question technique, puisque la touche DELETE de nos claviers n’est pas toute-puissante (heureusement, d’ailleurs…).  Selon Pascal Steichen, il faut s’adresser à son responsable informatique pour s’assurer que la suppression des données soit effective et définitive. « Nos infrastructures informatiques sont beaucoup plus performantes pour conserver les données que pour les effacer… Par sécurité, nous faisons des backups de toutes nos donnes, et ces backups peuvent continuer à exister après que les données originales aient été effacées… »

La question des outils a également été abordée. Certains logiciels ou services cloud utilisés pour le traitement des données des clients offrent plus ou moins de garanties, et dans certains cas ont des fonctionnalités permettant réduire les risques de fuites de données. Le choix doit donc se faire de manière prudente et avisée.

Le public a ensuite pu poser de nombreuses questions sur des cas pratiques, ce qui a donné lieux à des échanges riches et instructifs.

 

 
  • Share with care: