Confidentialité des données : comment concilier la stratégie marketing et les exigences légales ?
A partir de septembre, la loi révisée sur la protection des données (revDSG) constituera une nouvelle loi pour la protection des données en Suisse. A cette occasion, Zbynek Zapletal donne dans son article d'invité un aperçu utile des dispositions relatives à la protection des données, des changements et de leur impact sur les activités de marketing.
Aujourd'hui plus que jamais, les consommateurs sont conscients de la valeur que représentent leurs données pour les entreprises et de la manière dont ces dernières peuvent les utiliser. C'est dans ce contexte qu'une série de réglementations sur la protection des données ont été adoptées dans le monde entier. Leur objectif ? Veiller à ce que chaque utilisateur ait le droit de protéger ses données personnelles et d'y accéder. Cela peut être une question délicate pour les spécialistes du marketing, et encore plus pour ceux qui traitent différents types de données dans différents pays.
Qu'est-ce que la protection des données ?
Le terme "protection des données" fait référence aux règles qui régissent l'utilisation des données personnelles des utilisateurs dans le cadre d'une activité professionnelle. Chaque pays a ses propres règles, il peut donc être difficile pour les entreprises de s'y conformer. Toutes ces règles ont cependant le même fondement, à savoir
- Accord Les utilisateurs doivent être clairement informés de la manière dont leurs données peuvent être collectées, stockées et utilisées. Ils doivent donner leur consentement explicite à la collecte, au stockage et à l'utilisation de ces données.
- Conditions juridiques : La réglementation définit les conséquences et les obligations légales pour les entreprises qui collectent et utilisent ce type de données.
- Droits des utilisateurs : Les utilisateurs ont accès à tout moment à leurs données à caractère personnel et peuvent demander leur modification, leur rectification, leur suppression ou leur récupération.
- la sécurité des données : Chaque entreprise doit informer les autorités le plus rapidement possible lorsqu'une violation de la protection des données à caractère personnel a été constatée chez elle.
De quel type de données s'agit-il ?
Tout type de données à caractère personnel est soumis à la législation sur la protection des données. Ainsi, toutes les données qui permettent d'identifier directement ou indirectement une personne relèvent de ce cadre juridique. Ces données personnelles sont
- Nom, prénom, adresse e-mail et numéro de téléphone
- Tout type de données sociodémographiques (profession, sexe, âge...)
- Tout type de géolocalisation
- les données relatives à la manière dont un utilisateur utilise Internet (adresse IP, données comportementales...)
Il convient de noter que les données qui ont été transmises à l'initiative de l'utilisateur sont également concernées. Il en va de même pour les données internes à l'entreprise (toutes les données qui se rapportent aux collaborateurs de l'entreprise).
Qui est concerné par la protection des données ?
Toute entreprise qui collecte, stocke ou utilise des données à caractère personnel sur ses utilisateurs est concernée par la protection des données. La plupart des règles sont conçues du point de vue de l'utilisateur. Cela signifie qu'elles s'appliquent aux entreprises qui utilisent les données à caractère personnel d'utilisateurs situés dans la région à laquelle ces règles s'appliquent. En d'autres termes, même si une entreprise n'est pas située dans une région où un règlement particulier s'applique ou si ses données sont stockées dans un autre pays, elle est
l'entreprise est tout de même concernée, ses utilisateurs devraient se trouver dans cette région. Il est donc important de connaître les différentes réglementations et de s'y conformer.
Quelles sont les règles en matière de contrôle de la protection des données ?
Les différentes règles relatives à la protection des données à caractère personnel qu'il convient de connaître afin d'adapter au mieux les activités de marketing à ces règles sont expliquées ci-dessous.
En Europe, le RGPD (Règlement général sur la protection des données) est en vigueur. Il s'agit d'un règlement de l'Union européenne qui est entré en vigueur en 2018 et qui est appliqué par les instances nationales compétentes.
Elle stipule que les entreprises doivent, entre autres,...
- demander aux utilisateurs leur consentement explicite lors de la collecte de leurs données personnelles
- disposent d'un registre expliquant comment ces données sont collectées, stockées et protégées à tout moment
- permettre aux utilisateurs de modifier, de rectifier, de supprimer ou d'accéder à leurs données à caractère personnel.
En Californie, c'est le CCPA (California Consumer Privacy Act) qui doit être respecté. Cette réglementation, qui est entrée en vigueur en 2020, est très similaire au RGPD, mais régit spécifiquement la manière dont les entreprises stockent et partagent les données des résidents californiens. Ces utilisateurs doivent être informés de la manière dont leurs données sont collectées et ils doivent pouvoir y accéder à tout moment pour demander leur suppression.
Au Brésil, la LGPD (Lei Geral de Proteção de Dados), qui est entrée en vigueur en août 2020, régit le concept de protection des données. Cette loi, qui s'inspire également directement du RGPD, définit la manière dont les entreprises collectent, traitent et partagent les données personnelles des utilisateurs résidant au Brésil.
Les dispositions relatives au transfert de données en dehors de l'UE
Lorsqu'une entreprise doit transférer des données en dehors de l'UE, il est nécessaire de respecter les réglementations en vigueur dans ces pays. En France, par exemple, la CNIL (Commission Nationale de l'Informatique et des Libertés), en Allemagne le BFDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) et au Royaume-Uni l'ICO (Information Commissioner's Office) ne doivent plus, depuis l'entrée en vigueur du GDPR, donner leur autorisation pour les transferts de données en dehors de l'UE s'ils sont basés ...
- Clauses contractuelles types ("CCN") établies par la Commission européenne,
- un code de conduite approuvé par l'UE,
- d'une règle interne approuvée par l'UE pour une entreprise donnée, ou
- se baser sur une certification approuvée par l'UE.
Il convient toutefois de noter que tant l'entreprise qui exporte des données à caractère personnel que celle qui les importe doivent vérifier quelles sont exactement les règles spécifiques de chaque pays.
Quels sont les changements à venir ? Et comment se répercutent-ils sur le marché ?
Le concept de protection des données faisant régulièrement l'objet de nouvelles lois et réglementations, il est essentiel d'anticiper les changements à venir dans ce domaine.
revDSG : une nouvelle loi pour la protection des données en Suisse
En Suisse, les entreprises devront se conformer à la nouvelle loi sur la protection des données revDSG à partir du 1er septembre 2023. Cette loi est également alignée sur le RGPD afin de maintenir la libre circulation des données entre la Suisse et l'UE et de garantir la protection des droits des utilisateurs.
- Il contient les principes clés du GDPR
- les utilisateurs doivent être informés de la collecte de leurs données personnelles (et pas seulement des données sensibles, comme le mentionne déjà la loi)
- Les entreprises doivent créer un registre de données
- En outre, ils doivent informer immédiatement le délégué à la protection des données lorsqu'une violation de la sécurité est constatée
- Les principes de "privacy by design" et de "privacy by default" sont introduits par la loi.
Transfert de données entre les États-Unis et l'UE
Début octobre 2022, le président américain a annoncé qu'un nouveau règlement serait mis en place pour le transfert de données entre les États-Unis et l'Union européenne, afin que ces données soient aussi bien protégées que dans le cadre du GDPR. Ce nouveau règlement remplacera les deux projets de cadre précédents, "Safe Harbor" et "Privacy Shield", qui ont été invalidés par la justice européenne.
Cette ordonnance...
- met en place un nouveau tribunal chargé de contrôler la protection des données sous la responsabilité du ministère américain de la Justice
- prévoit que les États-Unis limitent l'accès de leurs instances compétentes aux données des Européens à ce qui est "nécessaire" et "proportionné".
Naviguer parmi les nombreuses réglementations sur la protection des données en vigueur dans le monde entier peut représenter un défi pour les spécialistes du marketing, qui doivent assurer la conformité tout en offrant une bonne expérience utilisateur et en optimisant les performances des campagnes.
Pour atteindre cet équilibre, il est essentiel de disposer d'une plateforme de gestion du consentement (CMP - Consent Management Platform) performante, ainsi que d'un suivi avancé sur toutes les plateformes et d'un contrôle des résultats par des analyses.
* Zbynek Zapletal est directeur du développement programmatique et technologique DACH & CZ chez Gamned Suisse SA.
