En ce compris du règlement général sur la protection des données (GDPR). Alexandra Jaspar, head of data protection office dresse le panorama des changements entrant en vigueur en mai prochain.

 

Pour le citoyen et le consommateur, que changera le GDPR ?
 

Alexandra Jaspar : « Le GDPR rend au citoyen le contrôle sur l’utilisation de ses données. Le consentement est plus difficile à obtenir et la transparence beaucoup plus élevée. Par rapport à la directive précédente, la liste des droits des citoyens est plus que doublée. Il existait déjà les droits d’accès, de rectification et de suppression de certaines données. Maintenant, il y en aura d’autres en plus, tels que le droit à l’oubli, les droits de s’opposer à certains traitements ou de demander une intervention humaine en cas de profilage. »

 

Et pour les entreprises ?
 

A. J. : « Le GDPR introduit de nouvelles obligations et contraintes pour les entreprises et, surtout, de nouveaux pouvoirs pour l’autorité. Le nouveau texte amène en revanche une certaine forme de clarté. À l’inverse de certains pans du droit qui posent des obligations ou des interdictions fermes, le droit de la protection des données personnelles n’est pas toujours facile à appliquer car il utilise des termes à géométrie variable. On vous dit par exemple que le traitement des données doit être "proportionné à quelque chose" ou doit "répondre aux attentes légitimes" des personnes concernées. Au final, ce sont les entreprises elles-mêmes qui doivent déterminer si elles respectent ou non leurs obligations. Le texte lui-même ne vous le dira pas. Le GDPR et ses "considérants" fournissent désormais plus d’indications aux entreprises sur la manière d’interpréter ces termes à géométrie variable. Les autorités compétentes promettent par ailleurs de publier des lignes directrices visant à aider les entreprises à ce sujet. Certaines ont déjà été diffusées courant 2017. »

 

En quoi le GDPR influencera-t-il votre manière de travailler ?
 

A. J. : « Le GDPR contient de nouvelles obligations. En dépit de cela, la plupart des contraintes du GDPR existaient déjà. Les grosses différences sont, d’une part, la possibilité pour les citoyens d’introduire une action en réparation et en dommages et intérêts (y compris en recours collectif - ou "class action" comme aux États-Unis) et, d’autre part, le fait que la nouvelle autorité belge de protection des données reçoit des pouvoirs d’investigation à peu près aussi étendus que ceux d’un juge d’instruction ou des autorités de la concurrence. Elle pourrait débarquer ici un lundi à 6h00 du matin et obtenir un accès à mon PC pour y regarder presque tout ce qui s’y trouve. Elle aura aussi des pouvoirs de sanction : imposer une amende de 4 % du chiffre d’affaires consolidé au niveau d’un groupe mondial, avec un plafond de 20 millions d’euros. Enfin, elle pourra aussi empêcher certains traitements de données et exiger la suppression de certains fichiers. »

 

Quelles sont les conséquences pour le marketing direct de votre entreprise ?
 

A. J. : « En interne au sein de bpost, le GDPR nous a donné l’opportunité de sensibiliser les esprits aux enjeux de bpost, mais aussi, en externe, de donner des formations. Nous avons profité de l’occasion pour vérifier si toutes nos techniques et actions de marketing direct étaient en ordre. Nous avons donné à nos professionnels du marketing des recommandations générales pour modifier certaines habitudes, acquérir les bons réflexes et maîtriser la matière, notamment la notion d’"intérêt légitime". »

 

Quel est l’intérêt de se baser sur la notion « d’intérêt légitime » pour le marketing direct ?
 

A. J. : « Elle existait déjà dans la directive précédente, mais les entreprises préféraient se baser sur le consentement, qui était alors plus facile à obtenir qu’à compter du 25 mai prochain avec l’entrée en vigueur du GDPR. Aujourd’hui, il faut une action positive de la part des gens. La directive était aussi très floue par rapport à cela. Le texte prévoyait qu’on pouvait l’invoquer pour utiliser des données quand il n’était pas surpassé par l’intérêt légitime des personnes concernées. Cette notion existe toujours. Toutefois, le GDPR introduit des lignes directrices : on peut notamment et en principe - l’analyse doit être faite au cas par cas - invoquer son intérêt légitime pour communiquer vis-à-vis de personnes avec qui on a une relation contractuelle ou avec des membres du personnel de sa propre organisation qui peuvent raisonnablement s’attendre à de telles communications. Il n’est pas choquant de les contacter pour leur proposer des promotions ou les informer d’un nouveau partenariat, par exemple. »