Du changement dans la protection de la vie privée ?

STIMA, l’IAB et la BDMA unissent leurs forces pour faciliter la transition des professionnels du marketing vers le nouveau régime juridique de protection de la vie privée (General Data Protection Regulation) qui s’appliquera à partir de mai 2018.

Dans les prochains mois, différentes initiatives aideront les acteurs du marché à appréhender ce nouveau cadre législatif. Parallèlement, un dialogue constructif s’est amorcé avec les autorités belges. Les membres de ces trois associations professionnelles vont pouvoir participer à plusieurs événements qui détailleront le déploiement de la GDPR sur le marché belge.

Les workshops de STIMA répondront aux questions pratiques que peuvent se poser les
entreprises, telles que : "que faut-il faire pour que son organisation soit en règle ? Quel est l’impact concret de cette loi sur l’univers du marketing ? L’entreprise doit-elle nommer un Data Protection Officer ?"

De son côté, la BDMA organisera, le 23 mai prochain, un Legal Day qui examinera les
transformations amenées par la nouvelle législation ainsi que son effet sur le monde du
marketing, à l’échelle belge comme internationale.

Enfin, les trois associations ont co-signé un « position paper » commun qui a été remis au Secrétaire d’Etat à la vie Privée afin d’entamer un dialogue constructif avec les autorités belges. Un débat sur l’application de ces nouvelles dispositions légales qui recèle un enjeu majeur pour l’avenir.

Mais que dit le « position paper » ?

> Communication de la durée pendant laquelle les données à caractère personnel seront conservées (Article 13 2a et article 14 2a) de la GDPR

La durée de conservation des données à caractère personnel variera selon une série d’éléments tels que la catégorie de données concernée (les données de contact seront conservées plus longtemps que certaines informations relatives par exemple aux habitudes de consommation de la personne) ou leur finalité d’utilisation (des données transactionnelles seront conservées pour une finalité de marketing moins longtemps que pour des finalités de preuves fiscale ou comptable).
BDMA, IAB & STIMA demandent que cette communication puisse être suffisamment flexible et que le responsable du traitement puisse ne communiquer que les critères permettant de déterminer ces délais.
En outre, selon le medium utilisé pour entrer en contact avec la personne, il ne sera pas toujours possible de fournir cette information de manière complète. Si cela ne posera aucun problème sur internet, il n’en ira pas de même par courrier ou par téléphone, où l’information est donnée de façon plus limitée.

> Communication de la source des données Art 14 GDPR (Droit à l’information) et droit d’accès (art 15 GDPR)

Le responsable du traitement a l’obligation de communiquer la source de leurs données aux personnes concernées. Ce libellé diffère légèrement de celui de la directive européenne 95/46/CE1 et de la loi belge du 8 décembre 19922, qui visait la communication de la source dans le cadre de l’exercice par une personne de son droit d’accès à ses données, à condition qu’elles soient « disponibles ». Ce changement a des conséquences importantes pour les entreprises. Comme l’enregistrement de la source des données personnelles n’était pas obligatoire sous l’empire de la législation actuelle, les entreprises ne disposent plus (nécessairement) de la source pour toutes les catégories de données enregistrées dans leur fichier, surtout si cet enregistrement a été réalisé depuis plusieurs années.

> Droit à l’oubli (Article 17 GDPR)

Le droit à l’oubli a pour conséquence technique que les données doivent être effacées totalement de la base de données où elles étaient enregistrées. Ce droit peut s’exercer notamment dans le cas où la personne s’est opposée au traitement de ses données soit sur base de sa situation particulière soit pour des finalités de marketing direct .
La combinaison de ces deux articles (droit d’opposition et droit à l’oubli) est contradictoire dans ses effets : lorsqu’une personne exerce son droit d’opposition, ses données sont « marquées » dans le fichier comme ne pouvant plus être utilisées par la suite pour des finalités de marketing.
Concrètement, les données ne seront donc plus jamais sélectionnées et l’opposition formulée par la personne continuera à être respectée pour une durée illimitée.
Par contre, dans le cadre du droit à l’oubli, si la personne est purement effacée du fichier, elle pourrait par la suite être à nouveau contactée à des fins publicitaires, si l’entreprise obtient ses données, en toute légalité, via une source extérieure : Contrairement au droit d’opposition où l’entreprise détectera immédiatement qu’elle ne peut plus utiliser les données (même si elles proviennent d’une source extérieure), ce ne sera pas le cas si les données ont été effacées. L’entreprise aura « oublié » que la personne souhaite être oubliée.

En conséquence, paradoxalement, le droit à l’oubli qui devrait être plus radical que le droit d’opposition aura un effet beaucoup moins efficace en réalité.

> Obligation de notification en cas d’exercice des droits de rectification, oubli ou limitation de Traitement (Article 19 GDPR)

Le responsable du traitement doit communiquer toute demande de rectification, oubli ou limitation de traitement à tous les destinataires des données, sauf si cela implique des efforts disproportionnés.
Cette obligation nécessite d’identifier quels étaient les destinataires des données avant que la personne n’exerce son ou ses droits. Cela suppose donc de remonter dans le passé. En soi, cette identification est possible à condition que cette remontée dans le temps reste limitée. Sinon, cela impliquera des efforts disproportionnés dans le chef du responsable du traitement.