[data] RGPD-GDPR —> prospection/profilage et droits d’opposition (Règlement UE 2016/679 « données personnelles »)

[mis à jour le 5 mai 2017] C’est une grande partie du droit de la prospection commerciale (le « marketing direct« ), notamment le droit à profilage des données [personnelles] qui est révolutionné par la GDPR, le Règlement « data protection » 2016/679. « Révolutionné », le mot n’est pas trop fort.


Prospection commerciale avec données [personnelles]

Nous allons évoquer le concept de « prospection » commerciale (en absence de toute définition légale dans la GDPR), ainsi que la notion de « profilage« .

Le profilage commercial 

Non, ici ce n’est pas une série US sur un « profiler » d’atroces criminels… Vous ne savez pas ce qu’est un « profilage » ? Sur ce point, la GDPR nous gratifie d’une définition extrêmement large (un hasard ?) :

traiter des données pour « évaluer certains aspects personnels… notamment pour analyser ou prédire… des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement »…

Le démarchage ciblé et la pub personnalisée

Car améliorer la connaissance de ses clients, ça permet de faire de la prospection (du démarchage) intelligente et adaptée. Ou de la pub ciblée sur vos centres d’intérêt.

Non, ce n’est pas un truc abject, le marketing direct, c’est normal dans une société moderne qui progresse grâce à de nouveaux services innovants. Moi, j’aime bien le web et les services en ligne. Et mon smartphone avec sa 4G. Et ma box raccordée à la fibre. Et mon blog sur WordPress en mode SaaS. Vous préfériez l’Âge de pierre ? 

Des obligations unifiées au niveau de l’UE  

Mais il y a des règles. Ce sont, avec ce Règlement, les mêmes règles pour les 27/26 autres pays de l’UE. Avec un contrôle de cohérence au niveau de l’UE (la Commission) des positions nationales. Ce contrôle sera obligatoire.

Amies DMP, vous êtes directement concernées. Vous, chères régies pub aussi, car les donnés de navigation des internautes ne sont pas des « données anonymes » (j’en entends des sympa en ce moment mais c’est couvert par le secret professionnel).

… et les autres droits des personnes concernées ?

A moins que ce ne soit la première fois que vous vous intéressiez au sujet, vous ne serez pas surpris de lire que d’autres droits existent pour les personnes dont les données sont traitées : d’abord les droits à information en cas de collecte (directe ou indirecte) de données [personnelles]. Ce sont les articles 13 et 14 de la GDPR. Cette obligation est suffisamment détaillée dans la GDPR pour lui consacrer une présentation à part entière.

Restent (last but not least) les droits « classiques » d’accès et de rectification (art. 15 et 16 GDPR), le droit à effacement (ou « droit à l’oubli » art. 17 GDPR) dont l’efficacité a été consacrée par la jurisprudence de la CJUE dès 2014, le (nouveau) droit à limitation (art.18 GDPR) qui concerne les traitements SANS consentement « nécessaires aux fins des intérêts légitimes » du responsable du traitement. Enfin, le droit à notification aux destinataires des données (art.19). Vous pourrez accéder à mon analyse de ces « droits GDPR » en cliquant sur ce lien.

En conclusion

Vous êtes responsable de traitement ? En clair, votre entreprise collecte des données personnelles dans le cadre de son objet social ? Il va falloir vous y mettre et envisager sérieusement de requalifier vos bases de données clients/prospects déjà… tic tac tic tac…. dans moins de 13 mois…

Synthèse de la GDPR et audit ?

Maintenant que vous connaissez le « tarif », vous êtes motivé pour vous mettre en conformité ? 

Si vous cherchez une synthèse de la GDPR et un début de méthode d’audit, c’est ici qu’il faut cliquer (pour fêter « 1 an » avant l’entrée en vigueur de la GDPR).


PS message personnel à ma chérie qui en a marre de me voir tous les soirs jusque tard devant mon Mac avec mes BD : С днем рождения ! Знаю, я слишком много работал...


Merci encore à Fabrice Lebeault, auteur de ce très remarquable « Horologiom » pour son autorisation de modifier les phylactères originaux (et surtout d’en conserver certains). Merci à la Team Delcourt, Lucie Massena et Sébastien Le Foll, pour leur aide et leurs encouragements. Sans ces magnifiques dessins, cette « GDPR » serait franchement pénible.