Les 4 commandements du RGPD

Auteur: 

 

Ce n’est plus une surprise : le RGPD entrera en vigueur le 25 mai 2018 et impose aux marques de suivre plusieurs commandements pour être jugées « conformes « .

Le RGPD, un séisme de magnitude 9 pour les marques ? « Si vous suivez déjà les principes de la loi relative à l’informatique, aux fichiers et aux libertés de 1978, vous êtes sur la bonne voie pour la mise en conformité au règlement sur la protection des données personnelles », rassure Clémence Scottez, chef du service des affaires économiques de la Cnil. Fini le règlement « punition », l’autorité conseille même de faire du texte une opportunité : « Le RGPD est l’occasion de purger les bases de données et de mieux cartographier et sécuriser les traitements des data », poursuit Clémence Scottez. Mais aussi de créer un nouveau contrat de confiance avec les consommateurs.

« Notre organisation n’a pas attendu le RGPD pour se préoccuper de la protection des données personnelles, témoigne Thomas Elm, data protection officer (DPO) d’AccorHotels. Mais j’ai commis l’erreur de présenter le règlement par rapport à la directive européenne de 1995, qui contient beaucoup de similitudes ; or, pour engager un maximum de personnes, il faut davantage présenter le RGPD comme une révolution. » Cette « révolution » porte le nom de responsabilité, de consentement et de sécurité, notamment. « Avec l’entrée en vigueur du règlement sur la protection des données personnelles, les annonceurs font face à des obligations sur le fond – le renforcement des conditions de recueil du consentement, notamment – et sur la forme – à l’instar du mécanisme de responsabilisation des acteurs, avec un contrôle a posteriori de la Cnil, en lieu et place de la déclaration », fait part la chef du service des affaires économiques de la Cnil.

I La transparence des informations collectées, tu donneras

Les marques se doivent notamment de fournir à leurs clients/prospects, au moment où les données à caractère personnel sont collectées, les informations sur l’identité et les coordonnées du responsable de traitement (et le cas échéant, du représentant du responsable de traitement ou du DPO) et les finalités du traitement auquel sont destinées les data – ainsi que la base juridique du traitement -, les destinataires des données à caractère personnel et si le responsable du traitement a l’intention d’effectuer