Votre fonction marketing B2B consiste à générer des prospects pour vos commerciaux. Cela implique la récolte de données personnelles. Le Règlement Général sur la Protection des données (RGPD), entré en vigueur le 25 mai dernier, pose un cadre juridique pour la collecte et le traitement de ces données à caractère personnel. Le texte réglemente non seulement l’hébergement des données au sein de l’UE mais aussi le transfert de données vers des pays tiers. Entre le RGPD en Europe ou le Privacy Shield aux Etats-Unis, êtes-vous sûr que vos données marketing soient bien protégées ?
01. Qu’est-ce que le RGPD a changé pour vos données marketing B2B ?
2.A Une prise de conscience de l’importance des données
Le RGPD (ou GDPR, en anglais) représente une avancée significative en matière de sécurité des données. La réglementation des institutions européennes est le résultat d’une prise de conscience du grand public de l’importance des données et de la nécessité de mieux les protéger.
Selon une étude publiée par Mazars, 83% des Français se disent préoccupés par la protection de leurs données personnelles. Et 84% seraient prêts à résilier un abonnement à un service d’une entreprise ou une marque qui ne leur inspirerait pas confiance.
Aussi, pour les marketeurs, le RGPD ne constitue pas tant une menace qu’une opportunité de remettre à plat ses pratiques de collecte et d’utilisation des données des citoyens européens. La nécessité d’obtenir le consentement explicite de son interlocuteur et de favoriser le droit à l’oubli vont dans le sens d’un marketing de permission. En cela, le RGPD entre en résonance avec les bonnes pratiques de l’inbound marketing.
2.B) Une co-responsabilité du traitement des données personnelles avec l’éditeur de logiciel
Mais attention, la nouvelle législation prévoit une responsabilité commune des entreprises et des prestataires hébergeant leurs données. Si vous travaillez avec des éditeurs de logiciels établis en dehors de l’UE (marketing automation, CRM,…), vous devez donc aussi vous assurer de leur conformité avec le RGPD.
Le contrat de service devra mentionner de multiples garanties sur le traitement des données. Il stipulera notamment l’obligation de ne pas faire de transferts hors UE sauf s’ils sont fondés sur :
-une décision d’adéquation de la Commission Européenne (article 45 du RGPD).Le Privacy Shield américain entre dans ce cadre, permettant ainsi le transfert de données vers les Etats-Unis.
-des clauses contractuelles types de la Commission Européenne.
-des règles internes d’entreprise (BCR).
02. L’hébergement de vos données aux Etats-Unis : du Safe Harbor au Privacy Shield
De nombreux éditeurs de logiciels de CRM ou de marketing automation sont situés aux Etats-Unis. Aussi il est important de comprendre dans quel cadre vos données marketing peuvent être transférées et traitées outre-Atlantique.
En 2000, la Commission Européenne et les Etats-Unis avaient signé le Safe Harbor, un accord autorisant les entreprises situées aux USA à importer et traiter les données personnelles des citoyens de l’UE. En principe, le Safe Harbor garantissait un niveau de protection des données similaire à celui du continent européen.
Cependant, les révélations de l’affaire Snowden ont mis à jour les failles du dispositif. On a découvert que la NSA, agence gouvernementale, avait été autorisée par l’Etat fédéral américain à mettre en place un programme de surveillance de masse des données hébergées aux Etats-Unis . Suite à ces révélations, fin 2015, la Cour de Justice de l’Union Européenne a invalidé l’accord.
La nécessité de négocier une nouvelle loi, plus protectrice et contraignante juridiquement, s’est alors imposée. C’est ainsi que le Privacy Shield a été adopté et est entré en vigueur au 1er août 2016.
03. Les limites du Privacy Shield au temps du RGPD
Le Privacy Shield engage les entreprises américaines qui hébergent des données en provenance de l’UE à respecter des obligations en matière de protection des données. Des sanctions sont également prévues pour les entreprises qui ne respecteraient pas l’accord.
Dans le principe, le Privacy Shield vise à établir un niveau de protection plus élevé que son prédécesseur et plus en phase avec les attentes des Européens. Cependant, il présente encore quelques zones d’ombre, comme l’a récemment pointé le G29, le groupement européen des autorités de contrôle des données.
3.A) C’est un mécanisme d’auto-certification
Le Privacy Shield s’applique à tout type de données personnelles transférées par une entité depuis l’UE vers les États-Unis, à condition que l’entreprise destinataire ait adhéré au dispositif. Néanmoins, dans la mesure où les entreprises s’auto-certifient, sans contrôle préalable, le mécanisme est assez peu rigoureux.
En tant que co-responsable du traitement des données, il vous appartient donc de vérifier que votre prestataire figure toujours sur la liste des adhérents au dispositif (la certification est renouvelable chaque année). Il vous appartient également de vérifier pour quel type de données l’entreprise destinataire s’est auto-certifiée, car seules les catégories de données visées dans l’auto-certification bénéficient du Privacy Shield.
3.B) Le Privacy Shield n’impose pas de durée de conservation des données
Au niveau européen, le RGPD vous impose, d’une part, de ne conserver les données personnelles de vos contacts que pendant la durée nécessaire aux traitements mis en oeuvre et, d’autre part, d’informer les personnes concernées de la durée de conservation de ces données. Si vous voulez rester dans les clous, vous êtes donc légalement tenu d’imposer les mêmes conditions de durée à vos prestataires américains.
Pourtant, le Privacy Shield possède quelques divergences sur certains aspects et ne prévoit de son côté aucun plafond quant à la durée de conservation des données, ni aucune obligation, lors de l’auto-certification, de mentionner leur durée de conservation. Il existe donc un risque qu’une entreprise américaine auto-certifiée à laquelle vous transmettez vos données les conserve au-delà de la durée que vous aurez indiqué à vos contacts.
3.C) Le Privacy Shield ne protège pas contre un accès de la NSA ou du FBI
Les révélations quant à une surveillance de masse des données de la part des agences gouvernementales américaines avaient sonné le glas du Safe Harbor. Le Privacy Shield devait apporter de nouvelles garanties de protection.
Pourtant, l’accord prévoit toujours la possibilité d’un accès ciblé par les organismes gouvernementaux. Ainsi, les agences gouvernementales américaines ont simplement l’obligation de ne pas opérer une surveillance de masse, mais peuvent en revanche toujours opérer une surveillance des données transitant par des serveurs situés aux Etats-Unis. De plus, dans le cas où ces agences ne respecteraient pas leurs obligations, la seule possibilité est alors de saisir un médiateur, lui aussi américain et désigné par le gouvernement, ce qui peut faire douter de son indépendance.
04.L’importance d’avoir des données hébergées en France
Moins contraignant que le RGPD, le Privacy Shield n’offre pas les mêmes garanties de protection de vos données marketing que la réglementation européenne. La question de faire appel à des prestataires avec un hébergeur installé en France se pose donc.
Prenons l’exemple de Plezi : nous accordons la plus grande importance à l’hébergement de vos données marketing, aussi bien sur le plan légal que sur le plan technique. Voici les dispositions que nous avons prises pour assurer la protection de vos bases de données marketing (BDDM) :
- Vos données sont conservées sur plusieurs serveurs de façon à ce que, si l’un dysfonctionne, un autre prenne le relai.
- Nos serveurs physiques dédiés sont répartis dans 4 datacenters en Île-de-France.
- Les serveurs, les accès et les données sont chiffrés et même l’hébergeur n’y a pas accès.
- L’identification est chiffrée, de même que les transactions de données entre les serveurs et les utilisateurs.
- Nos processus sont en conformité avec les directives OWASP : les collaborateurs Plezi n’ont pas accès à vos informations.
- Vous gardez la propriété de vos données. Elles ne font l’objet d’aucune exploitation ou revente de la part de Plezi.
Certes, le Privacy Shield permet le transfert des données de l’UE vers les Etats-Unis. Mais le dispositif reste très opaque notamment sur l’accès des organismes américains et rien ne garantit sa pérennité. En l’état, le Privacy Shield apparaît comme une version dégradée du RGPD et soulève de nombreux doutes quant au niveau réel de protection des données. Faire appel à des partenaires européens pour le traitement de vos données marketing B2B vous apporte une totale transparence et de plus fortes garanties en cas de recours légal.