LE PRINCIPE D’ ACCOUNTABILITY DANS LA GENERATION DE LEADS

Le prochain Règlement général sur la protection des données à caractère personnel introduit de nouvelles notions phares auxquelles les professionnels devront se conformer.  L’une d’entre elle se nomme « principe de responsabilité ».  Le règlement vient réformer les pratiques actuelles en matière de conformité et impact le principe d'accountability. En effet, face à l’échec des formalités préalables déclaratives, le règlement tend à simplifier les démarches administratives incombant aux entreprises.

Cette notion va nécessairement influer sur votre façon de générer des leads. En quoi consiste ce nouveau principe d’accountability ?

Le principe d'accountability ou la disparition des obligations préalables

Actuellement, les entreprises qui collectent des données personnelles sont soumises à des obligations de déclaration ou d’autorisation préalable auprès de la Cnil.

En outre, les professionnels générant des leads et les archivant via des fichiers clients-prospects sont actuellement soumis à la Norme simplifiée NS-048, leur imposant une obligation déclarative préalable.

Avec l’entrée en vigueur du nouveau règlement, cette obligation à vocation à disparaitre au profit du principe d’accountability.

En effet, les formalités déclaratives de la loi française seront remplacées par un devoir de « compliance », comprenez de « conformité ». Au terme de l’article 24 du règlement, le responsable du traitement devra mettre en œuvre « des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ».

Ainsi, le principe d’accountability vient changer cette logique. Les entreprises ne devront plus « avertir » ou « demander la permission » à la Cnil pour collecter et ficher des données personnelles. Elles devront simplement se conformer au nouveau règlement. On passe d’une déclaration préalable de conformité à un seul contrôle a posteriori du traitement.

Quelles sont ces « mesures appropriées » ?

La nouvelle norme impose la mise en place de « mesures techniques et organisationnelles appropriées ». Mais qu’en est-il au juste ?

Au terme de son article 25 le règlement introduit les notions de « Privacy by design » et de « Privacy by default ».

Privacy by design

La première peut se traduire par l’expression « protection de la vie privée dès la conception ». Cela signifie, pour le responsable du traitement, d’intégrer les exigences en matière de protection de données personnelles et de vie privée dès la conception du logiciel, de la technologie qui les traitera.

Les considérations de confidentialité et de respect de la vie privée sont directement intégrées dans la conception du produit ou du service. En effet, la vie privée doit être prise en compte lors du développement des processus de travail, de l'environnement physique et de l'infrastructure en réseau. On parle d’approche proactive.

En outre, chaque nouveau procédé commercial qui utilise des données personnelles doit prendre en considération cette notion. Dans la pratique, cela signifie qu'un service informatique doit tenir compte de la vie privée pendant tout le cycle de vie du système ou du processus de développement. Différents outils vous permettront d’y parvenir tels que les études d’impact (art.35) par exemple ou encore la nomination d’un responsable de la protection des données au sein de l’entreprise (art.37). En somme, cela implique que ces exigences ne soient pas optionnelles mais directement intégrées aux pratiques de l’entreprise. En effet, à ce sujet Me Sadde énonçait qu’à présent « cette logique doit rentrer dans l’ADN des entreprises ».

Quel est l’intérêt d'un tel processus ? Les potentiels problèmes sont anticipés et évalués en amont. A terme, cela permet d'économiser du temps, de l'argent et cela réduit les risques de violations de sécurité.

Privacy by default

Le terme « privacy by default », quant à lui, correspondà l’expression « protection de la vie privée par défaut ». Il concerne le traitement en lui-même. Cette notion renvoie directement à celles de finalité de traitement, de conservation des données et de leur accessibilité.

En pratique, cela revient à mettre en place, pour chaque collecte de données, le plus haut niveau de protection et de confidentialité possible. Il vous faudra collecter des informations strictement nécessaires et les traiter avec loyauté et précaution. Il vous faudra veiller à ne pas les rendre accessible à un nombre indéfini d’individus non plus.

Ainsi, le principe d’accountability fait de la protection de la vie privée une préoccupation au cœur de la génération de leads. Ce processus n’est pas qu’intellectuel puisque le responsable de traitement devra pouvoir rapporter la preuve qu’il a tout mis en œuvre pour se conformer au règlement. Selon Me Sadde « Dorénavant, vous devrez juger vous-même de la dangerosité de ce traitement ».

L’étude d’impact : une nouvelle obligation

Ce nouveau règlement prévoit une obligation d’analyse d’impact des opérations de traitement envisagées sur la protection des données.

En effet, l’article 35 du règlement prévoit une étude d’impact préalable à la mise en œuvre du traitement. Cependant, cette obligation ne s’impose qu’au regard de la nature du traitement, de son contenu, de son contexte et de ses finalités. De plus, il faut qu’un risque élevé pour la vie privée des personnes soit plausible.

Autant dire que cet article peut englober un grand nombre de situations… En effet, le champ d’application de cette étude reste pour le moins très flou (hormis quelques cas très particuliers). Il appartiendra à la Cnil d’établir et de publier une liste d’opérations de traitement pour lesquelles une telle étude sera nécessaire.

Si l’étude d’impact débouche sur la probabilité d’un « risque élevé », le responsable du traitement devra consulter la Cnil. Celle-ci rendra à un avis. Cette consultation préalable est prévue à l’article 36 du règlement.

Outre cette obligation d’étude d’impact, le règlement permet aux entreprises de s'y conformer via des principes de « soft law ». En effet, le règlement offre la possibilité aux états membres d’employer des mécanismes de labels, de code de conduite ou encore de certification, pour prouver leur bonne volonté.
Pour conclure : générer des leads, oui, mais il faudra le faire conformément au règlement. De plus, le principe d’accountability repose sur la confiance envers les états et les entreprises. Reste donc à voir qui jouera vraiment le jeu…

Si cet article vous a plu, consultez notre article la réglementation des leads ou à consulter notre livre blanc les aspects juridique de la génération de leads. Vous souhaitez être accompagnés dans votre démarche d'augmentation de vos leads? Nous vous invitons à contacter nos équipes pour plus d'informations.