Mise à jour sur la protection des données et la confidentialité dans l'UE : les spécialistes du marketing peuvent mieux respirer... pendant un certain temps

Publié: 2013-11-01

Le lundi 21 octobre 2013, les spécialistes du marketing direct qui font des affaires dans l'Union européenne ont bénéficié d'un léger allégement face à la tempête qui s'amoncelle sous le nom de règlement européen sur la protection des données.

La raison? Politique, bien sûr.

Ce que vous devez savoir : L'adoption du règlement à l'échelle de l'UE pourraitêtre retardée jusqu'au début de 2015, soit 18 mois plus tard que prévu initialement. Si le retard se produit, la loi n'entrera en vigueur qu'au début de 2017.

S'il n'y a pas de retard et que le vote suit son ancienne trajectoire, le passage n'aura lieu qu'en décembre 2013 (au plus tôt) ou, plus probablement, à la mi-2014. La mise en œuvre complète démarre deux ans après l'adoption. Ainsi, les spécialistes du marketing ont encore une certaine marge de manœuvre.

Est-ce que tu respires ? Bien.

Si vous avez lu mon article précédent sur les nouvelles directives de confidentialité spécifiques au Royaume-Uni, cela est quelque peu lié, bien que beaucoup plus important, car le retard potentiel englobe l'ensemble de l'UE. (En fait, cela représente 31 pays - 28 États membres plus l'Islande, le Lichtenstein et la Norvège.)

Vous pouvez lire l'aperçu détaillé de la mise à jour ici, mais pour votre commodité, vous trouverez ci-dessous un résumé des principaux points à retenir.

Qu'est-ce que le règlement européen sur la protection des données ?

Si vous avez eu le luxe de ne pas regarder les nouvelles ou de ne pas lire une page d'affaires ces neuf derniers mois, tout d'abord… bravo. Et deuxièmement, voici un rapide réglage de niveau de ce que vous avez manqué :

Le 25 janvier 2012, la Commission européenne (CE) a publié une proposition de nouveau règlement européen sur la protection des données pour remplacer la directive européenne existante sur la protection des données, qui est un patchwork fragmenté de lois mises en œuvre de manière incohérente dans les États membres de l'UE. (Notez que cette incohérence est précisément la raison pour laquelle le Royaume-Uni a mis en œuvre les directives susmentionnées soulignées dans mon article de blog précédent.)

Le nouveau règlement proposé sera une loi à l'échelle de l'UE, ce qui signifie que chaque État membre de l'UE devra (1) en adopter toutes les parties et (2) mettre en œuvre toutes les partiesde la même manière. Partir au coup par coup.

Pourquoi l'éventuel retard ?

Selon les dernières informations, il y a trois raisons principales. Brièvement:

Si vous deviez deviner que le snafu de surveillance des services secrets américains en faisait partie, vous auriez raison, même si cela n'a pas été pris en compte ouvertement. Cependant, puisque vous en avez parlé…

Le Premier ministre britannique David Cameron et la chancelière allemande Angela Merkel ont joué un rôle déterminant dans le report du vote, Merkel discutant spécifiquement de la question des écoutes téléphoniques aux États-Unis. Chacun a fourni des raisons différentes, mais pour l'essentiel, Cameron et Merkel ont exprimé la même opinion générale, qui peut être résumée ainsi : nous avons besoin de plus de temps pour nous assurer que le règlement est mûrement réfléchi, qu'il tient compte équitablement des préoccupations de chaque État membre de l'UE et que il donne aux citoyens de l'UE davantage de droits contre la collecte et la surveillance injustifiées de données. Lisez ce que vous voulez.

Une autre raison était le désaccord sur les sanctions en cas d'infraction au règlement. La commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen souhaite imposer des amendes pouvant aller jusqu'à 5 % du chiffre d'affaires annuel d'une entreprise. Le texte de la proposition initiale prévoit des sanctions pouvant aller jusqu'à 2 %.

Enfin, le Conseil des ministres est encore en train d'apporter des modifications au texte de la proposition. L'éventuel report jusqu'en 2015 donnera au Conseil plus de temps pour examiner la proposition en détail.

Quels sont les principaux problèmes qui préoccupent les spécialistes du marketing ?

Il y a huit domaines de préoccupation particulière, la plupart découlant d'un langage vague ou contradictoire. CE N'EST PAS ENCORE DÉCIDÉ. Il sera essentiel d'aplanir ces problèmes pour faire passer le règlement dans le droit de l'UE, et cela aura également un impact sur les spécialistes du marketing direct qui font des affaires dans l'UE.

  1. Amendes pouvant aller jusqu'à 5 % du chiffre d'affaires mondial annuel.Il s'agit essentiellement d'un impact de 5 % sur les revenus d'une entreprise sur 12 mois, contre 2 % auparavant.
  2. Le droit à l'effacement/droit à l'oubli.Une personne aura le droit de faire effacer ses données personnelles si elle en fait la demande. Cela renforce l'amendement « droit à l'oubli » du texte original.
  3. Le marketing direct en tant qu'intérêt commercial légitime.Cela dit,« Le cas des intérêts commerciaux légitimes pour la collecte et le traitement des données sera limité au marketing direct par la poste ou lorsque le marketing direct concerne des produits et services similaires.Un consentement opt-in sera requis pour tous les autres canaux de marketing direct . Il s'agit d'une restriction sévère du marketing direct et, à bien des égards, d'un grand pas en arrière. L'industrie européenne de la publicité et du marketing a fait pression avec succès pour une approche plus équilibrée. La mesure dans laquelle il est inclus dans le texte final du règlement n'est pas encore connue.
  4. Consentement.Les amendements LIBE élargiraient l'exigence de consentement explicite pour la collecte et l'utilisation des données. Ils demandent une «indication explicite des souhaits de l'individu» sous la forme d'une «action affirmative claire qui est le résultat d'un choix» de l'individu. Cela signifie que le consentement ne peut être déduit du silence, de la simple utilisation d'un service ou de l'inactivité.
  5. Profilage.Plusieurs modifications proposées limitent la capacité des spécialistes du marketing à établir un profil ; c'est-à-dire analyser/exploiter les données collectées à des fins de segmentation et de ciblage. Lorsque le profilage peut inclure l'analyse d'informations personnelles sensibles (par exemple, la race, la religion, l'appartenance syndicale), certains amendements vont jusqu'à interdire complètement le profilage.
  6. Notification de violation de la sécurité des données.C'est un changement bienvenu. Plutôt que le délai imposé de 24 heures pour la notification des violations de données, le nouvel amendement dit simplement « sans retard injustifié ».
  7. Obligation de désigner un délégué à la protection des données.Toute organisation qui traite les informations personnelles de 5 000 personnes sur une période de 12 mois doit nommer un délégué à la protection des données. Donc, effectivement, la majorité des entreprises devront le faire.
  8. Le droit de l'individu à réclamer une indemnisation.Celui-ci précise que les personnes ayant subi un préjudice (y compris non financier) peuvent demander une indemnisation pour manquements au règlement. Cela signifie, par exemple, qu'une personne pourrait intenter une action en dommages-intérêts si elle était réveillée à 3 heures du matin par un télévendeur.

Préparez, préparez, préparez

Que le nouveau règlement européen sur la protection des données soit adopté en décembre 2013 (très peu probable) ou en 2015, il incombe à tous les spécialistes du marketing direct de se tenir au courant des dernières informations et de se préparer au pire. Espérons que le règlement approuvé sera une agréable surprise, mais ne comptons pas dessus.

Clause de non-responsabilité : ces informations sont fournies dans le cadre d'une discussion sur la manière dont le règlement de l'UE sur la protection des données peut affecter les spécialistes du marketing, et ne doivent pas être considérées ou perçues comme des conseils juridiques.Chaque organisation peut être affectée différemment; nous vous encourageons à consulter un avocat avant d'agir.

Liens utiles

  • Site Internet de la Commission européenne
  • Directive européenne sur la protection des données de 1995 (directive 95/46/CE)
  • Informations sur le contrôleur européen de la protection des données
  • Association internationale des professionnels de la confidentialité

###