RGPD : les marketeurs canadiens sont-ils prêts ?

19 avril 2018

Le règlement général de protection des données (RGDP), qui entre en vigueur en Europe le 25 mai prochain, a la prétention d’avoir une portée « extraterritoriale ». Les marketeurs canadiens s’interrogent donc sur l’impact que cette législation aura sur leur pratique. Reportage.

Le contraste est frappant. Pendant que, ce côté-ci de l’Atlantique, les sénateurs américains tentent de comprendre le fonctionnement du Web dans la foulée du scandale de Cambridge Analytica (avec pour professeur Mark Zuckerberg !), de l’autre, en Europe, les législateurs haussent le ton et renforce les lois pour mieux encadrer l’utilisation des données personnelles par les entreprises.

Le RGPD ne date toutefois pas du récent scandale. Si on en parle aujourd’hui, c’est parce qu’il entre bientôt en application, le 25 mai prochain. Et il a du mordant. Toute entreprise qui collecte des données de citoyens européens devra désormais observer les meilleures pratiques à l’égard de la confidentialité des données.

Cela inclut :

Tenir un registre des entrées;
Rendre possibles la portabilité et la destruction des données;
Obtenir à tout moment un consentement éclairé.
Mettre en place des systèmes dont la confidentialité est « par défaut » et incluse « dans la conception ».

Les géants du Web que sont Google et Facebook (qui, secoué par l’affaire Cambridge Analytica, avait déjà pris des mesures restrictives sur sa plate-forme) ont déjà annoncé qu’ils se conformeraient aux exigences de l’Union européenne (voir ici comment récupérer ses données sur Google et Facebook). L’impact apparaît toutefois moins clair pour les petits joueurs qui se trouvent de ce côté-ci de l’Atlantique.

Un règlement à la portée internationale

Les experts en protection des données et les cabinets d’avocats sont sans équivoque, le règlement a une portée internationale et les entreprises canadiennes doivent en tenir compte lorsqu’elles courtisent une clientèle européenne.

Le GDPR s’applique aux traitements effectués par un responsable ou un sous-traitant canadien lorsque leur objet est de fournir des biens ou des services à des résidents de l’Union européenne ou de suivre leur comportement », affirme Blandine Poidevin, avocate spécialisée en TI, sur le site de Jurisexperts.

Le règlement ratisse large, car il englobe même les entreprises qui n’ont aucune filiale sur le territoire de l’Union. Qu’en est-il alors, sur le terrain, pour les entreprises canadiennes exposées au marché européen ?

Nous sommes encore en train d’établir dans quelle mesure la loi nous affecte, avoue un premier intervenant contacté, Mathieu, qui est conseiller en développement numérique pour un média québécois. On est encore à l’étape de la clarification… »

C’est encore très flou, renchérit Sébastien Neveu, directeur d’acquisition de trafic pour des médias québécois. Pour travailler avec des groupes médias européens, leur service juridique est encore à démêler le tout. »

Dans le nouveau cadre juridique, un geste aussi banal que d’envoyer une infolettre demandera des ajustements. Il faut que le partenaire qui gère l’infolettre soit conforme au RGPD.

Ce sont les pénalités qui sont inquiétantes », fait remarquer Mathieu. Le règlement stipule que les amendes peuvent s’élever jusqu’à 20 millions d’Euros (environ 30 millions de dollars canadiens) ou 4 % des revenus annuels de l’entreprise fautive.

L’application extraterritoriale du RGPD demeure toutefois incertaine.

On ne sait pas encore comment les États membres mettront en place des contrôles », note Sébastien Neveu.

Frein ou opportunité ?

Selon plusieurs acteurs du milieu québécois, dont le CEFRIO, les entreprises québécoises traînent de la patte en termes de commerce électronique et d’exploitation de données à des fins commerciales. Peut-on imaginer qu’une règlementation plus sévère vienne les décourager d’investir dans le virage numérique ?

Oui et non, répond Sébastien Neveu. Ça peut être un avantage. C’est parfois plus facile de partir à zéro que de mettre en conformité un système déjà établi. »

De toute façon, les évènements nous amènent dans cette direction, croit le directeur d’acquisition.

Prenons le scandale Cambridge Analytica… C’est un peu le Zeitgeist numérique du moment. Les consommateurs veulent plus de contrôle sur leurs données numériques, législation ou pas! »