Le 25 mai 2018, le Règlement Général pour la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR) entrera en vigueur. Son objectif : harmoniser la législation européenne et renforcer le droit des individus en imposant de nouvelles obligations. En tant qu’entreprises collectant et traitant des données personnelles, les marketplaces sont directement concernées par le RGPD et doivent par conséquent adapter leur politique de protection globale. Quels changements dans la gestion des données, le RGPD engendre-t-il au sein d’une relation commerciale tripartite pour les marketplaces ? Nous vous proposons de répondre à ces questions en révisant quelques fondamentaux du RGPD, puis nous nous intéresserons aux spécificités liées à une marketplace pour enfin vous guider dans les différentes étapes de la mise en conformité.
Qu’est-ce que le RGPD ?
Le RGPD est une réforme de la protection des données individuelles. Qu’ils s’agissent de leurs données RH, marketing ou de leurs données métiers, la totalité des entreprises est impactée : TPE/PME, sociétés du CAC 40, banques, assurances, cybermarchands, SSII, tierces parties comme les sociétés d’hébergement de données en ligne (cloud providers), fournisseurs de services SaaS, éditeurs d’applications mobiles, dispositifs connectés et bien sûr exploitants de marketplaces. Le RGPD s’applique non seulement à toutes les entreprises de l’Union Européenne, sans distinction entre secteurs public ou privé, mais également à toutes les entreprises hors UE, dès lors que des traitements de données d’un citoyen ressortissant de l’UE sont concernés. L’enjeu est de taille car il s’agit ici d’imposer notamment aux géants américains et asiatiques l’application des mêmes règles contraignantes que leurs plus modestes concurrents européens! Les sanctions étant dissuasives – jusqu’à 20 millions d’euros et 4% du chiffre d’affaires mondial – mieux vaut prendre le temps de s’intéresser de près au sujet. Le RGPD poursuit 3 objectifs :
- Renforcer les droits des personnes : consolidation des obligations d’information, restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données et à leur effacement, dispositions propres aux personnes mineures.
- Renforcer les devoirs et responsabilités de toute la chaîne d’acteurs traitant des données : les obligations imposées au responsable de traitement sont étendues aux partenaires commerciaux en passant par les sous-traitants et fournisseurs de services.
- Harmoniser le cadre juridique au sein de l’UE et accroître la coopération des autorités de protection des données de chaque pays, de manière à adopter des décisions communes quand les traitements de données sont transnationaux.
Quels impacts du GDPR sur les marketplaces ?
A l’instar de nombreux acteurs du numérique, l’activité de la marketplace l’amène à traiter des données personnelles à grande échelle. La rentabilité est basée, certes, sur la valorisation de la mise en relation permise par la plateforme, mais elle peut l’être également sur la valorisation des données des utilisateurs de ce marché virtuel. L’opérateur étant le détenteur de l’ensemble des données statistiques ou personnelles, sa stratégie de data governance doit être pertinente et réfléchie afin de pouvoir utiliser, voire monétiser ces données. Sa vigilance relative au RGPD doit se concentrer sur deux axes :
1. Information et consentement de l’utilisateur
Les clients, acheteurs ou vendeurs doivent être informés de la nature des données stockées et utilisées par la marketplace, ainsi que de la finalité de leur utilisation. Le consentement des individus doit être requis à l’aide d’une phrase simple à comprendre et sans équivoque, présentant de manière claire les raisons pour lesquelles les données sont utilisées. A charge pour la société qui exploite les données, d’être en mesure de prouver le consentement. La grande question en matière d’exploitation des données personnelles par les marketplaces concerne les campagnes emailings. La règle recommandée devient celle du double opt-in. Chaque internaute devra donner son consentement deux fois, en cochant une case et en validant un email par exemple pour recevoir les campagnes de la marketplace. Concernant les campagnes B2B, la position de la CNIL n’est pas encore tranchée. Conformément aux dernières jurisprudences, l’opt-in passif qui consiste le plus souvent à pré-cocher une case du type « je souhaite recevoir vos e-mails » ou à utiliser une formulation trop vague ou prêtant à confusion doit être abandonné. A noter que l’inactivité ou le silence d’un individu ne sont pas constitutifs d’un consentement selon le RGPD.
2. GDPR pour tous les acteurs liés à la Marketplace
En fonction des situations concernant les données des acheteurs, l’opérateur de la marketplace peut faire le choix d’être responsable de traitement, co-responsable de traitement avec le vendeur (s’il lui transfert les données clients) ou sous-traitant du vendeur. Généralement, la première ou la deuxième solution sont retenues, la troisième étant relativement difficile à cadrer juridiquement. Ce point doit être clairement stipulé dans les conditions générales d’utilisation de la plateforme et le contrat d’intermédiation du vendeur. Pour s’assurer que le vendeur respecte bien le GDPR un contrat d’intermédiation doit être établi. Le client, quant à lui, doit valider les conditions générales d’utilisation à la création de son compte et au plus tard au moment de la commande. Avec le GDPR la responsabilité des sous-traitants est renforcée. Le responsable de traitement a toujours pour rôle de vérifier la qualité de son sous-traitant mais ce dernier peut davantage être mis en cause en cas de non-respect de la réglementation. Jusqu’à présent, la responsabilité suivait une logique plutôt verticale, dans laquelle le responsable du traitement des données endossait une part quasi-totale du risque juridique. A partir de la mise en place du GDPR, le système de responsabilité sera plus horizontal dans la mesure où les responsables des traitements et leurs sous-traitants endosseront chacun leur part de responsabilité en fonction de leur rôle. Il est alors primordial de revoir le contrat entre l’opérateur de la marketplace et ses sous-traitants (hébergeur, logistique, solution logiciel de marketplace).
Quelles mesures pour les places de marché pour être en conformité avec le RGPD ?
Si les nouvelles obligations du RGPD sont empreintes de lourdeurs administratives elles sont gérables. Votre plateforme doit prendre une à une les mesures suivantes :
- Désigner un Data Privacy Officer (DPO) : personne référente des applications du RGPD dans l’entreprise
- Identifier l’ensemble des données personnelles stockées appartenant à des citoyens de l’Union européenne, leur lieu de stockage dans les systèmes, mais aussi les process de transfert de la data vers et en dehors de l’UE
- Mettre en place et tenir à jour un registre des traitements des données. Il doit contenir les différentes typologies de données conservées, leur lieu de stockage, leur propriétaire, leur durée de conservation légale, le but de leur collecte, si elles sont transférées à un tiers, conditions de transfert hors UE, les mesures de sécurité, les différents responsables du traitement : c’est le principe d’accountability. Il vise à assurer une transparence totale et une traçabilité vis-à-vis des autorités concernées*
- Dans le cas où l’opérateur de marketplace créé sa propre solution, intégrer les nouvelles valeurs : le privacy by design, autrement dit le respect de la protection des données dès la conception d’un produit ou d’un service ainsi que la minimisation de la collecte, le privacy by default, soit la capacité à procurer un niveau de sécurité élevé concernant la collecte de données
- Mettre à jour sa politique de sécurité et de confidentialité en tenant compte des nouveautés évoquées ci-dessus et en prenant en compte notamment les sous-traitants
*A noter : si la marketplace repose sur une solution logiciel Saas, c’est généralement ce sous-traitant qui gère le registre des traitements des données pour la solution logiciel. Concernant les nouveaux droits individuels :
- Droit d’accès à ses données personnelles : ce droit peut être exercé en accédant à l’espace « mon compte » pour chaque utilisateur de la plateforme
- Droit d’obtenir la rectification des données : le plus simple est de créer un email générique pour traiter ces demandes ou de permettre directement la modification sur la marketplace
- Droit d’obtenir l’effacement de ses données : attention les données transactionnelles ne peuvent pas être effacées pour répondre aux demandes légales et fiscales des administrations qui peuvent être faites auprès de l’opérateur
- Droit à la limitation : si le traitement ne concerne que la transaction, généralement la plateforme ne recueille que les données nécessaires. S’il y a un traitement marketing, l’opérateur doit mettre en place une procédure
- Droit à la portabilité : ce droit n’est pas une contrainte puisque les données sont disponibles dans mon compte
- Droit d’opposition : dans le cadre de la marketplace cela concerne principalement le traitement marketing
- Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques la concernant ou l’affectant de manière significative : il n’y a normalement pas de difficulté à respecter ce cadre
Sans oublier de :
- Mettre en place des garanties de sécurité suffisantes de ses moyens de stockage pour éviter les fuites de données : assurer en interne ou par le logiciel de marketplace la mise en place d’un Référentiel Sécurité adéquat et mis à jour (Charte des Utilisateurs des SI, Politique d’habilitation, Politique de gestion des incidents etc.). Le responsable de traitement à 72h pour déclarer une violation de données personnelles lorsqu’il en a pris connaissance.
- Former les collaborateurs à respecter les mesures de sécurité même en dehors des lieux de travail. Apprendre à être capable de dialoguer sur ces sujets, à la fois avec les consommateurs mais aussi avec la CNIL (l’organisme référent en France) et le G29.
- Réaliser des études d’impact dans le cas de traitement à risque. La CNIL a d’ailleurs mis à la disposition des sociétés en novembre 2017 un outil open source, nommé PIA, pour les aider à réaliser leurs études d’impacts sur la vie privée (Privacy Impact Assessment).
Le RGPD : pérenniser la relation de confiance entre les acteurs de la marketplace
Le RGPD représente un vaste chantier dans lequel s’intègre la brique juridique. Alors que certains s’alarment et considèrent cette réforme comme un frein, d’autres y voit pour leur marketplace, une différentiation concurrentielle, un renforcement de la confiance des partenaires et des clients qui s’inscrivent dans une logique vertueuse tant sur le plan économique que sur celui de la protection de la vie privée. La CNIL confirme que le 25 mai 2018 doit être considéré comme une marche, une étape qui incite les entreprises à accélérer (ou démarrer pour certaines) leur mise en conformité, et non pas comme un couperet. Si la conformité n’est pas encore atteinte, le fait d’avoir pris la mesure du sujet et lancé réellement les chantiers de mise en conformité (tenue d’un plan de mise en conformité pour le prouver) sera pris en compte par la CNIL. Les sanctions seront ainsi proportionnelles au niveau de conformité déjà établi par les entreprises.