RGPD : Ce que recommande Esomar

Interview

Élisabeth Martine-Cosnefroy a fondé et dirige l’institut d’études Adéquation MR. Elle est ambassadrice Legal Affairs et programme YES en France, élue représentante ESOMAR de 2010 à 2017.

Kim Leonard Smouter-Umans est Government Affairs Manager au sein d’ESOMAR.

Survey-Magazine : En quoi le RGPD a-t-il un impact sur le marché des études marketing ?

Élisabeth Martine-Cosnefroy : Le RGPD n’est pas une nouveauté, mais s’inscrit en continuité de ce que la profession a installé depuis longtemps comme critères qualité dans notre métier. La confiance en le consommateur est essentielle et elle s’entretient par un respect de ce qu’il nous rapporte, et en particulier en matière de confidentialité et d’anonymat. Les professionnels des études qui sont membres Esomar ont adhéré à notre code déontologique CCI-ESOMAR et s’engage à respecter ces principes. Pour autant, il est question de formaliser davantage les choses en nommant par exemple un responsable attitré. À cette occasion nous encourageons les services études en entreprise comme les instituts, les fournisseurs et tous leurs partenaires de notre profession qui sont impliqués à faire une revue précise des processus.
Kim Leonard Smouter-Umans : Comme l’indique Élisabeth, le RGPD est une évolution du cadre réglementaire plutôt qu’une révolution. Le législateur a voulu d’un côté renforcer les principes de base qui restent globalement inchangés, et de l’autre répondre à la nouvelle réalité de l’ère digitale en clarifiant en notre faveur la légalité des nouvelles pratiques de notre secteur. Là où les choses changent davantage, c’est premièrement le risque encouru si on ne se met pas en conformité – on parle d’amendes administratives pouvant aller jusqu’à 20 M€ ou 4 % du chiffre d’affaires au niveau mondial (en privilégiant le calcul le plus élevé). S’il y a une loi à bien maîtriser, c’est donc bien le RGPD ! Il y a aussi le renforcement des droits des personnes concernées par les collectes et les traitements – ça passe du simple droit à l’accès qui existait déjà, au nouveau droit à la portabilité dont l’ampleur et l’impact de notre secteur sont inconnus. In fine l’impact concret pour nous c’est la mise en place de systèmes permettant à tout moment une intervention de la personne concernée, c’est facile à dire, mais pas facile à mettre en place. Je souligne qu’il ne faut pas voir le RGPD comme ayant pour but de nous empêcher de conduire nos études, en effet beaucoup d’aménagements ont été mis en place pour confirmer la légitimité de nos activités des études, et un cadre plus explicite permettant les études passives, « Big Data, » et analytiques. Mais inversement, les obligations de documentation en interne sont nettement renforcées par l’exigence du maintien d’un registre de nos activités de traitement et de collecte, ainsi que la systématisation de conduite des analyses de risque d’impact pour tout nouveau projet.

Comment un institut d’études peut-il s’y préparer au mieux ?

EM : Depuis plus de trois ans maintenant ESOMAR dispense régulièrement des informations lors de conférences dans nos congrès, évènement à thème et à chaque Printemps des Études sous forme de petits déjeuners pédagogiques en partenariat avec le Syntec, l’UDA, la CNIL entre autres intervenants. Vous pouvez retrouver sur le site www.esomar.org des documents aussi essentiels que le texte du RGPD ou les 12 étapes clés que nous conseillons de suivre pour se mettre en conformité. Pour aller plus loin et suite au lancement du corporate membership (qui engage la société membre dans son ensemble et pas seulement des membres individuels), nous avons développé une offre ESOMAR Plus qui va de la présentation en entreprise du RGPD à la mise en place d’un suivi personnalisé des étapes de mise en conformité par notre département « Legal affairs » dont Kim Leonard Smouter-Umans (Head of Public Affairs & Professional Standards) est l’interlocuteur privilégié.
Dans le cadre de la mission que je conserve auprès d’ESOMAR depuis qu’Isabelle Fabry a repris la délégation France aux côtés d’Anne Dionisi-Fung de Michelin, j’organise et j’anime les présentations en entreprise aux côtés de Kim Smouter.
KS : En effet, on espère que le programme ESOMAR Plus pourra vraiment aider les entreprises premièrement à comprendre ce qui est possible (car à croire certains experts c’est la fin du monde !), mais aussi concrètement à réduire les coûts pour les PME et quand même d’avoir à disposition des experts dans la matière. Le RGPD nous oblige tous à avoir ce fameux « Data Protection Officer » et grâce à ESOMAR Plus, les entreprises peuvent avoir recours à une personne qui non seulement comprend la dimension légale, mais aussi les codes de déontologie du secteur. Autrement dit, je conseille de faire tous les efforts nécessaires pour conduire un audit des flux entrants et sortants de l’entreprise – ce n’est qu’à ce moment-là qu’un véritable programme de mise en conformité (de la communication auprès de la personne concernée aux mesures de sécurité) peut vraiment débuter.

Quelle attitude devraient adopter les instituts vis-à-vis de leurs clients ?

EM :Je crois qu’elles doivent poursuivre leur rôle au quotidien, à chaque lancement d’étude, de sensibilisation à l’usage des données privées des consommateurs. Plus que jamais les instituts et fournisseurs se doivent de préciser que nous appartenons à une chaîne d’intervenants avec eux et que cette chaîne n’est pas infaillible, mais solidaire. C’est un point important que clarifie le RGPD, chacun est responsable en amont et en avant de son utilisation des données et pas seulement de son propre usage. Les instituts doivent absolument en discuter avec leurs clients et les amener à en échanger avec leur service juridique afin d’installer des mesures en pleine concertation et surtout dans l’intérêt de tous. S’il y a une chose qu’il faut retenir c’est que le nouveau règlement est très responsabilisant et en ce sens il est très ouvert, il n’impose pas, mais il demande qu’on entérine nos positions sur la préservation des données privées dans tous les cas de figure qui se présentent à nous, qu’on puisse prouver qu’on s’est posé les bonnes questions et qu’on tous nos collaborateurs connaissent les réponses pour les appliquer en bonne intelligence avec les entreprises avec lesquelles on travaille, dans l’intérêt final de leurs clients.
KS : Exactement ! Pour rebondir sur ce qu’Élisabeth explique, on parle vraiment d’une chaîne ou les sous-traitants et les responsables de traitement partagent ensemble la responsabilité de protection des données. D’où l’importance de bien choisir ses partenaires, et de s’assurer qu’ils signent des codes de conduite, sont certifiés, etc. ! Il faut aussi bien saisir lorsque l’on est le responsable et lorsque l’on est le sous-traitant, car le responsable de traitement reste maître sur les données et le sous-traitant agit sous l’ordre du responsable de traitement. Cela ne dégage pas le sous-traitant d’aviser le responsable pour améliorer la protection dans le cadre de sa mission. Il est donc primordial d’avoir un bon contrat explicite et détaillé sur les échanges de données et les conditions autour de ces échanges, et de bien communiquer aux personnes concernées l’existence du partenariat. Il est important d’effectuer ensemble et régulièrement des audits pour assurer que la chaîne est bien protégée contre toute utilisation non autorisée et puisse réagir à temps lors d’une faille ou d’une brèche pour répondre à l’obligation de notification dans les 72 heures auprès de la CNIL – cela ne peut se faire à la dernière minute !

AUCUN COMMENTAIRE

LAISSER UN COMMENTAIRE