Hors-Série IA 2020

Data Privacy : Les recommandations Syntec Etudes

Data Privacy : Les recommandations Syntec Etudes

La protection des données joue un rôle crucial pour l’ensemble des acteurs autour d’un double enjeu : maintenir la confiance du public, en rassurant les répondants sur l’utilisation de leurs données, et celle des clients sur notre respect du cadre légal. Sans cette double confiance, l’ensemble de la profession peut être menacée. Nous sommes donc contraints de placer la Data Privacy au sommet de nos préoccupations.

La data est au cœur du métier des études et de la recherche marketing, dont Bruxelles reconnaît la spécificité dans le nouveau règlement européen, grâce notamment aux mécanismes d’autorégulation mis en place par les organisations professionnelles Esomar et Syntec Etudes. Ainsi, les acteurs du monde des études (instituts, prestataires, éditeurs de logiciels etc.) doivent veiller à cinq points particulièrement sensibles.

1. Respecter l’ensemble des lois nationales de protection de la vie privée (cas spécifique d’une étude internationale)

Un institut réalisant une étude internationale doit respecter les lois en vigueur dans chaque pays où l’étude est réalisée, et être vigilant également quant aux transferts de données, par exemple avec les sous-traitants, qui peuvent être soumis à des contraintes légales spécifiques. Dorénavant, les données personnelles collectées auprès des citoyens européens sont et restent concernées par le droit européen quel que soit le pays vers lequel ces données sont transférées pour être traitées et analysées.

2. Nettoyer régulièrement les bases de données

Les instituts d’études doivent veiller à nettoyer leurs bases de données personnelles une fois l’enquête et les contrôles terminés. Si les panels de consommateurs ont besoin de conserver des informations de profils pendant toute la durée d’inscription, les réponses à des questionnaires ad hoc peuvent être rendues totalement anonymes après un délai permettant de réaliser tous les contrôles nécessaires. Ces données anonymes ne seront d’ailleurs pas concernées par le nouveau droit de portabilité des données.

3. Eviter le cloud public Le stockage des données dans le cloud doit faire l’objet d’une attention particulière

Il faut absolument vérifier les mesures de sécurité, les garanties et les indemnisations proposées. Bien qu’investir dans une solution de cloud privé (serveur dédié au client) représente des frais supplémentaires, il s’agit d’une garantie généralement appréciée des clients et des autorités concernées.

4. Rester vigilant sur le web social

Les données issues des réseaux sociaux enrichissent les études, mais reproduire un long verbatim peut permettre d’identifier un individu. De plus, le consentement préalable des participants est difficile, voire impossible à obtenir. Les instituts doivent être particulièrement vigilants dans ce domaine en tenant compte du type de données traitées et du mode de restitution des analyses effectuées.

5. Faire vérifier les protocoles

Enfin, plusieurs initiatives simples peuvent être rapidement mises en place ou complétées afin d’anticiper le prochain renforcement des obligations européennes. Par exemple, des protocoles dans l’entreprise doivent définir les règles de mise à jour des informations, l’accès aux données personnelles après identification du demandeur, et les alertes en cas de problème de sécurité. Toutes ces questions de protection des données seront sous la responsabilité d’une personne spécifique, le Data Protection Officer, dont la présence deviendra obligatoire chez de nombreux acteurs en 2018, alors qu’avoir un Correspondant Informatique et Libertés (CIL) n’était pas obligatoire en France jusqu’à présent. Les métiers de la data sont donc appelés à se développer dans notre secteur !