Le RGPD, un an après : la période de répit se termine

Commençons par dire un mot sur les amendes promises : sur ce terrain, c’est pratiquement le calme plat depuis un an en Belgique, constate Herman Maes, Account Strategist de l’agence digitale Intracto. Le RGPD prévoit des sanctions pouvant aller jusqu’à quatre pour cent du chiffre d’affaires annuel de l’entreprise concernée. Mais dans notre pays, pas une seule n’a dû payer le moindre centime jusqu’ici. « La principale raison en est que l’APD (Autorité de protection des données), qui doit faire respecter la loi, n’a absolument rien fait pendant onze mois, explique Maes. Il s’agit d’une situation typiquement belge : il y avait un problème avec la loi linguistique parce qu’on ne parvenait pas à trouver une personne parlant allemand pour siéger dans le comité de direction. Des plaintes ont donc sans aucun doute déjà été introduites, mais mis à part le fait d’en prendre bonne note, aucune autre action n’a été entreprise. La bonne nouvelle est que l’on a enfin trouvé des membres adéquats pour le comité de direction. On y trouve notamment des professionnels ayant travaillé pour Nielsen, bpost, mais aussi dans des entreprises qui n’hésitaient pas à repousser les limites en matière de marketing. Ils connaissent donc la problématique comme leur poche. »

Il était temps que l’APD puisse commencer ses activités, car la Belgique accuse un sérieux retard par rapport à ses voisins. « Les Pays-Bas, par exemple, ont commencé à effectuer des contrôles systématiques par coups de sonde dans certains secteurs sur la présence d’un registre de traitement des données, indique Maes. Le secteur médical et les institutions financières y sont également étroitement surveillés. Au Royaume-Uni, l’accent a été mis sur le secteur du marketing : tout ce qui concerne l’e-mail marketing, les centres d’appels, le marketing par SMS, et autres pratiques de ce genre. Des dizaines d’amendes ont déjà été infligées. En France, Google s’est vu imposer une sanction de 50 millions d’euros pour infraction au RGPD. »

Une année de répit

Une autre différence de poids entre la Belgique et les Pays-Bas, par exemple, concerne le nombre d’atteintes à la sécurité des données notifiées aux pouvoirs publics, alors que c’est une obligation depuis l’entrée en vigueur du RGPD. « Aux Pays-Bas, ces notifications se comptent par dizaines au quotidien, alors qu’elles ne doivent pas dépasser les dix par mois chez nous, note Maes. Une des raisons possibles est le fait que la procédure de notification est particulièrement complexe en Belgique, alors qu’elle est au contraire très simple aux Pays-Bas. Mais cela s’explique certainement aussi par la grande passivité des entreprises belges en matière d’application du RGPD jusqu’ici, étant donné que l’APD était elle-même inactive. Ces entreprises ont bénéficié ainsi de presque une année de répit. On n’en parlait pratiquement pas, donc pourquoi se faire du souci ? »

Durant l’année qui s’est écoulée depuis l’entrée en vigueur du RGPD, Maes a constaté d’importantes fluctuations dans le comportement des entreprises. « Au début, juste avant l’introduction de la loi, un vent de panique s’est mis à souffler chez certains dirigeants d’entreprise. Ils vous posaient les questions les plus insolites : est-ce que je peux encore envoyer des e-mails à mes clients, par exemple. Mais, peu à peu, tout le monde est tombé dans une sorte de somnolence. Et maintenant, on se réveille de nouveau, un peu comme un ours qui sort de son hibernation (rires). »

Une bonne loi (mais un peu bureaucratique)

Quant à la loi elle-même, elle peut compter sur l’approbation de Maes. « Le RGPD est une bonne chose parce qu’il nous force à réfléchir à la façon dont nous traitons les données et à leur valeur. Le seul bémol est la paperasserie bureaucratique qu’elle entraîne. Par exemple, des conventions doivent être conclues entre les agences de marketing et leurs clients au sujet du traitement des données. »

Malgré tout, le RGPD est en fait facile à interpréter, estime Maes. « Il suffit de se poser la question : ce client s’attend-il à recevoir un e-mail de ma part ? Si le client vous a laissé sa carte de visite, il n’y a aucun inconvénient à lui envoyer un message de temps à autre. Une autre chose serait de l’inclure d’office dans une liste de diffusion et de lui envoyer une newsletter tous les jours… Ou supposons que vous ayez laissé votre voiture au garage pour un entretien, ce ne serait pas normal que vous receviez par la suite un e-mail d’un fabricant de piscines, par exemple. Autrement dit, c’est généralement une question de bon sens. »

Cinq articles gratuits

Le RGPD n’est encore que le premier volet d’une série de lois sur la protection de la vie privée et des données, précise Maes. Toutefois, il n’est pas certain que ces autres réglementations verront effectivement le jour. « Tout dépendra des résultats des prochaines élections européennes, explique Maes. Un deuxième volet devrait s’étendre davantage sur des questions telles que les cookies, les centres d’appels, etc. Les journaux pourraient voir s’interdire la pratique qui consiste à offrir cinq articles gratuits en échange d’une adresse e-mail, par exemple. Mais il est donc impossible de dire aujourd’hui jusqu’où on ira. »

Curieux de savoir quelle était la situation à propos du RGPD il y a six mois ? Lisez https://www.marketing.be/fr/le-rgpd-et-lemail-marketing >