La plupart des grandes enseignes ont des programmes de fidélité nécessitant de collecter des données à caractère personnel sur leurs clients en échange d’avantages commerciaux. Et s’agissant de données personnelles voire parfois de données dites sensibles, il est légitime de s’intéresser à la sécurité des données collectées dans leurs registres.
La sécurité informatique, un souci grandissant des consommateurs
Si beaucoup de consommateurs sont intéressés par la possibilité de bénéficier d’offres avantageuses, certains émettent des réserves quant au traitement de données à caractère personnel ainsi qu’au risque de violations de données. Ces inquiétudes sont légitimes et occupent les débats depuis de nombreuses années.
C’est dans ce contexte et face à l’importance des enjeux de la protection des personnes que fut adopté le règlement général sur la protection des données (RGPD). Les lignes directrices de ce nouveau règlement européen, encadrant le traitement égalitaire des données européennes, mettent au centre le renforcement de la protection de la vie privée des personnes.
Cette nouvelle réglementation a donc mis en place plusieurs mesures de sécurité ainsi que de nouvelles obligations à appliquer à grande échelle, parmi lesquelles :
- L’obligation de désigner un délégué à la protection des données (abrégé DPO pour data protection officer) qui aura pour tâche d’assurer la bonne application du règlement ;
- La réalisation d’une analyse d’impact relative à la protection des données avant tout traitement de données personnelles représentant un risque élevé pour les droits et libertés des personnes physiques ;
- Le droit à l’oubli qui permet, dans certaines circonstances, de requérir du responsable du traitement ou du sous-traitant l’effacement de données à caractère personnel ;
- L’obligation de notification de l’autorité de contrôle de chaque Etat-membre en cas de violation ;
- Les sanctions en cas de non-respect des obligations prévues, pouvant aller d’amendes administratives à des condamnations pénales.
Externaliser la mission du DPO
Ainsi, toute enseigne, indépendamment de sa taille, proposant un programme de fidélité est tenue de désigner une personne responsable d’assurer la mise en conformité avec les règles du RGPD. Si une personne interne à l’entité peut être désignée pour remplir ces missions données par le règlement, choisir un DPO consulting externalisé présente certains avantages.
Tout d’abord, il se peut que vous n’ayez aucun employé qui soit compétent pour remplir cette fonction qui combine des talents d’informaticien et de juriste en même temps. La désignation d’un DPO externalisé vous offre une garantie à vous et à vos clients d’un savoir-faire et d’une expertise maîtrisés.
Ensuite, n’oubliez pas que les particuliers s’intéressent également à la mise en conformité avec les règles pour garantir la sécurisation des données traitées. Ainsi, recourir à un professionnel externe aura tendance à rassurer votre clientèle quant au sérieux avec lequel vous remplissez votre obligation de protection des données à caractère personnel ou des données sensibles.
Enfin, choisir de nommer un dpo externalisé garantit son impartialité. En effet, outre son devoir d’informer et conseiller, l’exercice de ses missions doit se faire avec une totale indépendance sans qu’aucune sanction hiérarchique ne puisse être prise à son encontre (sauf infractions graves). De plus, être en conformité au règlement implique l’absence de conflit d’intérêts, une obligation légale qui sera plus facile à remplir en recourant à une externalisation.
Les implications du nouveau règlement dans les programmes de fidélité
A commencer au niveau de la collecte des données personnelles, seules les informations strictement nécessaires aux finalités de traitement pourront être requises par le biais des formulaires. De plus, le consommateur doit être clairement informé de ses finalités et devra donner un consentement clair.
Ainsi, les finalités doivent être rédigées de manière claire afin que les personnes concernées puissent comprendre comment leurs données seront utilisées et qu’elles connaissent également la durée de conservation de ces données. Toute modification de la finalité ou de la politique de confidentialité devra, par ailleurs, leur être communiquée.
Votre DPO, qui servira de référent et de point de contact auprès des autorités de contrôle, le CNIL (commission nationale de l’informatique et des libertés) en France, devra donc être en mesure de démontrer la conformité aux obligations qui vous incombent quant à la collecte et au traitement des données dans le cadre du programme de fidélité.
