Non, le RGPD n’a pas été conçu pour freiner l’innovation, les études et la recherche !

Le Règlement européen sur la protection des données personnelles (RGPD) est entré en vigueur le 25 mai 2018. Il renforce les responsabilités des entreprises qui collectent, utilisent, échangent des données personnelles de citoyens européens.

Depuis plusieurs mois, la tension monte, la charge de travail aussi. L’effort de documentation est colossal : recenser et décrire les traitements, définir et encadrer les responsabilités de chaque partie prenante, revoir les politiques de protection des données personnelles, les modèles de formulation de consentement, etc.

Ainsi, au stade de la commande d’une étude, émergent de nouvelles questions, qui se posaient peu auparavant, dans un cadre légal pourtant proche. Florilège.

Mon entreprise est-elle en droit de mener une enquête auprès de ses contacts ?

Malgré certaines craintes qu’elles expriment depuis la mise en place du RGPD, les entreprises sont la plupart du temps légitimes à contacter leurs clients à des fins d’enquêtes dans le cadre de leurs relations commerciales, et ce dans le but d’améliorer la connaissance client ou d’améliorer la qualité de leurs produits ou services. Elles peuvent le faire via le sous-traitant de leur choix.

Pour se conformer aux exigences du RGPD, les entreprises doivent améliorer l’information qu’elles délivrent aux consommateurs en amont. Les finalités d’utilisation des données personnelles doivent dorénavant être davantage détaillées dans les contrats, CGU, ou politique de protection des données personnelles – en particulier la finalité “mener des enquêtes”, souvent identifiée par l’entreprise comme relevant de son “intérêt légitime”. Cela facilite par ailleurs la prise de contact pour une étude.

Qui du client ou de la société d’études est responsable vis-à-vis des données personnelles traitées pour l’enquête commandée ?

Déterminer la responsabilité des parties vis-à-vis du “traitement” des données personnelles au sens RGPD au stade du commissionnement d’une étude ad hoc suscite des questionnements qui ne se posaient pas jusqu’ici.

En effet, le responsable légal vis-à-vis de l’utilisation des données personnelles (et donc des formulations de l’information et des consentements, des exigences de sécurisation, etc.) est, selon le RGPD, l’organisme qui détermine les finalités et les moyens du traitement (utilisation). Le “sous-traitant” est l’organisme qui traite des données pour le compte du responsable et selon ses instructions.

Si, au premier abord, on peut estimer d’après cette définition que le client serait systématiquement responsable, le brief du client définit en fait une finalité et des moyens généraux, et la proposition de la société d’études précise, recadre et détaille l’un et l’autre.

Dans le secteur des études, il s’avère en outre pragmatique de considérer en premier lieu l’organisme, que ce soit la société d’études ou le client, qui a procédé à la constitution de la base de contacts utilisée pour l’étude. Ainsi, pour une étude menée sur la base d’un fichier remis par le client, le client est responsable des données personnelles traitées ; l’institut, avec ses filiales ou sous-traitants, est, responsable des données personnelles traitées à partir d’un panel.

Reste que, le cas échéant, un organisme peut tour à tour être sous-traitant, responsable de traitement ou responsable conjoint, selon la chaîne de production, les livrables de l’étude et ses différentes finalités.

Doit-on mener une analyse d’impact sur la protection des données personnelles ?

En fonction de la sensibilité ou complexité du projet, et conformément au RGPD, il peut être recommandé au “responsable de traitement” de mener, préalablement au lancement du projet, une analyse d’impact sur la protection des données personnelles utilisées et collectées.

Il s’agit de détailler les réponses et solutions apportées aux questions suivantes :

  • L’utilisation des données personnelles qui est faite donne-t-elle lieu à des risques conséquents ?
  • Quels sont les niveaux de gravité et de vraisemblance des risques RGPD potentiels ?
  • Quelles mesures techniques et opérationnelles doivent être envisagées pour éliminer les risques identifiés ?

L’analyse aboutit entre autres à un descriptif des mesures organisationnelles et techniques optimales du dispositif.

Dans les études pourtant, au regard de la nécessité de leur rythme de lancement et de finalisation, il est fréquent que cette étape ne soit pas encore menée à bien. Un travail à anticiper, dès la conception du projet.

Suivant la méthodologie d’enquête concernée, que doit-on donner comme niveau d’information en introduction ?

La mise en conformité RGPD impose un renforcement de l’information des participants aux études. L’enjeu ? Assurer davantage de transparence et de confiance auprès du participant, sans être trop long, au risque de le noyer et l’inquiéter plus que le rassurer, et le décourager à répondre.

Ainsi, lors d’une étude online, on peut transmettre des liens et des niveaux d’information gradués, mais pour une étude par téléphone, il n’est pas possible d’énoncer oralement l’intégralité de ces mêmes informations : les chances d’obtenir l’aval de la personne de participer à l’enquête s’amenuisent.

Il faut donc trouver le bon équilibre, et dans la mesure du possible, documenter en interne la décision prise si l’intégralité des informations n’est pas transmise.

Ces questions et tant d’autres, imposent un temps de réflexion supplémentaire pour les projets d’études

Il faut anticiper, bien en amont un certain nombre de questions. Quelles données personnelles sont recueillies ? Par qui ? Comment ? Pour quel objectif ? De quelle manière seront-elles utilisées ? Avec qui seront-elles partagées ? Qui est le contrôleur des données ? Des transferts vers des pays hors Union Européenne ont-ils lieu ? Quelles modalités de sécurisation des données sont mises en place ? Quelle est la durée de conservation des données ?

Si les exigences du RGPD étaient pour beaucoup déjà présentes dans la loi Informatique et libertés, leur renforcement, ainsi que niveau des sanction possibles, poussent les entreprises à davantage d’efforts sur ces sujets qu’auparavant. Le réglage de la mise en conformité se poursuivra pendant encore quelques temps.

Gardons à l’esprit que le RGPD n’a pas été conçu pour freiner l’innovation, les études et la recherche !

Partager

Il n'y a aucun commentaire.

Ajouter un commentaire

*Champs obligatoire