Allier cartographie d'influence et respect du RGPD

En renforçant les droits des citoyens sur l'usage fait de leurs données personnelles, c'est-à-dire les données qui permettent directement ou indirectement de les identifier, le RGPD a donné des sueurs froides à certains responsables commerciaux. De fait, la présidente de la Cnil estimait en avril dernier que 20% des plaintes déposées dans le cadre du règlement européen en France concernaient le secteur du marketing et du commerce. Et ce d'autant plus qu'après "l'onde de choc médiatique et juridique du 25 mai 2018, les secousses législatives et opérationnelles continuent", a expliqué Matthieu Bourgeois, avocat associé au sein du cabinet KGA, lors d'une conférence consacrée à l'application du RGPD dans les stratégies d'influence en BtoB.

Des marges de manoeuvres

En effet, le Règlement Général sur la Protection des Données, texte de loi européen censé s'appliquer directement dans le droit des pays membres, est en fait "un semi-règlement qui s'applique directement mais laisse des marges de manoeuvre aux membres", poursuit l'avocat. Une nouvelle ordonnance (qui devrait être prochainement suivie d'une loi de ratification) est ainsi entrée en vigueur le 1er juin 2019 pour finir de mettre en conformité le droit français avec le RGPD. Par ailleurs, la CNIL émet des recommandations tous les mois pour préciser certaines applications du règlement.

Si toutes les organisations qui collectent et / ou traitent des données personnelles sont concernées, toutes ne le savent pas forcément. "L'application est extraterritoriale, explique Laurent Badiane, avocat associé du cabinet KGA. Si une entreprise étrangère fournit un produit ou un service, même gratuit, à des citoyens de l'Union Européenne, elle doit alors se conformer au RGPD."

Informer les personnes du traitement de leurs données

Il est à noter que contrairement à ce que croient certains, il n'est pas forcément obligatoire de demander explicitement leur consentement aux personnes physiques dont on traite les données personnelles. Le traitement doit se baser sur une des sept bases légales, qui peut être le consentement, mais aussi l'intérêt légitime (souvent utilisé dans le cas de prospection et de vente BtoB), ou la nécessité liée à l'exécution d'un contrat.

Il est en revanche obligatoire d'informer la personne que ses données sont traitées, sur quelle base légale elles le sont et avec quelle finalité. Il faut aussi lui donner la possibilité de s'opposer au traitement. "Certaines organisations ont automatisé ce processus. Quand les collaborateurs saisissent les données d'une carte de visite dans le CRM, un e-mail est automatiquement envoyé au contact pour l'en informer", raconte Matthieu Bourgeois.

Les entreprises qui traitent des données personnelles pour le compte d'autres entreprises doivent également se rappeler que les données ne leur appartiennent pas. Si elles veulent ensuite les utiliser pour elle, elles doivent demander aux personnes à qui appartiennent ces données l'autorisation d'en faire un usage ultérieur.

Attention aux données sensibles

La procédure est cependant plus complexe quand les données traitées par l'entreprise sont sensibles. Dans le cadre du RGPD, cela concerne les données ayant trait à l'opinion, l'origine, les moeurs, l'identité biométrique ou génétique. "La récolte de ses données est interdite sauf dans certains cas limitatifs, explique Matthieu Bourgeois. En plus d'une base légale, le recueil et le traitement de ces données doivent entrer dans un des cas limitativement énumérés par la loi, notamment le consentement explicite ou le caractère manifestement public des données. Avec, en plus, un régime spécial pour les données des militaires, qui implique d'informer le ministère de la Défense ".

Autant de pratiques qui n'ont pas été respectées par Monsanto, cité comme un exemple à éviter lors de la conférence. En 2018, la firme avait été épinglée pour avoir, par l'intermédiaire du cabinet Fleishman Hillard, établi une liste de plusieurs centaines de personnes, certaines n'ayant jamais été en contact avec Monsanto, et listant leur opinion sur le glyphosate, leur degré de soutien ou d'adversité à Monsanto et, dans certains cas, des adresses personnelles, leurs loisirs, le tout avec un " plan d'actions personnalisé les concernant ".

Certaines données avaient été obtenues par Fleishman Hillard en mentant sur son identité, et plusieurs plaintes ont été portées contre Monsanto. En plus de savoir si ces données sont sensibles, la question est de savoir si la collecte était légitime, et si elle a été effectuée correctement, en informant les personnes et en recueillant leur consentement.

Se poser les bonnes questions

"À la suite de cette affaire, de nombreux clients m'ont appelé pour savoir si ce qu'il faisait en matière de stratégie d'influence et de cartographie d'influence était légal", indique Thibaud Debaecker, directeur général de Perfluence, dont la société édite un logiciel permettant de visualiser et gérer les réseaux d'influence dans une entreprise. Les démêlés de Monsanto peuvent inciter les entreprises BtoB, qui travaillent à visualiser les réseaux d'influence, à se poser certaines questions sur les données récoltées : "Est-ce que le recueil de données est proportionné ? Est-que cela a du sens pour mon activité ? Est-ce que les termes utilisés sont factuels ? Tout le monde dans l'entreprise doit se poser la question", poursuit-il.

Mais de l'avis des experts, le cas de Monsanto diffère de l'activité de la plupart des entreprises : " en BtoB, l'intérêt légitime peut être invoqué pour la prospection, et on traite plus rarement des données sensibles ".

Cependant, ces données sensibles peuvent exister et il faut être vigilant. "Attention au champ de commentaire libre, où on peut écrire n'importe quoi", prévient Thibaud Debaecker. Par ailleurs, même si une donnée sensible est rendue publique par son possesseur, il faut tout de même informer la personne de son traitement. "En outre, si une personne vous donne une information sensible durant une réunion bilatérale, il faut a priori lui demander son consentement avant de la traiter", avertit Matthieu Bourgeois. "Par exemple en demandant si on peut garder une trace de la conversation", suggère Thibaud Debaecker. "Là où le cadre est flou, c'est quand on crée une communauté d'intérêts, ajoute Laurent Badiane. Un groupe d'une centaine de personnes où quelqu'un donne une information sensible, est-ce du domaine public ou privé ?"

Dans le cadre de la cartographie d'influence, Thibaud Debaecker identifie trois règles à respecter : "adopter des méthodes de travail claires, codifiées, bien définies et partagées par tous ; des outils dédiés pour s'assurer que les collaborateurs sont en conformité, pour qu'ils aient les moyens de travailler et ainsi éviter le commercial qui utilise son fichier Excel pas sécurisé, pas à jour et pas répertorié dans le registre des traitements ; et créer une charte utilisateur implémentée pour éduquer et faire comprendre ce qu'on peut faire. "