Un seul exemple de l'épineux dossier 2018 : l'échange de carte de visite lors d'une soirée networking ne constituera plus un échange de consentement suffisant ?
Vers une formularisation de l'amitié, des relations personnelles ?
Pourrais je être poursuivi demain pour inviter un ami, un contact qui m'a donné sa carte de visite pour l'avoir invité à une réunion gratuite, de la part d'une association sans but lucratif sans avoir obtenu un consentement explicite par un formulaire ?
En effet, beaucoup se demande ce que vont devenir le peu de liberté qu'il nous reste, par exemple, que va devenir le "consentement à l’acquisition des données personnelles" de la RGDP dans le cadre d'échange réciproque de carte de visite lors de soirées de networking ? L'échange d'une carte de visite avec mail et téléphone ne constituerait pas un consentement ?
Vers un formulaire de consentement pour tout
Devra t on faire signer au dos de la carte, un formulaire de consentement pour le recontacter, comme le consentement préalable au droit à l'image, et demain... le droit à répéter ce qu'on aurait dit, le consentement de celui à qui je dis du mal, ou le droit d'offrir un sourire, un mot à quelqu'un que je ne connais pas sans risquer d'être menacé d'harceleur, le formulaire de consentement de fumer à côté de moi que chaque fumeur devra me faire signer, de passer son temps à hurler dans son téléphone à côté de moi dans les transports en commun ou le train ?
Aurai je encore le droit d'envoyer un mail à un ami de longue date sans lui demander au préalable l'autorisation de le recontacter ?
J'imagine le casse tête chinois des CNIL européennes qui à 4 mois de l'échéance (alors que texte est de 2016) s'interrogent encore sur tant de sujets où le RGDP est très vague son application concrète et uniforme dans tous les pays qui ont des droits différents sur ces questions précises de relations personnelles (et dans quelle équité européenne sommes nous ?), et un document de cadrage est attendu pour le mois de mars 2018.
A chaque réunion d'information, même auprès d'organismes officiels comme la CNIL, l'Afnor Paris ou Lyon ou de la part des grands cabinets d'avocat spécialisé, j'attends toujours des réponses précises à ces questions, quand une question gêne, on nous répond "il faut attendre le document des CNIL Européennes de mars... " mais de quelle année ?... CQFD
Pourrons nous encore écrire une carte de vœux papier ou numérique à nos amis pour leur anniversaire, les fêtes, la bonne année, juste pour leur faire plaisir, sans leur consentement écrit au préalable selon un formulaire ?
Est ce la fin de la relation sociale spontanée ?
Bien de questions en perspectives !
Si vous avez des questions, et surtout des réponses, cela permettra d'alimenter notre prochain café du CEE3 Lyon 3ème, le 16/2 à 9h au Tuba Lyon, "Protection des données personnelles et Data Marketing, RGDP et transparence en 2018". Comment, à la fois optimiser et sécuriser tous traitements de données ?
#consentement rgdp
Bonjour,
Le consentement n'est qu'une des bases légales de traitement des données personnelles, il y en a d'autres (www.cnil.fr/fr/reglement-europeen-protection-d... ) . J'assimile l'échange de cartes de visites à un intérêt légitime de prospection pour le développement de votre activité, donc pour moi, vous avez le droit d'utiliser les cartes de visites :)
Au plaisir d'échanger sur ce sujet.
J'adore votre série de questions sur le RGPD.
Je ne sais pas si c'est de l'humour (ou du désespoir) mais c'est très drôle.
Trouvez vous vraiment abusif de savoir qui détient des données sur vous? Pourquoi? et pendant combien de temps?
Je vais vous donnez un cas réel d'abus manifeste:
Sensibiliser depuis toujours au problème du piratage des œuvres musicales, j'ai vu dans l'arrivée de Deezer une opportunité d'accéder "dans les règles" à un large panel musicale sans devoir acheter les morceaux ou des CD pour les découvrir, me permettant ainsi d'acheter ensuite ce qui me plait. Je me suis donc inscrit avec beaucoup de soin et sans autoriser le partage de mes données. Quelques mos plus tard, j'ai reçu de Cdiscount une offre promotionnelle nominative me souhaitant un bon anniversaire! Comme je cultive depuis toujours une certaine schizophrénie dans mes adresses mails, j'ai de suite identifié Deezer comme source d'information de Cdiscount! Seulement pour se désabonner de chez ces derniers c'est loin d'être simple... Et après beaucoup efforts, j'ai finalement décidé de modifier mes données personnelles chez Cdiscount comme chez Deezer et j'ai supprimé l'adresse mal associée à ces services. Pensez vous que cela soit normal ? Pensez vous qu'une personne moins averti que moi puisse se sortir de cette situation?
Depuis, je suis très impliqué dans la protection des données personnelles sur Internet.
Vous êtes très présent sur le Net, est ce que vous accepteriez qu'une société consolide tout ce qu'on trouve sur vous et votre vie , votre réseaux, vos amis, votre famille et l'exploite sans rien vous demander et publie un portrait intime de vos proches (qui n'ont rien demandé non plus et qui n'ont pas la même présence que vous en ligne)
Je reconnais que le RGPD va changer quelques mauvaises habitudes et alourdir un peu le travail des sociétés de Marketing Internet, mais je pense aussi que cela va leur donner aussi une nouvelle valeur. Disposer d'un fichier réellement qualifié sera d'autant plus précieux et la prospection d'autant plus efficace.
Je me doute bien que le RGPD peut faire peur et bousculer un peu les habitudes mais je n'y vois rien de totalement délirant dés qu'on considère les données personnelles comme sensibles:
1- il faut le consentement de la personne pour avoir et utiliser des données personnelles la concernant (après tout ce sont les siennes)
2- une entreprise doit savoir quelles sont les données personnelles qu'elle possède et ce quelle en fait (est ce vraiment déraisonnable?)
3- une entreprise doit connaître les risques qu'elle prend avec les données personnelles (la mesure du risque est une chose courante quelque soit le sujet)
4- l'entreprise doit avoir un registre pour tracer les traitements des données personnelles (c'est déjà souvent le cas pour les données classées sensibles ou confidentielles)
5- l'entreprise doit tracer et déclarer les incidents et problèmes de sécurité qu'elle rencontre ( demander de la transparence sur les évènements de sécurité me semble indispensable dans notre cyber société)
6- Il doit y avoir un point de contact unique pour les questions de données personnelles (Cela évite les "c'est pas moi, c'est lui")
Donc rassurez vous, vous pourrez continuer à envoyer de vos nouvelles à vos contacts personnels et professionnels, ce n'est pas l'enjeu du RGPD.
Il faut distinguer les cas B2B et B2C, le consentement (Opt-In) a été voulu et mis en place pour les particuliers donc en B2C pour différentes raisons. La première étant la pollution de courriels divers et variés et surtout inutiles.
Le RGPD renforce la protection des données et tout particulièrement celles qui sont personnelles, mais ne définit pas avec précision ce qui peut être considéré comme personnelle ou pas. Les données personnelles sont définies comme étant des éléments permettant d'identifier une personne directement ou indirectement (Nom, prénom, age, sexe, numéro de téléphone, sécurité sociale, ...). En claire, beaucoup d'informations sont des données personnelles et même dans le cadre d'opérations B2B.
Ce qui veut dire que l'ensemble des associations, collectivités et entreprises doivent mettre en application le RGPD. Et pour commencer doivent faire l'état des lieux des données qu'elles exploitent. Ce qui veut dire qu'il faut qu'elles aient une bonne connaissance de leur système d'information.
Il ne s'agit pas de tout protéger, mais de définir les niveaux de criticité/sensibilité des différentes données que l'on gère.
Quant à la doctrine des CNIL Européenne et tout particulièrement la CNIL, je pense au vu de ce dont j'ai été témoin quelle est claire.