2021, l’année où tout va changer pour la Protection des données en Suisse

Chronique rédigée par Giancarlo Avolio, Manager chez Colombus

La Loi sur la Protection des Données (LPD) a été révisée par le parlement fin 2020 et devrait entrer en vigueur début 2022. Autrement dit, 2021 est une année clé pour les marques suisses qui doivent entreprendre une mise en conformité. Sans surprise, la LPD s’aligne sur les principes du RGPD (Règlement Général sur la Protection des Données). On retrouve ainsi les éléments et obligations de mise en œuvre pour les marques et médias comme le consentement libre et éclairé des contacts, le droit à l’oubli, droit de savoir si la donnée a été piratée, le « Privacy by design », la nomination d’un Data Protection Officer (DPO) …etc.

Mais de quoi parlons-nous ? Quels sont les impacts pour les consommateurs ? Avec la révision de la LPD, la donne change radicalement : nous passons d’un opt-in défini par défaut à un besoin de consentement libre et éclairé ! Autrement dit, le consommateur sera bien plus conscient du partage de ses données, tandis que ce dernier était, jusqu’à présent, peu explicite et obtenu par défaut. Un besoin de pédagogie et de transparence devrait donc émerger afin que le consommateur continue à partager ses données avec ses marques et médias préférés.

À date, deux scenarii sont donc possibles selon la base de contacts. Premièrement, si la marque possède des contacts résidents dans l’UE, le RGPD a déjà été mis en œuvre : la LPD révisée devrait être simple à mettre en place, car suivant les mêmes principes que la loi européenne. En revanche, le deuxième cas est plus complexe : si la marque possède exclusivement des contacts résidents suisses (le RGPD n’étant pas mis en application), le passage à la LPD révisée est un projet en soi.

En effet, les impacts pour ces marques sont importants : il s’agit de revoir tous les points de contact clients et consommateurs, et de réévaluer comment recueillir (ou non) le consentement explicite de chaque individu. Il faut également s’assurer que le stockage des données d’une personne est justifié et réalisé de manière conforme. En cas de non-obtention ou révocation du consentement, il est nécessaire d’identifier et de supprimer les données concernées. Tout cela en intégrant une véritable gestion omnicanale : permettant aux utilisateurs à tout moment de définir leurs préférences de partage de données sur l’ensemble des canaux.

Les chantiers à couvrir sont donc larges, entre processus en front-office (notamment en agences et points de vente), mais aussi en IT avec des systèmes Marketing devant respecter ces choix en quasi-temps réel. Sans oublier les fournisseurs et partenaires opérant ou manipulant des données personnelles… En effet, cela implique une mise à plat de l’ensemble de ces processus et une transparence totale des opérations !

L’expérience en Europe avec le RGPD nous a permis de tirer certaines leçons : si les régulateurs ont été indulgents aux prémices de son application, les sanctions ont été appliquées plus régulièrement par la suite. En 2020, leur total en Europe a atteint 114 Mio d’euros, propulsé par les condamnations en Italie (58 Mio d’euros), notamment avec l’amende de 28 Mio d’euros infligée au groupe télécom TIM. Le record absolu ayant été pour la filiale allemande du groupe H&M avec 35 Mio d’euros. Au-delà de ces sanctions, de nouveaux modes de gestion de la donnée personnelle sont apparus avec un repositionnement de certaines marques sur le sujet, pour en faire un avantage concurrentiel.

Un autre exemple plus provocateur : Apple propose sur son nouvel iOS 14 un outil « anti-pistage », en bloquant par défaut l’IDFA (IDentifier For Advertisers). Cela permet aux utilisateurs de mieux protéger leurs données et de ne plus recevoir de publicité. Ces mécanismes ont toutefois un impact immédiat pour les éditeurs et les régies publicitaires, donc également pour les annonceurs, qui voient s’échapper ces données précieuses pour leur ciblage publicitaire. Apple a-t-elle bien l’intention de changer les règles du jeu sur ce marché de la donnée, en devenant en quelque sorte un tiers de confiance ?
Alors prêt(e) pour le changement avec cette LPD révisée ?

Pour approfondir ce sujet:  webinaire en partenariat avec Colombus Consulting, Brandit et OneTrust