Nouveau rôle de délégué à la protection des données du RGPD

Le travail le plus en vogue en ce moment pourrait être le nouveau rôle de délégué à la protection des données requis par la législation GDPR de l'Union européenne qui entrera en vigueur en mai.

Dans ce podcast Rethink Marketing, Act-On CMO Michelle Huff interviewe David Fowler sur le nouveau rôle et ce que les entreprises doivent savoir. Fowler est responsable de la conformité numérique chez Act-On.

Le règlement général sur la protection des données, ou RGPD, est un texte législatif massif qui s'applique aux 510 millions de citoyens de l'UE, ainsi qu'à toute entreprise faisant affaire avec eux, quel que soit leur lieu d'implantation. Parmi les nombreuses exigences figure le nouveau poste de délégué à la protection des données.

] Cette transcription a été modifiée pour la longueur. Pour avoir la pleine mesure, écoutez le podcast.

Michelle Huff : Pouvez-vous nous rappeler ce qu'est le RGPD ? Et pourquoi avons-nous besoin de le savoir et de nous y préparer ?

David Fowler : Le RGPD, ou règlement général sur la protection des données, est la prochaine réécriture des lois numériques au sein de l'Union européenne. C'est le plus gros projet de loi des 20 dernières années. Si vous pensez à notre marché où nous étions il y a 20 ans et où nous en sommes aujourd'hui, le canal numérique s'est certainement transformé en ce qui concerne les données des utilisateurs, les droits des données, l'accès individuel, etc. C'est un très gros chantier en termes de déploiement au sein de l'Union européenne. Et c'est une loi très lourde.

Michelle : Nous nous préparons tous au RGPD, c'est une priorité pour moi ici en marketing. Mais il s'agit d'un cas d'utilisation particulier, car d'autres spécialistes du marketing utilisent souvent l'automatisation du marketing pour envoyer des e-mails, et ils doivent s'y conformer en utilisant leurs pratiques et leurs outils. Alors, pouvez-vous nous tenir au courant de l'état d'avancement d'Act-On dans ses préparatifs ?

David : La loi n'entrera en vigueur qu'en mai 2018. Il y a beaucoup de choses que nous, en tant qu'entreprise, devons examiner, et vous, en tant que client, devez examiner, en termes de responsabilités en vertu de RGPD.

Et beaucoup dépend de quel côté de cette clôture vous tombez, que vous soyez le contrôleur de données ou le processeur de données. Et dans notre cas, dans Act-On, nous sommes les deux. Nous agissons en tant que sous-traitant des données de nos clients, et également en tant que contrôleur de vos données si nous vous faisons du marketing. Nous avons un double coup dur, pour ainsi dire, en ce qui concerne nos obligations.

Il y a environ un an, nous avons entrepris une évaluation par un tiers de notre préparation au RGPD par le biais d'une société appelée Truste, qui est l'organisation qui certifie notre site Web et nos principes de confidentialité. À partir de ce document, nous avons ensuite élaboré une sorte de plan de travail indiquant ce que nous devons commencer à examiner pour mettre notre navire en ordre pour le RGPD.

Nous sommes probablement entre la deuxième et la troisième base en ce moment en ce qui concerne où nous en sommes en tant qu'organisation. Mais c'est vraiment très complexe. Parce que la façon dont les choses sont interprétées par nos clients pourrait être complètement différente de la façon dont nous voyons les choses nous-mêmes. Je suis très confiant qu'en mai de l'année prochaine, lorsque le RGPD entrera en vigueur le 26 mai, nous serons prêts à partir.

Michelle : Cela semble si loin, et pourtant si proche. L'une des exigences du RGPD est que chaque entreprise ait ce rôle de délégué à la protection des données. Pouvez-vous nous en dire plus sur ce rôle et comment les gens devraient-ils penser à ses responsabilités ?

David : Le délégué à la protection des données est un nouveau concept au sein de l'Union européenne, ce qui signifie que vous devez avoir dans votre personnel un employé qui ne fait rien d'autre que d'être responsable de vos obligations continues en vertu du RGPD.

Même s'ils sont sur votre liste de paie, ils rendent compte à l'autorité de protection des données du pays dans lequel vous résidez. Dès le départ, vous pouviez voir qu'il pourrait y avoir des principes intéressants de hiérarchie des rapports. Mais le fait est qu'ils sont une extension de l'autorité de protection des données au sein de votre organisation.

Ils ont la responsabilité de s'assurer que vous, en tant qu'organisation, respectez votre préparation au RGPD, respectez vos obligations en vertu de la loi et sur vos préparatifs en cours en ce qui concerne tout ce qui peut survenir. Essentiellement, ils sont une extension de l'autorité de protection des données dans le pays dans lequel vous vous trouvez, mais vous rendent compte au niveau C.[

Michelle : Est-ce uniquement pour les entreprises qui ont un siège européen ? Ou est-ce pour ceux qui font des affaires dans l'UE ? Quelles entreprises sont vraiment impactées et commencent vraiment à devoir embaucher pour ce poste ?

David : C'est une bonne question. Le poste le plus en vogue actuellement dans l'Union européenne est celui de délégué à la protection des données. Si vous effectuez une recherche sur Google, vous obtiendrez de nombreux résultats. Mais le fait est que la loi GDPR s'applique à toute entreprise qui a des citoyens européens dans sa base de données. Donc, peu importe où vous vous trouvez sur la planète, si vous faites du marketing auprès des citoyens européens et que vous êtes d'une certaine taille ou d'une certaine verticale, vous devez alors avoir un DPO parmi le personnel. Dans le cas d'Act-On, parce que nous avons une très grande partie de nos clients en Europe et que nous dépassons les 250 employés, nous devrons alors nommer un délégué à la protection des données avant le mois de mai de l'année prochaine.

Michelle : C'est intéressant. Cette personne peut-elle résider n'importe où dans le monde ? Ou doivent-ils résider dans l'UE ?

David : Ça dépend. C'est drôle parce que j'étais justement à la réunion GDPR la semaine dernière à Bruxelles. Et cet exemple était lors d'une des sessions auxquelles j'ai assisté, où vous aviez une entreprise multinationale dans plusieurs pays de l'Union européenne. Et c'était une réponse très complexe à une question très complexe. Le net/net est que vous devriez en avoir un. Où cette personne s'assied réellement, s'assied physiquement, je pense que c'est l'une de ces choses qui sera déterminée en fonction de la façon dont elle sera gérée à l'avenir une fois qu'elle sera déployée. Comme la plupart de ces choses le font, ils finissent par retourner aux équipes juridiques pour obtenir un avis.

Michelle : Pourquoi est-ce nécessaire ?

David : Essentiellement, c'est en quelque sorte le médiateur, en termes d'adoption des meilleures pratiques en fin de compte. Parce que sur les 99 articles du RGPD et les 173 considérants, c'est beaucoup de travail lourd en ce qui concerne la façon dont vous exploitez votre entreprise numérique ou votre entreprise de marketing, quelle que soit la loi elle-même. Je pense que c'est plus une sorte de solution palliative pour s'assurer que vous ou toute personne qui est tenue de suivre le RGPD le respecte. Et c'est l'un de ces rôles qui, je pense, mûrira avec le temps. Cela semble génial dans son concept, mais la réalité est que lorsque cela démarre, nous verrons comment cela fonctionne.

Ainsi, être capable de gérer via le RGPD et certainement de gérer les exigences du RGPD est une entreprise colossale. Et ce n'est pas nécessairement juste un rôle commercial. Ce rôle est vraiment destiné à être une personne de type très hautement technique. Donc, vous pensez au responsable de la protection de la vie privée. Cette personne sera plus encline à la technique, ainsi qu'aux processus commerciaux. Ils vont pouvoir parler des côtelettes techniques, ainsi que des côtelettes commerciales en même temps.

Michelle : Comment quelqu'un peut-il penser à cela du bon côté, faire de la limonade avec des citrons ? Comment pensez-vous que les entreprises et les spécialistes du marketing pourraient vraiment penser à ce DPO de manière positive au lieu de le considérer comme un fardeau ou simplement comme une exigence à laquelle nous devons nous conformer ?

David : Je pense que c'est l'une de ces choses où vous tirez parti de l'expérience de l'individu. Le RGPD est une législation massive. Et il n'y a personne là-bas qui peut dire, je comprends parfaitement. Et cette personne pourra aider à faciliter la compréhension du RGPD au sein de votre organisation. Je vois ça comme un avantage, pas comme un inconvénient. Parce que vous pourriez trouver des moyens de faire les choses mieux et plus efficacement. Et vous pourrez peut-être trouver plus de sources de revenus, en tirant parti de l'expérience de cette personne dans vos futurs développements de marketing produit ou de produits.

Si nous avons la même conversation dans cinq ans, alors que nous avons trois ou quatre ans à notre actif avec cet individu en particulier au sein de l'entreprise, je pense que vous constaterez que ce sera beaucoup plus fructueux que douloureux.

Mais il y aura quelques bosses initiales sur la route, comme il y en a toujours quand les choses se mettent en ligne. Mais je pense qu'en fin de compte, tirer parti de cette base de connaissances est certainement un avantage. Et je vois que cette personne rejoint définitivement l'équipe marketing parce que tout commence lorsqu'un client est engagé en ce qui concerne les revenus et l'engagement. Si j'étais un spécialiste du marketing, le CMO d'une organisation, je serais rejoint à la hanche avec cette personne parce que je pense que cela n'a que des avantages pour la fonction globale de ce groupe de l'organisation.

Michelle : Où les gens peuvent-ils en savoir plus ? Ou y a-t-il des choses en dehors d'Act-On que les gens devraient vraiment consulter pour en savoir plus ?

David : Cela dépend où vous êtes physiquement. Certains pays sont loin devant les autres en termes de communication de notification GDPR. Nous avons notre hub GDPR, qui est maintenant opérationnel sur notre site Web. Nous y publierons beaucoup plus d'informations à mesure que nous nous rapprochons de la journée. Mais chaque pays est responsable de son déploiement. Vous allez voir après les vacances une poussée promotionnelle massive de l'Union européenne en termes de préparation pour le RGPD.

Et n'hésitez pas à nous contacter à [email protected] Cet e-mail me parviendra directement. Et je suis plus qu'heureux de vous orienter dans la bonne direction.

Michelle : Merci, David. Toujours perspicace. C'est formidable de pouvoir simplement en parler.

David : Merci. Bonne chance à tous.