GDPR : guide simple sur la protection des données dans l’UE

Si votre organisation collecte, utilise ou suit des données personnelles de personnes dans l’UE, le Règlement général sur la protection des données (GDPR) s’applique. Peu importe où votre entreprise est basée : cette loi européenne sur la protection de la vie privée a une portée mondiale, transformant la manière dont les entreprises traitent les informations personnelles.

Adopté en 2016 et appliqué depuis mai 2018, le GDPR établit des règles claires sur ce qui constitue des données personnelles, comment elles peuvent être utilisées, et quels droits les individus ont sur leurs informations.

Ce guide couvre ce qu’est le GDPR, à qui il s’applique, et ce que les entreprises doivent savoir pour rester conformes.

Qu’est-ce que le GDPR en termes simples ?

Le GDPR est une loi européenne sur la protection de la vie privée qui protège les données personnelles des personnes dans l’UE. Cela inclut toute information pouvant identifier une personne directement ou indirectement, comme les noms, adresses e-mail, adresses IP ou cookies.

Le GDPR donne aux personnes davantage de contrôle sur leurs données. Il oblige également les entreprises à traiter ces données de manière équitable, à expliquer pourquoi elles les collectent et à les sécuriser. Il a remplacé les anciennes règles européennes sur les données lorsqu’il est entré en vigueur le 25 mai 2018.

Pourquoi le GDPR a été introduit

Avant le GDPR, la protection des données dans l’UE reposait sur la directive sur la protection des données de 1995. À l’époque, Internet était nouveau et les entreprises traitaient beaucoup moins de données personnelles. À mesure que la technologie progressait et que les services en ligne faisaient partie de la vie quotidienne, il est devenu clair que ces anciennes règles n’étaient plus suffisantes.

En 2012, la Commission européenne a proposé une nouvelle législation pour renforcer les droits à la vie privée et s’adapter à l’économie numérique. Après plusieurs années de discussions, le GDPR a été adopté en 2016 et est entré en vigueur en 2018.

Contrairement à l’ancienne directive, il s’applique directement dans chaque pays de l’UE, établissant des normes cohérentes et donnant aux personnes des droits renforcés sur leurs informations personnelles.

La vie privée est plus importante que jamais dans un monde connecté, et des lois comme le GDPR sont conçues pour redonner aux utilisateurs le contrôle de leurs données.

À qui s’applique le GDPR

Le GDPR s’applique à toute organisation qui collecte, utilise ou stocke les données personnelles de personnes dans l’UE, que l’entreprise soit basée à l’intérieur ou à l’extérieur de l’Espace économique européen (EEE). La loi suit les données, et non l’emplacement de l’entreprise.

La réglementation définit deux rôles clés :

• Responsable du traitement des données : décide pourquoi et comment les données personnelles sont traitées.
• Sous-traitant : traite les données pour le compte du responsable, comme les fournisseurs cloud ou les prestataires de paiement.

Entreprises dans l’EEE

L’EEE couvre les 27 États membres de l’UE ainsi que l’Islande, le Liechtenstein et la Norvège. Toute organisation établie dans l’EEE doit se conformer au GDPR lorsqu’elle traite des données personnelles, même si ce traitement a lieu en dehors de l’Europe. Par exemple, une entreprise basée au Canada ou en Suisse qui utilise des serveurs au Canada ou en Suisse doit tout de même respecter les règles du GDPR.

Entreprises en dehors de l’EEE

Être en dehors de l’EEE n’exempte pas une organisation du GDPR. Si votre entreprise interagit avec les données personnelles de résidents de l’UE de l’une des manières suivantes, la loi s’applique toujours :

• Propose des biens ou des services à des personnes dans l’UE, que ce soit gratuitement ou contre rémunération.
• Surveille le comportement des personnes dans l’UE, par exemple en suivant l’activité en ligne via des cookies ou du profilage.

Par exemple, une plateforme éducative basée en France ou en Belgique mais ciblant des étudiants universitaires en France ou en Belgique doit se conformer au GDPR. Et toute entreprise en dehors de l’EEE qui agit en tant que sous-traitant pour une entreprise au sein de l’EEE doit également se conformer.

Si un service n’est accessible qu’accidentellement depuis l’UE, sans cibler spécifiquement les utilisateurs de l’UE ni traiter leurs données personnelles, il peut ne pas relever du champ d’application du GDPR. Mais si une entreprise ne fait aucun effort clair pour exclure les résidents de l’UE, les autorités de régulation peuvent tout de même décider que le GDPR s’applique.

De plus, il existe quelques types spécifiques de données qui sont exemptés du règlement, y compris les données collectées à des fins de sécurité nationale, d’application de la loi ou uniquement pour des raisons personnelles domestiques.

Qu’est-ce qui est considéré comme des données personnelles selon le GDPR ?

Selon le GDPR, les données personnelles sont toute information relative à une personne vivante qui peut être identifiée directement ou indirectement. Les exemples incluent :

• Noms complets
• Adresses personnelles
• Adresses e-mail avec le nom d’une personne
• Numéros de carte d’identité nationale ou de passeport
• Adresses IP
• Identifiants de cookies
• Identifiants publicitaires sur les appareils
• Dossiers médicaux

Le GDPR fait également la distinction entre les données pseudonymisées, qui peuvent toujours être reliées à une personne, et les données véritablement anonymisées, qui ne le peuvent pas. Seules ces dernières sortent du champ d’application du règlement.

En outre, le GDPR identifie des catégories particulières de données personnelles, telles que l’origine raciale ou ethnique, les convictions religieuses, les opinions politiques et les données biométriques. Le traitement de ce type d’informations est interdit sauf dans des circonstances très spécifiques en raison des risques plus élevés impliqués.

Quelles sont les bases légales pour le traitement des données personnelles ?

Le GDPR ne permet pas aux organisations de traiter les données personnelles simplement parce qu’elles le souhaitent. Il doit y avoir une raison claire et légale, et le règlement définit six options :

• Consentement : Lorsque quelqu’un a donné une autorisation claire pour que ses données soient utilisées. Le consentement doit être donné librement, spécifique et facile à retirer. Le silence ou les cases pré-cochées ne sont pas acceptables.
• Contrat : Le traitement est nécessaire pour exécuter un contrat avec la personne (par exemple, traiter les détails de paiement pour finaliser un achat).
• Obligation légale : Parfois, la loi oblige une organisation à traiter des données personnelles, comme lorsque les hôpitaux doivent conserver des dossiers médicaux.
• Intérêts vitaux : Le traitement des données est nécessaire pour protéger la vie de quelqu’un, comme en cas d’urgence médicale.
• Mission d’intérêt public : Le traitement des données est nécessaire pour accomplir une mission officielle ou une tâche d’intérêt public (souvent pertinent pour les organismes gouvernementaux).
• Intérêts légitimes : Permet aux organisations de traiter des données si elles ont une raison valable qui ne porte pas atteinte aux droits de la personne, comme l’utilisation des données pour maintenir des systèmes de cybersécurité.

Les 7 principaux principes du GDPR

Le GDPR repose sur sept principes clés qui définissent comment les données personnelles doivent être traitées. Ces principes établissent des normes d’équité, de sécurité et de responsabilité lors du traitement des données.

1. Légalité, équité et transparence

Ce principe indique que les données ne doivent être collectées et utilisées que pour des raisons valides autorisées par le GDPR, comme avoir le consentement de la personne ou avoir besoin des données pour fournir un service. Cela signifie également utiliser les données de manière équitable, sans induire les personnes en erreur ou utiliser leurs informations d’une manière à laquelle elles ne s’attendraient pas. Enfin, la transparence est essentielle : les organisations doivent expliquer en termes simples quelles données elles collectent, pourquoi et comment elles prévoient de les utiliser.

2. Limitation des finalités

Selon le GDPR, les données personnelles ne peuvent être collectées que pour un objectif spécifique et clair. Les organisations doivent informer les personnes de la raison pour laquelle leurs données sont collectées au moment où elles le sont. Une fois collectées, elles ne peuvent pas être utilisées pour une raison incompatible avec cet objectif initial.

3. Minimisation des données

Le GDPR exige que les organisations ne collectent que les données personnelles nécessaires à un objectif spécifique. Ce principe aide à limiter la quantité de données détenues sur une personne, réduisant les risques si ces données sont perdues ou mal utilisées. Il permet de garder la collecte de données ciblée et pertinente.

4. Exactitude

Les données personnelles doivent être correctes. Si une organisation stocke des informations sur une personne, elle doit s’assurer que les données sont exactes et mises à jour si nécessaire. Si des détails changent ou si des erreurs sont trouvées, l’organisation est responsable de les corriger. Maintenir des données exactes aide à éviter les erreurs qui pourraient affecter les personnes, en particulier lorsque les informations sont utilisées pour prendre des décisions à leur sujet.

5. Limitation de la conservation

Les organisations ne doivent pas conserver les données personnelles plus longtemps que nécessaire. Une fois que les données ont rempli leur objectif, elles doivent être supprimées ou anonymisées. Ce principe garantit que les données ne sont pas conservées « juste au cas où » sans raison claire. Il contribue également à réduire les risques liés au stockage d’informations inutilement, comme les violations de données ou les problèmes de confidentialité.

6. Intégrité et confidentialité

Garder les données personnelles en sécurité est essentiel. Les organisations doivent les protéger contre tout accès, consultation ou modification par des personnes non autorisées. Cela implique de mettre en place de bonnes mesures de sécurité en matière de technologie et de gestion des données.

7. Responsabilité

La responsabilité signifie que les organisations ne doivent pas seulement suivre les règles du GDPR ; elles doivent aussi être en mesure de le prouver. Cela implique de démontrer qu’elles ont pris des mesures pertinentes pour protéger les données personnelles, comme tenir des registres sur la manière dont elles les traitent, former le personnel et mettre en place des politiques de confidentialité.

Droits des utilisateurs en matière de données sous le GDPR

Droit d’information

Vous avez le droit de savoir quand une organisation collecte vos données personnelles et pourquoi. Cela signifie que les entreprises doivent être claires dès le départ sur quelles données elles collectent, comment elles prévoient de les utiliser et avec qui elles peuvent les partager.

Les informations doivent être faciles à comprendre afin que vous puissiez prendre une décision éclairée sur le fait de partager ou non vos données.

Droit d’accès

Cela signifie que vous pouvez demander à toute organisation quelles données personnelles elle détient à votre sujet. Vous pouvez demander une copie des données, ainsi que des détails sur la manière dont elles sont utilisées et avec qui elles sont partagées. Les organisations sont tenues de fournir ces informations dans un délai raisonnable.

Cependant, ce droit n’est pas absolu ; il ne doit pas porter atteinte aux droits et libertés d’autrui, y compris aux secrets commerciaux ou à la propriété intellectuelle.

Droit de rectification

Si certaines de vos données personnelles détenues par une organisation sont incorrectes ou incomplètes, vous avez le droit de demander leur correction. Qu’il s’agisse d’un nom mal orthographié, d’une adresse obsolète ou d’informations manquantes, l’organisation doit les corriger.

Droit à l’effacement (droit à l’oubli)

Vous pouvez demander à une organisation de supprimer vos données personnelles lorsqu’il n’y a plus de raison valable de les conserver. Cela est souvent appelé le "droit à l’oubli". Il s’applique lorsque les données ne sont plus nécessaires à l’objectif pour lequel elles ont été collectées, ou lorsque l’organisation a traité vos données de manière illégale.

Cependant, ce droit n’est pas non plus absolu, car les entreprises peuvent conserver les données si elles ont une obligation légale de les garder ou pour d’autres motifs valables.

Droit de limiter le traitement

Ce droit vous permet de demander à une organisation de limiter la manière dont elle utilise vos données personnelles. Vous pouvez faire cette demande si vous pensez que les données sont inexactes, si elles ont été traitées illégalement ou si l’organisation n’en a plus besoin mais que vous souhaitez qu’elle les conserve pour une réclamation légale. Pendant que la restriction est en place, l’organisation peut stocker les données mais ne peut pas les utiliser à d’autres fins sauf si vous donnez votre autorisation ou s’il existe des raisons légales de le faire.

Droit à la portabilité des données

Ce droit vous permet d’obtenir une copie de vos données personnelles dans un format accessible. Vous pouvez également demander que les données soient envoyées directement à une autre organisation si cela est techniquement possible. L’idée est de vous donner plus de contrôle sur vos informations, en facilitant le changement de services ou le transfert de vos données ailleurs sans repartir de zéro.

Droit d’opposition

Vous avez le droit de vous opposer à la manière dont vos données personnelles sont utilisées, en particulier lorsqu’il s’agit de marketing direct. Si vous faites opposition, l’organisation doit cesser d’utiliser vos données sauf si elle peut démontrer qu’elle a une raison légitime forte de continuer à les traiter.

Droits liés à la prise de décision automatisée

Vous avez également le droit de contester les décisions prises à votre sujet uniquement par des processus automatisés, en particulier si la décision a un effet significatif, comme l’approbation d’un prêt ou d’un emploi. Le GDPR vous donne le droit de demander une intervention humaine dans ces cas ; vous pouvez demander qu’une personne examine la décision au lieu de la laisser uniquement aux algorithmes ou aux systèmes automatisés.

Qu’est-ce que le consentement sous le GDPR et comment est-il obtenu ?

Le consentement sous le GDPR doit respecter des normes strictes pour être valide. Pour qu’il soit valable, votre consentement doit être :

• Donné librement : Vous devez avoir un réel choix, sans pression ni conséquences négatives en cas de refus.
• Spécifique et informé : L’organisation doit vous dire qui elle est, quelles données elle collecte, pourquoi elle en a besoin et comment elles seront utilisées.
• Non ambigu : Le consentement doit résulter d’une action claire et affirmative, comme cocher une case ou signer un formulaire. Le silence ou les cases pré-cochées ne comptent pas.

Les personnes ont également le droit de retirer leur consentement à tout moment, et cela doit être aussi simple que de le donner. Une fois retiré, l’entreprise doit cesser d’utiliser vos données pour cet objectif.

Pour les services ciblant les utilisateurs de moins de 16 ans, le consentement parental est généralement requis, bien que certains pays de l’UE aient abaissé ce seuil à 13 ans.

Comment les entreprises peuvent se conformer aux exigences du GDPR

Il existe des étapes spécifiques que chaque organisation doit suivre pour rester conforme au GDPR et protéger la vie privée.

Registres des activités de traitement (RoPA)

L’article 30 du GDPR exige que les entreprises documentent la manière dont elles traitent les données personnelles. Ces registres doivent couvrir les raisons du traitement, les types de données collectées, avec qui elles sont partagées, les durées de conservation et les mesures de sécurité en place.

Bien que les petites entreprises puissent être exemptées si leur traitement est peu fréquent et à faible risque, la tenue de ces registres est essentielle pour démontrer la conformité au GDPR lorsque les autorités en font la demande.

Analyses d’impact sur la protection des données (DPIA)

Lorsqu’une entreprise prévoit de traiter des données personnelles d’une manière susceptible de présenter un risque élevé pour les droits et libertés des personnes, elle doit réaliser une DPIA. DPIA. Cela est obligatoire dans des cas comme l’utilisation de nouvelles technologies, la surveillance d’espaces publics à grande échelle ou le traitement intensif de catégories particulières de données.

L’objectif d’une DPIA est d’identifier et de réduire les risques potentiels avant le début du traitement des données. Si des risques élevés persistent malgré les mesures prises, l’entreprise doit consulter l’autorité de protection des données (DPA), l’organisme national de chaque pays de l’UE chargé de faire respecter la conformité au GDPR, avant de procéder.

Nommer un délégué à la protection des données (DPO)

Certaines organisations sont tenues de nommer un DPO sous le GDPR. Cette personne est responsable de surveiller comment les données personnelles sont traitées au sein de l’entreprise et de s’assurer que les exigences du GDPR sont respectées.
Vous devez désigner un DPO si :

• Vous surveillez régulièrement ou systématiquement les utilisateurs à grande échelle, comme le suivi du comportement en ligne.
• Vous traitez des catégories particulières de données, comme des données de santé, génétiques ou biométriques, à grande échelle.
• Vous êtes une autorité ou un organisme public (avec des exceptions pour les tribunaux ou les autorités judiciaires indépendantes).

Le DPO peut être un employé ou un expert externe engagé via un contrat de service. Dans tous les cas, il doit agir de manière indépendante, conseiller le personnel, superviser les mesures de protection des données et servir de point de contact principal avec les autorités de protection des données.

Garanties pour les transferts de données

Lors du transfert de données personnelles en dehors de l’UE, le GDPR exige que les entreprises s’assurent que le même niveau de protection accompagne les données. Les entreprises doivent appliquer des garanties pour maintenir les données sécurisées et se conformer aux normes du GDPR.

Il existe plusieurs moyens approuvés pour protéger les transferts de données :

• Décisions d’adéquation : Les données peuvent être envoyées vers des pays que l’UE a jugés offrir un niveau de protection adéquat.
• Clauses contractuelles : Les entreprises peuvent inclure des clauses spécifiques dans des contrats avec des destinataires hors UE pour garantir la protection des données.
• Dérogations : Dans certains cas, les transferts sont autorisés si la personne a donné son consentement explicite ou si cela est nécessaire pour des raisons contractuelles.

Contrôles de sécurité et chiffrement sous le GDPR

Les organisations doivent également mettre en place des contrôles de sécurité solides pour protéger les données personnelles contre tout accès non autorisé, altération ou perte. Cela inclut des mesures techniques, comme le chiffrement, et des mesures organisationnelles, telles que la limitation de l’accès au seul personnel autorisé.

Le chiffrement joue un rôle essentiel dans la protection de la vie privée et de la liberté dans les sociétés ouvertes, et reste l’un des outils les plus efficaces contre les violations de données.

Déclaration des violations de données

Si une violation de données présente un risque pour les droits ou les libertés des individus, les entreprises doivent notifier l’autorité de protection des données compétente dans un délai de 72 heures. Si le risque est élevé, les personnes concernées doivent également être informées.

Ne pas signaler une violation dans le délai requis peut entraîner des sanctions, il est donc important que les entreprises disposent de processus clairs pour détecter, évaluer et répondre efficacement aux violations de données.

Sensibilisation et formation des employés

La conformité au GDPR ne dépend pas uniquement des politiques, mais aussi de la compréhension et de l’application par les employés. Le personnel a besoin de directives claires et de formations régulières pour traiter les données personnelles de manière responsable et respecter les droits des individus. Cette sensibilisation à l’échelle de l’organisation aide à prévenir les violations et soutient les efforts de conformité continus.

Application du GDPR et sanctions en cas de violations

Chaque pays de l’EEE dispose d’une DPA qui supervise la manière dont les organisations respectent les règles de protection des données. Ces autorités peuvent mener des enquêtes, demander des documents et même effectuer des inspections pour s’assurer que les entreprises respectent leurs obligations.

Si une entreprise est reconnue en violation du GDPR, les sanctions peuvent être importantes. Les violations les plus graves peuvent entraîner des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise. En plus des sanctions financières, les autorités peuvent également imposer des mesures correctives, comme ordonner à l’entreprise de cesser de traiter certaines données ou d’améliorer ses mesures de protection des données.

Ces pouvoirs d’application signifient que la conformité au GDPR n’est pas optionnelle. Les entreprises qui traitent des données personnelles doivent prendre leurs responsabilités au sérieux sous peine de conséquences coûteuses.

Le GDPR s’applique-t-il aux États-Unis ?

Le GDPR est un règlement de l’UE, mais il ne s’arrête pas aux frontières de l’Europe. Les entreprises américaines peuvent entrer dans son champ d’application si elles traitent des données personnelles de personnes dans l’UE. Cela signifie que même sans présence physique en Europe, les entreprises aux États-Unis peuvent tout de même devoir se conformer au GDPR si leurs activités répondent à certains critères.

Conformité au GDPR pour les entreprises américaines

En vertu de l’Article 3 du GDPR, les entreprises américaines doivent se conformer si elles ont soit un établissement dans l’UE, soit si elles proposent des biens ou des services à des personnes dans l’UE, même si le service est gratuit. La surveillance du comportement des individus dans l’UE en ligne, par exemple via des cookies, le suivi ou la publicité ciblée, les place également dans le champ d’application du GDPR.

Pour se conformer, les entreprises américaines doivent :

• Auditer les types de données personnelles qu’elles collectent.
• Établir une base légale claire pour le traitement de chaque type de données, comme le consentement ou la nécessité contractuelle.
• Évaluer tout transfert de données de l’UE vers les États-Unis, en s’assurant que des garanties appropriées comme les clauses contractuelles types (SCCs) sont en place.
• Nommer un représentant GDPR au sein de l’UE si elles n’y ont pas de présence physique.
• Obtenir un consentement préalable pour la collecte de données sur les sites web et les cookies.
• Mettre à jour les politiques de confidentialité pour refléter les obligations du GDPR et les droits des personnes concernées.

GDPR vs. CCPA et CPRA

Alors que le GDPR exige un consentement clair avant le traitement des données personnelles, le California Consumer Privacy Act (CCPA) et son amendement, le California Privacy Rights Act (CPRA), adoptent une approche différente basée sur le droit de retrait.

En Californie, les entreprises n’ont généralement pas besoin d’un consentement préalable pour collecter ou traiter des informations personnelles, sauf dans certains cas spécifiques comme la vente ou le partage de données, le traitement des données de mineurs ou le traitement de données sensibles.

À la place, ces lois mettent l’accent sur la transparence, obligeant les entreprises à informer les utilisateurs sur leurs pratiques en matière de données et à fournir des moyens simples de refuser la vente ou le partage de leurs données personnelles. Globalement, l’accent en Californie est mis sur le contrôle et la visibilité des utilisateurs plutôt que sur le consentement préalable.

Pour les entreprises américaines, cela met en évidence une distinction importante : les exigences strictes de consentement du GDPR ne se retrouvent pas aux États-Unis, les entreprises opérant dans les deux régions doivent donc adapter leurs pratiques en conséquence.

Quel est le rôle des cookies sous le GDPR?

Sous le GDPR, les cookies qui peuvent identifier une personne ou suivre son comportement en ligne sont considérés comme des données personnelles. Cela inclut des techniques au-delà des cookies traditionnels, comme l’empreinte du navigateur, qui peut identifier de manière unique les utilisateurs en fonction de leur appareil et des paramètres de leur navigateur.

Les sites web doivent laisser les utilisateurs choisir quels types de cookies ils acceptent, un concept connu sous le nom de consentement granulaire. Cependant, les cookies strictement nécessaires ne nécessitent pas de consentement.

Bien que le GDPR définisse comment le consentement doit être obtenu, l’utilisation des cookies dans l’UE est également régie par la directive ePrivacy, qui complète le GDPR en réglementant spécifiquement les technologies de suivi en ligne comme les cookies. C’est pourquoi de nombreux sites web affichent des bannières de cookies aux visiteurs de l’UE, leur demandant de gérer leurs préférences avant que des cookies non essentiels ne soient déposés.

Si vous cherchez à réduire le suivi lors de votre navigation, l’utilisation d’un réseau privé virtuel (VPN) peut également vous aider à naviguer de manière plus privée en masquant votre adresse IP et en chiffrant votre trafic.

Idées reçues courantes sur le GDPR

Malgré son entrée en vigueur depuis des années, il existe encore des idées reçues répandues sur ce que le GDPR signifie réellement pour les entreprises. Clarifions-les.

Le GDPR s’applique uniquement aux entreprises de l’UE

On suppose souvent que le GDPR ne concerne que les entreprises situées dans l’UE, mais le règlement a une portée bien plus large. Toute entreprise basée en dehors de l’UE, y compris aux États-Unis, au Canada ou en Suisse, doit s’y conformer si elle propose des biens ou des services à des personnes dans l’UE ou si elle surveille leur comportement en ligne, par exemple via des technologies de suivi.

Le consentement est toujours requis

Une autre idée fausse courante est que le GDPR exige toujours le consentement pour traiter les données personnelles. En réalité, le consentement n’est qu’une des plusieurs bases légales. Les entreprises peuvent également s’appuyer sur un contrat, une obligation légale, un intérêt vital, une mission d’intérêt public ou un intérêt légitime, à condition que les droits des individus soient respectés. Le consentement devient essentiel lorsqu’aucune autre base légale ne s’applique.

Le GDPR concerne uniquement les amendes

Beaucoup considèrent le GDPR uniquement comme un système imposant de lourdes amendes, mais son objectif principal est de renforcer les droits à la vie privée et de promouvoir une gestion responsable des données. Bien que les sanctions puissent être importantes, l’accent est mis sur le fait de garantir que les organisations traitent les données personnelles de manière transparente, sécurisée et conforme aux droits des individus.

Le GDPR empêche tout marketing

Il existe également l’idée erronée que le GDPR rend le marketing impossible. Le règlement n’interdit pas totalement le marketing ; il fixe plutôt des limites pour s’assurer que les données personnelles sont utilisées de manière équitable. Avec une base légale appropriée, qu’il s’agisse du consentement ou de l’intérêt légitime, les entreprises peuvent continuer à faire du marketing auprès des individus dans l’UE, tant que les droits à la vie privée sont respectés.