Sélectionner une page

Cet article est un condensé d’informations au sujet du RGPD. Le contenu officiel et complet du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 est consultable sur le site de la CNIL.

Ce 25 mai 2018, nous créons le nouveau web ! Un Internet plus éthique et sécurisé. Si cette directive ne touche que l’Union Européenne, vous avez certainement constaté que de nombreuses entreprises étrangères s’y sont aussi adaptées. En effet, il leur serait dommageable de perdre ce marché. Il y a fort à parier que ce RGPD deviendra, à l’avenir, une norme internationale (on en reparle dans quelques années ;) ). L’objectif de cette réglementation est de lutter contre la cybercriminalité et l’utilisation abusive des données.

Chaque entreprise, quelque soit sa taille doit se conformer à ce nouveau règlement. Seulement, en fonction de nos activités, de nos outils, du nombre d’employés… Les procédures à mettre en place seront différentes.

Qu’est-ce qu’une « donnée personnelle » ?

Selon la CNIL, une donnée personnelle est représentée par toute information relative à une personne physique identifiée, ou susceptible de l’être, directement ou indirectement, par référence à :

  • un numéro d’identification (ex. : n° de sécurité sociale),
  • un ou plusieurs élements qui lui sont propres (ex. : nom et prénom, date de naissance, empreinte digitale, ADN, etc.).

On comprend ainsi qu’il ne s’agit pas uniquement des données client, et/ ou prospects, mais aussi de celles de vos employés (si vous en avez). A partir du moment où vous enregistrez ce type d’informations, vous devez protéger les données, et respecter les droits des personnes.

Quels sont les « droits des personnes » ?

Vous devez permettre à vos « utilisateurs » (clients, employés, partenaires, prospects) :

  • Le droit de rectification. Ils doivent pouvoir facilement mettre à jour leurs informations.
  • Le droit à l’oubli. Ils peuvent demander à ce que leurs données soient supprimées (bien entendu cela ne vaudra pas pour les factures, mais ils ne devront plus être sollicités).
  • Le droit à la portabilité. Dans le cas où ils souhaitent utiliser un autre service que le vôtre, vous devez vous assurer qu’ils puissent récupérer leurs données dans un format adéquat).
  • Le droit d’opposition. Ils peuvent refuser que leurs données soient recueillies.
  • Le droit d’accès à leurs données.

Comment procéder ?

La CNIL vous suggère de procéder selon 4 étapes :

1. Audit :

  • Observez au sein de votre entreprise toutes les données personnelles que vous stockez (CRM, liste de diffusion, logiciel de facturation, base de données de prospection…), et qui (ou quels services) y a (ont) accès.
  • Notez de quel type de données il s’agit (nom, prénom, date de naissance, adresse postale, adresse IP…).
  • Identifiez avec précision de quelle façon ces données ont été recueillies (achat de fichier, ajout à une liste de diffusion automatique après achat, ajout à une liste de diffusion via une case pré-cochée…). Il est indispensable d’avoir obtenu le consentement par une action explicite de l’utilisateur. Le cas échéant, vous ne pouvez plus utiliser ces données.

Pour ce faire, vous pouvez vous aider du modèle de registre proposé par la CNIL.

2. Faire le tri des données :

  • Ces donnés sont-elles indispensables ? (est-il justifié de récupérer ses données pour l’utilisation de votre service, pour la facturation, la livraison de votre produit…).
  • Ces données sont-elles sensibles ? (religion, santé, politique…), auquel cas des mesures particulières doivent être prises !
  • Ces utilisateurs sont-ils toujours actifs ? L’entreprise a-t’elle encore besoin de ces informations ?

3. Respecter le droit des personnes :

  • en les informant de la façon dont vous gérez les données, et des démarches à effectuer pour faire exercer leurs droits (cf le droit des personnes).
  • en identifiant qui a accès aux données, et est autorisé à les utiliser.
  • en précisant si les données sont susceptibles d’être traitées hors de la zone européenne.

4. Sécurisez vos données

  • s’assurer que les serveurs et/ou logiciels sur lesquels sont enregistrées ses informations soient sécurisés (antivirus, mises à jour des logiciels, mots de passe complexes…)
  • si vous utilisez des outils tiers, ou dans le cloud, vous devez veiller à ce qu’ils soient conformes au RGPD (notamment vos solutions d’e-mailing, de facturation, de CRM…).

ATTENTION : En cas de non respect, vous encourez une amende de 2 à 4 % de votre chiffre d’affaires (à hauteur de 20 millions €).

RGPD et Marketing Web, quelles actions mettre en place ?

Sur le site internet :

  1. Une page indiquant vos mentions légales est obligatoire.
  2. Une page précisant votre politique de confidentialité doit maintenant être ajoutée. Elle précisera les données récoltées (cookies, traceurs, formulaires, commentaires, création de compte client…), les outils utilisés, votre politique de sécurité…
  3. Si vous utilisez des solutions de suivi de données, telles que Google Analytics ou Pixel Facebook, vous devez informer vos visiteurs que votre site utilise des cookies. Ils doivent donner leur consentement lors de leur première visite. Ils peuvent refuser l’exécution des cookies qui ne sont pas indispensables (analytics, ciblage publicitaire…) tout en continuant de consulter votre site. (La CNIL met à votre disposition un exemple de bandeau cookie).
  4. Une case à cocher sur tous vos formulaires de contact afin que l’internaute vous donne son consentement pour consulter les données transmises, les prendre en charge et lui répondre. Vous devez avoir une trace (preuve) de cet accord.
  5. Une page contenant un formulaire de contact ou une adresse mail dédiée afin de faire valoir le « droit des personnes ».
  6. Le site doit être sécurisé via un certificat HTTPS.

Pour les sites e-commerce :

  1. Toutes les notions évoquées ci-dessus.
  2. Les données récupérées doivent être justifiées, en d’autres termes utiles au fonctionnement du service, la livraison des achats ou de la prise de contact.
  3. Lors de la création de compte, les utilisateurs doivent obligatoirement saisir un mot de passe complexe.
  4. Aucune donnée personnelle ne doit être transmise par e-mail.
  5. Il est interdit de stocker les coordonnées bancaires.

Pour vos listes de diffusion :

  1. L’inscription à votre newsletter ou marketing automation doit se faire de façon consentie. En d’autres termes l’internaute doit effectuer une action positive (cocher une case par exemple). Vous devez pouvoir justifier de ce consentement. (Un abonné inactif pendant 3 ans doit être supprimé).
  2. Avant de s’abonner, l’internaute est clairement informé de ce qu’il va recevoir, à quel rythme…
  3. Si vous souhaitez utiliser une liste pour une campagne différente, vous devez demander leur consentement à nouveau.
  4. Vous devez pouvoir justifier du consentement de vos abonnés. Si ce n’est pas le cas, vous ne pouvez plus les contacter.
  5. L’internaute doit pouvoir se désabonner, modifier ses préférences ou demander la suppression de ses données.
  6. Supprimer les contacts inactifs et les désabonnements.

ATTENTION : si vos utilisateurs ont moins de 16 ans, vous devez obtenir le consentement des parents !

Pour résumer :
  • La récolte des données doit être justifiée, consentie et vérifiable.
  • L’utilisation des données doit être clairement annoncée.
  • Les données doivent être protégées et sécurisées.
  • Tout utilisateur doit avoir accès à la consultation, modification et suppression de ses données.

Pour relire, partager ou conserver cet article, épinglez-le !

J’espère vous avoir éclairé et aidé à prendre soin de vos données.
Créons un meilleur World Wide Web !

Rachel Nething

VOUS AIMEREZ AUSSI :

Pin It on Pinterest

Share This