Le Règlement européen sur la protection des données personnelles est entré en vigueur le 25 mai 2018. Êtes-vous en conformité ? Pour le savoir, nous vous proposons une check-list basée sur une infographie réalisée par le SNCD (Syndicat National de la Communication Directe). Comment définir une donnée personnelle, obtenir et conserver le consentement des personnes et leur donner les informations nécessaires ? Nos explications.
Comment définir une donnée personnelle ?
Les données personnelles regroupent l’ensemble des informations qui permettent d’identifier une personne physique :
directement ;
par recoupement (ou croisement) d’informations.
Certaines données permettent en effet d’identifier directement une personne : ses nom et prénom(s), par exemple. Mais c’est aussi le cas d’une photo ou d’une adresse email nominative. D’autres données peuvent permettre d’identifier une personne si elles sont croisées, ou recoupées, avec d’autres données. Ce sera par exemple le cas d’une date et d’un lieu de naissance, d’une plaque d’immatriculation, d’une empreinte digitale, d’une adresse IP ou d’un numéro de téléphone. Ces deux types de données sont concernés par le nouveau règlement européen.
Le RGPD définit ce qu’est une donnée personnelle, mais aussi les principes qui déterminent celles que vous pouvez recueillir ou non.
La relation contractuelle
Certains contrats impliquent la gestion de données personnelles. Ce sera, par exemple, le cas dans le cadre d’un contrat de travail.
Concrètement, l’employeur a besoin de données bancaires pour gérer le versement des salaires de ses salariés. Mais il gère aussi des données liées au recrutement, aux frais, aux absences, par exemple. Le consentement de la personne n’est donc pas nécessaire.
L’intérêt légitime
L’intérêt légitime dépend de la nature de votre activité et de vos finalités. En marketing, la prospection commerciale et la fidélisation constituent des intérêts légitimes.
Concrètement, la collecte des coordonnées de personnes que vous souhaitez prospecter ou fidéliser est donc tout à fait possible.
Le consentement
Pour recueillir les données d’une personne, vous devez, dans certaines situations, obtenir son consentement (et être capable d’en fournir la preuve).
Concrètement, en marketing, vous pouvez recueillir et utiliser des adresses physiques pour faire un mailing à de nouveaux arrivants dans une ville donnée, sans nécessairement recueillir leur consentement. Mais vous ne devez pas demander, par exemple, des données liées à leurs habitudes alimentaires à vos clients si vous commercialisez des vêtements : cette information n’a pas de lien direct avec votre activité.
Comment recueillir, stocker, prendre en compte le consentement d’une personne ?
Pour que le consentement d’une personne à la collecte et à l’usage des données qu’elle vous confie soit considéré comme valide, vous devez, sauf exception, le recueillir sous la forme d’un « opt-in ». C’est-à-dire que c’est elle qui doit faire l’action de vous le donner. Le RGPD vous impose de conserver trace de ce consentement pour en justifier, le cas échéant.
Concrètement, si vous souhaitez utiliser le formulaire de votre site e-commerce via lequel vous recueillez les coordonnées de vos clients pour la livraison et leur proposer dans la foulée de s’abonner à votre newsletter, laissez les internautes faire l’action de cocher la case signifiant leur accord à recevoir des emailings de votre part (c’est « l’opt-in »).
Voici un exemple :
Case à cocher, conformeCase précochée, non-conforme
Toutefois, dans tous les cas, vous devez bien informer la personne :
de l’utilisation que vous allez faire des données qu’elle vous confie ;
de son droit à s’opposer à l’usage de ses informations personnelles.
Par exemple, dans une newsletter, vous devez lui laisser la possibilité de pouvoir se désinscrire (c’est « l’opt-out »). L’opt-out, en marketing, consiste, par exemple, à envoyer un email commercial à un individu sans lui avoir demandé son autorisation préalable, mais en lui permettant de demander à ne plus faire partie des destinataires. Prenons un exemple :
Dans une newsletter, un lien doit permettre aux abonnés qui le souhaitent de s’en désinscrire
Opt-in, opt-out, comment trancher ?
En fonction de vos objectifs et de vos publics, vous allez pouvoir miser sur l’opt-in ou sur l’opt-out.
En B2C
Si vous vous adressez à des particuliers, vous devez impérativement recueillir leur consentement en « opt-in » pour les SMS et les emails de prospection. Le courrier postal, lui, repose sur un simple opt-out.
Concrètement, si vous voulez envoyer un mailing à des clients potentiels de votre zone de chalandise, donc mobiliser ce canal dans un objectif de prospection, vous devrez obtenir leur consentement en leur proposant un « opt-in ». La même règle s’applique si vous souhaitez mobiliser les SMS, que ce soit en prospection ou en fidélisation.
Par contre, si vous souhaitez mobiliser le courrier publicitaire, vous pouvez miser sur l’opt-out, que vous souhaitiez prospecter ou fidéliser. Idem pour les appels téléphoniques et les emails de fidélisation. Pensez simplement à informer les personnes auxquelles vous vous adressez de leur droit d’opposition.
En B2B
En B2B, les règles sont plus simples à appliquer : c’est le principe de l’opt-out qui prévaut. Assurez-vous toutefois de bien indiquer aux personnes auxquelles vous vous adressez qu’elles bénéficient d’un droit d’opposition. Indiquez-leur aussi la manière dont elles peuvent l’exercer. Enfin, attention : veillez à bien utiliser les données B2B en votre possession pour des actions strictement liées aux activités professionnelles de vos prospects.
Concrètement, insérez un lien vers un formulaire de désinscription dans votre newsletter, indiquez une adresse email auprès de laquelle solliciter le retrait d’une liste de mailings ou un numéro de téléphone auprès duquel demander le retrait d’une liste d’envois de SMS.
Informations à la personne : quelle check list ?
Certaines informations légales étaient déjà obligatoires avant le RGPD. Toutefois, le règlement européen les complète avec de nouvelles notions.
Depuis 1995
Avant le RGPD, le principe était déjà d’expliquer l’objet de la collecte de données et les droits des personnes dont les données étaient recueillies.
Concrètement, un site web doit expliquer à ses visiteurs si des données sont collectées et, le cas échéant, comment ils peuvent s’opposer à leur utilisation. Prenons l’exemple de la CNIL :
La CNIL informe les visiteurs de son site web de l’usage des données qu’elle peut récolter par ce biais
Autre exemple : quand vous invitez des internautes à remplir un formulaire sur votre site web pour s’inscrire à votre newsletter, pensez bien à leur signaler les champs obligatoires (et donc, par défaut, ceux qui ne le sont pas), pour distinguer les informations dont vous avez impérativement besoin des autres. Par exemple :
L’astérisque signale les champs obligatoires du formulaire
Depuis 2016
En 2016, la Loi dite « République numérique » ajoute une nouvelle dimension aux droits des personnes : les informer de la durée pour laquelle sont collectées leurs données. Lorsque ça n’est pas possible, l’organisation qui collecte les données doit annoncer les critères utilisés pour déterminer cette durée.
Concrètement, la CNIL limite formellement la durée de conservation de certaines données. Par exemple, dans les domaines de la sécurité, des ressources humaines et bancaire :
1 mois pour des images issues de dispositifs de vidéosurveillance ;
5 ans pour les données relatives à la gestion de la paie ou le contrôle des horaires des salariés ;
le temps de la transaction pour des coordonnées bancaires, lors d’un achat en ligne.
En marketing, à chaque entreprise de déterminer et justifier une durée de conservation des données qui correspond à ses spécificités. Toutefois, la CNIL propose une norme (appelée NS48) aux entreprises : pour celles qui y adhèrent, les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant trois ans doivent être supprimées (1).
Ce que le RGPD apporte en complément
Le nouveau règlement européen crée notamment une nouvelle fonction dans les entreprises qui utilisent des données personnelles : le DPO ou « data protection officer ». Sa mission : s’assurer de la mise en conformité de son entreprise et de la bonne application du RGPD. Il est donc logique que vous indiquiez ses coordonnées aux personnes dont les données figurent dans votre base de données. Autre nouveauté importante introduite par le RGPD : le droit à l’effacement, la limitation du traitement et à la portabilité des données. Concrètement, cela signifie que les personnes qui vous ont confié des données ont le droit de vous demander de leur restituer les données que vous possédez à leur sujet pour pouvoir les utiliser sur une autre plateforme. Ce qui implique d’utiliser un format facilement lisible, comme le .csv ou le .xml, que l’on peut ouvrir à partir d’un logiciel de bureautique comme Excel. Par exemple, pour un abonné à votre newsletter :
Export des données d’une base d’abonnés à une newsletter en .csv (source : Mailchimp)
Retrouvez l’infographie intégrale ici, pour vous guider dans les dernières étapes de votre mise en conformité. Notez aussi qu’à partir du 25 mai 2018, vous devrez informer les personnes de toute nouvelle collecte les concernant.
Pour MEDIAPOST, protection et sécurisation des données constituaient déjà des priorités avant l’entrée en vigueur du RGPD. Nous avons mené à terme un plan d’actions pour vous garantir notre conformité au RGPD dès son entrée en vigueur, permettre l’utilisation responsable des données que nous traitons et nous montrer à la hauteur de la confiance que vous nous accordez. Connaissez-vous la norme ISO 27001/2013 ?
Cette certification porte sur le traitement, l’enrichissement et l’analyse de données de fichiers d’adresses et de numéros de téléphone pour la diffusion de campagnes de communication. Cette norme, internationalement reconnue, garantit la capacité d’un acteur à sécuriser ses données et celles de ses clients et sa conformité au RGPD. En France, 200 entreprises ont obtenu cette labellisation pour le moment. Parmi elles, MEDIAPOST est le seul acteur du secteur de la communication de proximité. Découvrez ici ce que cela vous apporte !
