[RGPD] Quel impact sur le marketing ? Interview de Vincent Faouet

[RGPD] Quel impact sur le marketing ? Interview de Vincent Faouet

Pouvez-vous nous décrire en quelques mots l’activité de votre société ?

Je suis basé en région parisienne et peux intervenir un peu partout en France. Plutôt que me décrire comme un consultant en marketing, je préfère me définir comme un commerçant, car je trouve que la notion de marketing est réductrice par rapport à la finalité qui est la sienne : la vente.

Quel est votre domaine d’expertise, à quelles problématiques répondez-vous ?

Mes interventions concernent la conception / réalisation de supports, process visant à vendre quelque chose (un produit ou un service – et là on peut parler de e-commerce, de vente à distance) ou décrocher des leads (qui sont la porte d’entrée à la vente…). Pour ces interventions, que je peux mener seul ou en partenariat avec d’autres professionnels du secteur (SEO, SEA, éditeur de logiciel, agence de marketing…), j’interviens aussi bien sur l’un ou l’autre des deux 2 grands volets du marketing : le stratégique et l’opérationnel, avec notamment le content et l’Inbound marketing.

Quel impact aura le RGPD sur votre métier ?

On ne peut plus faire de business et de marketing sans focuser ses réflexions sur les datas clients. C’est dire si la data et, avec elle, la réglementation doivent devenir une préoccupation majeure pour toutes les entreprises, comme pour les structures publiques. Car, dès qu’il y a collecte de données se rapportant à des personnes identifiées ou identifiables et utilisations de ces données à des fins marketing, le RGPD pointe son nez. Et cela est vrai aussi bien en BtoC qu’en BtoB. C’est dire si les décideurs qui doivent s’intéresser au RGPD sont nombreux…

Le cœur de la réglementation vise à ce que l’entreprise dispose d’une connaissance claire de son patrimoine de données clients / prospects. Que les données collectées ont fait l’objet de l’accord des individus et que l’entreprise puisse fournir la preuve de cet accord préalable, que les traitements informatiques et l’utilisation que l’entreprise souhaite faire de ces données soient clairement mentionnés (les données collectées doivent être utilisées pour des finalités déterminées, explicitées et légitimes). Que la collecte de données sur les centres d’intérêts des enfants fasse l’objet d’un accord préalable des parents. Que les individus disposent d’un droit à s’opposer à certains types de traitement de leurs données, comme pouvoir disposer du droit à l’oubli. Et enfin, pour les données dites sensibles (données bancaires, médicales…) fassent l’objet de procédures de sécurisation spécifiques.

Un tel état fait que l’entreprise doit désormais avoir à l’égard de son patrimoine de données une politique de collecte, de recensement, de transparence et de sécurisation bien plus importante qu’auparavant… Ce qui devrait donner lieu à la création de sortes de « Patrons des données », les CDO (Chief Data Officer).

Quels points de la RGPD sont particulièrement importants pour votre activité ?

Difficile d’en extraire un du lot… Car ils le sont tous. Comment, à compter de mai 2018, date d’entrée en vigueur de la RGPD, mener une opération marketing sur une base de données ne satisfaisant pas au RGPD ? Difficile. Mon rôle n’étant pas d’intervenir sur ce sujet auprès de mes clients je ne peux qu’inciter à la mise en conformité rapide et signaler la nécessité de le faire si ce n’est pas encore engagé, car, sans cela, l’entreprise entre dans une zone à risques… Pour mémoire, l’amende liée au non-respect du RGPD peut atteindre les 4% du CA de l’entreprise…

Vos clients sont-ils réceptifs et informés des enjeux de cette réglementation européenne sur la protection des données ?

Ce point de réglementation est, sauf dans de rares cas, peu évoqués. Bien que la presse spécialisée s’en soit fait l’écho, on ne sent pas encore une « frénésie » sur le sujet. Les problématiques de mes clients étant, et c’est bien normal compte tenu de mon activité, toujours orientées business… Mais que dire face à ce constat, si ce n’est : Hélas ! Car, jusqu’à ce qu’un « gros acteur » se fasse prendre par la nouvelle réglementation et doive débourser le montant d’une amende record, on peut craindre que le sujet n’entre pas dans les priorités premières des décideurs… Ce qui est un véritable problème de fond pour les acteurs du marketing.

Quels conseils donneriez-vous à un DPD (délégué de la protection de la donnée) pour l’aider à sensibiliser sur la RGPD en interne ?

Connaître, sur le bout des doigts ou se faire conseiller par un juriste, les obligations liées au RGPD. Recenser son patrimoine de données puis le maintenir à jour perpétuellement en s’assurant que les accords des prospects / clients sont bien disponibles en base et respectés (pour cela, il faut s’assurer que les process marketing – envois d’emailing offres vs programme de fidélité –  aient bien fait l’objet du consentement de l’individu adressé) et surtout disposer d’un CRM performant pour gérer ses éléments dans leur ensemble… Bref, pour résumer avoir le bon CDO à la tête du patrimoine données et le bon outil pour exploiter tout cela dans les règles du RGPD.

Vincent

Vincent

Marketing & Communication | Conseil stratégique & Accompagnement opérationnel

 J'accompagne les décideurs de PME / PMI et leurs équipes à mettre en place des stratégies marketing, à adopter de nouveaux outils.

RGPD 2018

fa legislation

Toutes les ressources RGPD

  • Niveau d’expertise
  • Temps de lecture

Restons connectés

Parcourir par catégorie

CTA decouverte koban
note satisfaction client 2017

[RGPD] Où sont stockées vos données ? Le Cloud pour les nuls

[RGPD] Où sont stockées vos données ? Le Cloud pour les nuls

Vous vous dites “encore un énième article sur le cloud !” Et vous avez raison. Sauf que la question est toujours posée, surtout avec l’arrivée du RGPD. Le nouveau règlement européen sur la protection des données personnelles est paru au journal officiel de l’Union européenne et entrera en application le 25 mai 2018.

Si vous vous posez effectivement la question, cet article vous apportera (on l’espère !) des réponses concrètes en vulgarisant un peu le discours. N’en déplaise aux DSI et autres experts informatiques à qui n’est pas destiné l’article 😉

Si vous ne vous êtes jamais posé la question, il est grand temps de vous y atteler, car que ce soit à titre privé ou professionnel, le RGPD a pour but de garantir la sécurité et l’accès à vos données. Concrètement, confieriez-vous les clés de chez vous à une tierce personne, sans garantie de confiance ni règles ? Évidemment, non.

C’est parti donc pour une révision express sur le Cloud ! Mot clé : Transparence.

Le Cloud, c’est quoi ?

Le Cloud (ou le SAAS – Software As A Service) a permis de rendre accessible et plus abordable un certain nombre de logiciels en libérant des contraintes d’intégration, d’installation et de maintenance. L’accès se fait alors à distance et l’ensemble des données du logiciel ou d’une application est donc hébergé et stocké par l’éditeur. Le mode SAAS permet non seulement de gagner en mobilité, mais également un usage partagé et collaboratif. Les prérequis sont donc simples, pour utiliser une application en SAAS comme un CRM par exemple, il suffit d’un navigateur et un accès internet. Le Cloud n’a pas simplifié que les usages, il a réduit de fait l’investissement lié à ce type d’équipement.

Les exemples de services collaboratifs les plus utilisés en mode SaaS sont le partage d’agendas en ligne, les outils de conférence à distance, les services de gestion de contacts et de présence, la gestion documentaire et/ou de contenu ainsi que la messagerie d’entreprise. Aujourd’hui, la quasi-totalité des suites et outils marketing sont désormais proposées en mode SAAS, comme Koban. Plébiscité pour ses avantages comme son coût réduit et sa simplicité d’utilisation, le marché croît régulièrement.

A l’heure de la mise en conformité, le SAAS voit remonter ses inconvénients comme freins à la protection des données personnelles. Car le Cloud “soulève un certain nombre de difficultés au regard du respect de la législation relative à la protection des données personnelles, en particulier dans le cas du Cloud public. Ces difficultés sont amplifiées dans le cas des offres standardisées avec des contrats d’adhésion ne laissant pas aux clients la possibilité de les négocier. De manière générale, il est constaté que les clients souffrent d’une insuffisance de transparence de la part des prestataires de Cloud quant aux conditions de réalisation des prestations, notamment sur la sécurité et sur la question de savoir si leurs données sont transférées à l’étranger, et plus précisément à destination de quels pays.”

source : CNIL

Le Cloud : avantage ou inconvénient ?

Les avantages du Cloud ne sont plus à démontrer… Avantage financier par une réduction des coûts à l’inverse de l’intégration en mode licence, et la mutualisation des ressources et serveurs partagés de l’application. Gain de temps par un déploiement technique simplifié et rapide. Le Cloud présente donc un avantage manifeste pour toute entreprise qui souhaite construire un système d’information unifié et collaboratif à moindre coût. Avec le SAAS, l’informatique est externalisée et les déploiements plus rapides. Le paiement à la consommation permet également de réduire et optimiser les coûts. Le Cloud répond en un sens à un mode d’achat qui a évolué avec le consommateur et sa mobilité. Revers de la médaille pour les éditeurs : la volatilité et la rotation parfois importante des clients qui n’hésitent plus à changer de solution, dès lors que celle-ci ne correspond plus à leur besoin ou usages. Les éditeurs se voient donc contraints d’améliorer sans cesse l’expérience utilisateur, optimisant et facilitant ainsi leur application.

Les inconvénients du Cloud sont essentiellement liés à la question de la sécurité des données relatives à l’entreprise cliente, qui sont généralement hébergées et stockées par l’éditeur de la solution. L’ensemble des données étant par définition “délocalisé”, il convient donc d’être vigilant lorsqu’une entreprise doit gérer des données notamment “sensibles” ou “confidentielles” en contractualisant la nature des échanges avec le fournisseur (éditeur).

Le SAAS implique :

  • de sécuriser l’accès aux données de l’entreprise
  • d’évaluer le risque lié à une défaillance de son prestataire, fournisseur
  • de permettre une compatibilité entre plusieurs applications pour l’intégration dans un système d’information
  • de limiter le risque de perte des données lors de migration

Cloud vs RGPD

Ne vous sauvez pas… La solution n’est pas de revenir au mode licence, avec la hausse du coût que cela représenterait. Vous vous voyez ne plus partager votre agenda avec vos collègues ou ne plus utiliser la géolocalisation bien pratique de votre application CRM quand vous êtes en déplacement? Bien sûr que non. Le Cloud est indéniablement pratique. Sauf que côté sécurité des données, tout le monde n’est pas logé à la même enseigne… et cela génère des risques, autant côté éditeur que client. Il est donc nécessaire de s’assurer que ces “nouveaux” risques sont bien maîtrisés avant de choisir une solution Cloud. Le tout étant normalement formalisé lors de contrats pour les prestations liées à ce type de services.

Le RGPD, côté client

L’article 23 du RGPD appelle les contrôleurs de données à conserver et à traiter uniquement les données absolument nécessaires à l’accomplissement de leurs fonctions, ainsi qu’à limiter l’accès aux données personnelles à ceux qui interviennent dans leur traitement.

Le RGPD comprend des suggestions spécifiques sur les types d’actions de sécurité susceptibles d’être considérés comme « pertinents par rapport au risque », comme :

  • Le cryptage des données personnelles
  • La capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services qui traitent les données personnelles
  • La possibilité de restaurer les données et d’assurer l’accès aux données en temps opportun en cas d’incident physique ou technique

Le RGPD, côté fournisseur (ou éditeur)

Le concept de « la protection de la vie privée par conception » ou “privacy by design” existe depuis des années, mais avec le RGPD celui-ci fait désormais partie des obligations légales. À la base, la « confidentialité par conception » demandait à inclure la notion de protection des données dès la conception d’un système, plutôt qu’à être rajouté. Plus précisément – « Le contrôleur doit … mettre en œuvre des mesures techniques et organisationnelles appropriées … de manière efficace … afin d’être en conformité avec la règlementation et de protéger les droits des personnes concernées ». En clair, l’éditeur doit vous donner la possibilité, dès la conception de l’application, de vous conformer aux règles de protection des données personnelles que vous traitez. La “Privacy by Design” est un mécanisme de protection qui a pour but de prendre en compte des questions de protection des données personnelles dès la conception des produits. Cependant, il est important d’y appliquer un contrôle. Ce contrôle se matérialise par l’intervention d’un « délégué à la protection des données », qui sera en charge de veiller à la bonne application de la protection des données personnelles.

 

Alors, le Cloud est-il compatible avec la conservation de données privées ?

Techniquement, une donnée dite “privée” hébergée sur un Cloud public est accessible par n’importe qui, en premier lieu par le fournisseur du service de stockage. Quand bien même cela irait à l’encontre de toute règle définie dans le cadre du RGPD… La solution pourrait venir du client, qui déciderait de crypter toutes les données qu’il choisirait de stocker ou de revenir au mode licence avec un niveau de sécurité accru de tout son système d’information… Rendant par là tout échange ou collaboration quasi impossible.

Avant d’en arriver à cet extrême, quelques recommandations peuvent vous permettre de garantir et sécuriser l’accès et le stockage de vos données sur le Cloud.

Les 2 règles de bases avant de choisir son application SAAS :

  • Savoir OÙ sont localisées les données : où se situent géographiquement les serveurs de stockage et d’hébergement de vos données
  • Obtenir un niveau de transparence suffisant de la part du fournisseur notamment sur les conditions de réalisation des prestations, sécurité, éventuel transfert à l’étranger des données, etc.

Les recommandations de la Commission européenne

Recommandation n°1 : Identifier clairement les données et les traitements qui passeront dans le Cloud

De l’intérêt d’établir un registre de ses données, pour en identifier le responsable du traitement, le type de données, la source, la finalité de traitement, les échanges et transferts, leur lieu d’hébergement… Sachant que certains types de données sont soumises à une réglementation spécifique, comme les données de santé qui ne peuvent être stockées que par un hébergeur agréé par le Ministère de la santé.

Recommandation n°2 : Définir ses propres exigences de sécurité technique et juridique

A l’inverse d’une réponse d’un éditeur à un cahier des charges spécifique pour un système, le principe du Cloud est de “s’abonner en ligne”. Il convient donc de s’assurer que le fournisseur répond bien à votre niveau d’exigence de sécurité, notamment pour ce qui concerne :

  • Les contraintes légales (localisation des données, garantie de sécurité et de confidentialité, réglementations spécifiques à certains types de données, etc.)
  • Les contraintes pratiques (disponibilité, réversibilité/portabilité , etc.)
  • Les contraintes techniques (interopérabilité avec le système existant, etc.)

Recommandation n°3 : Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise

Ceci afin de définir les mesures de sécurité appropriées à exiger de la part de son fournisseur. Une liste complète de 35 risques a été établie par l’ENISA (Agence Européenne chargée de la sécurité des réseaux et de l’information). Les principaux risques pour l’entreprise étant :

  • La perte de gouvernance sur le traitement des données
  • La dépendance technologique vis à vis d’un fournisseur (impossibilité de changer de solution sans perte de données par exemple)
  • Une faille d’accès au système d’information avec un risque de modification des données suite à une défaillance du fournisseur
  • Une destruction ineffective ou non sécurisée des données, ou durée de conservation trop longue
  • Un problème de gestion des droits d’accès par une insuffisance de moyens fournis par le prestataire
  • Une indisponibilité du service du prestataire ou des moyens d’accès au service
  • Fermeture du service du prestataire ou rachat du prestataire par un tiers
  • Non conformité réglementaire, notamment pour des transferts de données hors UE

La Commission européenne recommande que le client évalue la pertinence de ces risques pour sa propre situation et étudie les mesures mises en place par lui-même et par le prestataire pour réduire ces risques.

Lire notre article : [RGPD] Sécurité de la donnée : check liste d’évaluation

Recommandation n°4 : Identifier le type de Cloud pertinent pour le traitement envisagé

“Chaque offre de service de Cloud étant spécifique, il convient de les comparer en identifiant les forces et les faiblesses de chacune au regard du traitement considéré. Une telle analyse permettra de sélectionner l’offre de Cloud computing la mieux adaptée. Il est à noter qu’il peut tout à fait être envisagé de choisir des solutions de Cloud computing différentes en fonction des traitements.”

Source : CNIL

Recommandation n°5 : Choisir un prestataire présentant des garanties suffisantes

“En tant que responsables du traitement, les clients de services de Cloud computing doivent s’assurer qu’ils sont en mesure de remplir leurs obligations. Pour ce faire, ils doivent choisir des prestataires garantissant la mise en place de mesures de sécurité et de confidentialité appropriées, et qui soient transparents vis-à-vis de leurs clients sur les moyens employés pour exécuter leurs prestations (transfert de données à l’étranger, recours à des sous-traitants, politique et mesures de sécurité, etc.).”

Source : CNIL

 

D’une manière générale, la CNIL a constaté que les utilisateurs souffrent surtout d’un manque de transparence de la part des fournisseurs de service. Le RGPD n’a pas pour vocation à inciter les entreprises à un retour en arrière quant à leur transformation digitale. Il vise à offrir plus de transparence et de sécurité aux utilisateurs quant à l’accès et au traitement qui est fait de leurs données. Et n’oubliez pas que, pour répondre aux exigences de qualité et de service client, l’éditeur d’un logiciel peut vous apporter assistance en entrant dans votre système. Bien choisir une application SAAS, c’est d’abord vérifier que le prestataire est en mesure de garantir et de sécuriser vos données par une charte informatique et un contrat de confidentialité adéquat.

PS : Pour info, chez Koban, le stockage et l’hébergement des données se localisent dans l’Union européenne 😉

Source : CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Guillaume

Guillaume

Responsable technique

RGPD 2018

fa legislation

Toutes les ressources RGPD

  • Niveau d’expertise
  • Temps de lecture

Restons connectés

Parcourir par catégorie

CTA decouverte koban
note satisfaction client 2017

[RGPD] Sécurité de la donnée : check liste d’évaluation

[RGPD] Sécurité de la donnée : check liste d’évaluation

Le nouveau règlement européen sur la protection des données personnelles est paru au journal officiel de l’Union européenne et entrera en application le 25 mai 2018. L’adoption de ce texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique.

Et vous voilà donc désigné volontaire en tant que Correspondant Informatique et Libertés ou Data Protection Officer de votre organisation ! On aime autant vous prévenir, ça ne va pas être simple… La partie visible de l’iceberg et de loin la plus rapide concerne la mise en conformité du site internet de l’entreprise afin d’être en accord avec le règlement au niveau du Marketing digital.

Vous trouverez la check liste ICI.

La partie bien immergée de l’iceberg implique plusieurs étapes bien plus importantes, car la désignation d’un délégué à la protection de la donnée (DPD) n’est pas anodin. Et ce n’est que la première étape d’une longue errance au cours d’un processus pour être totalement conforme !

Vous trouverez les 6 étapes du processus pour être conforme ICI.

Le rôle du DPD est notamment d’être responsable des données, garant de leur protection et du processus de respect de la vie privée durant tout le cycle de vie de la donnée. Vous devez donc à ce titre garantir et sécuriser le traitement et l’accès à la donnée. Pas facile n’est-ce pas ? Voici pour vous aider, une check liste d’évaluation de la sécurité de la donnée, afin d’évaluer par vous-même au sein de votre organisation les risques potentiels, et mettre en place des procédures adaptées.

Clothilde

Clothilde

Responsable marketing

Acquisition, engagement, conversion et fidélisation n'ont plus de secrets pour moi ! #inbound #automation #CRM

RGPD 2018

fa legislation

Toutes les ressources RGPD

  • Niveau d’expertise
  • Temps de lecture

Restons connectés

Parcourir par catégorie

CTA decouverte koban
note satisfaction client 2017

[RGPD] et Marketing : il est temps de vous mettre à l’Inbound !

[RGPD] et Marketing : il est temps de vous mettre à l’Inbound !

Beaucoup d’entre vous vont lire le titre de cet article en pensant “mais ils nous soulent avec leur RGPD…!” Vous allez passer votre chemin et faire l’autruche en restant convaincu que de toutes façons, vous n’êtes pas concerné et surtout, avant qu’on vous contrôle, vous aurez bien le temps de revenir étudier la question.

Le nouveau règlement européen sur la protection des données personnelles est paru au journal officiel de l’Union européenne et entrera en application le 25 mai 2018. L’adoption de ce texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique.

La réforme de la protection des données poursuit trois objectifs :

  1. Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  2. Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  3. Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Chez Koban, nous avons choisi de prendre la question à bras le corps et ce, pour diverses raisons :

  • La RGPD concerne et oblige toute entreprise qui exploite de la donnée personnelle
  • En tant qu’éditeur, d’un CRM notamment, nous avons l’obligation de fournir et garantir le moyen à nos clients de se mettre en conformité
  • Nous avons un devoir de conseil auprès de notre clientèle
  • Nous sommes concernés en première ligne par ce règlement
  • Nous pratiquons, comme nos clients, de l’acquisition, de la prospection et de la fidélisation
  • En cas de violation du règlement, on ne tient pas à payer une amende pouvant aller jusqu’à 4% du CA
  • Et surtout, c’est une formidable opportunité de vous encourager à vous mettre ENFIN à l’Inbound et de pratiquer un marketing plus responsable (raisonnable ?)

 

Alors, comment prospecter avec le nouveau règlement de protection de la donnée ?

Cookies et profilage

La base du marketing digital, direz vous ! Oui. Avec une plateforme ou non, via Google Analytics par exemple, vous pouvez tracer vos visiteurs web en installant un script de tracking sur votre site. Pratique en effet de savoir d’où viennent vos visiteurs, quelles pages sont visitées, combien de temps, quand sont-ils partis… etc. Jusque là, en principe tout va bien puisque vous ne prenez pas leurs coordonnées et donc vous ne traitez pas de données personnelles, vous ne faites que suivre vos statistiques au pire, au mieux vous en déduisez un profil grâce aux tags et autres identifications de sources d’intérêt… Erreur ! Car le profilage quel qu’il soit, par le dépôt d’un cookie ou d’un traceur doit être clairement notifié aux visiteurs web et limité à 13 mois dans sa durée de vie. De plus, techniquement le RGPD impose de laisser le choix au visiteur d’accepter ou non le dépôt d’un cookie sur son terminal. Certes, techniquement vous ne pouvez pas empêcher le dépôt du cookie si le visiteur refuse…

Détail Tout profilage doit être clairement notifié auprès des personnes ciblées et une possibilité de désabonnement aux centres d’intérêts doit accompagner chaque traitement.
Ce que dit la RGPD Avant de déposer ou lire un cookie, les éditeurs de sites ou d’applications doivent : Informer les internautes de la finalité des cookies. Obtenir leur consentement (la durée de validité de ce consentement est de 13 mois maximum). Fournir aux internautes un moyen de les refuser. Certains cookies sont cependant dispensés du recueil de ce consentement (ceux strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur).
Notre recommandation Dans la mesure où le consentement ne doit pas être ambigu, le bandeau d’information obligatoire concernant les traceurs et cookies de votre site web ne doit pas disparaître tant que la personne n’a pas poursuivi sa navigation, c’est-à-dire tant qu’elle ne s’est pas rendue sur une autre page du site ou n’a pas cliqué sur un élément du site (image, lien, bouton  “rechercher” ).
Mise en conformité du marketing digital Tant que la personne n’a pas donné son consentement, ces traceurs ne peuvent être déposés ou lus sur un terminal. L’internaute doit être informé par l’apparition d’un bandeau : des finalités précises des cookies utilisés ; de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien “en savoir plus et paramétrer les cookies” présent dans le bandeau ; du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal. Faire évoluer des bandeaux de cookies afin qu’ils soient plus explicites et que leur durée de vie soit de 13 mois maximum. Passé ce délai, le consentement de l’internaute devra être à nouveau recueilli.
Source CNIL https://www.cnil.fr/fr/site-web-cookies-et-autres-traceurs

Pendant qu’on parle de cookies et autres traceurs… celui qui permet la localisation d’un visiteur web, vous savez, le cookie qui va identifier le pays du visiteur et notamment permettre d’adapter la langue du site ? Ce Lundi, l’Union Européenne a décidé de mettre fin à la pratique du “géoblocking”. Elle consistait, pour des sites e-commerces, à empêcher des ressortissants d’autres pays de l’Union à acheter leurs produits ou services. Désormais, les sites e-commerces ne pourront plus pratiquer de discriminations basées sur le pays de résidence d’un consommateur sur les ventes en ligne. La Commission espère ainsi stimuler le e-commerce pour le bénéfice des consommateurs comme des entreprises. (Source : express.live)

 

L’emailing BtoB ou BtoC

Un classique également de marketing ! Canal de prédilection pour la prospection comme pour la fidélisation, l’un des plus efficaces encore aujourd’hui d’ailleurs. Qui n’envoie pas au moins une newsletter à ses clients ou un emailing de promotion pour booster ses ventes e-commerce ? Levez la main…

Aujourd’hui encore, pratiquement tout le monde pratique l’emailing de masse en mode :

  • j’importe le fichier de tous mes contacts LinkedIn
  • j’exploite la même base de contacts depuis… je ne sais même plus quel âge a ma base
  • je récupère l’adresse mail de contact sur les sites qui m’intéressent

… etc.

Bref, l’emailing de masse sur des emails qui sont de toutes façons publics et disponibles sur Internet, c’est fini. Pourquoi ??? Ben oui, du moment que c’est disponible et accessible sur Internet ! Et puis d’ailleurs, ces contacts m’ont laissé leur carte de visite au dernier salon !

Le RGPD est clair : le consentement explicite préalable du destinataire est obligatoire. La récolte et l’exploitation des données personnelles devront se faire de manière transparente et explicite. C’est donc la fin de la récolte “sauvage” d’emails et de l’opt-in passif considéré jusqu’alors pour beaucoup comme implicite. Votre contact doit vous avoir donné clairement son accord pour utiliser son email à des fins de prospection. Le RGPD précise également que les données personnelles doivent être conservées dans un délai raisonnable (maximum 3 ans) et utilisées uniquement pour leur finalité de traitement.

Vous allez me dire, c’est bien beau mais… que faire de tous les contacts présents dans votre base AVANT le 25 Mai dans la mesure ou le RGPD stipule qu’il n’est possible d’exploiter que les contacts qui ont donné leur consentement d’une part, mais dont vous pourrez prouver l’accord également. Je vous conseille fortement d’entamer dès à présent une campagne de “ré-optin” auprès de votre base, en ajoutant également la provenance et une date de création au contact, sans quoi vos données devront être supprimées si vous ne pouvez justifier ni de l’accord ni de l’ancienneté du contact.

Détail Toutes les données à caractère personnel doivent être obtenues avec l’accord préalable de l’individu, en BtoC comme en BtoB
Ce que dit la RGPD Le RGPD précise que les professionnels du marketing pourront contacter les résidents européens seulement si ces derniers ont donné en amont un consentement explicite. Ce consentement doit être express. Cela signifie qu’il doit provenir d’un acte positif. La personne doit véritablement avoir été confrontée à la nécessité de donner son accord au traitement. Ainsi, il est précisé dans le Règlement, qu’ “il ne saurait dès lors y avoir de consentement en cas de silence, de case cochée par défaut ou d’inactivité.” Tout en sachant que la preuve du consentement reste à la charge du responsable des traitements.
Notre recommandation Le règlement reste encore flou concernant le BtoB. Dans tous les cas, Koban vous recommande d’intégrer par défaut la notion d’opt-in à minima lors de la collecte de données via vos formulaires web.
Mise en conformité du Marketing digital Mettre à jour les formulaires avec l’ajout de cases à cocher, et des mentions claires afin que les internautes donnent leur accord ou non pour chaque utilisation de données (email, profilage, revente de données à un tiers…) Demander le consentement clair pour chacune des données collectées pouvant impliquer un traitement. La finalité du traitement devra être clairement identifiée au moment où la collecte des données est effectuée (par un message d’information clair et dans l’information légale du site web par exemple). Conserver une trace pour prouver ce consentement (champ provenance et date de création du contact)
Source CNIL https://www.cnil.fr/cnil-direct/question/371?visiteur=pro

Alors, le RGPD va-t-il donc tuer l’emailing ? Certes pas. Il va vous obliger à plus de respect de l’email qui vous sera confié dans les formulaires avec opt-in obligatoire sur votre site web. Il vous faut donc penser l’emailing autrement.

Plusieurs options s’offrent à vous :

  • N’adresser des emails qu’à vos clients (évidemment vous serez un peu limité pour ce qui concerne l’acquisition de nouveaux clients…) ;
  • N’adresser des emails qu’aux contacts qui auront rempli un formulaire avec opt-in sur votre site web (si déjà vous avez un formulaire… et vous serez mécaniquement limité au taux de conversion de votre site web… on vous souhaite d’avoir un bon taux de conversion !) ;
  • Faire des campagnes emailing sur des bases de fichiers achetés auprès de brokers (spécialisés et donc ils doivent évidemment en garantir l’opt-in… je suppose que ce type de données deviendra plus cher dans la mesure où le RGPD s’applique à ces sous-traitants également…) ;
  • Attirer plus de visiteurs sur votre site web et favoriser l’engagement sur les formulaires opt-in du site (vous allez dire qu’on tourne en rond…), puis les accompagner jusqu’à l’acte d’achat par un emailing ciblé et personnalisé… soit FAIRE (ENFIN) DE L’INBOUND ! Biensûr, on n’attire pas les mouches avec du vinaigre. Il vous faudra une bonne stratégie de contenu. On vous explique tout ICI.

Simplement pour conclure sur l’emailing, n’oubliez jamais d’inclure un lien de désinscription dans vos emails et de laisser la possibilité à chaque contact de s’opposer ou de se désinscrire d’une liste de diffusion, qu’elle soit par mail, sms ou téléphone.

 

L’Inbound marketing n’est plus une notion nouvelle, pourtant il n’est pas encore la norme. Vous pensiez que ce n’était qu’un effet de mode, que ça allait bien finir par s’essouffler… Or, vous allez maintenant voir apparaître de nouveaux acteurs, dont vous allez entendre de plus en plus parler : les responsables de la donnée (Data contrôleur, Délégué à la Protection de la donnée…).

Mais Rome ne s’est pas faite en un jour. Et avant qu’on vous contrôle, si on vous contrôle un jour d’ailleurs… Vous avez peut-être encore un peu de temps. C’est dommage, car le contrôle viendra le plus probablement d’une plainte de l’un de vos visiteurs web ou d’un contact de votre base. Alors, saisissez cette opportunité, de pratiquer un Marketing plus responsable et plus respectueux de vos futurs clients. Après tout, le RGPD n’est qu’une réponse à l’inquiétude des individus face à un monde toujours plus digital qui semble peu se soucier de sa vie privée. Certes, nous réclamons tous toujours plus de facilité dans notre quotidien, surtout pour ce qui est de nos achats. Mais combien d’enseignes aujourd’hui ne parviennent encore pas à personnaliser leurs offres malgré une connaissance très personnelle de leurs clients ?

Avec l’Inbound marketing, vous allez enfin pouvoir construire un référencement naturel pérenne et de qualité. Et en plus, Google adore ça.

 

Clothilde

Clothilde

Responsable marketing

Acquisition, engagement, conversion et fidélisation n'ont plus de secrets pour moi ! #inbound #automation #CRM

RGPD 2018

fa legislation

Toutes les ressources RGPD

  • Niveau d’expertise
  • Temps de lecture

Restons connectés

Parcourir par catégorie

CTA decouverte koban
note satisfaction client 2017

[RGPD] La check-liste de mise en conformité du Marketing digital

[RGPD] La check-liste de mise en conformité du Marketing digital

Le 25 Mai arrive à grand pas, et avec lui le Règlement Général sur la Protection des Données. Le RGPD, c’est aussi l’opportunité de revoir sa manière de pratiquer un marketing digital plus responsable et en accord avec un respect des finalités d’usage des données personnelles de chacun. Il ne s’agira plus de récolter et d’exploiter en boucle infinie les données stockées dans votre logiciel.

Koban vous accompagne pas à pas pour vous mettre en conformité dans les temps.

Côté Marketing digital, que vous utilisiez une plateforme de marketing ou non, dès lors que vous éditez un site web, il y aura quelques règles incontournables à respecter. Voici la marche à suivre !

Responsable de la donnée

Détail Toutes les entreprises effectuant du traitement de données à grande échelle devront se doter d’un délégué à la protection des données (DPD)
Ce que dit la RGPD La désignation d’un délégué à la protection des données est obligatoire en 2018 si : vous êtes un organisme public, vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et à des infractions.
Notre Recommandation Même si votre organisme n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne, disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen. Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.
Mise en conformité du Marketing digital
Source CNIL https://www.cnil.fr/cnil-direct/question/1257?visiteur=part

 

Droit d’accès

Détail Tout individu a le droit de savoir quelles informations les administrations, les organismes publics ou privés et les sociétés commerciales détiennent sur lui dans leurs fichiers : c’est ce qu’on appelle le droit d’accès. La loi Informatique et Libertés prévoit que ce droit d’accès s’exerce soit directement, soit indirectement.
Ce que dit la RGPD Le droit d’accès direct : Dans la plupart des cas, vous pouvez demander directement ces informations aux organismes concernés ; Le responsable du traitement informatique ou du fichier doit, sur votre demande, vous communiquer une copie des informations qui vous concernent et vous préciser d’où elles proviennent. Il peut vous demander le paiement d’une somme qui ne peut excéder le montant des frais de reproduction. Le droit d’accès indirect : Pour certains fichiers publics, vous ne pouvez pas accéder directement à ces informations ; C’est le cas des fichiers concernant la sûreté de l’Etat ou la sécurité publique, de certains fichiers du ministère de la Justice
Notre recommandation Traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen)
Mise en conformité du Marketing digital Rendre identifiable et accessible le responsable du traitement des données sur un site web. Identifier une personne de l’organisation et créer une messagerie email dédiée ainsi qu’une procédure de réponse au droit d’accès.
Source CNIL https://www.cnil.fr/cnil-direct/question/512?visiteur=pro

 

Consentement explicite obligatoire

Détail Toutes les données à caractère personnel doivent être obtenues avec l’accord préalable de l’individu, en BtoC comme en BtoB
Ce que dit la RGPD Le RGPD précise que les professionnels du marketing pourront contacter les résidents européens seulement si ces derniers ont donné en amont un consentement explicite. Ce consentement doit être express. Cela signifie qu’il doit provenir d’un acte positif. La personne doit véritablement avoir été confrontée à la nécessité de donner son accord au traitement. Ainsi, il est précisé dans le Règlement, qu’ « il ne saurait dès lors y avoir de consentement en cas de silence, de case cochée par défaut ou d’inactivité. » Tout en sachant que la preuve du consentement reste à la charge du responsable des traitements.
Notre recommandation Le règlement reste encore flou concernant le BtoB. Dans tous les cas, Koban vous recommande d’intégrer par défaut la notion d’opt-in à minima lors de la collecte de données via vos formulaires web.
Mise en conformité du Marketing digital Mettre à jour les formulaires avec l’ajout de cases à cocher, et des mentions claires afin que les internautes donnent leur accord ou non pour chaque utilisation de données (email, profilage, revente de données à un tiers…) Demander le consentement clair pour chacune des données collectées pouvant impliquer un traitement La finalité du traitement devra être clairement identifiée au moment où la collecte des données est effectuée (par un message d’information clair et dans l’information légale du site web par exemple) Conserver une trace pour prouver ce consentement (champ provenance et date de création du contact)
Source CNIL https://www.cnil.fr/cnil-direct/question/371?visiteur=pro

 

Cookies et profilage

Détail Tout profilage doit être clairement notifié auprès des personnes ciblées et une possibilité de désabonnement aux centres d’intérêts doit accompagner chaque traitement.
Ce que dit la RGPD Avant de déposer ou lire un cookie, les éditeurs de sites ou d’applications doivent : Informer les internautes de la finalité des cookies. Obtenir leur consentement (la durée de validité de ce consentement est de 13 mois maximum). Fournir aux internautes un moyen de les refuser. Certains cookies sont cependant dispensés du recueil de ce consentement (ceux strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur).
Notre recommandation Dans la mesure où le consentement ne doit pas être ambigu, le bandeau d’information obligatoire concernant les traceurs et cookies de votre site web ne doit pas disparaître tant que la personne n’a pas poursuivi sa navigation, c’est-à-dire tant qu’elle ne s’est pas rendue sur une autre page du site ou n’a pas cliqué sur un élément du site (image, lien, bouton  » rechercher « ).
Mise en conformité du marketing digital Tant que la personne n’a pas donné son consentement, ces traceurs ne peuvent être déposés ou lus sur un terminal. L’internaute doit être informé par l’apparition d’un bandeau : des finalités précises des cookies utilisés ; de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien » en savoir plus et paramétrer les cookies » présent dans le bandeau ; du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal. Faire évoluer des bandeaux de cookies afin qu’ils soient plus explicites et que leur durée de vie soit de treize mois maximum. Passé ce délai, le consentement de l’internaute devra être à nouveau recueilli.
Source CNIL https://www.cnil.fr/fr/site-web-cookies-et-autres-traceurs

 

Restitution des données et portabilité

Détail Toutes les données d’un individu doivent être facilement téléchargeables et transmissibles Tout individu pourra demander à récupérer les données qu’il aura déclarées Les données restituées devront l’être sous un format informatique exploitable
Ce que dit la RGPD Le droit à la portabilité est limité aux données personnelles fournies par la personne concernée. Il ne s’applique que si les données sont traitées de manière automatisée (les fichiers papiers ne sont donc pas concernés) et sur la base du consentement préalable de la personne concernée ou de l’exécution d’un contrat conclu avec la personne concernée. L’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés de tiers, dont les données se trouveraient dans les données transmises suite à une demande de portabilité.
Notre recommandation Le droit à la portabilité impose aux organismes de fournir les données personnelles concernées dans un format « structuré, couramment utilisé et lisible par machine » qui permettent leur réutilisation. En d’autres termes, ces données « portables » doivent pouvoir être extraites et/ou être réutilisées facilement par la personne concernée ou par tout autre organisme. Il est recommandé aux responsables du traitement d’expliquer clairement la différence entre les données pouvant être transmises dans le cadre du droit à la portabilité et celles pouvant être communiquées au titre du droit d’accès. Lorsqu’une personne exercice son droit à la portabilité, l’organisme recevant sa requête n’a pas à supprimer de son fichier les données demandées dans ce cadre. Les données peuvent être conservées dans le traitement d’origine, pour la durée qui a été définie initialement par l’organisme le mettant en œuvre.
Mise en conformité du Marketing digital Mettre en place des procédures appropriées permettant à l’individu d’effectuer une demande de portabilité et de recevoir les données le concernant. Les responsables du traitement doivent notamment proposer une procédure d’authentification permettant de vérifier l’identité de la personne concernée exerçant son droit à la portabilité ou plus généralement tout autre droit garanti par le règlement.
Source CNIL https://www.cnil.fr/fr/le-droit-la-portabilite-en-questions

 

Droit à l’oubli / Droit à l’effacement

Détail Toute personne peut réclamer un droit à l’oubli, ces données devront être intégralement effacées. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais.
Ce que dit la RGPD Pour être acceptée, une demande de suppression doit répondre à différents critères : Elle doit émaner d’un individu ayant la nationalité de l’un des États-membres de l’Union Européenne Il doit d’agir d’un particulier et non d’une entreprise ou d’un personnage public
Notre recommandation Toute personne peut exercer ses droits (d’opposition, d’accès de rectification, à la portabilité, etc.) tant que le responsable du traitement détient ses données personnelles.
Mise en conformité du Marketing digital Ce droit à l’oubli s’applique pour les traitements automatisés, la prospection, les emailing et tous autres moyens de contacts. Afin de garantir que la personne ne sera pas recontactée ultérieurement, l’entreprise devra garder les coordonnées du contact.
Source CNIL https://www.cnil.fr/fr/droit-au-dereferencement

 

Droit d’oppostion

Détail C’est le droit de s’opposer, pour des motifs légitimes, à figurer dans un fichier.
Ce que dit la RGPD Sur simple demande d’un contact, l’entreprise devra lui garantir qu’il ne sera plus sollicité. En matière de prospection commerciale, ce droit s’exerce sans avoir à justifier de motifs légitimes. Exercer son droit d’opposition, c’est aussi s’opposer à ce que les données soient communiquées à d’autres sociétés commerciales.
Notre recommandation Traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen)
Mise en conformité du Marketing digital Rendre possible et accessible le désabonnement / la désinscription et l’opposition à la prospection en fonction des canaux (SMS, email, téléphone)
Source CNIL https://www.cnil.fr/cnil-direct/question/899?visiteur=pro

 

Conservation des données

Détail Tout traitement initié doit comporter des mentions obligatoires, consultables par les internautes comme le délai de conservation ou la finalité de la collecte entre autres.
Ce que dit la RGPD Les données pourront être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Pour les contacts inactifs depuis plus de trois ans, il faudra mettre en place une suppression automatisée des données. Exemples de durées de conservation : Dans le cas d’un dispositif de vidéosurveillance, la conservation des images ne peut excéder 1 mois Les données relatives à gestion de la paie ou le contrôle des horaires des salariés peuvent être conservés 5 ans Les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées Les données figurant dans un dossier médical doivent être conservées 10 ans
Notre recommandation Toutes les données sont vivement encouragées à être sécurisées par des clés de hachages. On parle de pseudonymisation afin de garantir un haut niveau de sécurité et ainsi respecter le principe de protection dès la conception et par défaut. (pseudonymisation : anomymisation réversible) Réécrire les mentions légales du site internet comportant les nouvelles mentions obligatoires comme la nature des données collectées et leurs finalités. (Votre âge est nécessaire car les produits commercialisés ne conviennent pas aux mineurs). Doit y figurer également le délai de conservation des données
Mise en conformité du Marketing digital Pouvoir identifier les contacts inactifs d’après une date de dernière activité supérieure à 3 ans et les exclure dans un repoussoir Pouvoir programmer un scénario de réactivation des contacts avant la date d’échéance d’inactivité de 3 ans Mettre en place une suppression des données automatisée pour les contacts inactifs depuis plus de trois ans.
Source CNIL https://www.cnil.fr/fr/limiter-la-conservation-des-donnees

 

Télécharger la liste de mise en conformité au format PDF

Clothilde

Clothilde

Responsable marketing

Acquisition, engagement, conversion et fidélisation n'ont plus de secrets pour moi ! #inbound #automation #CRM

RGPD 2018

fa legislation

Toutes les ressources RGPD

  • Niveau d’expertise
  • Temps de lecture

Restons connectés

Parcourir par catégorie

CTA decouverte koban
note satisfaction client 2017

[RGPD] Termes et définitions

[RGPD] Termes et définitions

Dernière mise à jour : 15/11/2017

La Commission Nationale de l’Informatique et des Libertés

La CNIL, autorité administrative indépendante, est chargée de veiller au respect des dispositions de la loi. A ce titre, elle assure des missions d’information, de conseil, d’expertise et de veille technologique.

La CNIL dispose de pouvoirs particuliers pour faire respecter la loi : elle contrôle la mise en œuvre des chiers informatiques et peut également procéder à des vérifications sur place. La CNIL peut également dénoncer pénalement les infractions à la loi dont elle a connaissance au Procureur de la République.

Anonymisation

On distingue les concepts d’anonymisation irréversible et d’anonymisation réversible, cette dernière étant parfois dénommée pseudonymisation.

  • L’anonymisation irréversible consiste à supprimer tout caractère identifiant à un ensemble de données. Concrètement, cela signifie que toutes les informations directement et indirectement identifiantes sont supprimées et à rendre impossible toute ré-identification des personnes.
  • L’anonymisation réversible est une technique qui consiste à remplacer un identifiant (ou plus généralement des données à caractère personnel) par un pseudonyme. Cette technique permet la levée de l’anonymat ou l’étude de corrélations en cas de besoin.

Archivage

On distingue habituellement trois catégories d’archives :

  • Les bases actives ou archives courantes : il s’agit des données d’utilisation courante par les services en charge de la mise en œuvre du traitement ;
  • Les archives intermédiaires : il s’agit des données qui ne sont plus utilisées mais qui présentent encore un intérêt administratif pour l’organisme. Les données sont conservées sur support distinct et sont consultées de manière ponctuelle et motivée ;
  • Les archives définitives : il s’agit des données présentant un intérêt historique, scienti que ou statistique justi ant qu’elles ne fassent l’objet d’aucune destruction. Elles sont alors régies par le livre II du Code du patrimoine et non par la loi «informatique et libertés».

Les archives doivent être sécurisées et chiffrées si les données archivées sont des données sensibles ou jugées con dentielles par l’entreprise.

Authentification

«L’authentification a pour but de vérifier l’identité dont une entité se réclame. Généralement l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer son identité, s’authentifier c’est apporter la preuve de son identité.» (ANSSI Agence Nationale de la Sécurité des Systèmes d’Information).

Chiffrement

Le chiffrement, parfois improprement appelé cryptage, est un procédé cryptographique permettant de garantir la confidentialité d’une information. Les mécanismes cryptographiques permettent également d’assurer l’intégrité d’une information, ainsi que l’authenticité d’un message en le signant.

On distingue deux familles cryptographiques permettant de chiffrer, la cryptographie symétrique et la cryptographie asymétrique :

  • la cryptographie symétrique comprend les mécanismes pour lesquels la même clé sert à chiffrer et à déchiffrer
  • la cryptographie asymétrique comprend les mécanismes pour lesquels la clé servant à chiffrer, appelée clé publique, est différente de la clé servant à déchiffrer, appelée clé privée. On parle de paire de clés.

Destinataire des données

«Toute personne habilitée à recevoir communication des données autre que celle de la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données» (Art. 3 loi I&L).

Donnée à caractère personnel

«Toute information relative à une personne physique identifée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne» (Art. 2 loi I&L).

Données sensibles

Les «données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci» (Art. 8 loi I&L).

Journalisation

L’enregistrement des actions de chaque utilisateur sur le système pendant une durée définie.

Responsable de traitement

«La personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens dudit traitement, sauf désignation expresse par des dispositions législatives ou réglementaires relatives à ce traitement» (Art. 3 loi I&L).

Tiers

La personne physique ou morale, l’autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données (directive 95/46/CE).

Traitement des données à caractère personnel

«Toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction» (Art. 2 loi I&L).

Source : CNIL, la sécurité des données personnelles

Clothilde

Clothilde

Responsable marketing

Acquisition, engagement, conversion et fidélisation n'ont plus de secrets pour moi ! #inbound #automation #CRM

RGPD 2018

fa legislation

Toutes les ressources RGPD

  • Niveau d’expertise
  • Temps de lecture

Restons connectés

Parcourir par catégorie

CTA decouverte koban
note satisfaction client 2017

Marketing digital et ciblage : que dit la réglementation ?

Marketing digital et ciblage : que dit la réglementation ?

Ciblage : définition

Le ciblage est le socle de toute action marketing. Sans ciblage, point de salut. Le ciblage est l’action de choix d’une cible pour une campagne marketing digital, publicitaire ou marketing direct. Le ciblage permet de segmenter une partie d’une population d’après des critères contextuels, comportementaux, géographiques, d’activité web… Un bon ciblage va permettre de déterminer les individus susceptibles d’être réactif à un message d’après les critères définis au préalable à l’action marketing. Plus un ciblage sera pertinent et fin, et plus l’action marketing ou publicitaire sera efficace et rentable.

Il existe plusieurs critères de ciblage permettant de réaliser des requêtes dans sa base de données afin d’en extraire la cible la plus adéquate et de lui adresser des messages personnalisés en vue d’accroître l’efficacité des campagnes. Une cible peut être composée de clients ou de prospects. Définir une cible marketing précise va permettre :

  • de personnaliser le message à adresser
  • d’accroître l’efficacité d’une campagne
  • de limiter le message aux contacts utiles de la campagne
  • de gérer la pression marketing des contacts en limitant les messages aux seules cibles

Source : https://www.definitions-marketing.com/

Techniques de ciblage

La connaissance client est devenu un indispensable du marketing digital, comme base des actions marketing et promotionnelles. Connaître ses clients et prospects est la garantie d’un marketing efficace et rentable qui permet d’atteindre son coeur de cible et de personnaliser au maximum ses actions. A l’ère du tout digital, le marketing dispose aujourd’hui d’une multitudes de techniques de ciblage. Entre ciblage online, géolocalisation, comportemental email, réseaux sociaux et CRM… les nouvelles technologies facilitent le ciblage marketing par la récolte et l’analyse de toujours plus de données personnelles.

Le profil d’une cible ne se limite plus à de simples coordonnées (nom, prénom, adresse) mais s’étend plus largement à son comportement et habitudes d’achat. Permettant ainsi un véritable “profiling” du consommateur d’après toutes les données liées à des centres d’intérêt privés et / ou professionnels. Un accès qui s’est vu encadrer et réglementer au fil des ans et des pratiques par la CNIL et l’Europe afin d’en limiter les abus et d’accorder un droit strict d’exploitation des données.

Petit tour d’horizon des techniques de ciblage les plus répandues et la réglementation qui les encadre

Ciblage adresse IP

Le ciblage par adresse IP permet un ciblage géographique pour localiser l’internaute lors d’une navigation et permettre ainsi d’adapter la langue d’un site web, ou le ciblage publicitaire display.

L’adresse IP est une donnée à caractère personnel pour l’ensemble des CNIL européennes. L’article 2 de la loi du 6 janvier 1978 modifiée en 2004 qui la définit, vise toute information relative à une personne physique qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à des éléments qui lui sont propres. Ce qui est le cas d’un numéro de plaque d’immatriculation de véhicule, d’un numéro de téléphone ou d’une adresse IP.

Source : CNIL

Cookies

Le cookie est un fichier texte déposé sur le disque dur d’un internaute par le serveur du site visité ou par un serveur tiers (service web analytique comme Google ou Koban par exemple). Le cookie permet alors de reconnaître un visiteur s’il revient sur un même site. Techniquement, le cookie n’identifie pas une personne mais un ordinateur. C’est le cookie qui va permettre de s’identifier automatiquement sur des pages déjà visitées grâce aux données comportementales stockées par l’internaute lors de son premier enregistrement.

Les cookies peuvent avoir différentes fonctions et permettre d’une visite à l’autre, de stocker le contenu d’un panier d’achat, d’enregistrer la langue d’un site ou encore de faire de la publicité ciblée.

Le cookie ne permet une identification nominative que dans la limite des informations données par l’internaute. Il joue un rôle déterminant dans l’analyse et les actions marketing par ciblage comportemental. Leur usage fait l’objet de recommandations et d’obligations émises par la CNIL.

Sauf exceptions, les traceurs (cookies ou autres) ne peuvent être déposés ou lus sur le terminal d’un internaute, tant que celui-ci n’a pas donné son consentement.

En application de la directive européenne dite “paquet télécom », les internautes doivent être informés et donner leur consentement préalablement à l’insertion de traceurs. Ils doivent disposer d’une possibilité de choisir de ne pas être tracés lorsqu’ils visitent un site ou utilisent une application. Les éditeurs ont donc l’obligation de solliciter au préalable le consentement des utilisateurs. Ce consentement est valable 13 mois maximum. Certains traceurs sont cependant dispensés du recueil de ce consentement.

Source : CNIL

Ciblage comportemental

Cette technique de ciblage internet permet de cibler les internautes d’après leur comportement sur un site web ou face à une publicité. Le ciblage comportemental est largement utilisé dans le cadre de sites e-commerce ou dans l’email marketing. Il est ainsi possible d’identifier les abandons de panier et de mener des actions marketing ciblées. Dans le cadre d’une stratégie de contenus plus élaborée, il est également possible de personnaliser l’affichage du contenu d’une page ou d’une newsletter en fonction de ces critères de ciblage comportemental.

Une adresse de courrier électronique ne peut être utilisée à des fins de prospection que si la personne auprès de laquelle elle a été collectée a été mise en mesure, au moment de la collecte, de consentir ou dans certains cas spécifiques, de s’opposer à une telle utilisation.

Chaque message électronique doit obligatoirement préciser l’identité de l’annonceur,

proposer un moyen simple de s’opposer à la réception de nouvelles sollicitations (par exemple lien pour se désinscrire à la fin du message).

La CNIL recommande que le consentement préalable ou le droit d’opposition soit recueilli par le biais d’une case à cocher. L’utilisation d’une case pré-cochée est à proscrire car contraire à la loi.  

Source : CNIL

Ciblage géographique

Dans un contexte marketing, le principe de ciblage géographique consiste à toucher un groupe de consommateurs en fonction de sa localisation géographique. Largement utilisé pour générer du trafic en point de vente physique, les actions marketing en ciblage géographique sont donc concentrées sur une audience réduite à un périmètre autour d’un point de vente. Avant Internet, ces actions étaient menées en marketing direct ou publicité locale (presse, affichage). Le développement du digital a élargi la technique de ciblage géographique aux données de géolocalisation stockées en fonction des situations et appareils utilisés par les internautes (GPS, applications mobiles, adresse IP, wifi…) chez eux ou à proximité d’un point de vente.

Les marques disposent aujourd’hui, via le mobile, d’un moyen de savoir où vous êtes et ce que vous faites grâce à la géolocalisation. Cette information, combinée à d’autres, peut notamment permettre d’en déduire des habitudes ou un comportement d’achat. L’intérêt marketing est de pouvoir proposer de la publicité ciblée et géolocalisée, décuplant ainsi l’efficacité. Cette pratique est en théorie licite sous réserve que l’utilisateur soit au préalable prévenu, et qu’il puisse désactiver une telle option.

En France, la CNIL a émis des recommandations sur la base du cadre légal existant (Loi informatique et libertés), notamment pour les éditeurs d’applications mobiles.

Les applications pour Smartphones se comptent par centaines de milliers, quelque soit le système d’exploitation utilisé (Android, BlackBerry 6 OS, iOs ou Windows Phone 7). Après avoir été téléchargées et installées, ces applications permettent d’accéder à des services extrêmement variés : jeux, consultation d’horaires de train, itinéraires, infos trafic, etc.

Éditeurs d’application mobile, si vous collectez et traitez des données personnelles, la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004 s’applique. Par exemple, si vous collectez le nom, prénom, pseudonyme, numéro de téléphone ou numéro identifiant du téléphone, vous devez respecter cette loi.

Source : CNIL

En savoir plus : Google modifie la méthode de géolocalisation de ses résultats de recherche

Reciblage site web / retargeting

La technique de reciblage site web permet à un annonceur d’identifier et de retrouver les visiteurs web n’ayant pas acheté à la suite d’une visite. Un système de marquage est déposé par le site de l’annonceur ou une régie publicitaire sur l’ordinateur de l’internaute (cookie, tag tracking) et permet ainsi de mener des actions marketing personnalisées en fonction des services ou produits consultés. Le retargeting est très souvent utilisé par le e-commerce, permettant ainsi d’adresser des messages ciblés et personnalisés d’après les données stockées lors des visites web.

Les dispositifs et stratégies de retargeting peuvent être plus ou moins complexes et intégrer des scénarios marketing en fonction des critères de ciblage comportemental. Une forme courante et simple de retargeting peut être pratiquée grâce au CRM par les données stockées initialement ou à la suite d’une navigation web, combinant ainsi des données on et off-line.

 

Le 27 juillet 2016, la CNIL annonçait étendre ses contrôles relatifs aux cookies (ou autre traceurs) au-delà des éditeurs de sites, notamment auprès des émetteurs tiers. Il s’agissait d’identifier les responsabilités de chacun des acteurs intervenant dans la chaîne de valeur, complexe, de la publicité en ligne.

2 cas de figure :

CAS N°1 : L’éditeur du site dépose lui-même des cookies, ou permet le dépôt de cookies tiers, afin de traiter des données uniquement pour son compte

CAS N°2 : Les données collectées par les cookies tiers sont exploitées, non pas par l’éditeur du site sur lequel ils sont déposés, mais par leur émetteur

La CNIL estime que, dans tous les cas, les éditeurs de sites dont la visite déclenche le dépôt des cookies sont les seuls en mesure de fournir une information directe sur les cookies déposés sur les terminaux des internautes. En pratique, qu’ils soient responsable de traitement (cas numéro 1) ou sous-traitant (cas numéro 2) il leur appartient donc de mettre à leur disposition une information sur les groupes de cookies déposés et les moyens dont ils disposent pour s’y opposer. Toutefois, dans le cas numéro 2 et dans la mesure où l’éditeur doit adresser aux internautes l’information relative au traitement réalisé par un tiers, seul ce dernier peut voir sa responsabilité engagée si cette information est incomplète ou erronée.

Source : CNIL

D’une manière générale, le ciblage marketing prend en compte des données personnelles dont la gestion est encadrée par la réglementation.

Selon la loi, une donnée personnelle signifie :
Toute information concernant une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un numéro d’identification (par exemple : le numéro de sécurité sociale) ou un ou plusieurs facteurs spécifiques à son identité physique, physiologique, psychique, économique, culturelle ou sociale (par exemple : nom et prénom, date de naissance, la biométrie les données, les empreintes digitales, ADN …).
Donnée personnelle: définition, CNIL

Le Règlement Général sur la Protection des Données, établi par l’Union Européenne, entrera en vigueur en 2018. La mise en conformité devra se faire au plus tard le 25 mai 2018. Cette réglementation, et notamment les derniers ajouts, auront un impact indéniable quant au management de la donnée et plus globalement au fonctionnement général du système d’information d’une entreprise. Cette directive couvre les données détenues non seulement par les personnes morales ou physiques européennes, mais également par les entreprises ou organismes non européens qui traitent les données de citoyens européens.

Lire notre article : Quel processus mettre en place pour être conforme au RGPD en 2018 ?

Clothilde

Clothilde

Responsable marketing

Acquisition, engagement, conversion et fidélisation n'ont plus de secrets pour moi ! #inbound #automation #CRM

RGPD 2018

fa legislation

Toutes les ressources RGPD

  • Niveau d’expertise
  • Temps de lecture

Restons connectés

Parcourir par catégorie

CTA decouverte koban
note satisfaction client 2017

La réglementation Emailing

La réglementation Emailing

Vous êtes dans notre rubrique “Législation et réglementation”… Beaucoup d’articles existent sur les bonnes pratiques de rédaction et d’envoi d’emails mais très peu sur la réglementation en vigueur sur l’emailing. Koban permet à travers son module emailing, d’envoyer des campagnes emails à vos destinataires.

Cependant, au-delà de la garantie de délivrabilité des emails, Koban milite pour une bonne conduite en matière de prospection par email, notamment par notre charte que nous demandons à nos clients de respecter.

 

 

Chiffres clés

Emails sortants / heure chez Koban

Avec plus de 100 milliards d’emails professionnels envoyés chaque jour, cet outil de communication est utilisé dans 78 % des échanges avec les clients. En 2016, un internaute a reçu, en moyenne par jour, 7,54 e-mails commerciaux. Même si le nombre d’envois décline, il n’est pas rare que ce mode de communication subissent quelques dérives… Il peut parfois paraître si aisé de promouvoir sa marque alors que près de 80% des emails sont considérés comme des spams.

 

L’emailing consiste basiquement à pratiquer la promotion d’un produit, d’une offre, d’un service par email. C’est un moyen de prospection directe dont les messages doivent être en conformité avec l’ensemble du dispositif législatif et réglementaire et/ou la réglementation particulière des produits promus par l’envoi.

 

 

Tour d’horizon des incontournables pour être en règle en matière d’emailing (en France)

 

Un bon fichier, tu auras.

 

Dans le cas du BtoC, la communication auprès de particuliers, il est interdit de faire de la prospection directe par messagerie électronique à partir d’adresses mails collectées dans les espaces publics d’internet (exemple : réseaux sociaux, forums…). Les entreprises qui aujourd’hui collectent des adresses électroniques, doivent impérativement obtenir le consentement préalable des personnes dont elles recueillent l’e-mail pour pouvoir ensuite les utiliser à des fins de prospection commerciale. Vous pouvez donc acheter ou louer votre fichier si votre fournisseur respecte la législation relative à la collecte de données (CNIL). En BtoB, faites en sorte d’avoir une base de données valide et récente afin d’assurer une bonne délivrabilité des vos campagnes. Le “prix” d’un email, est souvent le gage d’une bonne qualité.

 

L’opt-in, tu pratiqueras.

 

Vos destinataires sont très sollicités. La réglementation fait clairement la distinction entre particuliers et professionnels. Obligatoire pour les particuliers et non pour les professionnels, il est toutefois fortement recommandé d’avoir l’accord préalable de votre destinataire pour lui adresser vos emails, on parlera alors d’opt-in. Dans le cas d’une newsletter, par exemple, les destinataires se seront préalablement inscrits ou auront transmis leur email à seule fin de recevoir la dite lettre d’information. En toute logique, une newsletter est un moyen de fidélisation envoyé prioritairement à vos clients afin de les tenir informés de votre activité. (Lire notre article sur fidélisation et emailing) L’idéal étant le double opt-in, c’est à dire la confirmation d’inscription à un formulaire.

 

L’opt-out, tu t’obligeras.

 

La loi autorise la prospection directe sans accord préalable ou consentement auprès des professionnels (BtoB), à la fois sur des adresses génériques (contact@nomdedomaine.com) et des adresses nominatives ou personnelles (nom@nomdedomaine.com) considérés comme personnes morales si le message est relatif à la fonction occupée au sein de l’entreprise. En revanche, la loi impose le régime de l’opt-out : “le consentement du destinataire à recevoir des emails commerciaux est présumé, sauf s’il manifeste sa volonté en sens inverse.” Vous devez intégrer un lien de désinscription, pour offrir au destinataire la possibilité d’être supprimé de votre mailing liste.

 

Au RGPD, tu te conformeras.

 

RGPD comme Règlement Général sur la Protection des Données, établi par l’Union Européenne, entrera en vigueur en 2018. Autant dire demain ! Son objectif est simple : redonner aux citoyens le contrôle de leurs données personnelles, tout en unifiant les réglementations relatives à la protection de la vie privée dans l’Union européenne. La mise en conformité devra se faire au plus tard le 25 mai 2018.

 

L’emailing sous-entend la récolte et l’exploitation de données personnelles. Au sein de l’Europe, la réglementation est claire en matière de sécurité des données informatiques. Prenez les mesures nécessaires pour garantir votre conformité au RGDP qui sera applicable au 25 mai 2018.

 

Lire notre article : Quel processus mettre en place pour être conforme au RGPD en 2018 ?

 

Les bonnes pratiques, tu intégreras.

 

La législation sur la prospection commerciale par voie électronique étant longue et parfois subtile entre professionnels et particuliers, le mieux est encore d’appliquer ces règles de manière systématique afin de garantir une certaine loyauté et sécurité informatique avant toute prospection.

 

  • Le recueil du consentement préalable
  • Votre identité clairement identifiable
  • Un lien de désinscription
  • Un email responsive

Au Sales Automation, tu te convertiras.

 

Respecter la législation autour de l’emailing c’est bien, aller plus loin c’est mieux ! Parmi les grandes tendances de l’emailing, la personnalisation est un enjeu clé. Exit l’emailing de masse, place au message ciblé. Si l’email reste le premier support publicitaire sur Internet, pour être plus efficace et améliorer votre taux d’ouverture, communiquez de manière plus personnelle avec vos destinataires.

 

Il est nécessaire pour cela d’en “savoir plus” sur vos contacts afin de bien “contextualiser” vos échanges (suivi comportemental, centre d’intérêts…) et montrer à votre destinataire que vous le “connaissez”, sans pour autant tomber dans le chatbot 😉

 

Vous-même avez sûrement déjà expérimenté ce type de “messages automatisés” certes, mais tellement plus “accessibles” : les emails one-to-one.

Exemple d’un email one-to-one :

Le sales automation, qu’est ce que c’est ?

Le principe du sales automation est très proche d’un scénario de marketing automation. La différence principale réside dans le fait que, dans un scénario de sales automation, on simule une prise de contact directe par le commercial. L’objectif du scénario sera de déclencher une réaction d’un prospect afin que le commercial reprenne la main  »pour de vrai » sur le lead.

Lire notre article sur le support de Koban : Créer un scénario de Sales Automation

A ce stade, si vous avez bien suivi, vous devriez vous demander : “Oui mais… où est donc le lien de désinscription ?!”

Justement, c’est là que se situe la subtilité… A défaut de comprendre le “Marketing Automation”, l’emailing est quant à lui à la portée de tout le monde. Le sales automation s’apparente à des échanges mails entre deux personnes et non pas de l’emailing, donc non soumis à la réglementation sur la prospection électronique de masse.

Le Sales Automation permet d’automatiser des emails one-to-one par un scénario propre à la force de vente. Nous sommes à la frontière entre commercial et marketing ! Normalement, la démarche permet d’automatiser les emails sur une cible non plus de prospects, mais de LEADS (ou opportunités de ventes), identifiés et qualifiés. En d’autres termes, pour améliorer le taux de conversion des commerciaux.

Vous pouvez allez plus loin sur le Sales Automation en lisant notre article : Sales Automation appliqué aux clients

Envie d’approfondir le Sales Automation avec Koban ? Demandez à Fabien ! fabien@koban-crm.com

Avec l'abonnement Koban, le Module Marketing Automation est gratuit.

Clothilde

Clothilde

Responsable marketing

RGPD 2018

fa legislation

Toutes les ressources RGPD

  • Niveau d’expertise
  • Temps de lecture

Restons connectés

Parcourir par catégorie

CTA decouverte koban
note satisfaction client 2017

Quel processus mettre en place pour être conforme au RGPD en 2018 ?

Quel processus mettre en place pour être conforme au RGPD en 2018 ?

Le RGPD, c’est quoi ?

RGPD comme Règlement Général sur la Protection des Données, établi par l’Union Européenne, entrera en vigueur en 2018. Autant dire demain ! Son objectif est simple : redonner aux citoyens le contrôle de leurs données personnelles, tout en unifiant les réglementations relatives à la protection de la vie privée dans l’Union européenne. La mise en conformité devra se faire au plus tard le 25 mai 2018.

Cette réglementation, et notamment les derniers ajouts, auront un impact indéniable quant au management de la donnée et plus globalement au fonctionnement général du système d’information d’une entreprise. Cette directive couvre les données détenues non seulement par les personnes morales ou physiques européennes, mais également par les entreprises ou organismes non européens qui traitent les données de citoyens européens.

La définition des données à caractère personnel couvre désormais toute une série de détails comprenant les informations personnelles habituelles, mais aussi des éléments tels que les photographies et les données des réseaux sociaux.

Selon la loi, une donnée personnelle signifie :

Toute information concernant une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un numéro d’identification (par exemple : le numéro de sécurité sociale) ou un ou plusieurs facteurs spécifiques à son identité physique, physiologique, psychique, économique, culturelle ou sociale (par exemple : nom et prénom, date de naissance, la biométrie les données, les empreintes digitales, ADN …).

Donnée personnelle: définition, CNIL

La définition est large, mais elle implique que le RGPD est applicable si et seulement si la donnée est établie comme personnelle. Dans le cas contraire, si les données sont confirmées « anonymes » la réglementation ne s’applique pas.

Concrètement ?

Consentement renforcé et transparence

Le règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données.

L’expression du consentement est définie : les utilisateurs doivent être informés et leur accord requis de la collecte et usage de leurs données.

De nouveaux droits

Le droit à la portabilité des données : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Rétablissant ainsi l’équilibre entre la personne et le porteur de la donnée.

Pourquoi est-ce un défi ?

L’entreprise ne peut plus se contenter d’informer que son site “utilise les cookies”, ni digitaliser sa gestion client (s’équiper d’un CRM ou un logiciel de marketing automation par exemple) sans prendre en compte les données qu’elle collecte et exploite à des fins commerciales. L’impact sera immédiat pour l’entreprise, dans l’organisation à court terme de son système d’information car pour la plupart d’entres elles, les données ne sont pas centralisées et l’entreprise ne peut donc pas en garantir ni sécuriser l’accès, la bonne gestion et le droit à l’oubli des données personnelles dans le respect de la réglementation applicable au 25 mai 2018.

Quelles applications ?

Le Marketing Automation

Koban Marketing, notre outil de Marketing Automation vous permet de suivre et faire mûrir vos pistes. L’outil vous permet de tracker vos visiteurs web puis de les alimenter régulièrement en contenus ciblés grâce à l’automatisation. Le flux des données collectées constituent une “empreinte numérique” de vos prospects par l’enregistrement continu du comportement de vos visiteurs afin d’en élaborer un profil d’acheteur. Toutes ces empreintes, dès lors qu’elles ne sont plus anonymes, sont identifiées par l’entreprise et sont concernées par l’application du RGPD.

Le fichier client

Tout client est en droit de demander l’accès aux informations détenues à son sujet. Mais au-delà des informations personnelles, celles ci peuvent impliquer un Tiers lorsqu’il s’agit de la sécurisation des données (localisation, export…). Si le stockage des informations n’est pas interne à l’entreprise, cela peut être compliqué et représenter un surcoût dans la gestion, l’accès et la transmission, ainsi que la garantie de sécurité et de droit à l’oubli pour le client.

Qui est concerné ?

Toute entreprise qui collecte et traite informatiquement des données rattachées à des individus sur le territoire européen. Et ce, qu’elles le fassent pour leur propre compte, ou pour le compte d’un tiers. Par exemple, toute entreprise de gestion et location de base de données ou les éditeurs de solutions en SAAS (comme nous) portent la responsabilité du respect de ces nouvelles règles au même titre que les entreprises dont elles gèrent/stockent les données.

Un exemple concret : Prenons l’exemple de Google Analytics.

3,3 milliards de requêtes sont effectuées chaque jour (100 milliards par mois) via Google qui couvre 96% des sites internet en Union Européenne.

source : Blog du modérateur

Vous avez autorisé, lors de votre adhésion à Google Analytics, à collecter les données de votre site en y déposant votre code de tracking. Sachez que selon les conditions d’utilisations de Google et la loi Informatique et Libertés, vous êtes juridiquement responsable de ce que Google Analytics a recueilli grâce à votre intermédiaire, même si vous n’en connaissez pas le contenu ni l’utilité.

En effet, les données recueillies sur votre site, via les cookies, peuvent être corrélée avec d’autres sources afin d’élaborer des “profils virtuels” et proposer un service ou besoin personnalisé. Prises séparément, ces informations ne permettent pas de s’introduire dans la vie personnelle de l’internaute. C’est leur exploitation et leur croisement qui porte atteinte à la vie privée de l’internaute car ils permettent d’établir l’identité d’une personne physique. Pourtant, sans ce croisement d’informations, les services de ces acteurs ne sont pas utilisables. Le croisement de ce type d’informations n’est pas illégal, si l’internaute qui les a émises a autorisé leur recueil et leur utilisation. La loi ne cherche pas à empêcher le développement de cette pratique. Au contraire, c’est tout l’enjeu des phénomènes « Big Data » et « Open Data ». La loi veut seulement garantir une pratique éthique et respectueuse des droits fondamentaux de l’individu.

Source : Audito

Quel niveau de confidentialité établir ?

 2 types de confidentialité possibles

Privacy by Design ou confidentialité par Design : tout nouveau processus d’affaire qui utilise les données personnelles doit prendre en considération la protection de la vie privée. En désignant par exemple le service informatique comme garant du cycle de vie des données dans le système d’information via un processus établi et conforme, qui veille à limiter la quantité de données traitée dès le départ (principe dit de « minimisation »).

Privacy by default ou confidentialité par défaut : les paramètres de confidentialité s’appliquent automatiquement à chaque nouvelle donnée personnelle collectée. L’utilisateur dispose donc par défaut de ses droits d’accès et de protection sans aucune modification manuelle des paramètres. Les données personnelles sont alors collectées et conservées durant la période nécessaire à fournir un produit ou un service.

Quels risques ?

Le non-respect de ce règlement expose l’entreprise à une amende d’un montant pouvant s’élever de 2% à 4% du chiffre d’affaires annuel. Par le droit à réparation des dommages matériel ou moral, toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

Quel processus mettre en place pour être conforme ?

6 étapes pour se préparer au RGPD

1 . Désigner un pilote

Il est important de désigner un ou plusieurs responsables de la donnée, qui seront garants de leur protection et du processus de respect de la vie privée durant tout le cycle de vie de la donnée.

2. Cartographier vos traitements de données personnelles

Commencez par l’inventaire de vos données : Quelles données collectez-vous ?

  • Quels types de données ? Personnelles, publiques, génériques, nominatives…
  • Où les collectez-vous ? Cloud, serveur, SaaS…
  • Où sont-elles localisées ? Europe, Asie, US, France…
  • Comment les collectez-vous ? Achat, déclarées (formulaires), comportementales…
  • Pourquoi les collectez-vous ? Marketing, prospection, fichier client, statistiques, publicités…
  • Quel usage en faites-vous ? Commercial, administratif…
  • Combien de temps les conservez-vous ? Annuel, mensuel, usage unique…
  • Qui accède aux données ? Toute l’entreprise, un responsable, un sous-traitant, personne…

3. Prioriser les actions

Après avoir identifié les traitements de données personnelles mis en œuvre, vous devez, pour chacun d’eux, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir.

4. Gérer les risques

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une étude d’impact sur la protection des données.

5. Organiser les processus internes

Pour garantir un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement de données personnelles (par exemple : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire etc.).

6. Documenter la conformité

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Ce qu’il faut retenir :

Obtenir et prouver le consentement de la personne pour le recueil et l’usage des données personnelles

Garantir et sécuriser la bonne gestion des données personnelles (droit d’accès et droit à l’oubli)

Sources :

Règlement européen sur la protection des données : ce qui change pour les professionnels

Les PIA (Privacy Impact Assessment) : Ces documents sont des catalogues de bonnes pratiques destinées à traiter les risques que les traitements de données à caractère personnel (DCP) peuvent faire peser sur les libertés et la vie privée des personnes concernées.

Livre Blanc Audito : solutions techniques simples de mise en conformité avec la Loi Informatique et Libertés, réglementation des cookies.

CNIL : 6 étapes pour se préparer au RGPD

Testez votre connaissance des grandes thématiques de la protection des données !

Source : Sia Partners

Clothilde

Clothilde

Responsable marketing

RGPD 2018

fa legislation

Toutes les ressources RGPD

  • Niveau d’expertise
  • Temps de lecture

Restons connectés

Parcourir par catégorie

CTA decouverte koban
note satisfaction client 2017