Téléchargez la fiche au format PDF !
Le 25 Mai arrive à grand pas, et avec lui le Règlement Général sur la Protection des Données. Le RGPD, c’est aussi l’opportunité de revoir sa manière de pratiquer un marketing digital plus responsable et en accord avec un respect des finalités d’usage des données personnelles de chacun. Il ne s’agira plus de récolter et d’exploiter en boucle infinie les données stockées dans votre logiciel.
Koban vous accompagne pas à pas pour vous mettre en conformité dans les temps.
Côté Marketing digital, que vous utilisiez une plateforme de marketing ou non, dès lors que vous éditez un site web, il y aura quelques règles incontournables à respecter. Voici la marche à suivre !
Responsable de la donnée
Toutes les entreprises effectuant du traitement de données à grande échelle devront se doter d’un délégué à la protection des données (DPD)
Ce que dit la RGPD : La désignation d’un délégué à la protection des données est obligatoire en 2018 si : vous êtes un organisme public, vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et à des infractions.
Notre recommandation : Même si votre organisme n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne, disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen. Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.
Source CNIL : https://www.cnil.fr/cnil-direct/question/1257?visiteur=part
Consentement explicite obligatoire
Toutes les données à caractère personnel doivent être obtenues avec l’accord préalable de l’individu, en BtoC comme en BtoB
Ce que dit la RGPD : Le RGPD précise que les professionnels du marketing pourront contacter les résidents européens seulement si ces derniers ont donné en amont un consentement explicite. Ce consentement doit être express. Cela signifie qu’il doit provenir d’un acte positif. La personne doit véritablement avoir été confrontée à la nécessité de donner son accord au traitement. Ainsi, il est précisé dans le Règlement, qu’ « il ne saurait dès lors y avoir de consentement en cas de silence, de case cochée par défaut ou d’inactivité. » Tout en sachant que la preuve du consentement reste à la charge du responsable des traitements.
Notre recommandation : Cette règle doit être appliquée en BtoC comme en BtoB. On vous recommande d’intégrer par défaut la notion d’opt-in à minima lors de la collecte de données via vos formulaires web.
Mise en conformité : Mettre à jour les formulaires avec l’ajout de cases à cocher, et des mentions claires afin que les internautes donnent leur accord ou non pour chaque utilisation de données (email, profilage, revente de données à un tiers…) Demander le consentement clair pour chacune des données collectées pouvant impliquer un traitement La finalité du traitement devra être clairement identifiée au moment où la collecte des données est effectuée (par un message d’information clair et dans l’information légale du site web par exemple) Conserver une trace pour prouver ce consentement (champ provenance et date de création du contact)
Restitution des données et portabilité
Toutes les données d’un individu doivent être facilement téléchargeables et transmissibles Tout individu pourra demander à récupérer les données qu’il aura déclarées Les données restituées devront l’être sous un format informatique exploitable
Ce que dit la RGPD : Le droit à la portabilité est limité aux données personnelles fournies par la personne concernée. Il ne s’applique que si les données sont traitées de manière automatisée (les fichiers papiers ne sont donc pas concernés) et sur la base du consentement préalable de la personne concernée ou de l’exécution d’un contrat conclu avec la personne concernée. L’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés de tiers, dont les données se trouveraient dans les données transmises suite à une demande de portabilité.
Notre recommandation : Le droit à la portabilité impose aux organismes de fournir les données personnelles concernées dans un format « structuré, couramment utilisé et lisible par machine » qui permettent leur réutilisation. En d’autres termes, ces données « portables » doivent pouvoir être extraites et/ou être réutilisées facilement par la personne concernée ou par tout autre organisme. Il est recommandé aux responsables du traitement d’expliquer clairement la différence entre les données pouvant être transmises dans le cadre du droit à la portabilité et celles pouvant être communiquées au titre du droit d’accès. Lorsqu’une personne exercice son droit à la portabilité, l’organisme recevant sa requête n’a pas à supprimer de son fichier les données demandées dans ce cadre. Les données peuvent être conservées dans le traitement d’origine, pour la durée qui a été définie initialement par l’organisme le mettant en œuvre.
Mise en conformité : Mettre en place des procédures appropriées permettant à l’individu d’effectuer une demande de portabilité et de recevoir les données le concernant. Les responsables du traitement doivent notamment proposer une procédure d’authentification permettant de vérifier l’identité de la personne concernée exerçant son droit à la portabilité ou plus généralement tout autre droit garanti par le règlement.
Source CNIL : https://www.cnil.fr/fr/le-droit-la-portabilite-en-questions
Droit d’opposition
C’est le droit de s’opposer, pour des motifs légitimes, à figurer dans un fichier.
Ce que dit la RGPD : Sur simple demande d’un contact, l’entreprise devra lui garantir qu’il ne sera plus sollicité. En matière de prospection commerciale, ce droit s’exerce sans avoir à justifier de motifs légitimes. Exercer son droit d’opposition, c’est aussi s’opposer à ce que les données soient communiquées à d’autres sociétés commerciales.
Notre recommandation : Traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen)
Mise en conformité : Rendre possible et accessible le désabonnement / la désinscription et l’opposition à la prospection en fonction des canaux (SMS, email, téléphone)
Droit d’accès
Tout individu a le droit de savoir quelles informations les administrations, les organismes publics ou privés et les sociétés commerciales détiennent sur lui dans leurs fichiers : c’est ce qu’on appelle le droit d’accès. La loi Informatique et Libertés prévoit que ce droit d’accès s’exerce soit directement, soit indirectement.
Ce que dit la RGPD : Le droit d’accès direct : Dans la plupart des cas, vous pouvez demander directement ces informations aux organismes concernés ; Le responsable du traitement informatique ou du fichier doit, sur votre demande, vous communiquer une copie des informations qui vous concernent et vous préciser d’où elles proviennent. Il peut vous demander le paiement d’une somme qui ne peut excéder le montant des frais de reproduction. Le droit d’accès indirect : Pour certains fichiers publics, vous ne pouvez pas accéder directement à ces informations ; C’est le cas des fichiers concernant la sûreté de l’Etat ou la sécurité publique, de certains fichiers du ministère de la Justice
Notre recommandation : Traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen)
Mise en conformité : Rendre identifiable et accessible le responsable du traitement des données sur un site web. Identifier une personne de l’organisation et créer une messagerie email dédiée ainsi qu’une procédure de réponse au droit d’accès.
Cookies et profilage
Tout profilage doit être clairement notifié auprès des personnes ciblées et une possibilité de désabonnement aux centres d’intérêts doit accompagner chaque traitement.
Ce que dit la RGPD : Avant de déposer ou lire un cookie, les éditeurs de sites ou d’applications doivent : Informer les internautes de la finalité des cookies. Obtenir leur consentement (la durée de validité de ce consentement est de 13 mois maximum). Fournir aux internautes un moyen de les refuser. Certains cookies sont cependant dispensés du recueil de ce consentement (ceux strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur).
Notre recommandation : Dans la mesure où le consentement ne doit pas être ambigu, le bandeau d’information obligatoire concernant les traceurs et cookies de votre site web ne doit pas disparaître tant que la personne n’a pas poursuivi sa navigation, c’est-à-dire tant qu’elle ne s’est pas rendue sur une autre page du site ou n’a pas cliqué sur un élément du site (image, lien, bouton » rechercher « ).
Mise en conformité : Tant que la personne n’a pas donné son consentement, ces traceurs ne peuvent être déposés ou lus sur un terminal. L’internaute doit être informé par l’apparition d’un bandeau : des finalités précises des cookies utilisés ; de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien » en savoir plus et paramétrer les cookies » présent dans le bandeau ; du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal. Faire évoluer des bandeaux de cookies afin qu’ils soient plus explicites et que leur durée de vie soit de treize mois maximum. Passé ce délai, le consentement de l’internaute devra être à nouveau recueilli.
Droit à l’oubli / à l’effacement
Toute personne peut réclamer un droit à l’oubli, ces données devront être intégralement effacées. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais.
Ce que dit la RGPD : Pour être acceptée, une demande de suppression doit répondre à différents critères : Elle doit émaner d’un individu ayant la nationalité de l’un des États-membres de l’Union Européenne Il doit d’agir d’un particulier et non d’une entreprise ou d’un personnage public
Notre recommandation : Toute personne peut exercer ses droits (d’opposition, d’accès de rectification, à la portabilité, etc.) tant que le responsable du traitement détient ses données personnelles.
Mise en conformité : Ce droit à l’oubli s’applique pour les traitements automatisés, la prospection, les emailing et tous autres moyens de contacts. Afin de garantir que la personne ne sera pas recontactée ultérieurement, l’entreprise devra garder les coordonnées du contact.
Source CNIL : https://www.cnil.fr/fr/droit-au-dereferencement
Conservation des données
Tout traitement initié doit comporter des mentions obligatoires, consultables par les internautes comme le délai de conservation ou la finalité de la collecte entre autres.
Ce que dit la RGPD : Les données pourront être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Pour les contacts inactifs depuis plus de trois ans, il faudra mettre en place une suppression automatisée des données. Exemples de durées de conservation : Dans le cas d’un dispositif de vidéosurveillance, la conservation des images ne peut excéder 1 mois Les données relatives à gestion de la paie ou le contrôle des horaires des salariés peuvent être conservés 5 ans Les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées Les données figurant dans un dossier médical doivent être conservées 10 ans
Notre recommandation : Toutes les données sont vivement encouragées à être sécurisées par des clés de hachages. On parle de pseudonymisation afin de garantir un haut niveau de sécurité et ainsi respecter le principe de protection dès la conception et par défaut. (pseudonymisation : anomymisation réversible) Réécrire les mentions légales du site internet comportant les nouvelles mentions obligatoires comme la nature des données collectées et leurs finalités. (Votre âge est nécessaire car les produits commercialisés ne conviennent pas aux mineurs). Doit y figurer également le délai de conservation des données
Mise en conformité : Pouvoir identifier les contacts inactifs d’après une date de dernière activité supérieure à 3 ans et les exclure dans un repoussoir Pouvoir programmer un scénario de réactivation des contacts avant la date d’échéance d’inactivité de 3 ans Mettre en place une suppression des données automatisée pour les contacts inactifs depuis plus de trois ans.
Source CNIL : https://www.cnil.fr/fr/les-durees-de-conservation-des-donnees