[RGPD] Entretien avec Philippe Pradal, Associé Gérant du cabinet d’avocats, Wyzer Law

[RGPD] Entretien avec Philippe Pradal, Associé Gérant du cabinet d’avocats, Wyzer Law

Avocat aux Barreaux de New York et Paris, Compliance Evangelist et Professeur à l’Ecole de Droit de Sciences-Po Paris.

Pouvez-vous nous décrire en quelques mots l’activité de votre société ?

Notre Cabinet d’avocats intervient dans tous les champs de la vie des affaires, que ce soit le droit des sociétés, des contrats, du travail ou … de la conformité.

Quel est votre domaine d’expertise, à quelles problématiques répondez-vous ?

Notre expertise est transversale. Nous essayons d’accompagner nos clients dans leur problématiques juridiques et au-delà. Nous sommes souvent consultés sur des questions stratégiques. En ce moment nous sommes très sollicités sur la mise en place de la conformité RGPD

Quel impact aura la RGPD sur votre métier ?

Le RGPD n’est pas pour nous qu’un champ de compétence en plus, les cabinets d’avocats doivent aussi se conformer au RGPD. De ce point de vue le Conseil National de Barreaux a anticipé la problématique particulière des cabinets d’avocats en sensibilisant l’ensemble de la profession. En effet, nous sommes amenés à mettre en œuvre un nombre important de traitements qui peuvent s’avérer d’une particulière sensibilité d’un point de vue Informatique et libertés :

  • Traitements de données relatives aux infractions, condamnations ou mesures de sûretés
  • Logiciels de facturation
  • Traitements pour éviter un conflit d’intérêts, listes noires de personnes indésirables
  • Interconnexions de fichiers…

Bref, les cabinets d’avocats vont comme toutes les entreprises de France et de l’Union Européenne devoir se mettre en conformité avec le RGPD.

Quels points du RGPD sont particulièrement importants pour votre activité ?

Tous les avocats qui font du droit pénal seront particulièrement impacté par le RGPD, car la donnée personnelle pénale est une donnée sensible.

Vos clients sont-ils réceptifs et informés des enjeux de cette réglementation européenne sur la protection des données ?

En tant qu’avocat, c’est notre devoir de conseil que d’informer nos clients sur la mise en œuvre du RGPD et sur l’importance de s’y conformer. Trop souvent, nos clients pensent qu’ils ne sont pas concernés ou qu’ils auront le temps de se mettre en conformité quand l’administration commencera à s’intéresser à leur cas.

Reporter le problème n’est évidemment pas la bonne approche à retenir et ce pour plusieurs raisons. D’abord la grande révolution du RGPD c’est la co-responsabilité. Si vous êtes sous-traitants d’un client grand compte, que vous collectez des données pour McDonald par exemple, c’est votre client qui va vous demander de lui démontrer que vous êtes en conformité avec le RGPD. Car si vous ne l’êtes pas, il est potentiellement responsable avec vous et peut se voir infliger une amende allant jusqu’à 4% de son chiffre d’affaires mondial !

Donc la conformité RGPD n’est pas juste un problème à régler, mais un véritable atout commercial.

Ensuite, le RGPD pose comme principe ce qu’on appelle dans notre jargon le « protection by design » et le « protection by default ». C’est deux principes nécessitent que les entreprises prennent à bras le corps la question de leur conformité. En effet, le principe du « protection by design » consiste à penser vos collectes de données dans leur principe comme dans leur exécution, comme conforme au RGPD. Et le « protection by default » vous oblige à adopter comme comportement par défaut la protection des données personnelles que vous collectez. Fini le far west. Fini l’époque où vous complétiez vos fins de mois en vendant vos fichiers de mail à la hussarde.

Enfin et c’est peut-être le point le plus important, le RGPD renverse la charge de la preuve. Avant, lorsque la CNIL vous contrôlait, elle avait la charge de la preuve, elle devait être en mesure de démontrer que vous ne remplissiez pas vos obligations au regard de réglementation informatique et libertés. Demain, à compter du 25 mai, en cas de contrôle de la CNIL c’est à l’entreprise de démontrer qu’elle est en conformité. Si vous n’avez pas pris les devants, vous serez donc automatiquement défaillant.  

Comment vous êtes-vous préparés et serez-vous prêt pour la mise en conformité ?

Chez nous c’est très simple, nous nous appliquons les recommandations que nous faisons à nos clients. Nous auditons nos usages, formons nos équipes, mettons en place des procédures et avons nommé un délégué à la protection des données.

Un best practice à nous confier pour la mise en conformité ?

3 MOTS : AUDIT, FORMATION, SUIVI

Si vous respectez ce triptyque, et que vous suivez les recommandations de la CNIL, aucune inquiétude à avoir. L’important est de comprendre que la conformité à la réglementation des données personnelles est devenue un sujet sur lequel vous ne pouvez pas faire l’impasse.

Si cela vous paraît trop difficile à mettre en œuvre tout seul, faîtes vous accompagner. Notre cabinet et nombreux autres interviennent quotidiennement auprès des entreprises pour les aider dans la mise en place de leur conformité.

Quelles évolutions majeures sont prévues dans votre activité en lien avec le RGPD 2018 ?

Le RGPD vient renforcer pour nous l’importance de nos dossiers droit des données personnelles. Nous avons de plus en plus de demande dans ce domaine et nous mettons donc en place une offre de service lisible et accessible pour les TPE et PME que nous assistons quotidiennement.

Quels conseils donneriez-vous à un DPD (délégué de la protection de la donnée) pour l’aider à sensibiliser sur le RGPD en interne ?

Faites valoir l’enjeu commercial avant le risque juridique. Être en conformité avec le RGPD va devenir un enjeu commercial de taille que vous travaillez en B2B ou en B2C.

Le risque des sociétés qui ne seront pas en conformité avec le RGPD est évidemment bien réel, mais je pense que c’est en apportant la bonne parole de la conformité, et en annonçant la bonne nouvelle que vous aurez le plus de chance de faire avancer le chantier conformité interne de votre société.

Philippe

Philippe

Wyzer Law

Associé Gérant du cabinet d’avocats, Wyzer Law. Avocat aux Barreaux de New York et Paris, Compliance Evangelist et Professeur à l’Ecole de Droit de Sciences-Po Paris.

RGPD 2018

fa legislation

Toutes les ressources RGPD

  • Niveau d’expertise
  • Temps de lecture

Parcourir par catégorie

capture note 2017

[RGPD] Quelle mention pour quel traitement de données ?

[RGPD] Quelle mention pour quel traitement de données ?

La finalité de traitement

On entend par finalité de traitement “Objectif principal d’une application informatique de données personnelles. Exemples de finalité : gestion des recrutements, gestion des clients, enquête de satisfaction, surveillance des locaux, etc.source CNIL A partir du 25/05/2018, l’utilisation et le traitement de données personnelles doivent s’inscrire dans un but précis. La finalité indique à quoi votre fichier va servir. Lorsque vous déclarez un fichier à la CNIL, ou que vous inscrivez un fichier dans le registre du CIL, vous indiquez obligatoirement sa finalité : cette finalité déclarée devra être respectée tout au long de la construction et de l’utilisation de votre fichier. source CNIL   Une finalité doit répondre à 4 critères : 

  • La finalité doit être déterminée, légitime et explicite
  • La finalité doit être respectée
  • La finalité permet de déterminer la pertinence des données personnelles recueillies
  • La finalité permet de fixer la durée des données du fichier

Dans le cadre d’une mise en conformité au RGPD, il doit être fait mention de manière informative, explicite et claire, de la finalité de traitement des données collectées. Dans le cas d’un site web, on peut distinguer deux types de collecte bien distincts :

  • les cookies et traceurs qui permettent un profiling des visiteurs et une analyse des visites (notamment avec Google analytics par exemple ou le cookie Koban)
  • les formulaires (de landing pages, contact ou inscription à une newsletter par exemple)

 

Le profiling et cookies

 

Rappel des obligations légales

Avant de déposer ou lire un cookie, les éditeurs de sites ou d’applications doivent : 

  • informer les internautes de la finalité des cookies
  • obtenir leur consentement
  • fournir aux internautes un moyen de les refuser

La durée de validité de ce consentement est de 13 mois maximum. Dans la mesure où le consentement ne doit pas être ambigu, ce bandeau ne doit pas disparaître tant que la personne n’a pas poursuivi sa navigation, c’est-à-dire tant qu’elle ne s’est pas rendue sur une autre page du site ou n’a pas cliqué sur un élément du site (image, lien, bouton  » rechercher « ). Le fait de visiter la page « en savoir plus » ne vaut pas consentement au dépôt de cookies.

Comment faire techniquement ?

Pour information, le cookie Koban est limité à une durée de 12 mois. Techniquement, le dépôt d’un cookie ou non n’est possible que par l’intervention de l’internaute lui-même depuis le paramétrage de son navigateur web. C’est donc l’internaute seul qui décide et agit en fonction. Si vous êtes en WordPress par exemple, vous pouvez gérer les cookies via un plug in comme “Cookie Notice” ou “Cookie Consent” A télécharger ici : https://wordpress.org/plugins/cookie-notice/  Lire notre article support : Installer le tracking Koban sur votre site web

Les mentions destinées au cookies et traceurs

Exemple de mention d’information pour les cookies

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de [Cookies ou autres traceurs] pour vous proposer [Par exemple, des publicités ciblées adaptés à vos centres d’intérêts] et [Par exemple, réaliser des statistiques de visites].

Exemple d’information “en savoir plus” pour les cookies

Ce site utilise des cookies – de petits fichiers texte qui sont placés sur votre machine pour aider le site à fournir une meilleure expérience utilisateur. En général, les cookies sont utilisés pour conserver les préférences de l’utilisateur, stocker des informations pour des choses comme les paniers d’achat et fournir des données de suivi anonymisées à des applications tierces comme Google Analytics. En règle générale, les cookies rendront votre expérience de navigation meilleure. Toutefois, vous pouvez préférer désactiver les cookies sur ce site et sur d’autres. Le moyen le plus efficace consiste à désactiver les cookies dans votre navigateur. Nous vous suggérons de consulter la section Aide de votre navigateur ou de consulter le site Web À propos des cookies (en anglais) qui propose des conseils pour tous les navigateurs modernes.

La collecte de données personnelles via formulaire

Rappel des obligations légales

 

Le RGPD est clair : le consentement explicite préalable du destinataire est obligatoire. La récolte et l’exploitation des données personnelles devront se faire de manière transparente et explicite. Il vous faut donc mettre à jour vos formulaires avec l’ajout de cases à cocher (non pré-cochées), et des mentions claires afin que les internautes donnent leur accord ou non pour chaque utilisation de données (email, profilage, revente de données à un tiers…). Il vous faudra demander le consentement clair de l’internaute pour chacune des données collectées pouvant impliquer un traitement.

Comment faire techniquement ?

  • La finalité du traitement devra être clairement identifiée au moment où la collecte des données est effectuée, par un message d’information clair et dans l’information légale du site web par exemple
  • Conserver une trace pour prouver ce consentement, par un champ “provenance” et “date de création du contact” par exemple

Les mentions destinées à l’information sur la collecte de données personnelles

 

Exemple de mention pour un formulaire contact ou téléchargement d’un contenu

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Koban pour permettre de vous adresser des contenus adaptés à vos centres d’intérêt. Elles sont conservées pendant 3 ans et sont destinées au service marketing Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d’accès aux données vous concernant et les faire rectifier en contactant : clothilde[a]koban-crm.com Nous vous informons de l’existence de la liste d’opposition au démarchage téléphonique «Bloctel», sur laquelle vous pouvez vous inscrire ici : https://conso.bloctel.fr/

Personnalisez votre mention directement sur le site de la CNIL !

https://www.cnil.fr/modeles/mention

Exemples de mentions pour recueillir l’accord “optin” explicite de l’internaute

Je m’inscris à la liste de diffusion / Newsletter J’accepte de recevoir des informations de la part de…

Exemple d’email de confirmation d’inscription (double optin)

Bonjour,

Merci pour votre demande d’inscription sur nos listes de diffusion.

Cliquez sur le lien ci-dessous pour confirmer votre adresse email : [[!OPTINLINK]]

Si vous ne pouvez pas cliquer sur ce lien, copiez-coller cette adresse sur votre navigateur.

Si vous n’avez pas effectué une telle demande, ignorez simplement ce message. Nous demandons confirmation après inscription pour éviter les emails non conformes ou les inscriptions non désirées.

Clothilde

Clothilde

Responsable marketing

Acquisition, engagement, conversion et fidélisation n'ont plus de secrets pour moi #Smarketing #Inbound #CRM

RGPD 2018

fa legislation Toutes les ressources RGPD
  • Niveau d’expertise
  • Temps de lecture

Parcourir par catégorie

capture note 2017

[RGPD] Comment paramétrer Koban en fonction du traitement de ses données ?

[RGPD] Comment paramétrer Koban en fonction du traitement de ses données ?

Voilà ! On y est. Vous allez devoir vous mettre en conformité. C’est à dire mettre en application les directives du Règlement européen pour la protection des données (RGPD) pour être en conformité avec la loi au 25 Mai 2018.

Nous vous en parlons depuis quelques mois car en tant éditeur CRM et Marketing, nous sommes en première ligne. Nous devons donner la garantie et la possibilité à nos utilisateurs de pouvoir paramétrer leur outil CRM pour qu’il permette d’appliquer les procédures décidées en interne.

Concrètement, au delà de la démarche globale en amont du RGPD par la désignation d’un responsable de la donnée ou la création d’un registre des traitements, il y a l’application en aval des 5 principes de base du règlement pour la protection des données personnelles et dans le traitement que vous en faites :

  • Le consentement explicite et express obligatoire (opt in)
  • Les cookies et le profilage (information et mentions obligatoires)
  • La portabilité et restitution des données (droit d’accès)
  • Le droit de rectification, droit à l’oubli, à l’effacement, à l’opposition
  • La conservation des données (durée et limitation)

Cette mise en conformité concerne par ailleurs tout ensemble d’opérations de traitement de données à l’aide de moyens automatisés ou non. Le RGPD concerne toute entreprise qui collecte des données à caractère personnel aboutissant à la constitution d’un traitement.

Voyons comment paramétrer Koban car vous l’avez compris, Koban CRM est “compliant” : son paramétrage vous permet de vous assurer que vous mettez en application les décisions que vousaurez prises quant au traitement des données que vous collectez et utilisez !

Tips !

  1. Paramétrer Koban pour appliquer vos procédures de mise en conformité (d’après le tableau suivant)
  2. Faites une campagne email de “ré-optin” sur votre base avant le 25 Mai
  3. Mettre à jour la base de donnée sur les champs : opt in, origine (digital, télémarketing, salon…), email, inscription liste(s) de diffusion
  4. Mettre à jour les formulaires : pour rendre effectifs les “nouveaux” paramétrages de formulaires et/ou landing pages, pensez à bien copier à nouveau chaque script sur la page correspondante de votre site web
  5. Tester chaque nouveau formulaire de votre site web ou tout autre point d’engagement
  6. Mettre à jour les mentions du site (formulaires et cookies – mentions légales du site web)
  7. Créer une requête intelligente sur la date de dernière interaction à envoyer dans un scénario de réactivation de contact
  8. Supprimer ou pseudonymiser tous les contacts dont la limite de conservation est dépassée

Ce que dit le RGPD Comment faire dans Koban ?
Consentement explicite obligatoire Mettre à jour les formulaires avec l’ajout de cases à cocher, et des mentions claires afin que les internautes donnent leur accord ou non pour chaque utilisation de données (email, profilage, revente de données à un tiers…)

Demander le consentement clair pour chacune des données collectées pouvant impliquer un traitement

La finalité du traitement devra être clairement identifiée au moment où la collecte des données est effectuée (par un message d’information clair et dans l’information légale du site web par exemple)

Conserver une trace pour prouver ce consentement (champ provenance et date de création du contact)

Possibilité de personnaliser sur chaque formulaire la finalité du traitement.

Le texte apparait ensuite au niveau du code HTML généré

Mise en place d’une fonctionnalité Double OptIn

Cookies et profilage Tant que la personne n’a pas donné son consentement, ces traceurs ne peuvent être déposés ou lus sur un terminal.

L’internaute doit être informé par l’apparition d’un bandeau :

des finalités précises des cookies utilisés ;

de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien » en savoir plus et paramétrer les cookies » présent dans le bandeau ;

du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal.

Faire évoluer des bandeaux de cookies afin qu’ils soient plus explicites et que leur durée de vie soit de treize mois maximum. Passé ce délai, le consentement de l’internaute devra être à nouveau recueilli.

La durée du cookie Koban a été réduite à 12 mois
Restitution des données et portabilité Mettre en place des procédures appropriées permettant à l’individu d’effectuer une demande de portabilité et de recevoir les données le concernant. Les responsables du traitement doivent notamment proposer une procédure d’authentification permettant de vérifier l’identité de la personne concernée exerçant son droit à la portabilité ou plus généralement tout autre droit garanti par le règlement. Affichage sur chaque fiche compte, contact ou piste d’une zone « Protection des données » rassemblant toutes les informations liées à la réglementation
Droit à l’oubli

Droit à l’effacement

Droit d’opposition

Ce droit à l’oubli s’applique pour les traitements automatisés, la prospection, les emailing et tous autres moyens de contacts. Afin de garantir que la personne ne sera pas recontactée ultérieurement, l’entreprise devra garder les coordonnées du contact.

Possibilité de désabonnement / désinscription et d’opposition à la prospection

Ajout des informations Droit à l’oubli, opposition à la prospection, OptOut SMS et OptOut téléprospection 

Possibilité de supprimer ou de pseudonymiser les contacts dont la date de dernière interaction est trop lointaine

Conservation des données Pouvoir identifier les contacts inactifs d’après une date de dernière activité supérieure à 3 ans et les exclure dans un repoussoir

Pouvoir programmer un scénario de réactivation des contacts avant la date d’échéance d’inactivité de 3 ans

Mettre en place une suppression des données automatisée pour les contacts inactifs depuis plus de trois ans.

Historisation des valeurs données lors de la soumission par un contact

Ajout et calcul d’une date de dernière interaction sur chaque piste, contact ou compte

Export CSV de chaque information donnée par le contact

Bien entendu, vous pouvez continuer à penser que vous serez le dernier à être contrôlé… À vous de voir… Vu la teneur du RGPD et sa finalité, il est fort à parier que si contrôle il y a, celui-ci sera issu d’une plainte de la part d’une personne sur le traitement qui sera fait de ses données. Depuis le 23 Janvier 2018, l’Assemblée Nationale a voté un amendement à la loi. Les Français pourront désormais être dédommagé financièrement en cas d’utilisation abusive de leurs données personnelles.

Clothilde

Clothilde

Responsable marketing

Acquisition, engagement, conversion et fidélisation n'ont plus de secrets pour moi #Smarketing #Inbound #CRM

RGPD 2018

fa legislation Toutes les ressources RGPD
  • Niveau d’expertise
  • Temps de lecture

Parcourir par catégorie

capture note 2017

[RGPD] Quel impact sur la sécurité des données ? Interview de Guillaume Heligoin, MVRA Assurances

[RGPD] Quel impact sur la sécurité des données ? Interview de Guillaume Heligoin, MVRA Assurances

Pouvez-vous nous décrire en quelques mots l’activité de votre société ?

 

Nous sommes spécialisés en « management de risque » (audit, expertise, formation, courtage d’assurance, assistance…).  

Et depuis un peu plus d’un an nous avons ouvert un pôle spécialisé « Cyber-Assurance ».

Nous sommes implantés en Rhône-Alpes avec 26 collaborateurs et notre champ d’action est sur la France entière.

 

Quel est votre domaine d’expertise, à quelles problématiques répondez-vous ?

 

Nos domaines d’expertises sont les risques des entreprises liées aux assurances

 

Quel impact aura le RGPD sur votre métier ?

 

1/ Pour notre entreprise le gros du travail est fait sur notre base de données. Comment mieux les protéger et comment les supprimer. Nous souhaitons ensuite communiquer à nos clients nos bonnes pratiques, pour transformer la contrainte du RGPD en un argument commercial de bonne gestion des données de nos clients.

2/ Pour nos clients nous avons un rôle à jouer à titre informatif, puis proposer des intervenants pour la mise en pratique du RGPD et enfin réduire leurs risques de Cyber-Attaque.

 

Quels points du RGPD sont particulièrement importants pour votre activité ?

 

Pour nous c’est la mise en place d’analyse, d’audit et de test de vulnérabilité.

 

Vos clients sont-ils réceptifs et informés des enjeux de cette réglementation européenne sur la protection des données ?

 

Nos clients ne savent par quel bout prendre le problème. Beaucoup de nos clients ont déjà subi des attaques plus ou moins importantes et très peu ont mis des choses en place par la suite. En plus ils ne souhaitent pas communiquer dessus par peur d’une mauvaise presse voire d’une amende.

 

Quels conseils donneriez-vous à un DPD (délégué de la protection de la donnée) pour l’aider à sensibiliser sur la RGPD en interne ?

 

Pour les données, il faut expliquer à chaque collaborateur l’importance d’avoir une base de données bien remplie et à jour.

Pour la sécurité des données, il faut expliquer les conséquences catastrophiques que pourrait faire une cyber-attaque.

 

Quelles évolutions majeures sont prévues dans votre activité en lien avec la RGPD 2018 ?

 

Nous rencontrons les mêmes problèmes de mise en conformité que n’importe quelle entreprise, le plus difficile est de jeter ou garder les données. Aujourd’hui très peu de logiciels se sont adaptés au RGPD.

Guillaume

Guillaume

Chargé de clientèle - MVRA Assurances

Spécialisé en « management de risque » (audit, expertise, formation, courtage d’assurance, assistance…) et « Cyber assurance ».

  • Niveau d’expertise
  • Temps de lecture

Parcourir par catégorie

capture note 2017

[RGPD] Où sont stockées vos données ? Le Cloud pour les nuls

[RGPD] Où sont stockées vos données ? Le Cloud pour les nuls

Vous vous dites “encore un énième article sur le cloud !” Et vous avez raison. Sauf que la question est toujours posée, surtout avec l’arrivée du RGPD. Le nouveau règlement européen sur la protection des données personnelles est paru au journal officiel de l’Union européenne et entrera en application le 25 mai 2018.

Si vous vous posez effectivement la question, cet article vous apportera (on l’espère !) des réponses concrètes en vulgarisant un peu le discours. N’en déplaise aux DSI et autres experts informatiques à qui n’est pas destiné l’article 😉

Si vous ne vous êtes jamais posé la question, il est grand temps de vous y atteler, car que ce soit à titre privé ou professionnel, le RGPD a pour but de garantir la sécurité et l’accès à vos données. Concrètement, confieriez-vous les clés de chez vous à une tierce personne, sans garantie de confiance ni règles ? Évidemment, non.

C’est parti donc pour une révision express sur le Cloud ! Mot clé : Transparence.

Le Cloud, c’est quoi ?

Le Cloud (ou le SAAS – Software As A Service) a permis de rendre accessible et plus abordable un certain nombre de logiciels en libérant des contraintes d’intégration, d’installation et de maintenance. L’accès se fait alors à distance et l’ensemble des données du logiciel ou d’une application est donc hébergé et stocké par l’éditeur. Le mode SAAS permet non seulement de gagner en mobilité, mais également un usage partagé et collaboratif. Les prérequis sont donc simples, pour utiliser une application en SAAS comme un CRM par exemple, il suffit d’un navigateur et un accès internet. Le Cloud n’a pas simplifié que les usages, il a réduit de fait l’investissement lié à ce type d’équipement.

Les exemples de services collaboratifs les plus utilisés en mode SaaS sont le partage d’agendas en ligne, les outils de conférence à distance, les services de gestion de contacts et de présence, la gestion documentaire et/ou de contenu ainsi que la messagerie d’entreprise. Aujourd’hui, la quasi-totalité des suites et outils marketing sont désormais proposées en mode SAAS, comme Koban. Plébiscité pour ses avantages comme son coût réduit et sa simplicité d’utilisation, le marché croît régulièrement.

A l’heure de la mise en conformité, le SAAS voit remonter ses inconvénients comme freins à la protection des données personnelles. Car le Cloud “soulève un certain nombre de difficultés au regard du respect de la législation relative à la protection des données personnelles, en particulier dans le cas du Cloud public. Ces difficultés sont amplifiées dans le cas des offres standardisées avec des contrats d’adhésion ne laissant pas aux clients la possibilité de les négocier. De manière générale, il est constaté que les clients souffrent d’une insuffisance de transparence de la part des prestataires de Cloud quant aux conditions de réalisation des prestations, notamment sur la sécurité et sur la question de savoir si leurs données sont transférées à l’étranger, et plus précisément à destination de quels pays.”

source : CNIL

Le Cloud : avantage ou inconvénient ?

Les avantages du Cloud ne sont plus à démontrer… Avantage financier par une réduction des coûts à l’inverse de l’intégration en mode licence, et la mutualisation des ressources et serveurs partagés de l’application. Gain de temps par un déploiement technique simplifié et rapide. Le Cloud présente donc un avantage manifeste pour toute entreprise qui souhaite construire un système d’information unifié et collaboratif à moindre coût. Avec le SAAS, l’informatique est externalisée et les déploiements plus rapides. Le paiement à la consommation permet également de réduire et optimiser les coûts. Le Cloud répond en un sens à un mode d’achat qui a évolué avec le consommateur et sa mobilité. Revers de la médaille pour les éditeurs : la volatilité et la rotation parfois importante des clients qui n’hésitent plus à changer de solution, dès lors que celle-ci ne correspond plus à leur besoin ou usages. Les éditeurs se voient donc contraints d’améliorer sans cesse l’expérience utilisateur, optimisant et facilitant ainsi leur application.

Les inconvénients du Cloud sont essentiellement liés à la question de la sécurité des données relatives à l’entreprise cliente, qui sont généralement hébergées et stockées par l’éditeur de la solution. L’ensemble des données étant par définition “délocalisé”, il convient donc d’être vigilant lorsqu’une entreprise doit gérer des données notamment “sensibles” ou “confidentielles” en contractualisant la nature des échanges avec le fournisseur (éditeur).

Le SAAS implique :

  • de sécuriser l’accès aux données de l’entreprise
  • d’évaluer le risque lié à une défaillance de son prestataire, fournisseur
  • de permettre une compatibilité entre plusieurs applications pour l’intégration dans un système d’information
  • de limiter le risque de perte des données lors de migration

Cloud vs RGPD

Ne vous sauvez pas… La solution n’est pas de revenir au mode licence, avec la hausse du coût que cela représenterait. Vous vous voyez ne plus partager votre agenda avec vos collègues ou ne plus utiliser la géolocalisation bien pratique de votre application CRM quand vous êtes en déplacement? Bien sûr que non. Le Cloud est indéniablement pratique. Sauf que côté sécurité des données, tout le monde n’est pas logé à la même enseigne… et cela génère des risques, autant côté éditeur que client. Il est donc nécessaire de s’assurer que ces “nouveaux” risques sont bien maîtrisés avant de choisir une solution Cloud. Le tout étant normalement formalisé lors de contrats pour les prestations liées à ce type de services.

Le RGPD, côté client

L’article 23 du RGPD appelle les contrôleurs de données à conserver et à traiter uniquement les données absolument nécessaires à l’accomplissement de leurs fonctions, ainsi qu’à limiter l’accès aux données personnelles à ceux qui interviennent dans leur traitement.

Le RGPD comprend des suggestions spécifiques sur les types d’actions de sécurité susceptibles d’être considérés comme « pertinents par rapport au risque », comme :

  • Le cryptage des données personnelles
  • La capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services qui traitent les données personnelles
  • La possibilité de restaurer les données et d’assurer l’accès aux données en temps opportun en cas d’incident physique ou technique

Le RGPD, côté fournisseur (ou éditeur)

Le concept de « la protection de la vie privée par conception » ou “privacy by design” existe depuis des années, mais avec le RGPD celui-ci fait désormais partie des obligations légales. À la base, la « confidentialité par conception » demandait à inclure la notion de protection des données dès la conception d’un système, plutôt qu’à être rajouté. Plus précisément – « Le contrôleur doit … mettre en œuvre des mesures techniques et organisationnelles appropriées … de manière efficace … afin d’être en conformité avec la règlementation et de protéger les droits des personnes concernées ». En clair, l’éditeur doit vous donner la possibilité, dès la conception de l’application, de vous conformer aux règles de protection des données personnelles que vous traitez. La “Privacy by Design” est un mécanisme de protection qui a pour but de prendre en compte des questions de protection des données personnelles dès la conception des produits. Cependant, il est important d’y appliquer un contrôle. Ce contrôle se matérialise par l’intervention d’un « délégué à la protection des données », qui sera en charge de veiller à la bonne application de la protection des données personnelles.

 

Alors, le Cloud est-il compatible avec la conservation de données privées ?

Techniquement, une donnée dite “privée” hébergée sur un Cloud public est accessible par n’importe qui, en premier lieu par le fournisseur du service de stockage. Quand bien même cela irait à l’encontre de toute règle définie dans le cadre du RGPD… La solution pourrait venir du client, qui déciderait de chiffrer toutes les données qu’il choisirait de stocker ou de revenir au mode licence avec un niveau de sécurité accru de tout son système d’information… Rendant par là tout échange ou collaboration quasi impossible.

Avant d’en arriver à cet extrême, quelques recommandations peuvent vous permettre de garantir et sécuriser l’accès et le stockage de vos données sur le Cloud.

Les 2 règles de bases avant de choisir son application SAAS :

  • Savoir OÙ sont localisées les données : où se situent géographiquement les serveurs de stockage et d’hébergement de vos données
  • Obtenir un niveau de transparence suffisant de la part du fournisseur notamment sur les conditions de réalisation des prestations, sécurité, éventuel transfert à l’étranger des données, etc.

Les recommandations de la Commission européenne

Recommandation n°1 : Identifier clairement les données et les traitements qui passeront dans le Cloud

De l’intérêt d’établir un registre de ses données, pour en identifier le responsable du traitement, le type de données, la source, la finalité de traitement, les échanges et transferts, leur lieu d’hébergement… Sachant que certains types de données sont soumises à une réglementation spécifique, comme les données de santé qui ne peuvent être stockées que par un hébergeur agréé par le Ministère de la santé.

Recommandation n°2 : Définir ses propres exigences de sécurité technique et juridique

A l’inverse d’une réponse d’un éditeur à un cahier des charges spécifique pour un système, le principe du Cloud est de “s’abonner en ligne”. Il convient donc de s’assurer que le fournisseur répond bien à votre niveau d’exigence de sécurité, notamment pour ce qui concerne :

  • Les contraintes légales (localisation des données, garantie de sécurité et de confidentialité, réglementations spécifiques à certains types de données, etc.)
  • Les contraintes pratiques (disponibilité, réversibilité/portabilité , etc.)
  • Les contraintes techniques (interopérabilité avec le système existant, etc.)

Recommandation n°3 : Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise

Ceci afin de définir les mesures de sécurité appropriées à exiger de la part de son fournisseur. Une liste complète de 35 risques a été établie par l’ENISA (Agence Européenne chargée de la sécurité des réseaux et de l’information). Les principaux risques pour l’entreprise étant :

  • La perte de gouvernance sur le traitement des données
  • La dépendance technologique vis à vis d’un fournisseur (impossibilité de changer de solution sans perte de données par exemple)
  • Une faille d’accès au système d’information avec un risque de modification des données suite à une défaillance du fournisseur
  • Une destruction ineffective ou non sécurisée des données, ou durée de conservation trop longue
  • Un problème de gestion des droits d’accès par une insuffisance de moyens fournis par le prestataire
  • Une indisponibilité du service du prestataire ou des moyens d’accès au service
  • Fermeture du service du prestataire ou rachat du prestataire par un tiers
  • Non conformité réglementaire, notamment pour des transferts de données hors UE

La Commission européenne recommande que le client évalue la pertinence de ces risques pour sa propre situation et étudie les mesures mises en place par lui-même et par le prestataire pour réduire ces risques.

Lire notre article : [RGPD] Sécurité de la donnée : check liste d’évaluation

Recommandation n°4 : Identifier le type de Cloud pertinent pour le traitement envisagé

“Chaque offre de service de Cloud étant spécifique, il convient de les comparer en identifiant les forces et les faiblesses de chacune au regard du traitement considéré. Une telle analyse permettra de sélectionner l’offre de Cloud computing la mieux adaptée. Il est à noter qu’il peut tout à fait être envisagé de choisir des solutions de Cloud computing différentes en fonction des traitements.”

Source : CNIL

Recommandation n°5 : Choisir un prestataire présentant des garanties suffisantes

“En tant que responsables du traitement, les clients de services de Cloud computing doivent s’assurer qu’ils sont en mesure de remplir leurs obligations. Pour ce faire, ils doivent choisir des prestataires garantissant la mise en place de mesures de sécurité et de confidentialité appropriées, et qui soient transparents vis-à-vis de leurs clients sur les moyens employés pour exécuter leurs prestations (transfert de données à l’étranger, recours à des sous-traitants, politique et mesures de sécurité, etc.).”

Source : CNIL

 

D’une manière générale, la CNIL a constaté que les utilisateurs souffrent surtout d’un manque de transparence de la part des fournisseurs de service. Le RGPD n’a pas pour vocation à inciter les entreprises à un retour en arrière quant à leur transformation digitale. Il vise à offrir plus de transparence et de sécurité aux utilisateurs quant à l’accès et au traitement qui est fait de leurs données. Et n’oubliez pas que, pour répondre aux exigences de qualité et de service client, l’éditeur d’un logiciel peut vous apporter assistance en entrant dans votre système. Bien choisir une application SAAS, c’est d’abord vérifier que le prestataire est en mesure de garantir et de sécuriser vos données par une charte informatique et un contrat de confidentialité adéquat.

PS : Pour info, chez Koban, le stockage et l’hébergement des données se localisent dans l’Union européenne 😉

Source : CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Guillaume

Guillaume

Responsable technique

RGPD 2018

fa legislation

Toutes les ressources RGPD

  • Niveau d’expertise
  • Temps de lecture

Parcourir par catégorie

capture note 2017

[RGPD] Sécurité de la donnée : check liste d’évaluation

[RGPD] Sécurité de la donnée : check liste d’évaluation

Le nouveau règlement européen sur la protection des données personnelles est paru au journal officiel de l’Union européenne et entrera en application le 25 mai 2018. L’adoption de ce texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique.

Et vous voilà donc désigné volontaire en tant que Correspondant Informatique et Libertés ou Data Protection Officer de votre organisation ! On aime autant vous prévenir, ça ne va pas être simple… La partie visible de l’iceberg et de loin la plus rapide concerne la mise en conformité du site internet de l’entreprise afin d’être en accord avec le règlement au niveau du Marketing digital.

Vous trouverez la check liste ICI.

La partie bien immergée de l’iceberg implique plusieurs étapes bien plus importantes, car la désignation d’un délégué à la protection de la donnée (DPD) n’est pas anodin. Et ce n’est que la première étape d’une longue errance au cours d’un processus pour être totalement conforme !

Vous trouverez les 6 étapes du processus pour être conforme ICI.

Le rôle du DPD est notamment d’être responsable des données, garant de leur protection et du processus de respect de la vie privée durant tout le cycle de vie de la donnée. Vous devez donc à ce titre garantir et sécuriser le traitement et l’accès à la donnée. Pas facile n’est-ce pas ? Voici pour vous aider, une check liste d’évaluation de la sécurité de la donnée, afin d’évaluer par vous-même au sein de votre organisation les risques potentiels, et mettre en place des procédures adaptées.

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Koban pour permettre de vous adresser des contenus adaptés à vos centres d'intérêt. Elles sont conservées pendant 3 ans et sont destinées au service marketing. Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant : clothilde[at]koban-crm.com.
Clothilde

Clothilde

Responsable marketing

Acquisition, engagement, conversion et fidélisation n'ont plus de secrets pour moi #Smarketing #Inbound #CRM

RGPD 2018

fa legislation

Toutes les ressources RGPD

  • Niveau d’expertise
  • Temps de lecture

Parcourir par catégorie

capture note 2017

[RGPD] et Marketing : il est temps de vous mettre à l’Inbound !

[RGPD] et Marketing : il est temps de vous mettre à l’Inbound !

Beaucoup d’entre vous vont lire le titre de cet article en pensant “mais ils nous soulent avec leur RGPD…!” Vous allez passer votre chemin et faire l’autruche en restant convaincu que de toutes façons, vous n’êtes pas concerné et surtout, avant qu’on vous contrôle, vous aurez bien le temps de revenir étudier la question.

Le nouveau règlement européen sur la protection des données personnelles est paru au journal officiel de l’Union européenne et entrera en application le 25 mai 2018. L’adoption de ce texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique.

La réforme de la protection des données poursuit trois objectifs :

  1. Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  2. Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  3. Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Chez Koban, nous avons choisi de prendre la question à bras le corps et ce, pour diverses raisons :

  • La RGPD concerne et oblige toute entreprise qui exploite de la donnée personnelle
  • En tant qu’éditeur, d’un CRM notamment, nous avons l’obligation de fournir et garantir le moyen à nos clients de se mettre en conformité
  • Nous avons un devoir de conseil auprès de notre clientèle
  • Nous sommes concernés en première ligne par ce règlement
  • Nous pratiquons, comme nos clients, de l’acquisition, de la prospection et de la fidélisation
  • En cas de violation du règlement, on ne tient pas à payer une amende pouvant aller jusqu’à 4% du CA
  • Et surtout, c’est une formidable opportunité de vous encourager à vous mettre ENFIN à l’Inbound et de pratiquer un marketing plus responsable (raisonnable ?)

 

Alors, comment prospecter avec le nouveau règlement de protection de la donnée ?

Cookies et profilage

La base du marketing digital, direz vous ! Oui. Avec une plateforme ou non, via Google Analytics par exemple, vous pouvez tracer vos visiteurs web en installant un script de tracking sur votre site. Pratique en effet de savoir d’où viennent vos visiteurs, quelles pages sont visitées, combien de temps, quand sont-ils partis… etc. Jusque là, en principe tout va bien puisque vous ne prenez pas leurs coordonnées et donc vous ne traitez pas de données personnelles, vous ne faites que suivre vos statistiques au pire, au mieux vous en déduisez un profil grâce aux tags et autres identifications de sources d’intérêt… Erreur ! Car le profilage quel qu’il soit, par le dépôt d’un cookie ou d’un traceur doit être clairement notifié aux visiteurs web et limité à 13 mois dans sa durée de vie. De plus, techniquement le RGPD impose de laisser le choix au visiteur d’accepter ou non le dépôt d’un cookie sur son terminal. Certes, techniquement vous ne pouvez pas empêcher le dépôt du cookie si le visiteur refuse…

Détail Tout profilage doit être clairement notifié auprès des personnes ciblées et une possibilité de désabonnement aux centres d’intérêts doit accompagner chaque traitement.
Ce que dit la RGPD Avant de déposer ou lire un cookie, les éditeurs de sites ou d’applications doivent : Informer les internautes de la finalité des cookies. Obtenir leur consentement (la durée de validité de ce consentement est de 13 mois maximum). Fournir aux internautes un moyen de les refuser. Certains cookies sont cependant dispensés du recueil de ce consentement (ceux strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur).
Notre recommandation Dans la mesure où le consentement ne doit pas être ambigu, le bandeau d’information obligatoire concernant les traceurs et cookies de votre site web ne doit pas disparaître tant que la personne n’a pas poursuivi sa navigation, c’est-à-dire tant qu’elle ne s’est pas rendue sur une autre page du site ou n’a pas cliqué sur un élément du site (image, lien, bouton  “rechercher” ).
Mise en conformité du marketing digital Tant que la personne n’a pas donné son consentement, ces traceurs ne peuvent être déposés ou lus sur un terminal. L’internaute doit être informé par l’apparition d’un bandeau : des finalités précises des cookies utilisés ; de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien “en savoir plus et paramétrer les cookies” présent dans le bandeau ; du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal. Faire évoluer des bandeaux de cookies afin qu’ils soient plus explicites et que leur durée de vie soit de 13 mois maximum. Passé ce délai, le consentement de l’internaute devra être à nouveau recueilli.
Source CNIL https://www.cnil.fr/fr/site-web-cookies-et-autres-traceurs

Pendant qu’on parle de cookies et autres traceurs… celui qui permet la localisation d’un visiteur web, vous savez, le cookie qui va identifier le pays du visiteur et notamment permettre d’adapter la langue du site ? Ce Lundi, l’Union Européenne a décidé de mettre fin à la pratique du “géoblocking”. Elle consistait, pour des sites e-commerces, à empêcher des ressortissants d’autres pays de l’Union à acheter leurs produits ou services. Désormais, les sites e-commerces ne pourront plus pratiquer de discriminations basées sur le pays de résidence d’un consommateur sur les ventes en ligne. La Commission espère ainsi stimuler le e-commerce pour le bénéfice des consommateurs comme des entreprises. (Source : express.live)

 

L’emailing BtoB ou BtoC

Un classique également de marketing ! Canal de prédilection pour la prospection comme pour la fidélisation, l’un des plus efficaces encore aujourd’hui d’ailleurs. Qui n’envoie pas au moins une newsletter à ses clients ou un emailing de promotion pour booster ses ventes e-commerce ? Levez la main…

Aujourd’hui encore, pratiquement tout le monde pratique l’emailing de masse en mode :

  • j’importe le fichier de tous mes contacts LinkedIn
  • j’exploite la même base de contacts depuis… je ne sais même plus quel âge a ma base
  • je récupère l’adresse mail de contact sur les sites qui m’intéressent

… etc.

Bref, l’emailing de masse sur des emails qui sont de toutes façons publics et disponibles sur Internet, c’est fini. Pourquoi ??? Ben oui, du moment que c’est disponible et accessible sur Internet ! Et puis d’ailleurs, ces contacts m’ont laissé leur carte de visite au dernier salon !

Le RGPD est clair : le consentement explicite préalable du destinataire est obligatoire. La récolte et l’exploitation des données personnelles devront se faire de manière transparente et explicite. C’est donc la fin de la récolte “sauvage” d’emails et de l’opt-in passif considéré jusqu’alors pour beaucoup comme implicite. Votre contact doit vous avoir donné clairement son accord pour utiliser son email à des fins de prospection. Le RGPD précise également que les données personnelles doivent être conservées dans un délai raisonnable (maximum 3 ans) et utilisées uniquement pour leur finalité de traitement.

Vous allez me dire, c’est bien beau mais… que faire de tous les contacts présents dans votre base AVANT le 25 Mai dans la mesure ou le RGPD stipule qu’il n’est possible d’exploiter que les contacts qui ont donné leur consentement d’une part, mais dont vous pourrez prouver l’accord également. Je vous conseille fortement d’entamer dès à présent une campagne de “ré-optin” auprès de votre base, en ajoutant également la provenance et une date de création au contact, sans quoi vos données devront être supprimées si vous ne pouvez justifier ni de l’accord ni de l’ancienneté du contact.

Détail Toutes les données à caractère personnel doivent être obtenues avec l’accord préalable de l’individu, en BtoC comme en BtoB
Ce que dit la RGPD Le RGPD précise que les professionnels du marketing pourront contacter les résidents européens seulement si ces derniers ont donné en amont un consentement explicite. Ce consentement doit être express. Cela signifie qu’il doit provenir d’un acte positif. La personne doit véritablement avoir été confrontée à la nécessité de donner son accord au traitement. Ainsi, il est précisé dans le Règlement, qu’ “il ne saurait dès lors y avoir de consentement en cas de silence, de case cochée par défaut ou d’inactivité.” Tout en sachant que la preuve du consentement reste à la charge du responsable des traitements.
Notre recommandation Le règlement reste encore flou concernant le BtoB. Dans tous les cas, Koban vous recommande d’intégrer par défaut la notion d’opt-in à minima lors de la collecte de données via vos formulaires web.
Mise en conformité du Marketing digital Mettre à jour les formulaires avec l’ajout de cases à cocher, et des mentions claires afin que les internautes donnent leur accord ou non pour chaque utilisation de données (email, profilage, revente de données à un tiers…) Demander le consentement clair pour chacune des données collectées pouvant impliquer un traitement. La finalité du traitement devra être clairement identifiée au moment où la collecte des données est effectuée (par un message d’information clair et dans l’information légale du site web par exemple). Conserver une trace pour prouver ce consentement (champ provenance et date de création du contact)
Source CNIL https://www.cnil.fr/cnil-direct/question/371?visiteur=pro

Alors, le RGPD va-t-il donc tuer l’emailing ? Certes pas. Il va vous obliger à plus de respect de l’email qui vous sera confié dans les formulaires avec opt-in obligatoire sur votre site web. Il vous faut donc penser l’emailing autrement.

Plusieurs options s’offrent à vous :

  • N’adresser des emails qu’à vos clients (évidemment vous serez un peu limité pour ce qui concerne l’acquisition de nouveaux clients…) ;
  • N’adresser des emails qu’aux contacts qui auront rempli un formulaire avec opt-in sur votre site web (si déjà vous avez un formulaire… et vous serez mécaniquement limité au taux de conversion de votre site web… on vous souhaite d’avoir un bon taux de conversion !) ;
  • Faire des campagnes emailing sur des bases de fichiers achetés auprès de brokers (spécialisés et donc ils doivent évidemment en garantir l’opt-in… je suppose que ce type de données deviendra plus cher dans la mesure où le RGPD s’applique à ces sous-traitants également…) ;
  • Attirer plus de visiteurs sur votre site web et favoriser l’engagement sur les formulaires opt-in du site (vous allez dire qu’on tourne en rond…), puis les accompagner jusqu’à l’acte d’achat par un emailing ciblé et personnalisé… soit FAIRE (ENFIN) DE L’INBOUND ! Biensûr, on n’attire pas les mouches avec du vinaigre. Il vous faudra une bonne stratégie de contenu. On vous explique tout ICI.

Simplement pour conclure sur l’emailing, n’oubliez jamais d’inclure un lien de désinscription dans vos emails et de laisser la possibilité à chaque contact de s’opposer ou de se désinscrire d’une liste de diffusion, qu’elle soit par mail, sms ou téléphone.

 

L’Inbound marketing n’est plus une notion nouvelle, pourtant il n’est pas encore la norme. Vous pensiez que ce n’était qu’un effet de mode, que ça allait bien finir par s’essouffler… Or, vous allez maintenant voir apparaître de nouveaux acteurs, dont vous allez entendre de plus en plus parler : les responsables de la donnée (Data contrôleur, Délégué à la Protection de la donnée…).

Mais Rome ne s’est pas faite en un jour. Et avant qu’on vous contrôle, si on vous contrôle un jour d’ailleurs… Vous avez peut-être encore un peu de temps. C’est dommage, car le contrôle viendra le plus probablement d’une plainte de l’un de vos visiteurs web ou d’un contact de votre base. Alors, saisissez cette opportunité, de pratiquer un Marketing plus responsable et plus respectueux de vos futurs clients. Après tout, le RGPD n’est qu’une réponse à l’inquiétude des individus face à un monde toujours plus digital qui semble peu se soucier de sa vie privée. Certes, nous réclamons tous toujours plus de facilité dans notre quotidien, surtout pour ce qui est de nos achats. Mais combien d’enseignes aujourd’hui ne parviennent encore pas à personnaliser leurs offres malgré une connaissance très personnelle de leurs clients ?

Avec l’Inbound marketing, vous allez enfin pouvoir construire un référencement naturel pérenne et de qualité. Et en plus, Google adore ça.

 

Clothilde

Clothilde

Responsable marketing

Acquisition, engagement, conversion et fidélisation n'ont plus de secrets pour moi #Smarketing #Inbound #CRM

RGPD 2018

fa legislation

Toutes les ressources RGPD

  • Niveau d’expertise
  • Temps de lecture

Parcourir par catégorie

capture note 2017

[RGPD] La check-liste de mise en conformité du Marketing digital

[RGPD] La check-liste de mise en conformité du Marketing digital

Le 25 Mai arrive à grand pas, et avec lui le Règlement Général sur la Protection des Données. Le RGPD, c’est aussi l’opportunité de revoir sa manière de pratiquer un marketing digital plus responsable et en accord avec un respect des finalités d’usage des données personnelles de chacun. Il ne s’agira plus de récolter et d’exploiter en boucle infinie les données stockées dans votre logiciel.

Koban vous accompagne pas à pas pour vous mettre en conformité dans les temps.

Côté Marketing digital, que vous utilisiez une plateforme de marketing ou non, dès lors que vous éditez un site web, il y aura quelques règles incontournables à respecter. Voici la marche à suivre !

Responsable de la donnée

Détail Toutes les entreprises effectuant du traitement de données à grande échelle devront se doter d’un délégué à la protection des données (DPD)
Ce que dit la RGPD La désignation d’un délégué à la protection des données est obligatoire en 2018 si : vous êtes un organisme public, vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et à des infractions.
Notre Recommandation Même si votre organisme n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne, disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen. Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.
Mise en conformité du Marketing digital
Source CNIL https://www.cnil.fr/cnil-direct/question/1257?visiteur=part

 

Droit d’accès

Détail Tout individu a le droit de savoir quelles informations les administrations, les organismes publics ou privés et les sociétés commerciales détiennent sur lui dans leurs fichiers : c’est ce qu’on appelle le droit d’accès. La loi Informatique et Libertés prévoit que ce droit d’accès s’exerce soit directement, soit indirectement.
Ce que dit la RGPD Le droit d’accès direct : Dans la plupart des cas, vous pouvez demander directement ces informations aux organismes concernés ; Le responsable du traitement informatique ou du fichier doit, sur votre demande, vous communiquer une copie des informations qui vous concernent et vous préciser d’où elles proviennent. Il peut vous demander le paiement d’une somme qui ne peut excéder le montant des frais de reproduction. Le droit d’accès indirect : Pour certains fichiers publics, vous ne pouvez pas accéder directement à ces informations ; C’est le cas des fichiers concernant la sûreté de l’Etat ou la sécurité publique, de certains fichiers du ministère de la Justice
Notre recommandation Traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen)
Mise en conformité du Marketing digital Rendre identifiable et accessible le responsable du traitement des données sur un site web. Identifier une personne de l’organisation et créer une messagerie email dédiée ainsi qu’une procédure de réponse au droit d’accès.
Source CNIL https://www.cnil.fr/cnil-direct/question/512?visiteur=pro

 

Consentement explicite obligatoire

Détail Toutes les données à caractère personnel doivent être obtenues avec l’accord préalable de l’individu, en BtoC comme en BtoB
Ce que dit la RGPD Le RGPD précise que les professionnels du marketing pourront contacter les résidents européens seulement si ces derniers ont donné en amont un consentement explicite. Ce consentement doit être express. Cela signifie qu’il doit provenir d’un acte positif. La personne doit véritablement avoir été confrontée à la nécessité de donner son accord au traitement. Ainsi, il est précisé dans le Règlement, qu’ « il ne saurait dès lors y avoir de consentement en cas de silence, de case cochée par défaut ou d’inactivité. » Tout en sachant que la preuve du consentement reste à la charge du responsable des traitements.
Notre recommandation Le règlement reste encore flou concernant le BtoB. Dans tous les cas, Koban vous recommande d’intégrer par défaut la notion d’opt-in à minima lors de la collecte de données via vos formulaires web.
Mise en conformité du Marketing digital Mettre à jour les formulaires avec l’ajout de cases à cocher, et des mentions claires afin que les internautes donnent leur accord ou non pour chaque utilisation de données (email, profilage, revente de données à un tiers…) Demander le consentement clair pour chacune des données collectées pouvant impliquer un traitement La finalité du traitement devra être clairement identifiée au moment où la collecte des données est effectuée (par un message d’information clair et dans l’information légale du site web par exemple) Conserver une trace pour prouver ce consentement (champ provenance et date de création du contact)
Source CNIL https://www.cnil.fr/cnil-direct/question/371?visiteur=pro

 

Cookies et profilage

Détail Tout profilage doit être clairement notifié auprès des personnes ciblées et une possibilité de désabonnement aux centres d’intérêts doit accompagner chaque traitement.
Ce que dit la RGPD Avant de déposer ou lire un cookie, les éditeurs de sites ou d’applications doivent : Informer les internautes de la finalité des cookies. Obtenir leur consentement (la durée de validité de ce consentement est de 13 mois maximum). Fournir aux internautes un moyen de les refuser. Certains cookies sont cependant dispensés du recueil de ce consentement (ceux strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur).
Notre recommandation Dans la mesure où le consentement ne doit pas être ambigu, le bandeau d’information obligatoire concernant les traceurs et cookies de votre site web ne doit pas disparaître tant que la personne n’a pas poursuivi sa navigation, c’est-à-dire tant qu’elle ne s’est pas rendue sur une autre page du site ou n’a pas cliqué sur un élément du site (image, lien, bouton  » rechercher « ).
Mise en conformité du marketing digital Tant que la personne n’a pas donné son consentement, ces traceurs ne peuvent être déposés ou lus sur un terminal. L’internaute doit être informé par l’apparition d’un bandeau : des finalités précises des cookies utilisés ; de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien » en savoir plus et paramétrer les cookies » présent dans le bandeau ; du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal. Faire évoluer des bandeaux de cookies afin qu’ils soient plus explicites et que leur durée de vie soit de treize mois maximum. Passé ce délai, le consentement de l’internaute devra être à nouveau recueilli.
Source CNIL https://www.cnil.fr/fr/site-web-cookies-et-autres-traceurs

 

Restitution des données et portabilité

Détail Toutes les données d’un individu doivent être facilement téléchargeables et transmissibles Tout individu pourra demander à récupérer les données qu’il aura déclarées Les données restituées devront l’être sous un format informatique exploitable
Ce que dit la RGPD Le droit à la portabilité est limité aux données personnelles fournies par la personne concernée. Il ne s’applique que si les données sont traitées de manière automatisée (les fichiers papiers ne sont donc pas concernés) et sur la base du consentement préalable de la personne concernée ou de l’exécution d’un contrat conclu avec la personne concernée. L’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés de tiers, dont les données se trouveraient dans les données transmises suite à une demande de portabilité.
Notre recommandation Le droit à la portabilité impose aux organismes de fournir les données personnelles concernées dans un format « structuré, couramment utilisé et lisible par machine » qui permettent leur réutilisation. En d’autres termes, ces données « portables » doivent pouvoir être extraites et/ou être réutilisées facilement par la personne concernée ou par tout autre organisme. Il est recommandé aux responsables du traitement d’expliquer clairement la différence entre les données pouvant être transmises dans le cadre du droit à la portabilité et celles pouvant être communiquées au titre du droit d’accès. Lorsqu’une personne exercice son droit à la portabilité, l’organisme recevant sa requête n’a pas à supprimer de son fichier les données demandées dans ce cadre. Les données peuvent être conservées dans le traitement d’origine, pour la durée qui a été définie initialement par l’organisme le mettant en œuvre.
Mise en conformité du Marketing digital Mettre en place des procédures appropriées permettant à l’individu d’effectuer une demande de portabilité et de recevoir les données le concernant. Les responsables du traitement doivent notamment proposer une procédure d’authentification permettant de vérifier l’identité de la personne concernée exerçant son droit à la portabilité ou plus généralement tout autre droit garanti par le règlement.
Source CNIL https://www.cnil.fr/fr/le-droit-la-portabilite-en-questions

 

Droit à l’oubli / Droit à l’effacement

Détail Toute personne peut réclamer un droit à l’oubli, ces données devront être intégralement effacées. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais.
Ce que dit la RGPD Pour être acceptée, une demande de suppression doit répondre à différents critères : Elle doit émaner d’un individu ayant la nationalité de l’un des États-membres de l’Union Européenne Il doit d’agir d’un particulier et non d’une entreprise ou d’un personnage public
Notre recommandation Toute personne peut exercer ses droits (d’opposition, d’accès de rectification, à la portabilité, etc.) tant que le responsable du traitement détient ses données personnelles.
Mise en conformité du Marketing digital Ce droit à l’oubli s’applique pour les traitements automatisés, la prospection, les emailing et tous autres moyens de contacts. Afin de garantir que la personne ne sera pas recontactée ultérieurement, l’entreprise devra garder les coordonnées du contact.
Source CNIL https://www.cnil.fr/fr/droit-au-dereferencement

 

Droit d’oppostion

Détail C’est le droit de s’opposer, pour des motifs légitimes, à figurer dans un fichier.
Ce que dit la RGPD Sur simple demande d’un contact, l’entreprise devra lui garantir qu’il ne sera plus sollicité. En matière de prospection commerciale, ce droit s’exerce sans avoir à justifier de motifs légitimes. Exercer son droit d’opposition, c’est aussi s’opposer à ce que les données soient communiquées à d’autres sociétés commerciales.
Notre recommandation Traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen)
Mise en conformité du Marketing digital Rendre possible et accessible le désabonnement / la désinscription et l’opposition à la prospection en fonction des canaux (SMS, email, téléphone)
Source CNIL https://www.cnil.fr/cnil-direct/question/899?visiteur=pro

 

Conservation des données

Détail Tout traitement initié doit comporter des mentions obligatoires, consultables par les internautes comme le délai de conservation ou la finalité de la collecte entre autres.
Ce que dit la RGPD Les données pourront être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Pour les contacts inactifs depuis plus de trois ans, il faudra mettre en place une suppression automatisée des données. Exemples de durées de conservation : Dans le cas d’un dispositif de vidéosurveillance, la conservation des images ne peut excéder 1 mois Les données relatives à gestion de la paie ou le contrôle des horaires des salariés peuvent être conservés 5 ans Les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées Les données figurant dans un dossier médical doivent être conservées 10 ans
Notre recommandation Toutes les données sont vivement encouragées à être sécurisées par des clés de hachages. On parle de pseudonymisation afin de garantir un haut niveau de sécurité et ainsi respecter le principe de protection dès la conception et par défaut. (pseudonymisation : anomymisation réversible) Réécrire les mentions légales du site internet comportant les nouvelles mentions obligatoires comme la nature des données collectées et leurs finalités. (Votre âge est nécessaire car les produits commercialisés ne conviennent pas aux mineurs). Doit y figurer également le délai de conservation des données
Mise en conformité du Marketing digital Pouvoir identifier les contacts inactifs d’après une date de dernière activité supérieure à 3 ans et les exclure dans un repoussoir Pouvoir programmer un scénario de réactivation des contacts avant la date d’échéance d’inactivité de 3 ans Mettre en place une suppression des données automatisée pour les contacts inactifs depuis plus de trois ans.
Source CNIL https://www.cnil.fr/fr/limiter-la-conservation-des-donnees

 

Télécharger la liste de mise en conformité au format PDF

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Koban pour permettre de vous adresser des contenus adaptés à vos centres d'intérêt. Elles sont conservées pendant 3 ans et sont destinées au service marketing. Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant : clothilde[at]koban-crm.com.
Clothilde

Clothilde

Responsable marketing

Acquisition, engagement, conversion et fidélisation n'ont plus de secrets pour moi #Smarketing #Inbound #CRM

RGPD 2018

fa legislation

Toutes les ressources RGPD

  • Niveau d’expertise
  • Temps de lecture

Parcourir par catégorie

capture note 2017

[RGPD] Termes et définitions

[RGPD] Termes et définitions

Dernière mise à jour : 15/11/2017

La Commission Nationale de l’Informatique et des Libertés

La CNIL, autorité administrative indépendante, est chargée de veiller au respect des dispositions de la loi. A ce titre, elle assure des missions d’information, de conseil, d’expertise et de veille technologique.

La CNIL dispose de pouvoirs particuliers pour faire respecter la loi : elle contrôle la mise en œuvre des chiers informatiques et peut également procéder à des vérifications sur place. La CNIL peut également dénoncer pénalement les infractions à la loi dont elle a connaissance au Procureur de la République.

Anonymisation

On distingue les concepts d’anonymisation irréversible et d’anonymisation réversible, cette dernière étant parfois dénommée pseudonymisation.

  • L’anonymisation irréversible consiste à supprimer tout caractère identifiant à un ensemble de données. Concrètement, cela signifie que toutes les informations directement et indirectement identifiantes sont supprimées et à rendre impossible toute ré-identification des personnes.
  • L’anonymisation réversible est une technique qui consiste à remplacer un identifiant (ou plus généralement des données à caractère personnel) par un pseudonyme. Cette technique permet la levée de l’anonymat ou l’étude de corrélations en cas de besoin.

Archivage

On distingue habituellement trois catégories d’archives :

  • Les bases actives ou archives courantes : il s’agit des données d’utilisation courante par les services en charge de la mise en œuvre du traitement ;
  • Les archives intermédiaires : il s’agit des données qui ne sont plus utilisées mais qui présentent encore un intérêt administratif pour l’organisme. Les données sont conservées sur support distinct et sont consultées de manière ponctuelle et motivée ;
  • Les archives définitives : il s’agit des données présentant un intérêt historique, scienti que ou statistique justi ant qu’elles ne fassent l’objet d’aucune destruction. Elles sont alors régies par le livre II du Code du patrimoine et non par la loi «informatique et libertés».

Les archives doivent être sécurisées et chiffrées si les données archivées sont des données sensibles ou jugées con dentielles par l’entreprise.

Authentification

«L’authentification a pour but de vérifier l’identité dont une entité se réclame. Généralement l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer son identité, s’authentifier c’est apporter la preuve de son identité.» (ANSSI Agence Nationale de la Sécurité des Systèmes d’Information).

Chiffrement

Le chiffrement, parfois improprement appelé cryptage, est un procédé cryptographique permettant de garantir la confidentialité d’une information. Les mécanismes cryptographiques permettent également d’assurer l’intégrité d’une information, ainsi que l’authenticité d’un message en le signant.

On distingue deux familles cryptographiques permettant de chiffrer, la cryptographie symétrique et la cryptographie asymétrique :

  • la cryptographie symétrique comprend les mécanismes pour lesquels la même clé sert à chiffrer et à déchiffrer
  • la cryptographie asymétrique comprend les mécanismes pour lesquels la clé servant à chiffrer, appelée clé publique, est différente de la clé servant à déchiffrer, appelée clé privée. On parle de paire de clés.

Destinataire des données

«Toute personne habilitée à recevoir communication des données autre que celle de la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données» (Art. 3 loi I&L).

Donnée à caractère personnel

«Toute information relative à une personne physique identifée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne» (Art. 2 loi I&L).

Données sensibles

Les «données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci» (Art. 8 loi I&L).

Journalisation

L’enregistrement des actions de chaque utilisateur sur le système pendant une durée définie.

Responsable de traitement

«La personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens dudit traitement, sauf désignation expresse par des dispositions législatives ou réglementaires relatives à ce traitement» (Art. 3 loi I&L).

Tiers

La personne physique ou morale, l’autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données (directive 95/46/CE).

Traitement des données à caractère personnel

«Toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction» (Art. 2 loi I&L).

Source : CNIL, la sécurité des données personnelles

Clothilde

Clothilde

Responsable marketing

Acquisition, engagement, conversion et fidélisation n'ont plus de secrets pour moi #Smarketing #Inbound #CRM

RGPD 2018

fa legislation

Toutes les ressources RGPD

  • Niveau d’expertise
  • Temps de lecture

Parcourir par catégorie

capture note 2017

Marketing digital et ciblage : que dit la réglementation ?

Marketing digital et ciblage : que dit la réglementation ?

Ciblage : définition

Le ciblage est le socle de toute action marketing. Sans ciblage, point de salut. Le ciblage est l’action de choix d’une cible pour une campagne marketing digital, publicitaire ou marketing direct. Le ciblage permet de segmenter une partie d’une population d’après des critères contextuels, comportementaux, géographiques, d’activité web… Un bon ciblage va permettre de déterminer les individus susceptibles d’être réactif à un message d’après les critères définis au préalable à l’action marketing. Plus un ciblage sera pertinent et fin, et plus l’action marketing ou publicitaire sera efficace et rentable.

Il existe plusieurs critères de ciblage permettant de réaliser des requêtes dans sa base de données afin d’en extraire la cible la plus adéquate et de lui adresser des messages personnalisés en vue d’accroître l’efficacité des campagnes. Une cible peut être composée de clients ou de prospects. Définir une cible marketing précise va permettre :

  • de personnaliser le message à adresser
  • d’accroître l’efficacité d’une campagne
  • de limiter le message aux contacts utiles de la campagne
  • de gérer la pression marketing des contacts en limitant les messages aux seules cibles

Source : https://www.definitions-marketing.com/

Techniques de ciblage

La connaissance client est devenu un indispensable du marketing digital, comme base des actions marketing et promotionnelles. Connaître ses clients et prospects est la garantie d’un marketing efficace et rentable qui permet d’atteindre son coeur de cible et de personnaliser au maximum ses actions. A l’ère du tout digital, le marketing dispose aujourd’hui d’une multitudes de techniques de ciblage. Entre ciblage online, géolocalisation, comportemental email, réseaux sociaux et CRM… les nouvelles technologies facilitent le ciblage marketing par la récolte et l’analyse de toujours plus de données personnelles.

Le profil d’une cible ne se limite plus à de simples coordonnées (nom, prénom, adresse) mais s’étend plus largement à son comportement et habitudes d’achat. Permettant ainsi un véritable “profiling” du consommateur d’après toutes les données liées à des centres d’intérêt privés et / ou professionnels. Un accès qui s’est vu encadrer et réglementer au fil des ans et des pratiques par la CNIL et l’Europe afin d’en limiter les abus et d’accorder un droit strict d’exploitation des données.

Petit tour d’horizon des techniques de ciblage les plus répandues et la réglementation qui les encadre

Ciblage adresse IP

Le ciblage par adresse IP permet un ciblage géographique pour localiser l’internaute lors d’une navigation et permettre ainsi d’adapter la langue d’un site web, ou le ciblage publicitaire display.

L’adresse IP est une donnée à caractère personnel pour l’ensemble des CNIL européennes. L’article 2 de la loi du 6 janvier 1978 modifiée en 2004 qui la définit, vise toute information relative à une personne physique qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à des éléments qui lui sont propres. Ce qui est le cas d’un numéro de plaque d’immatriculation de véhicule, d’un numéro de téléphone ou d’une adresse IP.

Source : CNIL

Cookies

Le cookie est un fichier texte déposé sur le disque dur d’un internaute par le serveur du site visité ou par un serveur tiers (service web analytique comme Google ou Koban par exemple). Le cookie permet alors de reconnaître un visiteur s’il revient sur un même site. Techniquement, le cookie n’identifie pas une personne mais un ordinateur. C’est le cookie qui va permettre de s’identifier automatiquement sur des pages déjà visitées grâce aux données comportementales stockées par l’internaute lors de son premier enregistrement.

Les cookies peuvent avoir différentes fonctions et permettre d’une visite à l’autre, de stocker le contenu d’un panier d’achat, d’enregistrer la langue d’un site ou encore de faire de la publicité ciblée.

Le cookie ne permet une identification nominative que dans la limite des informations données par l’internaute. Il joue un rôle déterminant dans l’analyse et les actions marketing par ciblage comportemental. Leur usage fait l’objet de recommandations et d’obligations émises par la CNIL.

Sauf exceptions, les traceurs (cookies ou autres) ne peuvent être déposés ou lus sur le terminal d’un internaute, tant que celui-ci n’a pas donné son consentement.

En application de la directive européenne dite “paquet télécom », les internautes doivent être informés et donner leur consentement préalablement à l’insertion de traceurs. Ils doivent disposer d’une possibilité de choisir de ne pas être tracés lorsqu’ils visitent un site ou utilisent une application. Les éditeurs ont donc l’obligation de solliciter au préalable le consentement des utilisateurs. Ce consentement est valable 13 mois maximum. Certains traceurs sont cependant dispensés du recueil de ce consentement.

Source : CNIL

Ciblage comportemental

Cette technique de ciblage internet permet de cibler les internautes d’après leur comportement sur un site web ou face à une publicité. Le ciblage comportemental est largement utilisé dans le cadre de sites e-commerce ou dans l’email marketing. Il est ainsi possible d’identifier les abandons de panier et de mener des actions marketing ciblées. Dans le cadre d’une stratégie de contenus plus élaborée, il est également possible de personnaliser l’affichage du contenu d’une page ou d’une newsletter en fonction de ces critères de ciblage comportemental.

Une adresse de courrier électronique ne peut être utilisée à des fins de prospection que si la personne auprès de laquelle elle a été collectée a été mise en mesure, au moment de la collecte, de consentir ou dans certains cas spécifiques, de s’opposer à une telle utilisation.

Chaque message électronique doit obligatoirement préciser l’identité de l’annonceur,

proposer un moyen simple de s’opposer à la réception de nouvelles sollicitations (par exemple lien pour se désinscrire à la fin du message).

La CNIL recommande que le consentement préalable ou le droit d’opposition soit recueilli par le biais d’une case à cocher. L’utilisation d’une case pré-cochée est à proscrire car contraire à la loi.  

Source : CNIL

Ciblage géographique

Dans un contexte marketing, le principe de ciblage géographique consiste à toucher un groupe de consommateurs en fonction de sa localisation géographique. Largement utilisé pour générer du trafic en point de vente physique, les actions marketing en ciblage géographique sont donc concentrées sur une audience réduite à un périmètre autour d’un point de vente. Avant Internet, ces actions étaient menées en marketing direct ou publicité locale (presse, affichage). Le développement du digital a élargi la technique de ciblage géographique aux données de géolocalisation stockées en fonction des situations et appareils utilisés par les internautes (GPS, applications mobiles, adresse IP, wifi…) chez eux ou à proximité d’un point de vente.

Les marques disposent aujourd’hui, via le mobile, d’un moyen de savoir où vous êtes et ce que vous faites grâce à la géolocalisation. Cette information, combinée à d’autres, peut notamment permettre d’en déduire des habitudes ou un comportement d’achat. L’intérêt marketing est de pouvoir proposer de la publicité ciblée et géolocalisée, décuplant ainsi l’efficacité. Cette pratique est en théorie licite sous réserve que l’utilisateur soit au préalable prévenu, et qu’il puisse désactiver une telle option.

En France, la CNIL a émis des recommandations sur la base du cadre légal existant (Loi informatique et libertés), notamment pour les éditeurs d’applications mobiles.

Les applications pour Smartphones se comptent par centaines de milliers, quelque soit le système d’exploitation utilisé (Android, BlackBerry 6 OS, iOs ou Windows Phone 7). Après avoir été téléchargées et installées, ces applications permettent d’accéder à des services extrêmement variés : jeux, consultation d’horaires de train, itinéraires, infos trafic, etc.

Éditeurs d’application mobile, si vous collectez et traitez des données personnelles, la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004 s’applique. Par exemple, si vous collectez le nom, prénom, pseudonyme, numéro de téléphone ou numéro identifiant du téléphone, vous devez respecter cette loi.

Source : CNIL

En savoir plus : Google modifie la méthode de géolocalisation de ses résultats de recherche

Reciblage site web / retargeting

La technique de reciblage site web permet à un annonceur d’identifier et de retrouver les visiteurs web n’ayant pas acheté à la suite d’une visite. Un système de marquage est déposé par le site de l’annonceur ou une régie publicitaire sur l’ordinateur de l’internaute (cookie, tag tracking) et permet ainsi de mener des actions marketing personnalisées en fonction des services ou produits consultés. Le retargeting est très souvent utilisé par le e-commerce, permettant ainsi d’adresser des messages ciblés et personnalisés d’après les données stockées lors des visites web.

Les dispositifs et stratégies de retargeting peuvent être plus ou moins complexes et intégrer des scénarios marketing en fonction des critères de ciblage comportemental. Une forme courante et simple de retargeting peut être pratiquée grâce au CRM par les données stockées initialement ou à la suite d’une navigation web, combinant ainsi des données on et off-line.

 

Le 27 juillet 2016, la CNIL annonçait étendre ses contrôles relatifs aux cookies (ou autre traceurs) au-delà des éditeurs de sites, notamment auprès des émetteurs tiers. Il s’agissait d’identifier les responsabilités de chacun des acteurs intervenant dans la chaîne de valeur, complexe, de la publicité en ligne.

2 cas de figure :

CAS N°1 : L’éditeur du site dépose lui-même des cookies, ou permet le dépôt de cookies tiers, afin de traiter des données uniquement pour son compte

CAS N°2 : Les données collectées par les cookies tiers sont exploitées, non pas par l’éditeur du site sur lequel ils sont déposés, mais par leur émetteur

La CNIL estime que, dans tous les cas, les éditeurs de sites dont la visite déclenche le dépôt des cookies sont les seuls en mesure de fournir une information directe sur les cookies déposés sur les terminaux des internautes. En pratique, qu’ils soient responsable de traitement (cas numéro 1) ou sous-traitant (cas numéro 2) il leur appartient donc de mettre à leur disposition une information sur les groupes de cookies déposés et les moyens dont ils disposent pour s’y opposer. Toutefois, dans le cas numéro 2 et dans la mesure où l’éditeur doit adresser aux internautes l’information relative au traitement réalisé par un tiers, seul ce dernier peut voir sa responsabilité engagée si cette information est incomplète ou erronée.

Source : CNIL

D’une manière générale, le ciblage marketing prend en compte des données personnelles dont la gestion est encadrée par la réglementation.

Selon la loi, une donnée personnelle signifie :
Toute information concernant une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un numéro d’identification (par exemple : le numéro de sécurité sociale) ou un ou plusieurs facteurs spécifiques à son identité physique, physiologique, psychique, économique, culturelle ou sociale (par exemple : nom et prénom, date de naissance, la biométrie les données, les empreintes digitales, ADN …).
Donnée personnelle: définition, CNIL

Le Règlement Général sur la Protection des Données, établi par l’Union Européenne, entrera en vigueur en 2018. La mise en conformité devra se faire au plus tard le 25 mai 2018. Cette réglementation, et notamment les derniers ajouts, auront un impact indéniable quant au management de la donnée et plus globalement au fonctionnement général du système d’information d’une entreprise. Cette directive couvre les données détenues non seulement par les personnes morales ou physiques européennes, mais également par les entreprises ou organismes non européens qui traitent les données de citoyens européens.

Lire notre article : Quel processus mettre en place pour être conforme au RGPD en 2018 ?

Clothilde

Clothilde

Responsable marketing

Acquisition, engagement, conversion et fidélisation n'ont plus de secrets pour moi #Smarketing #Inbound #CRM

RGPD 2018

fa legislation

Toutes les ressources RGPD

  • Niveau d’expertise
  • Temps de lecture

Parcourir par catégorie

capture note 2017