Le RGPD (ou GDPR en anglais) est le nouveau Règlement Général de Protection des Données (General Data Protection Regulation), visant à consolider les droits et les données individuels de chacun dans le contexte des récentes évolutions technologiques, notamment le Big Data, la fuite des données, l’Intelligence Artificielle, les objets connectés… Cette directive européenne devra être effective pour tous les détenteurs et exploitants de données personnelles dès le 25 mai 2018.

Les grands principes du RGPD

Le consentement

Il sera obligatoire de recueillir une autorisation explicite et transparente avant toute interaction avec vos utilisateurs. Ce consentement doit être obtenu pour chaque canal utilisé pour entrer en contact avec vos clients (e-mail, SMS, widget site, courrier, etc.). En fonction du traitement et l’utilisation finale des données récoltées, l’abonné doit avoir le choix entre partager aucune, une partie ou la totalité de ses données.

Exemples : Un consentement est nécessaire pour l’envoi d’une newsletter commerciale, un second pour l’envoi d’informations relatives au programme de fidélité, un troisième pour une campagne SMS…

La portabilité

Votre abonné doit avoir un accès permanent à ses données via une interface dédiée. Il pourra alors exporter l’intégralité de ses informations, dans un format structuré, couramment utilisé et lisible par n’importe quel appareil qui permette leur réutilisation. La CNIL ne précise pas de standard de fait pour leur fourniture. Les organismes doivent donc fournir les données personnelles dans un format ouvert (XML, JSON, CSV, etc.), complété par toute métadonnée utile à leur interprétation, et documenté. Le consommateur peut ainsi stocker, transmettre ou réutiliser ses données personnelles comme bon lui semble.

Exemple : Un utilisateur de Twitter pourra avoir la possibilité d’exporter tous ses tweets.

L’effacement

Le consommateur a le droit d’exiger à tout moment l’effacement de la totalité ou une partie de ses données personnelles. Le détenteur de données peut conserver ces dernières pour une durée maximale de 3 ans. En revanche, pourront être archivées les données utilisables à des fins statistiques (taux de clic, taux de rebond, historique de navigation, etc.). On parlera alors d’utilisateur anonyme.

Exemple : Votre client pourra supprimer ses coordonnées postales de son compte client, tout en conservant son adresse email.

La protection

Le principe de protection dès la conception (Privacy by design) doit désormais être au centre de votre stratégie marketing. Lors de la création d’une quelconque interaction avec vos utilisateurs, vous devez penser à respecter leurs droits et libertés, ainsi que leurs données (Art.25 du RGPD). Afin de limiter les risques de corruption ou de fuite, vous devrez au maximum restreindre les accès aux données de vos clients au sein de votre entreprise. À noter que les prestataires et sous-traitants (incluant aussi les services de Cloud) peuvent désormais être tenus responsables.

Exemple : Les données de vos clients ne pourront plus être exploitées par le développeur de votre site internet sans autorisation préalable.

La fuite

Il est désormais impératif d’être totalement transparent avec vos utilisateurs. Si vous êtes victime de piratage, vous avez un délai de 72 heures pour tenir informée l’autorité de contrôle compétent, en l’occurence la CNIL pour la France. Vous devrez également notifier l’incident aux personnes concernées dans les 30 jours suivant (Art. 33 du RGPD). Dans cette notification, vous devrez préciser en termes simples la nature de la violation des données, ainsi que les mesures prises pour résoudre la situation.

Exemple : Votre système vient d’être piraté. Tous vos utilisateurs devront recevoir un courrier les informant que leur adresse mail ou leur mot de passe ne sont plus en sécurité.

Le champs d’application du RGPD

Quelles données sont concernées par le RGPD ?

Sont concernés tous les types de données qui vont permettre d’identifier, directement ou indirectement, le consommateur et citoyen européen. On distingue ainsi :

Les données personnelles directes

Ces données sont déclarées activement et consciemment par l’abonné lors d’une saisie d’un formulaire par exemple (nom, prénom, email, adresse postale, etc.).

Les données personnelles indirectes

Elles sont créées par l’activation d’un compte ou d’un service par le client. Il s’agit de données générées automatiquement, sans aucune saisie de sa part (historique d’achats, de recherches, préférences de livraison).

Qui est concerné par le RGPD ?

De ce fait, les entreprises et personnes qui pratiquent l’emailing sont essentiellement visées, puisque les adresses email et toutes autres informations permettant d’identifier vos visiteurs sont considérées comme des données à caractère personnel. Si l’entreprise est basée hors Europe mais qu’elle manipule des données d’utilisateurs européens, elle est aussi concernée. Le RGPD rend par ailleurs obligatoire le recrutement d’un Data Protection Officer (DPO) à l’exception des entreprises publiques, dont le coeur d’activité est le suivi régulier et systématique des données, ou la gestion de données sensibles ou relatives à des infractions ou condamnations pénales.

Mettez vos campagnes en conformité avec le RGPD

Alimentez vos listes par opt-in actif et/ou double opt-in

Pour rappel, l’opt-in est la méthode utilisée pour obtenir le fameux « consentement » de l’internaute permettant d’interagir avec lui et de lui envoyer des newsletters. Le traitement reposant sur le consentement, l’utilisateur des données est en mesure de démontrer que la personne concernée a consenti à ce que ses données personnelles soient exploitables et exploitées.

Opt-in actif : Le futur abonné choisit lui-même, librement et consciemment, de s’inscrire à une newsletter et fait une action pour cela, comme remplir un formulaire d’inscription ou cocher lui-même une case indiquant clairement qu’il s’abonne.

Double opt-in : L’abonné par opt-in actif doit confirmer son inscription en cliquant sur un lien reçu par mail.

Les pratiques interdites à proscrire

Au vu de la nouvelle définition du consentement, il est désormais strictement interdit d’utiliser des adresses emails obtenues par opt-out ou par opt-in passif.

Opt-out : L’abonné est inscrit par défaut dans la liste de l’entreprise. C’est à lui de se désinscrire.

Opt-in passif : L’abonné donne son consentement par un moyen détournée, par exemple la case pré-cochée sur un formulaire de contact ou lors d’un achat en ligne. Encore une fois, il est demandé à l’abonné d’avoir lui-même la démarche de désinscription.

Nettoyez vos bases de données actuelles

Soyez en capacité de démontrer le consentement de vos abonnés

Vos listes doivent être constituées de personnes uniquement inscrites en opt-in. Si vous enregistrez des abonnements lors d’un événement, gardez bien les documents prouvant que les personnes ont marqué leur volonté de faire partie de vos bases de données, puis mettez en place le double opt-in pour qu’elles confirment cette volonté.

Créez des listes thématiques

Vous pouvez utiliser les données de vos abonnés uniquement pour ce à quoi ils ont explicitement consenti. Par exemple, s’ils ont accepté de recevoir votre newsletter, cela ne signifie pas qu’ils concèdent à faire l’objet de vos autres actions de marketing. Si vous comptez le faire, vous devez également obtenir leur consentement pour cela. Vous devez ainsi être capable de distinguer vos différentes actions en fonction de tout autant de listes.

Ce qu’il faut retenir

  • Le RGPD entre en vigueur le 25 mai 2018, et vous avez 2 ans à partir de cette date pour vous y conformez.
  • L’opt-in est l’unique façon légale d’obtenir l’autorisation d’exploiter les données de vos contacts.
  • L’exploitant de données devra pouvoir apporter la preuve d’un consentement explicite par type d’actions et/ou canal utilisé.
  • Vos données personnelles ont une véritable valeur que toute entreprise se doit donc de protéger et/ou vous rétribuer dans leur intégrité si vous le souhaitez.
  • Jusqu’à récemment, les amendes de la CNIL plafonnaient à 150 000 euros maximum, ce qui demeurait « insignifiant » pour les GAFA et autres grands groupes internationaux. Avec le RGPD, les sanctions en cas d’infraction sur la protection des données peuvent s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires (le montant le plus élevé de ces 2 cas est celui retenu). Il sera surtout plus vérifiable de constater des infractions liées aux systèmes de gestion des bases de données, et donc de les réprimander… (C’est peut-être là une des principales motivations du RGPD…)
  • Fini le spam par mail ou SMS, ainsi que les démarchages téléphoniques ! Alléluia ! (Enfin… NORMALEMENT ! J’imagine qu’il restera toujours compliqué d’expliquer à des boîtes peu scrupuleuses qu’elles sont dans l’illégalité la plus totale… Quant aux spams et au phishing… Ce sont d’autres sujets…)

Et puisqu’il faut montrer l’exemple

Faute avouée, faute à demi-pardonnée, hein ! Je le confesse, ma mailing list s’est constituée sur le principe de l’opt-out via de petites geekeries automatisant mes différents répertoires de contacts avec mon outil d’emailings… Je vous invite donc à mettre à jour vos préférences concernant votre abonnement à ma Newsletter, ou même à vous désinscrire (Nooooooooonnnnn !!!). Enfin, si tu reçois mes emails, c’est que nos parcours professionnels ou privés ont fait que nous nous sommes rencontrés, avant de te désabonner, donne quand même quelques nouvelles ! ツ

Partagez cet article :

#JeDSIGNEDJeDisRien… Et vous ?

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

velit, sit efficitur. leo. ut felis tristique et, ultricies