À quoi vous attendre ?
Depuis quelques mois, c’est le raz de marée au sein des pôles marketing. En cause : L’acquisition et le traitement de la data personnelle à repenser intégralement…
Cette nouvelle législation paraît être un frein à vos campagnes commerciales, elle a pourtant comme objectif d’offrir plus de contrôle et de transparence aux consommateurs.
Il est essentiel d’aborder cette réglementation comme un moyen de créer une relation de confiance en communiquant notamment sur la sécurisation des données personnelles.
La version finale de la loi comporte plus de 99 articles, nous avons sélectionné les principaux changements vous concernant directement.
En clair
Pour quand ?
À partir du 25 mai 2018, les entreprises auront la responsabilité de la manipulation des informations, depuis la localisation des données sensibles sur le réseau jusqu’à leur stockage et leur sécurité. À cette date, le règlement viendra remplacer la Loi Informatique et Libertés actuellement en vigueur en France.
Pour qui ?
Toutes les entreprises qui opèrent des traitements de données personnelles au sein de l’union européenne dans le cadre de leur activité professionnelle.
Qu’est-ce que le traitement de données personnelles ?
D’après la CNIL :
- Une donnée personnelle est une information qui permet d’identifier directement ou indirectement une personne physique.
- Le traitement des données personnelles est une opération ou un ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé. Les exemples sont donc multiples : nom, prénom, numéro de téléphone, adresse IP, etc. Dans le cadre d’une campagne de communication, remplir un formulaire est considéré comme un traitement de données personnelles.
Risques et amendes :
Concernant les infractions les plus graves, les sanctions sont extrêmement dissuasives :
- 20 millions d’euros de sanction pour les PME et les organismes publics
- 4% du CA du groupe pour les grandes entreprises
Pas de panique ! Avant d’atteindre ces montants considérables, la loi prévoit des rappels à l’ordre et des amendes plus modestes. Ceux-ci sont établis au regard des transgressions effectuées et de l’échelle de collaboration avec la CNIL.
Pour vos campagnes
Mettez à jour la gestion de vos données :
Le RGPD reprend des droits qui étaient déjà applicables : ’’droit d’accès’’, ’’droit de rectification’’, ’’droit à la limitation du traitement’’ et rajoute le droit à l’oubli et le droit à la portabilité des données. Ces deux points sont détaillés plus bas.
Soyez explicite sur le consentement (droit à l’oubli)
Le RGPD insiste sur le fait que les utilisateurs doivent comprendre ce qu’ils acceptent en donnant leur consentement :
- Quel type de données vous collectez ?
- Pour quelle utilisation ?
- Pendant combien de temps vous conservez ces données ?
Ce consentement doit passer par le biais d’un choix significatif et sans ambiguïté. L’utilisateur doit avoir le droit de retirer son consentement et peut exiger que ses données soient effacées après son consentement.
Par exemple : les cases précochées dans vos campagnes ne sont pas une forme de consentement valide. Vous devrez donc indiquer clairement à vos clients qu’en donnant leur consentement, ils seront susceptibles de recevoir des informations en précisant le canal utilisé (email, sms…).
Proposez la portabilité des données
Les personnes physiques présentes dans vos bases de données devront avoir la possibilité d’exporter leurs données personnelles collectées dans un fichier (xlsx. , csv., etc.). Ils devront aussi avoir la possibilité de modifier ces données de manière simple et rapide. Idée : Pour respecter cette obligation, il peut être pertinent de créer une page web spécifique pour permettre à vos clients de modifier leurs données personnelles en toute autonomie, vous évitant par la même occasion une perte de temps…
Minimisez les données collectées
Collectez uniquement les données qui sont strictement nécessaires à votre activité. Dans vos futurs formulaires, il sera nécessaire de réduire le nombre de champs à remplir. En pratique : Si vos prospects doivent renseigner des informations pour obtenir un coupon de réduction par email, seul le champ à remplir « Adresse email » sera adapté. Demander le nom, le prénom ou la date de naissance pourra, dans ce cas précis, être jugé abusif.
Créez de nouvelles mentions légales
Dans vos campagnes, redirigez vos clients ou prospects vers des mentions légales spéciales « Traitement des données » où vous démontrez que la confidentialité des données est au coeur de vos préoccupations.
Idées :
- Présentez la personne en charge du traitement des données dans votre structure et indiquez comment la contacter
- Informez vos clients de leur droit de retirer leur consentement en proposant une marche à suivre simple et rapide.
N’oubliez pas la désinscription
Au-delà du traitement des données personnelles, l’opposition à toute opération marketing est un des piliers du RGPD. Ainsi, pensez à utiliser les listes d’exclusion et à intégrer les moyens de désinscription présents sur notre outil.
La feuille de route à suivre pour être en conformité
Pour être prêt pour le 25 mai 2018, la cnil a créé cette roadmap :
1 – Désigner un pilote pour gérer les données personnelles
Ce sera l’acteur principal de la mise en conformité, il aura un rôle de conseil et d’informations auprès des équipes. Il sera le contact principal avec la CNIL et le pilote de l’amélioration continue du traitement de données.
2 – Cartographier les traitements de données personnelles
L’objectif de cette cartographie est de recenser et de catégoriser les différents traitements de données personnelles nécessaires à votre activité. Elle permettra aussi d’identifier les différents acteurs et les différents flux propres à votre traitement de données.
3 – Mise en place d’un plan d’action
Le but est de prioriser les actions pour être en conformité le 25 mai 2018.
4 – Gérer les risques à l’aide d’une analyse d’impact sur la protection des données
Après avoir identifié les traitements de données personnelles pouvant être à l’originede risque, la CNIL recommande d’analyser leur impact.
5 – Organiser les processus internes
Pour garantir constamment un haut niveau de protection des données personnelles, il est essentiel d’établir des procédures internes connues et partagées par l’ensemble des collaborateurs.
6 – Création de toute la documentation nécessaire
Ces documents permettront de prouver la conformité au règlement.
7 – Passer une certification
De nombreux organismes vont proposer des labels et certificats, avec comme double avantage de vous permettre d’éprouver la procédure mise en place, et de vous apporter un indicateur de mise en confiance supplémentaire.
8 – Préparer la communication
Tout est coché ? Il est temps de créer le lien en informant vos clients à travers une campagne dédié
La protection de la vie privée des internautes est le challenge à relever de ces prochaines années. Au-delà de l’aspect législatif, les consommateurs sont demandeurs de ces évolutions. En partageant vos bonnes pratiques, vos clients apprécieront votre transparence. Ils seront plus enclins à partager certaines informations personnelles, ce qui vous permettra de leur offrir une expérience personnalisée.
Vous serez informé de toutes les évolutions de la plateforme à ce sujet !
Pour en savoir plus :
https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes