RGPD, où en est-on en 2021 ?

Dernière mise à jour : 12 décembre 2025
Durée de lecture estimée : 0 minutes

En mai 2018, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur sur le territoire européen. Cela touche toutes les structures. Nous mesurons un impact sur de nombreuses actions telles que : l'envoi de newsletters, la gestion des fichiers clients, les mailing aux partenaires, etc.

Qu'est-ce que le RGPD ?

Un cadre juridique existant depuis 1978

Le sujet n'est pas nouveau puisqu'il existe depuis 1978 avec la loi Informatique et liberté (qui correspond également avec la date de création de la Commission Nationale de l'Informatique et des Libertés (CNIL)). Par la suite, de nombreuses évolutions se sont opérées jusqu'à la publication de 2016, qui est entrée en application en 2018.

Un socle commun européen

Le RGPD est le socle commun à l'ensemble des pays européens. Les modifications ont été apportées par chaque pays avec un texte complémentaire qui renforce certains axes. Il y a donc deux documents à observer :

  • Le RGPD (à l'échelle européenne)
  • La loi "Informatique et liberté" (à l'échelle nationale)

Quels sont les éléments techniques du RGPD ?

Quand le RGPD s'applique-t-il ?

Le RGPD s'applique dès lors qu'on traite de la donnée et qu'on a de l'activité dessus, au niveau informatique tout comme non informatique.

Qu'est-ce qu'une donnée à caractère personnel ?

C'est une donnée liée à une personne physique. Le traitement, lui, est une opération effectuée ou non à l'aide de procédés automatisés ou non (collecte, observation, transmission, etc.) réalisée par un "responsable de traitement". L'autorité de contrôle est la CNIL.

En pratique : La donnée "Prénom, Nom" est une donnée personnelle, tout comme le numéro de téléphone portable associé. Le mail est aussi une donnée personnelle si le nom prénom apparaît par exemple.

Comment gérer le transfert de données ?

Transferts au sein de l'Union Européenne

Si le prestataire fait partie de l'Union Européenne, aucune action n'est à faire (c'est un traitement transfrontalier).

Transferts hors Union Européenne

Si vous faites appel à un prestataire hors Union Européenne pour réaliser une prestation avec des données personnelles, vous devez obligatoirement informer les personnes concernées.

En pratique : L'envoi d'un mailing via un outil de boîte mail américain nécessite de traiter avec chaque personne concernée. Plusieurs cas de figure sont expliqués dans le webséminaire.

Comment faire passer ses messages publicitaires en conformité ?

Les obligations pour chaque message électronique

Chaque message électronique doit obligatoirement :

  • Préciser l'identité de l'annonceur
  • Proposer un moyen simple de s'opposer à la réception de nouvelles sollicitations

Les droits des personnes sur leurs données

Les personnes ont des droits sur les données. Elles peuvent demander à tout moment la rectification, l'accès, l'effacement, ou s'opposer à la réception d'une newsletter par exemple.

Opt-in et opt-out : quelle différence ?

Selon le mode de prospection (email, téléphone ou SMS), les personnes sollicitées doivent au préalable avoir donné leur accord (consentement) pour recevoir vos messages (opt-in) ou ne pas avoir exprimé leur refus (opt-out).

L'opt-in consiste à obtenir l'accord préalable du ou de la destinataire de la publicité : s'il ou elle n'a pas dit "oui", c'est "non".

L'opt-out est quand le ou la destinataire de la publicité ne s'est pas opposé·e : s'il ou elle n'a pas dit "non" c'est un "oui".

La règle générale pour la prospection par email

La publicité par courrier électronique est possible à condition que les personnes aient explicitement donné leur accord pour être démarchées au moment de la collecte de leur adresse électronique.

Les exceptions

  • Si la personne prospectée est déjà cliente de l'entreprise et si la prospection concerne des produits ou services analogues à ceux déjà fournis par l'entreprise
  • Si la prospection n'est pas de nature commerciale (caritative par exemple)

Le cas particulier du BtoB

Dans le Business to Business (BtoB), donc auprès des partenaires, c'est l'opt-out qui rentre en application. La personne peut être directement associée à un envoi et elle dispose d'un droit de sortie à sa demande de façon simple et gratuite.

Les adresses professionnelles génériques de type contact@masociete.fr sont des coordonnées de personnes morales. Elles ne sont pas soumises aux principes de consentement et du droit d'opposition.

Quelles sont les durées de conservation des données ?

Le principe général

Il n'existe pas de durée dans le cadre des textes légaux mais les textes prévoient que la conservation ne se fait pas au-delà de la finalité.

La grille de lecture de la CNIL

La CNIL a donné une grille de lecture :

  • 1 an sur les éléments de connexion (statistique d'accès de visite, login de connexion)
  • 3 ans pour le fichier de prospects qui ne sont pas clients, à compter du dernier contact émanant du prospect
  • 1 an pour les cookies

L'évolution de la réglementation sur les cookies

Depuis le 1er avril, la CNIL impose désormais que pour chaque cookie, un élément permette d'accepter ou de refuser ces cookies.

En effet, ces cookies (quand vous faites du Google Analytics) vont aussi être réutilisés sur d'autres sites. Cela sert à Google pour faire du profilage. En fonction, il va pouvoir proposer des résultats de recherches personnalisés et de la publicité personnalisée.

Si vous avez des cookies, cela nécessite de changer vos pratiques et de vous tourner vers des cookies qui ne font pas de profilage.

Comment mettre en place un plan d'action RGPD ?

Les démarches à suivre

Désigner un pilote : Chef·fe de projet RGPD par une lettre de mission

Cartographier ses données : Recenser ses activités de traitements (données physiques et informatiques) pour constituer un registre des activités de traitement

Faire le tri :

  • Par le volume : purger les données qui ne sont plus pertinentes au regard de nos activités
  • Par l'étendue : faire en sorte de respecter la "minimisation" et ne collecter que les données nécessaires au travers d'un tableau des durées de conservation et procédures

Mettre à jour les informations "contractuelles" : Conditions Générales d'utilisation, mentions d'information sur les formulaires de collecte, rédiger une politique RGPD de protection des données par de nouvelles mentions accessibles

Quelles ressources pour aller plus loin ?

Le webséminaire MONA

RGPD : êtes-vous en conformité ?

Les ressources de la CNIL

Les outils pratiques

  • Le MOOC RGPD de la CNIL
  • Cookieviz2 : outil de la CNIL pour vérifier quels sont les cookies actifs sur vos pages web

Votre interlocutrice

Sophie Duprat-Caouré

En charge de l’Animation Durable des DEStinations et e-elarning

Mob. 06 83 53 82 95

sophie.dupratcaoure@monatourisme.fr

A consulter également