En mai 2018, le RGPD (règlement général sur la protection des données) est entré en vigueur sur le territoire européen. Cela touche toutes les structures. On mesure un impact sur de nombreuses actions telles que : l’envoi de newsletters, la gestion des fichiers clients, les mailing aux partenaires, etc.
Au cours d’un webseminaire animé en partenariat avec Trajectoires Tourisme (Auvergne Rhône-Alpes), Adrien Chambade (Consultant formateur auditeur SSI et DPO chez ONYL Rocks) aborde les points clés de la RGPD. Des éléments sont aussi disponibles sur l’article de la Mona.
Les fondamentaux du RGPD
Le sujet n’est pas nouveau puisqu’il existe depuis 1978 avec la loi Informatique et liberté (qui correspond également avec la date de création de la CNIL). Par la suite de nombreuses évolutions se sont opérées jusqu’à la publication de 2016, qui est rentrée en application en 2018.
Le RGPD est le socle commun à l’ensemble des pays européen. Les modifications ont été apportées par chaque pays avec un texte complémentaire qui renforce certains axes. Il y a donc deux documents à observer : le RGPD (à l’échelle européenne) et la loi « informatiques et liberté » (à l’échelle nationale).
RGPD: quels éléments techniques ?
Le RGPD s’applique dès lors qu’on traite de la donnée et qu’on a de l’activité dessus, au niveau informatique tout comme non informatique.
Qu’est ce que la donnée à caractère personnelle ? C’est une donnée liée à une personne physique. Le traitement lui, est une opération effectuée ou non à l’aide de procédés automatisés ou non (collecte, observation, transmission, etc.) réalisée par un « responsable de traitement ». L’autorité de contrôle est la CNIL.
En pratique : la donnée “Prénom, Nom” est une donnée personnelle, tout comme le numéro de téléphone portable associé, le mail est aussi une donnée personnelle si le nom prénom apparaît par exemple.
Et le transfert dans tout ça?
Si le prestataire fait partie de l’Union Européenne, aucune action n’est à faire (c’est un traitement transfrontalier). Si jamais vous faites appel à un prestataire hors U.E. pour réaliser une prestation avec des données personnelles, vous devez obligatoirement informer les personnes concernées.
En pratique : l’envoi d’un mailing via un outil de boite mail américain nécessite de traiter avec chaque personne concernée. Plusieurs cas de figure sont expliqués dans le webseminaire.
Faire passer ses messages publicitaires
Chaque message électronique doit obligatoirement
- préciser l’identité de l’annonceur
- proposer un moyen simple de s’opposer à la réception de nouvelles sollicitations
Les personnes ont des droits sur les données. Elles peuvent demander à tout moment la rectification, l’accès, l’effacement, ou s’opposer pour la réception d’une newsletter par exemple.
Selon le mode de prospection (email, téléphone ou sms), les personnes sollicitées doivent au préalable avoir donné leur accord (consentement) pour recevoir vos message (opt-in) ou ne pas avoir exprimé leur refus (opt-out).
L’opt-in consiste à obtenir l’accord préalable du destinataire de la publicité : s’il n’a pas dit “oui”, c’est “non”. L’opt-out lorsque le destinataire de la publicité ne s’est pas opposé : s’il n’a pas dit “non” c’est un “oui”.
En effet, la publicité par courrier électronique est possible à condition que les personnes aient explicitement donné leur accord pour être démarchées au moment de la collecte de leur adresse électronique.
Exceptions :
- si la personne prospectée est déjà client de l’entreprise et si la prospection concerne des produits ou services analogues à ceux déjà fournis par l’entreprise
- si la prospection n’est pas de nature commerciale (caritative par exemple)
Dans le BtB, donc auprès des partenaires c’est l’opt-out qui rentre en application, la personne peut être directement associée à un envoi et elle dispose d’un droit de sortie à sa demande de façon simple et gratuite. Les adresses professionnelles générique de type contact@masociete.fr sont des coordonnées de personnes morales. Elles ne sont pas soumises aux principes de consentement et du droit d’opposition.
Focus sur les durées de conservation
Il n’existe pas de durée dans le cadre des textes légaux mais les textes prévoient que la conservation ne se fait pas au-delà de la finalité.
La CNIL a donné une grille de lecture :
- 1 an sur les éléments de connexion (statistique d’accès de visite, login de connexion)
- Fichier de prospects qui ne sont pas clients : 3 ans à compter du dernier contact émanant du prospect
- Cookies pendant 1 an
A partir du 1er avril, la CNIL impose désormais que pour chaque cookie, un élément permette d’accepter ou de refuser ces cookies.
En effet ces cookies (quand vous faites du Google Analytics) vont aussi être réutilisés sur d’autres sites. Cela sert à google pour faire du profilage. En fonction, il va pouvoir proposer des résultats de recherches personnalisés et de la pub personnalisée.
Si vous avez des cookies cela nécessite de changer vos pratiques et de vous tourner vers des cookies qui ne font pas de profilage.
En synthèse, les démarches au travers un plan d’action
- Désigner un pilote : Chef de projet RGPD par une lettre de mission
- Cartographier ses données, recenser ses activités de traitements (données physiques et informatiques) pour constituer un registre des activités de traitement
- Faire le tri : par le volume (purger les données qui ne sont plus pertinentes au regard de nos activités) et par l’étendue (faire en sorte de respecter la “minimisation” et ne collecter que les données nécessaires) au travers d’un tableau des durées de conservation et procédures
- Mettre à jour les informations “contractuelles” (CG d’utilisations, mentions d’information sur les formulaires de collecte, rédiger une politiques RGPD de protection des données par de nouvelles mentions accessible)
Pour aller plus loin sur le RGPD :
Le webséminaire : RGPD : êtes-vous en conformité ?
Le MOOC RGPD de la CNIL,
Cookieviz2 outil de la CNIL pour vérifier quels sont les cookies actifs sur vos pages web