Le 28 mai 2018, une nouvelle loi entrera en vigueur dans le but d’encadrer la récolte et l’utilisation des données personnelles au sein de chaque entreprise.
Il s’agit des Règles Générales sur la Protection des Données (RGPD).
Cela risque d’engendrer de nombreux changements au sein de votre activité notamment concernant vos emailing et il est important de vous préparer à l’avance.
Quel impact sur vos emailing ?
C’est probablement le plus gros changement que vous allez devoir anticiper au sein de votre activité. Désormais toutes vos campagnes seront encadrées par le respect de la RGPD.
Concrètement quels seront les changements ?
- Désormais, la seule façon légale d’utiliser les données de vos clients se fera par l’obtention explicite de leur consentement. Autrement dit l’option « Opt-in », lorsque l’internaute coche une case donnant son accord pour la récolte et l’utilisation de ses données.
- Un registre doit être tenu afin de recenser les différentes catégories de personnes dont les données sont traitées ainsi que la nature du traitement.
- Vos clauses de confidentialité devront être mises à jour ainsi que vos textes de formulaires et vous devrez permettre à vos clients d’accéder à vos données.
A savoir :
Si vous n’êtes pas sûr d’avoir demandé ou obtenu le consentement lors de vos précédents emailing vous avez le droit de conserver les coordonnées de ces personnes si elles sont déjà clientes ou adhérentes de votre société.
La règle de l’opt-in ne s’applique pas non plus si les messages envoyés concernent l’activité professionnelle du destinataire ou si la newsletter a une visée institutionnelle.
Qu’en est-il des cookies ?
La majorité des cookies seront soumis au RGPD. Cela comprend notamment les cookies utilisés à des fins analytiques, de publicité et de services fonctionnels (sondages, outils de Chat).
Pour vous conformer vous devrez donc arrêter de collecter les “cookies” ou trouver une raison légitime de les collecter et de traiter ces données. Aujourd’hui le consentement sera plus dur à obtenir (implicite ou opt-out).
Ce qui risque de changer :
S’il n’y a pas de prise de décision légitime le consentement n’est pas valide.
- Autrement dit la simple visite d’un site ne compte pas comme consentement. Seule l’action délibérée de cocher une case le deviendra.
- Les messages de prévention tels que “en utilisant ce site, vous acceptez notre politique de cookies” ne suffiront pas non plus.
- Il doit être aussi facile de retirer son consentement que de le donner.
- Les sites doivent fournir une option d’opt-out (désinscription).
Comment amorcer ces changements ?
Le RGPD repose sur 4 principes :
Le consentement : désormais chaque entreprise devra recueillir le consentement de ses clients concernant la collecte et le traitement de leurs données personnelles.
Le droit des personnes :
A accéder à leurs données personnelles,
A demander la suppression de leurs données (dans un délai de 1 mois),
A limiter le traitement de leurs données,
A s’opposer à tout moment au traitement de leurs données,
A récupérer les données qu’ils auront fournies ou limiter leur utilisation.
La transparence : transparence des entreprises quant à l’utilisation et au traitement qu’elles font des données de leurs clients.
La responsabilité : toute entreprise devra être en mesure de prouver qu’elle respecte la réglementation liée au RGPD 2018.
Une fois ces principes détaillés, voici les 5 étapes qui vous permettront de les mettre en application et de vous conformer à la loi.
1ère étape : Ordonner vos traitements de données personnelles
Vous allez devoir tenir une documentation interne sur l’utilisation que vous faites des données de vos clients (la catégorie de données traitées et les objectifs poursuivis par le traitement de ces dernières. Les acteurs qui traitent ces données (prestataires, sous traitants …) et enfin les flux, afin d’identifier les éventuels transfert hors de l’UE.)
2ème étape : Prioriser les actions à mener
Seules les données strictement nécessaires à la poursuite de vos objectifs devront être collectées et traitées.
Vous allez devoir identifier sur quelle base juridique se fonde votre traitement : consentement, contrat, intérêt légitime…
Ensuite il vous faudra réviser vos mentions légales afin qu’elles soient conformes au règlement.
Vérifier que vos sous traitants soient bien informés sur cette loi et sur leurs nouvelles obligations et leurs responsabilités.
Il faut également prévoir les modalités d’exercice des droits des personnes que nous avons évoqué plus tôt (droit d’accès, droit du consentement, etc…)
3ème étape : Gérer les risques
A la suite des informations que vous aurez récoltées au cours des deux précédentes étapes, il vous faut désormais prioriser les actions que vous allez mettre en place.
Par exemple : si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les personnes concernées vous devrez mener pour chacun de ces traitements une analyse d’impact.
Pour en savoir plus, c’est par ici : www.cnil.fr/fr/gerer-les-risques
4ème étape : Organiser les processus internes
Cette étape consiste à fixer dans le temps les différentes actions à mettre en place pour se conformer à la loi et de les inclure dans un processus interne stricte.
Cela implique notamment :
– de prendre en compte la protection des données personnelles dès la conception.
– de sensibiliser et d’organiser la remontée d’information (communication internet à destination de toute l’équipe)
– de traiter les demandes et réclamations relatives aux traitements des données
– d’anticiper les éventuelles violations de données.
5ème étape: Regrouper l’ensemble des documents prouvant votre conformité
Cela concerne à la fois le traitement que vous faites des données mais également les documents que vous mettrez à disposition de vos clients/internautes pour les informer quant à leurs droits.
Chez Studio Cassette nous pouvons vous aider à vous préparer à cette nouvelle loi et à entamer les changements nécessaires.
N’hésitez pas à nous contacter pour plus d’informations
Suivre les dernières actualités sur la RGPD :
Mailchimp : probablement le service de newsletter le plus connu et le plus utilisé. Directement touché par la loi qui entre en vigueur le 28 mai, la plateforme a créé un article très intéressant vous expliquant précisément quelles actions mettre en place au sein de vos newsletters pour vous conformer à la loi. Un guide explicatif très précis des étapes à suivre, disponible ici.
La RGPD et Wordpress : Vous l’aurez compris les sites internet sont directement touchés par cette nouvelle loi, voici deux articles traitant plus spécifiquement des impacts sur les sites développés sous Wordpress.
Le premier est rédigé par le support WPMarmite et le second par la plateforme Wordpress directement.
