J-3 avant le RGPD : 4 étapes à respecter pour vos futures campagnes marketing

Alex Berthou
Alex Berthou
J-3 avant le RGPD : 4 étapes à respecter pour vos futures campagnes marketing

Avec l'entrée en vigueur du RGPD vendredi prochain, beaucoup de professionnels du marketing vont devoir repenser à leur façon de travailler au quotidien pour s’adapter au nouveau cadre juridique européen, notamment en ce qui concerne les obligations en matière de collecte, de traitement et d’utilisation des données personnelles.


Pour plus de détail, retrouvez notre FAQ du marketeur spécial RGPD regroupant une sélection de 11 questions/réponses incontournables pour les professionnels du marketing digital.

Si vous ne pensez pas encore être « RGPD-Ready », voici une liste de 4 étapes à suivre pour toutes vos campagnes marketing qui commenceront dès le 25 mai 2018 et qui impliqueront l’utilisation directe ou indirecte de données personnelles :

Etape 1 : Les mentions d’informations

Les professionnels du marketing ont désormais un devoir d’information envers les personnes ciblées par leurs campagnes marketing. Il s’agira de mettre systématiquement à disposition de vos audiences les informations suivantes :

  • Le responsable de traitement des données
  • L’identité du DPO (Data Protection Officer)
  • Les finalités du traitement de leurs données
  • Les destinataires des données
  • Les transferts de données hors Union européenne le cas échéant
  • La durée du traitement (donc aussi de conservation)
  • Les droits dont ils disposent sur leurs données et la personne auprès de laquelle ils peuvent les exercer
  • Leurs recours possibles auprès d’une autorité de contrôle
  • Le caractère obligatoire ou facultatif des réponses
  • Le recours au profilage le cas échéant (récolte de données de navigation via des cookies)

À noter : Ces informations doivent être facilement accessibles et expliquées de façon claire et transparente, directement sur la page où les collectes seront collectées et dans votre politique de confidentialité.

Etape 2 : La récolte du consentement

Le consentement des personnes physiques est une composante essentielle du RGPD pour la collecte, le traitement et la conservation de leurs données personnelles.

Dans la plupart des cas, le consentement se collecte via l’utilisation de formulaires dans vos campagnes marketing.

Attention, la demande de consentement doit être bien distinguée de l’acceptation de votre politique de confidentialité ou des conditions de participation à votre campagne ! Ainsi vous devrez faire figurer plusieurs cases à cocher dans votre formulaire :

  • La demande de consentement pour les communications et traitements envisagés
  • L’acceptation de votre politique de confidentialité
  • L’acceptation des conditions de participation à votre campagne

À noter : Le consentement doit être clair, non-ambiguë et surtout donné librement. Vous ne pourrez pas réutiliser les données personnelles récoltées pour des campagnes de diffusion de contenus non-spécifiées dans le formulaire de récolte.

Focus cookies :

Pour le RGPD, un cookie, même pseudonymisé, est une donnée personnelle. À partir de là, leur utilisation doit être clairement indiquée sur votre site web et leurs fonctions respectives doivent être expliquées dans votre rubrique « Politique de Protection des Données » ou « Politique de Confidentialité ». Seul le consentement actif (« Accepter les cookies pour poursuivre votre navigation ») est désormais valable. Le consentement implicite (« En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies ») n’est plus suffisant selon le RGPD. Aussi, il vous faudra fournir une option de désinscription.

À noter : Si les cookies sont indispensables à un service demandé par l’utilisateur, le consentement n’est alors pas obligatoire.

Etape 3 : Traitements et registres

Pour pouvoir prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire liée à votre traitement de données, le fameux registre des traitements.

Pour chacun de vos traitements, le responsable du traitement devra y faire figurer les informations suivantes :

  • Identification du traitement : Nom, référence, date, mise à jour
  • Acteurs impliqués
  • Finalités : email marketing, profilage etc.
  • Type de données personnelles collectées
  • Délai de suppression
  • Transfert en dehors de l’UE ou non

À noter : La CNIL met à disposition des entreprises un registre des traitements type sous forme de fichier Excel téléchargeable ici.

Focus conservation des données récoltées :

Vous devez veiller à définir comme durée de conservation des données la durée nécessaire à l’accomplissement des objectifs définis (finalités de vos campagnes). Les données qui ne présentent plus d’intérêt pour la finalité qu’elles poursuivaient doivent donc être supprimées.

Les données personnelles d’un prospect ou d’un client qui ne répond plus à vos sollicitations pendant trois ans doivent être supprimées. La durée de conservation des données de navigations comme les cookies ou les tags est de 13 mois maximum à partir de la date où l’utilisateur a donné son consentement.

Etape 4 : Sécurité & registre des traitements

Le RGPD précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32).

Voici une liste des principales mesures à mettre en place dans les entreprises :

  • Identifier et sensibiliser les utilisateurs travaillant avec des données personnelles, par exemple via une charte informatique
  • Identifier et limiter les accès des utilisateurs uniquement aux données personnelles dont ils ont besoin (lister les accès, adapter les droits, les supprimer en fin de contrat...)
  • Sécuriser les postes informatiques (verrouillage automatique, pares-feux, antivirus, installation systématique des mises à jour de sécurité, limitation de l’utilisation de clé USB ou DDE etc.), vos réseaux (WIFI protégés, VPN etc.), vos serveurs : (limitation d’accès, installation des mises à jour critiques etc.) et vos sites web (limitation d’accès, protocole TLS etc.)
  • Effectuer régulièrement des sauvegardes des données personnelles et avoir un plan de continuité viable en cas d’éventuel incident (panne)
  • Protéger vos locaux (Limiter les accès, alarmes anti-intrusions, identifier les zones sensibles etc)

À noter : La CNIL a préparé une checklist dédiée à la sécurité à consulter ici. 

Alex Berthou
Alex Berthou