Avec l'entrée en vigueur du RGPD vendredi prochain, beaucoup de professionnels du marketing vont devoir repenser à leur façon de travailler au quotidien pour s’adapter au nouveau cadre juridique européen, notamment en ce qui concerne les obligations en matière de collecte, de traitement et d’utilisation des données personnelles.
Pour plus de détail, retrouvez notre FAQ du marketeur spécial RGPD regroupant une sélection de 11 questions/réponses incontournables pour les professionnels du marketing digital.
Si vous ne pensez pas encore être « RGPD-Ready », voici une liste de 4 étapes à suivre pour toutes vos campagnes marketing qui commenceront dès le 25 mai 2018 et qui impliqueront l’utilisation directe ou indirecte de données personnelles :
Les professionnels du marketing ont désormais un devoir d’information envers les personnes ciblées par leurs campagnes marketing. Il s’agira de mettre systématiquement à disposition de vos audiences les informations suivantes :
À noter : Ces informations doivent être facilement accessibles et expliquées de façon claire et transparente, directement sur la page où les collectes seront collectées et dans votre politique de confidentialité.
Le consentement des personnes physiques est une composante essentielle du RGPD pour la collecte, le traitement et la conservation de leurs données personnelles.
Dans la plupart des cas, le consentement se collecte via l’utilisation de formulaires dans vos campagnes marketing.
Attention, la demande de consentement doit être bien distinguée de l’acceptation de votre politique de confidentialité ou des conditions de participation à votre campagne ! Ainsi vous devrez faire figurer plusieurs cases à cocher dans votre formulaire :
À noter : Le consentement doit être clair, non-ambiguë et surtout donné librement. Vous ne pourrez pas réutiliser les données personnelles récoltées pour des campagnes de diffusion de contenus non-spécifiées dans le formulaire de récolte.
Focus cookies :
Pour le RGPD, un cookie, même pseudonymisé, est une donnée personnelle. À partir de là, leur utilisation doit être clairement indiquée sur votre site web et leurs fonctions respectives doivent être expliquées dans votre rubrique « Politique de Protection des Données » ou « Politique de Confidentialité ». Seul le consentement actif (« Accepter les cookies pour poursuivre votre navigation ») est désormais valable. Le consentement implicite (« En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies ») n’est plus suffisant selon le RGPD. Aussi, il vous faudra fournir une option de désinscription.
À noter : Si les cookies sont indispensables à un service demandé par l’utilisateur, le consentement n’est alors pas obligatoire.
Pour pouvoir prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire liée à votre traitement de données, le fameux registre des traitements.
Pour chacun de vos traitements, le responsable du traitement devra y faire figurer les informations suivantes :
À noter : La CNIL met à disposition des entreprises un registre des traitements type sous forme de fichier Excel téléchargeable ici.
Focus conservation des données récoltées :
Vous devez veiller à définir comme durée de conservation des données la durée nécessaire à l’accomplissement des objectifs définis (finalités de vos campagnes). Les données qui ne présentent plus d’intérêt pour la finalité qu’elles poursuivaient doivent donc être supprimées.
Les données personnelles d’un prospect ou d’un client qui ne répond plus à vos sollicitations pendant trois ans doivent être supprimées. La durée de conservation des données de navigations comme les cookies ou les tags est de 13 mois maximum à partir de la date où l’utilisateur a donné son consentement.
Le RGPD précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32).
Voici une liste des principales mesures à mettre en place dans les entreprises :
À noter : La CNIL a préparé une checklist dédiée à la sécurité à consulter ici.