RGPD : Cas concret de mise en conformité chez Poivre&sell

Le 25 mai 2018, le Règlement général sur la protection des données (RGPD ou GDPR en Anglais) entrera en vigueur pour toutes les entreprises françaises et européennes. Cette réforme permettra de renforcer la transparence sur l’utilisation des données personnelles sur internet et accorde de nouveaux droits aux utilisateurs.

Toutes les entreprises sont concernées, mais combien ont vraiment commencé le travail de mise en conformité ? Combien vont prendre le risque d’une amende qui peut atteindre 4% du chiffre d’affaires ou 20 millions d’euros ? Chez Poivre&sell au service marketing, nous avons pris le taureau par les cornes et voulons maintenant vous expliquer comment nous avons adopté de nouvelles habitudes.

 

Méfiez-vous des entreprises « certifiées RGPD »

On ne compte plus les entreprises qui surfent sur la sortie du RGPD pour vendre des formations d’aide à la mise en œuvre d’un plan d’action. Sachez une chose, la CNIL a confirmé le 23 février qu’il n’existait pas encore de certification RGPD.

Concernant les labels actuels, « la CNIL prévoit de ne plus délivrer de nouveau label après le 25 mai 2018. […] Après la fin de validité de ces labels, leurs titulaires pourront ensuite se tourner vers un organisme certificateur afin d’obtenir une certification dans un domaine équivalent. »

 

A quand les premières certifications RGPD ?

Les premières certifications du Data Protection Officer (DPO) ayant pour mission de protéger les données en entreprise, se feront après la mise en application de la nouvelle règlementation comme le confirme la CNIL : « Les référentiels de certification seront élaborés après une phase de consultation publique, approuvés par la CNIL et publiés sur son site. Il appartiendra ensuite aux candidats de se rapprocher des certificateurs, qui procèderont à l’instruction de leurs demandes. »

Cette précision est importante pour comprendre qu’aujourd’hui personne n’est en mesure d’être certifié, mais tout le monde est dans l’obligation de se mettre en conformité !

 

Comment être conforme au RGPD avant le 25 mai 2018 ?

1. Les données personnelles, c’est quoi ?

Les données personnelles, toutes les entreprises en stockent. Que ce soit dans vos outils de CRM, d’e-mailing, vous devez être en mesure d’identifier et de cartographier leur emplacement.

En droit français, toute donnée personnelle est une information relative à une personne physique identifiée ou qui peut l’être avec cette donnée : un prénom, une adresse e-mail, un nom de société… comprenez que vous détenez une information personnelle dorénavant règlementée et soumise à des obligations.

Cette nouvelle règlementation permet ainsi de clarifier les droits dont disposent les utilisateurs quant à l’accès à leurs propres données, leur modification et leur portabilité, jusqu’au droit à l’oubli.

Vous stockez des données personnelles sans but précis ? La loi ne l’autorise plus. Le RGPD est clair sur le sujet : toute donnée collectée et stockée doit poursuivre un objectif précis, pour une période donnée et l’utilisateur doit en être informé. Dès lors que cet objectif est atteint (ou non), la donnée ne peut être conservée sans limite dans le temps.

 

2. Mettre à jour ses mentions légales

Chez Poivre&sell, nous avons mis à jour nos mentions légales et créé notre politique de confidentialité. Ce chantier n’est pas si vaste qu’il n’en a l’air et nous vous partageons ce retour d’expérience.

Ce que nous avons dû ajouter dans nos mentions légales, concernant les cookies :

  • Une information sur leur utilisation et leur finalité précise
  • La possibilité de s’opposer au profilage avec la démarche à suivre

A savoir : vous devez obligatoirement informer l’utilisateur lors de sa première connexion à votre site web de l’utilisation des cookies et de leur finalité, accompagné d’un lien vers les mentions légales qui donnent les détails de leur utilisation et l’explication claire pour désactiver le profilage.

L’acceptation des cookies a une durée de validité de 13 mois maximum.

3. Mettre à jour sa politique de confidentialité

Les mentions légales doivent aborder l’utilisation des données personnelles et rediriger l’utilisateur vers la politique de confidentialité qui contient les informations suivantes :

  • La localisation physique des données collectées
  • Le temps de conservation des données
  • Les services ayant accès aux fichiers des données personnelles au sein de l’entreprise
  • Ce à quoi l’utilisateur consent clairement lorsqu’il remplit un formulaire et coche la case de validation d’utilisation de ses données personnelles
  • La démarche pour consulter ses données stockées
  • La démarche pour modifier ses abonnements aux communications (mailing)
  • La démarche pour demander la suppression de ses données (droit à l’oubli)

Dans le cas où tous vos formulaires nécessitent une validation « opt-in » à cocher (c’est notre cas), nous recommandons d’indiquer une solution alternative à l’utilisateur qui ne souhaite pas donner son consentement au traitement de ses données. Nous considérons légitimement qu’une prise de contact nécessite en échange le nom, la société et un e-mail de contact pour la relation qui va suivre avec un commercial Poivre&sell. Cependant, et par soucis de laisser libre choix à l’utilisateur quant à la volonté de communiquer ses données personnelles, nous donnons explicitement une indication alternative pour nous contacter : utiliser le moyen téléphonique.

 

4. Adapter les formulaires et être clair sur la finalité

Vous êtes bientôt en conformité, courage ! Prochaine étape, la mise en place de vos nouveaux formulaires conformes.

L’article 6 du RGPD précise « Le traitement n’est licite que si la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques. »

Vous devez donc respecter ces 4 principes de bonne conduite :

1 – Clarifier l’acte de consentement

Aucune interprétation ne doit être possible. La formulation doit être positive (pas de négation).

2 – Distinguer le consentement des conditions générales

Le consentement ne peut pas être une condition préalable à l’inscription à un service

3 – Recueillir le consentement par une action positive

L’opt-in est obligatoire (et le double opt-in fortement conseillé). Une case pré-cochée (opt-out) n’est plus valide

4 – Faciliter la rupture du consentement

Il doit être « aussi facile » de donner son consentement que de le retirer selon le RGPD. Le droit à l’oubli doit être évoqué à proximité immédiate du formulaire.

 

Avant (pas conforme RGPD)

Après (conforme RGPD)

Astuce : Jouez avec le design de votre formulaire pour que les informations obligatoires à ajouter n’alourdissent pas votre page en contenu, ce qui pourrait être néfaste pour l’expérience utilisateur.

 

Votre site web est maintenant conforme en surface, et après ?

Félicitations, votre site web suit maintenant les directives imposées par le RGPD vis-à-vis de la collecte des données de vos visiteurs.

Face à la détresse de nombreuses (surtout petites et moyennes) entreprises, l’ampleur et l’urgence de la tâche, la CNIL a communiqué au mois de janvier sur le fait qu’une période de transition sera mise en place pour être dans une démarche d’accompagnement (et non de sanction immédiate) vis-à-vis des entreprises dans leur transition obligatoire sur la nouvelle gestion des données personnelles.

Cette période ne sera pas infinie. Assurez-vous de commencer dès maintenant à respecter les meilleures pratiques sur votre site internet, et surtout, commencez à stocker seulement les données personnelles utiles à votre entreprise.

Imaginez seulement un instant le risque encouru si vous êtes victime d’une cyber-attaque qui capte les données de vos utilisateurs conservées contre leur gré.

 

Le RGPD protège avant tout votre image de marque et votre réputation

Faites du règlement général sur la protection des données (RGPD) l’occasion de structurer et d’organiser la collecte de vos données. Et n’oubliez pas, si vous êtes transparents avec vos prospects, ils vous accorderont une confiance réciproque.

Alors maintenant, il est temps de passer à l’étape suivante :

  • Vous êtes-vous assuré que vos sous-traitants sont conformes RGPD ?
  • Savez-vous où vos sous-traitants stockent réellement les données de vos clients ?
  • Avez-vous préparé un processus interne pour réagir en cas de fuite des données ?

Après la mise aux normes de votre site internet, nous évoquerons dans un prochain article les étapes importantes à appliquer et les impacts du RGPD sur vos processus et votre organisation interne.

[QUIZ RGPD] Vous avez tout compris ?
Testez-vous en 10 questions

2018-07-18T12:05:30+00:00

Construisez des scénarios efficaces de Marketing & Sales Automation

Et bénéficiez de 3 mois offerts à la plateforme ! Offre limitée.
Envoyez-moi le Guide Gratuit
close-link