Après avoir jonglé avec la Loi canadienne anti-pourriel depuis plusieurs années, Dialog Insight n’a pas été très surprise d’apprendre, en 2016 que l’Union européenne suivait la vague en votant un projet de loi pour encadrer les communications électroniques de nature promotionnelles. Cette nouvelle loi entrée en vigueur en mai 2018 et s’applique à toute organisation qui traite des données personnelles de résidents ou de citoyens de l’UE.
Officiellement, cette loi s’appelle le Règlement général sur la protection des données, RGPD pour les intimes. Elle vise à étendre les obligations auxquelles sont soumises les organisations qui traitent des données personnelles et à renforcer le contrôle des citoyens de l’Union européenne sur la collecte et l’utilisation de leurs renseignements personnels.
Il est bien important de faire la distinction entre RGPD, qui traite uniquement de données personnelles et des envois courriels en soi. Il n’est pas question des canaux de communication dans cette loi. Les informations concernant les communications électroniques se trouvent dans la Directive européenne sur la protection de la vie privée dans le secteur des communications électroniques, celle-ci datant de 2002. Ces indications s’apparentent aux différentes notions de consentement de la loi C-28 au Québec, pour plus d’informations, vous pouvez consulter l’article de loi ici.
En tant que site web ou entreprise, il est important de savoir comment se conformer au RGPD. Il faut s’assurer que l’utilisation de cookies et de traceurs est acceptée par vos utilisateurs pour respecter leur anonymat sur leurs appareils.
Bien que nous ayons tendance à parler de la RGPD comme d’un sujet clos, nous avons été surpris d’apprendre qu’un an après sa mise en vigueur, les deux tiers des entreprises n’étaient toujours pas conformes à cette nouvelle loi[1]. C’est énorme! Le sujet est donc loin d’être clos…
Si vous êtes dans cette situation, le reste de cet article vous indique les différentes étapes à faire pour vous assurer d’être en conformité avec cette loi.
1. Revoir les pratiques existantes
La première étape pour se mettre en conformité avec le RGPD consiste à comprendre comment les données à caractère personnel sont stockées, traitées, partagées et utilisées au sein de votre entreprise. Identifiez les pratiques de traitement de données personnelles déjà en place, qui en sont les responsables, les différents niveaux de sécurité actuels et les changements nécessaires.
Sachez que les obligations du RGPD ne s’appliquent pas uniquement à votre entreprise, mais qu’elles s’étendent également aux fournisseurs qui traitent des données à caractère personnel en votre nom.
2. Tenir un registre des traitements
Votre entreprise doit être en mesure de prouver à tout moment sa conformité au RGPD. Vous devez donc tenir un registre des traitements des données, qui remplace la déclaration obligatoire à la CNIL. Ce registre devra consigner toutes les informations sur les traitements correspondants à vos processus de collecte, de stockage, d’utilisation, de partage ou de destruction de vos données. Vous devez être en mesure de garantir, à tout moment, que vos processus implantés sont conformes, sécurisés et garantissent la confidentialité de vos données.
Si l’un de vos processus de traitement est considéré à risque pour la vie privée, vous devrez mener une étude d’impact sur la vie privée et vous devez documenter cette étude.
3. Garder une base de données saine
La mise en place du RGPD est un bon moment pour vous de retravailler votre base de données et de la garder saine à travers le temps. C’est important pour vous et pour vos clients que vous gardiez uniquement les informations pertinentes. C’est la raison pourquoi vous devriez nettoyer régulièrement votre base de données et vous assurer de ne pas conserver de contacts inactifs ou d’informations non pertinentes dans votre base de données.
De plus, si vous avez des données sensibles sur vos clients, une révision régulière des accès au sein de votre entreprise pourrait être une bonne pratique à appliquer pour vous assurer que seulement les employés qui en ont de besoin y ont accès.
C’est aussi une bonne idée de reprendre l’ensemble de vos outils de collecte d’informations et de les adapter à la législation. Demandez-vous si les informations demandées dans vos différents formulaires sont nécessaires pour votre organisation dans vos différentes actions de ciblage marketing.
4. Désigner un délégué à la protection des données (DPO)
Cette étape n’est obligatoire que pour les organismes du secteur public et les sociétés traitant les données sensibles et/ou à grande échelle mais c’est tout de même fortement recommandé pour toutes les autres entreprises aussi.
Cette personne assignée doit être celle à qui toutes les questions sur la protection des données à caractère personnel sont adressées. Son rôle vise à contrôler le respect du règlement, conseiller le responsable de traitement des données et de faire office de point de contact avec l’autorité de contrôle. Il ou elle devra également être responsable de notifier la CNIL et les autres personnes concernées en cas de violation de la vie privée, dans un délai de 72h suivant la violation.
5. Appliquer les principes de privacy by design et privacy by default
Le principe de privacy by design vise la prise en compte de la notion du respect de la vie privée dès la conception du produit, service ou application.
Le principe de privacy by default, quant à lui, dicte que dès la mise en marché de tout nouveau produit, service ou application, l’entreprise doit garantir par défaut le plus haut niveau possible de protection des données. L’entreprise doit aussi chercher à minimiser la collecte et le traitement de données personnelles au strict nécessaire au fonctionnement du produit, service ou application.
6. Donner une flexibilité d’accès aux données utilisateurs
Le RGPD garantit à vos clients de nouveaux droits quant à l’accès à leurs données. Vous devez être en mesure de répondre à 4 droits primordiaux de vos utilisateurs :
- Droit à l’oubli : Vos contacts ont le droit de vous demander d’effacer l’ensemble des données que vous possédez sur eux. Assurez-vous de centraliser les informations de vos contacts au cas ou celui-ci applique son droit à l’oubli, il sera plus facile pour vous de supprimer ses informations rapidement.
- Droit de rectification : Vos contacts peuvent demander à tout moment à rectifier leurs informations.
- Droit à la portabilité : Vos contacts doivent avoir la possibilité de demander et récupérer à tout moment les informations que vous avez sur lui. Vous devriez donc avoir un système d’extraction de la donnée dans un format commun, ouvert et lisible sur ordinateur.
- Droit à l’accès : Il est important de bien définir, dans votre politique de confidentialité, l’usage que vous faites des données personnelles que vous collectez. Dans le cas ou votre client exerce son droit à l’accès, il faut lui donner un accès simple à ses données, tel que le préconise le droit à la portabilité.
7. Sensibiliser et former les collaborateurs
Tout collaborateur susceptible de manipuler vos données doit être au fait des bonnes pratiques pour garantir leur protection et leur confidentialité. Assurez-vous également de former toutes les personnes concernées au sein de votre entreprise.
Vous pouvez aussi utiliser des solutions marketing spécialisées dans l’exploitation de vos données. Par exemple, dans le cadre d’une stratégie de marketing distribué, certaines solutions comme Dialog Insight vous permettent de configurer un large spectre d’accès personnalisés à la donnée. Cette attribution des accès strictement nécessaires à chaque utilisateur ou collaborateur vous permet de minimiser les risques de fuite de données mais aussi de mauvaises manipulations de l’information.
Cette attribution se réalise par le biais de la configuration d’attributs de sécurité à votre information, la réalisation d’un arbre de permissions granulaire, ou bien grâce à une interface personnalisé au besoin de chaque utilisateur.
En savoir un peu plus sur le RGPD
Pour ceux qui se demandent quelle est la responsabilité des solutions d’envois marketing telles que Dialog Insight en cas de non-respect du RGPD, eh bien, un sous-traitant ne peut être tenu responsable pour la non-conformité de ses clients.
De notre côté, nous offrons tous les outils nécessaires à nos clients pour qu’ils y soient conformes. Nous conseillons également toujours la création d’un centre de consentement à nos nouveaux clients, mais cela reste leur responsabilité de bien appliquer la loi. Malgré tout, nous trouvons important de garantir que nous mettons tous les efforts nécessaires au respect des responsabilités des sous-traitants énoncés dans la loi, c’est-à-dire :
- Garantir la sécurité de nos données clients traitées;
- Soumettre nos employés à une entente de confidentialité;
- Notifier immédiatement les clients de toute violation de ses données;
- Assister, alerter et conseiller nos clients sur les bonnes pratiques de l’industrie et du RGPD.
Si vous êtes à la recherche d’une solution technologique qui vous permettra de vous conformer à la loi facilement, Dialog Insight peut certainement vous aider à y parvenir. Ayant anticipé que ce genre de mise en conformité des consentements deviendrait un enjeu clé du futur du marketing digital, Dialog Insight en a fait son cheval de bataille. Cela nous a permis, principalement, de consolider notre position de leader au Canada alors que les solutions étrangères ont pris plus de temps à se conformer à la loi C-28, puis plus récemment au RGPD.
Pour de plus amples informations, référez-vous au texte complet du Règlement général sur la protection des données (RGPD)!
Vous pouvez également télécharger notre checklist de conformité pour avoir ces conseils toujours à portée de mains!
[1] https://www.capgemini.com/fr-fr/news/rapport-sur-la-rgpd/