Qu'est-ce qu'une donnée à caractère personnel ?

Une donnée à caractère personnel est une information permettant d'identifier directement ou indirectement une personne physique tel qu'un nom, une adresse, une adresse courriel, un identifiant en ligne, une adresse IP, une photo, le numéro de série d'un matériel donné lors de l'enregistrement d'une garantie, des données de localisation, des données physiques, physiologiques, génétiques, psychiques, économiques, culturelles ou sociales, etc.
Peu importe que la donnée concerne la vie privée, la vie publique ou la vie professionnelle : il n'y a plus de distinction; la prospection commerciale est également impactée car l'adresse courriel professionnelle d'un individu est considérée comme une donnée personnelle.
Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées.

Combien de temps puis-je conserver les données ?

La durée de conservation des données doit être définie et limitée au strict minimum :
une fois que l'objectif poursuivi par la collecte des données est atteint, il n'y a plus lieu de conserver les données et elles doivent être supprimées.
Toutefois, une durée de conservation plus longue peut être acceptée à des fins statistiques, sous réserve de mettre en oeuvre des mesures techniques et organisationnelles appropriées.
Notons que la norme française NS-048 (article 5) précise que les données ne peuvent pas être conservées plus de 3 ans après la collecte ou la fin de la relation commerciale; au delà, elles doivent être détruites ou archivées.

Le profilage est-il autorisé ?

Le profilage consiste en toute forme de traitement automatisé de données à caractère personnel pour segmenter des individus et en prédire leurs préférences personnelles, leurs centres d'intérêt, leur situation économique, leur santé, leurs déplacements, etc.
Il est autorisé sous certaines conditions (respect des droits des individus, engagements sur les traitements appliqués, etc.)

Le consentement, c'est quoi ?

Le consentement est la manifestation par laquelle une personne accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement.
Le consentement doit notamment être libre, univoque, éclairé et faire l'objet d'une déclaration prouvant son existence.
Dans le cadre d'une inscription à une infolettre (emailing), Diffuzia recommande d'utiliser le principe du double opt-in : une demande d'abonnement à une infolettre ne devient effective qu'après un clic sur un lien figurant dans un courriel de confirmation d'enregistrement de la demande.

Quels sont les droits d'un individu ?

• des finalités du traitement auquel sont destinées les données
• de la durée de conservation des données
• de l'intention de transférer les données vers un pays tiers ou à une organisation internationale
• de son droit à accéder, rectifier ou effacer les données le concernant
• de son droit à s'opposer au traitement des données le concernant

Comment prouver le consentement ?

Vous devez être en mesure d'apporter la preuve du consentement des individus. Ainsi, dans le cadre de votre infolettre, vous devez donc être en mesure de fournir la preuve du consentement des destinataires.
Vous devez donc avoir en votre possession : les données de l'individu, la date d'obtention des données, son accord pour recevoir votre infolettre; un courriel de confirmation (procédure de double opt-in) est fortement recommandé.

Comment faire de la prospection commerciale BtoB ?

La prospection commerciale est autorisée par le RGPD, comme étant un intéret légitime d'une entreprise.
Mais l'adresse email professionnelle d'une personne étant dorénavant considérée comme une donnée personnelle, il vous appartient de respecter les droits des prospects, comme de n'importe quel individu.
Par exemple, de fournir la source d'où proviennent les données ou de prendre en compte les demandes de refus d'être prospecté.

Puis-je continuer à envoyer une infolettre à tous mes clients ?

Le RGPD s'applique aussi aux données collectées avant le 25 mai 2018.
Dès lors, est-il possible de continuer à envoyer une infolettre aux personnes dont vous n'avez pas la preuve de consentement et qui reçoivent déjà votre infolettre ?
Diffuzia propose différentes réflexions et démarches pour accompagner ses clients sur ce sujet particulier... contactez-nous !

Comment gérer le désabonnement des Campagnes (newsletters) ?

Un processus de désabonnement simple, clair et efficace doit systématiquement être présent dans chacune de vos Campagnes.
L'idéal est d'associer à ce processus la possibilité de contacter une adresse courriel de retour.

Que se passe-t-il si un individu s'oppose à son profilage ?

Un individu a le droit de s'opposer à tout moment à un traitement des données à caractère personnel le concernant, y compris un profilage.
Sauf motif légitime, les données ne devront plus être traitées par les différents prestataires intervenant dans la chaîne de traitement.

L'achat de fichiers de Contacts est-il autorisé ?

Des fichiers de Contacts créés avec des actes clairs de consentement peuvent, éventuellement, être autorisés par le RGPD. Cependant Diffuzia est fermement contre cette pratique pour des soucis de délivrabilité et n'autorise pas leur utilisation à travers ses services.

Est-il possible d'obtenir des données sur les enfants ?

Le traitement des données à caractère personnel relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 16 ans (sauf dérogation nationale). A défaut, le traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant.

Que faire en cas de fuite ou de piratage ?

En cas de violation des données à caractère personnel, il vous appartient d'informer la CNIL dans les 72 heures et l'individu concerné.

Et si je ne veux pas d'un Délégué à la Protection des Données ?

Que vous traitiez ou contrôliez des données, et quelle que soit la taille de votre entreprise, un délégué à la protection des données est obligatoire dans 3 cas.
Les entreprises qui choisissent de ne pas nommer de délégué à la protection des données devront être en mesure de prouver qu'elles ne correspondent à aucun des 3 cas obligatoires.
Donc anticipez en documentant votre choix dès maintenant, ne serait-ce que pour démontrer que vous y avez pensé.

Quel impact sur mon organisation interne ?

• tenir un registre des traitements
• désigner un Délégué à la protection des données
• veiller à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité
• limiter l'accès aux données aux seules personnes nécessaires à leur traitement
• estimer les besoins (quelles données, quels moyens, quelle sécurité,...) dès la conception et en tout état de cause avant de commencer toute démarche marketing ou relation client
• s'assurer que les sous-traitants soient conformes au RGPD

• utiliser un système de chiffrement ou la tokenisation des données
• disposer d'un système de recueil et de conservation des preuves de consentement
• sécuriser les accès aux machines contenant les données (accès physique des batiments, accès par authentification pour les connexions informatiques,...)
• utiliser des systèmes sauvegarde et d'archivage permettant le rétablissement des données après un problème technique
• permettre la suppression des données suite à une demande ou après le délais légal de conservation
• mettre en conformité les CGU, CGV, formulaires de collecte des données,...