Le RGPD, Réglement Général pour la Protection des Données ou règlement n° 2016/679, est le nouveau texte de référence européen relatif à la protection des données à caractère personnel.
Les dispositions seront applicables à compter du 25 mai 2018. Tous les professionnels doivent donc être en conformité à cette échéance.
Une donnée à caractère personnel est une information permettant d'identifier directement ou indirectement une personne physique tel qu'un nom, une adresse, une adresse courriel, un identifiant en ligne, une adresse IP, une photo, le numéro de série d'un matériel donné lors de l'enregistrement d'une garantie, des données de localisation, des données physiques, physiologiques, génétiques, psychiques, économiques, culturelles ou sociales, etc.
Peu importe que la donnée concerne la vie privée, la vie publique ou la vie professionnelle : il n'y a plus de distinction; la prospection commerciale est également impactée car l'adresse courriel professionnelle d'un individu est considérée comme une donnée personnelle.
Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées.
La durée de conservation des données doit être définie et limitée au strict minimum :
une fois que l'objectif poursuivi par la collecte des données est atteint, il n'y a plus lieu de conserver les données et elles doivent être supprimées.
Toutefois, une durée de conservation plus longue peut être acceptée à des fins statistiques, sous réserve de mettre en oeuvre des mesures techniques et organisationnelles appropriées.
Notons que la norme française NS-048 (article 5) précise que les données ne peuvent pas être conservées plus de 3 ans après la collecte ou la fin de la relation commerciale; au delà, elles doivent être détruites ou archivées.
Le profilage consiste en toute forme de traitement automatisé de données à caractère personnel pour segmenter des individus et en prédire leurs préférences personnelles, leurs centres d'intérêt, leur situation économique, leur santé, leurs déplacements, etc.
Il est autorisé sous certaines conditions (respect des droits des individus, engagements sur les traitements appliqués, etc.)
Le consentement est la manifestation par laquelle une personne accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement.
Le consentement doit notamment être libre, univoque, éclairé et faire l'objet d'une déclaration prouvant son existence.
Dans le cadre d'une inscription à une infolettre (emailing), Diffuzia recommande d'utiliser le principe du double opt-in : une demande d'abonnement à une infolettre ne devient effective qu'après un clic sur un lien figurant dans un courriel de confirmation d'enregistrement de la demande.
Vous devez être en mesure d'apporter la preuve du consentement des individus. Ainsi, dans le cadre de votre infolettre, vous devez donc être en mesure de fournir la preuve du consentement des destinataires.
Vous devez donc avoir en votre possession : les données de l'individu, la date d'obtention des données, son accord pour recevoir votre infolettre; un courriel de confirmation (procédure de double opt-in) est fortement recommandé.
La prospection commerciale est autorisée par le RGPD, comme étant un intéret légitime d'une entreprise.
Mais l'adresse email professionnelle d'une personne étant dorénavant considérée comme une donnée personnelle, il vous appartient de respecter les droits des prospects, comme de n'importe quel individu.
Par exemple, de fournir la source d'où proviennent les données ou de prendre en compte les demandes de refus d'être prospecté.
Le RGPD s'applique aussi aux données collectées avant le 25 mai 2018.
Dès lors, est-il possible de continuer à envoyer une infolettre aux personnes dont vous n'avez pas la preuve de consentement et qui reçoivent déjà votre infolettre ?
Diffuzia propose différentes réflexions et démarches pour accompagner ses clients sur ce sujet particulier... contactez-nous !
Un processus de désabonnement simple, clair et efficace doit systématiquement être présent dans chacune de vos Campagnes.
L'idéal est d'associer à ce processus la possibilité de contacter une adresse courriel de retour.
Un individu a le droit de s'opposer à tout moment à un traitement des données à caractère personnel le concernant, y compris un profilage.
Sauf motif légitime, les données ne devront plus être traitées par les différents prestataires intervenant dans la chaîne de traitement.
Des fichiers de Contacts créés avec des actes clairs de consentement peuvent, éventuellement, être autorisés par le RGPD. Cependant Diffuzia est fermement contre cette pratique pour des soucis de délivrabilité et n'autorise pas leur utilisation à travers ses services.
Le traitement des données à caractère personnel relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 16 ans (sauf dérogation nationale). A défaut, le traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant.
En cas de violation des données à caractère personnel, il vous appartient d'informer la CNIL dans les 72 heures et l'individu concerné.
Que vous traitiez ou contrôliez des données, et quelle que soit la taille de votre entreprise, un délégué à la protection des données est obligatoire dans 3 cas.
Les entreprises qui choisissent de ne pas nommer de délégué à la protection des données devront être en mesure de prouver qu'elles ne correspondent à aucun des 3 cas obligatoires.
Donc anticipez en documentant votre choix dès maintenant, ne serait-ce que pour démontrer que vous y avez pensé.
Les sous-traitants sont dorénavant considérés comme co-responsables et doivent remplir des obligations tant dans l'accompagnement, le conseil que dans les traitements eux-mêmes.
Vérifiez donc leur engagement vis à vis du RGPD et demandez leur les mesures qu'ils ont instaurées pour le respecter.
Les sanctions sont applicables par pallier et peuvent aller jusqu'à de 20 millions d'euros ou 4% du CA mondial de l'entreprise concernée.