Le Règlement Général de Protection des Données (RGPD) repose sur trois points :
Le Délégué à la Protection des Données (DPO) est le gestionnaire de la mise en application du RGPD. Il doit informer, conseiller et effectuer des contrôles en interne afin de s’assurer des bonnes pratiques de son entreprise. En cas de contrôle, le DPO sera également l’interlocuteur avec lequel dialoguera la CNIL (l’autorité de contrôle de la conformité RGPD en France).
La désignation d’un DPO est obligatoire :
A partir du moment où l’organisme privé ou public traite des données personnelles, il doit tenir un registre des activités de traitement. Cette disposition est inscrite dans l’article 30 du RGPD.
Ce document doit recenser :
Le texte du RGPD définit la notion de consentement comme suit : « toute volonté, libre spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou un acte positif clair, que les données à caractère personnel la concernant face l’objet d’un traitement ».
Ainsi, tout organisme doit obtenir un consentement explicite pour le stockage et l’utilisation des données personnelles de l’utilisateur.
A noter :
Il est vivement conseillé de dédier une page de votre site à la consultation, à la modification et à la suppression des informations que vous avez pu recueillir. Chaque utilisateur doit pouvoir consulter les données le concernant sur simple demande. De la même manière, un utilisateur doit pouvoir retirer son consentement simplement.
Vous avez une page « Mentions légales » et/ou « Conditions générales d’utilisation/de vente » ? Modifiez les textes afin de vous mettre en conformité au RGPD. Si vous n’avez jamais créé de page de la sorte, il vous est vivement conseillé d’en créer une sans attendre.
Toujours dans un but de transparence et de mise en conformité au RGPD, vous devez indiquer clairement la manière dont seront utilisées les données que vous récoltez sur vos visiteurs.
Les cases en opt out sont désormais interdites ! Chaque personne doit effectuer une action claire et bien déterminée lorsqu’il décide d’envoyer un formulaire. Dans le cadre du Règlement Général à la Protection des Données, il est vivement conseillé de mettre des cases en opt in, voire en double opt in.
Lorsqu’un utilisateur décide de vous envoyer un formulaire, il doit avoir la possibilité de savoir ce que vous ferez de ses données.
Vous avez une base de données conséquente de contacts mail ? Leur avez-vous envoyé un e-mail pour les informer de l’évolution de votre politique de confidentialité et de votre mise en conformité au RGPD ?
Si vous ne l’avez pas fait jusque-là, n’attendez plus !
Dans tous les cas, un e-mail doit inclure un lien de désinscription. Ce lien de désinscription doit faciliter la suppression de l’adresse e-mail de votre base de données mailing.
RGPD, consentement, e-mailing et B2B
La notion de consentement n’est valable à 100 % que dans les relations B2C (Business To Client).
En effet, si une entreprise souhaite contacter une entreprise (B2B), le consentement n’est plus requis à partir du moment où la raison de l’e-mail n’est pas considérée comme abusif.
Si une agence immobilière de la région bordelaise souhaite faire une campagne d’e-mailing auprès des banquiers bordelais, elle n’aura pas besoin de leur consentement. Si elle souhaite faire une campagne d’e-mailing auprès des vendeurs de glaces dans la région de Nice, elle aura besoin du consentement initial.
Pour conclure sur ces rappels autour du RGPD, un an après sa mise en application, nous aimerions vous rappeler un point essentiel : vérifier la conformité au RGPD de vos sous-traitants. Si vous avez choisi des prestataires localisés hors de l’Union Européenne, redoublez de vigilance.
En cas de non-respect du RGPD, les sanctions prévues peuvent être très lourdes de conséquences. Le Règlement prévoit des amendes pouvant s’élever jusqu’à 20 millions d’euros (ou 4% du CA annuel mondial). De telles amendes seraient infligées pour les infractions les plus graves.