En vigueur depuis le 25 mai 2018, le RGPD a révolutionné la collecte et le traitement des données à caractère personnel pour toutes les entreprises européennes ou s’adressant à des résidents de l’UE. Les impacts sont nombreux que ce soit lors de la mise en place de stratégie de communication efficace, la gestion de site Internet ou même pour des opérations de Street marketing. Présentation du règlement.
1. RGPD : ce que dit la loi
Le RGPD, autrement appelé « Règlement Général sur la Protection des Données », est un texte de loi visant à encadrer le traitement des données personnelles collectées par les entreprises sur l’ensemble du territoire de l’Union européenne. En France, il s’inscrit dans la continuité de la Loi Informatique et Libertés de 1978.
Dans le cadre du RGPD, on entend par « données personnelles », toute information permettant d’identifier de manière directe ou indirecte une personne physique (nom, prénom, téléphone, adresse…).
Les objectifs du Règlement
Conçu pour moderniser et uniformiser le cadre juridique en matière de protection des données, le RGPD vise à :
- Uniformiser au niveau européen la réglementation sur la protection des données.
- Responsabiliser davantage les entreprises et les acteurs traitant des données sur leur utilisation.
- à disposer de leurs données
En résumé : « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises ».
Les objectifs du Règlement
Il s’applique à toute organisation, publique et privée, quelle que soient sa taille et son activité, traitant des données à caractère personnel pour son compte ou non, qu’elles soient :
- Implantées dans l’un des 27 états membres de l’Union européenne,
- À travers le monde mais ciblant directement des résidents de l’UE.
Ainsi, que vous soyez une grande entreprise, une PME ou même une TPE, vous êtes concernés !
2. Les 5 principes fondamentaux du RGPD
Zoom sur les grands principes du RGPD définis dans son article 5.
La licéité, la loyauté et la transparence
Le traitement de la donnée doit :
- Être licite c’est-à-dire répondre à l’une des 6 conditions (bases légales) prévues par le règlement (article 6) : consentement, contrat, obligation légale, mission d‘intérêt public, intérêt légitime, sauvegarde des intérêts vitaux.
- Correspondre à ce que l’entreprise annonce, collecter et faire de la donnée collectée.
- Se faire en toute transparence pour la personne concernée. Elle doit être prévenue de manière claire et compréhensible mais aussi être en mesure de faire valoir ses droits.
La minimisation des données collectées, la limitation des finalités et le consentement
Chaque donnée personnelle collectée doit être justifiée et légitime. Pour cela, vous devez indiquer à l’internaute :
- L’identité du responsable de fichier
- La finalité du fichier, c’est-à-dire la raison de la collecte
- Le type de données collectées
- Le caractère obligatoire ou facultatif des réponses
- Les destinataires
- …
La récolte doit être minimisée, c’est-à-dire que vous ne devez collecter uniquement ce qui est nécessaire pour les finalités définies.
Vous devrez également obtenir son consentement explicite et « positif ».
À noter que ce consentement peut être retiré à tout moment par les individus le demandant et qu’en tant qu’entreprise, vous devez être en mesure de prouver le recueil de ce consentement.
Le droit des personnes
- Accès à la rectification, l’oubli et l’effacement : toute personne doit être en mesure de pouvoir accéder à l’ensemble des informations collectées le concernant,connaître leur origine, en obtenir la copie et exiger que ses données soient rectifiées, complétées, mises à jour ou supprimées.
- Opposition : possibilité de s’opposer à la réutilisation de ses coordonnées à des fins commerciales, lors d’une commande ou de la signature d’un contrat.
- À la portabilité : il permet à toute personne de recevoir les données personnelles collectées le concernant afin de les transmettre à un autre responsable de traitement.
En savoir + sur vos droits : https://www.cnil.fr/fr/respecter-les-droits-des-personnes
La limitation de la conservation
Désormais, l’utilisation des données collectées est limitée dans le temps en fonction de sa nature et de la finalité du fichier. À titre d’exemple :
- 36 mois : durée maximale autorisée pour conserver les données des personnes inactives dans votre base de données (à savoir celles qui ne répondent plus à vos sollicitations).
- 13 mois : délais suivant lequel vous devez redemander à vos visiteurs web leur consentement pour enregistrer leurs données via les cookies.
- 1 mois : délais selon lesquels vous devez répondre à la demande d’un utilisateur exerçant son droit d’accès.
Au-delà de ces délais, vous ne pourrez plus utiliser la donnée en votre possession et devrez la supprimer.
L’intégrité et la confidentialité
L’entreprise doit être en mesure de garantir la confidentialité des données collectées. Cela signifie qu’elle doit veiller à la sécurité des éléments et les protéger en cas de perte, de traitement non autorisé, de leur destruction…
3. Les impacts du RGPD sur votre stratégie de communication
Il existe des bons réflexes à adopter pour une stratégie de communication et marketing en règle avec le RGPD :
- Allégez vos formulaires de contact pour ne collecter que les données vraiment nécessaires.
- Le recueil du consentement devant être positif et explicite, n’utilisez plus des cases « pré-cochées » par défaut dans vos formulaires.
- Vous pouvez mettre en place un système de double consentement : via le formulaire de contact puis via un email de confirmation envoyé.
- Appelez au consentement depuis votre formulaire de manière claire et compréhensible.
- Facilitez l’exercice des droits des personnes en proposant un formulaire en ligne dédié ou en communiquant les coordonnées de votre responsable de traitement.
- Informez sur les cookies et traceurs publicitaires utilisés sur votre site Internet et récoltez l’accord des visiteurs via un bandeau dédié.
- Affichez sur votre site Internet, dans le footer par exemple, votre politique de protection des données.
- Actualisez régulièrement votre base de données pour ne pas conserver des informations erronées ou datées.
- Vérifiez que vos prestataires soient bien en conformité avec le RGPD.
Plus d’info ici :
- Les 6 bons réflexes à adopter : https://www.cnil.fr/fr/adopter-les-six-bons-reflexes
- RGPD en pratique : communiquer en ligne https://www.cnil.fr/fr/rgpd-en-pratique-communiquer-en-ligne
Plus que jamais, si cela n’est pas encore fait, il temps de vous mettre en conformité avec le RGPD. Besoin d’accompagnement pour vérifier si votre site Internet est bien en règle ? Rapprochez-vous de votre prestataire ou votre agence de communication globale, à l’image de Compos’it, pour faire le point.