Vous avez probablement envie d’être en règle dans votre activité professionnelle ?
Moi aussi, je ne souhaite pas prendre de risques inutiles.
C’est pourquoi j’ai étudié pour vous aujourd’hui le RGPD, applicable depuis mai 2018 dans toute l’Union Européenne.
RGPD (ou GDPR en anglais) sont les initiales pour “Règlement Général sur la Protection des Données”.
Voici ce que Laurent m’en a dit hier matin :
On valide ! Le RGPD est un sujet très important Audrey. La plupart de tes lecteurs ont tout intérêt à s’y intéresser d’autant plus que cela impacte le fonctionnement du Marketing Digital sur de nombreux axes.
OK l’équipe, je comprends. Il y a donc un lien très clair entre les actions de Marketing Digital que vous entreprenez pour développer votre entreprise et le RGPD.
Avant d’aller plus loin car je suis toujours partisane de prendre l’information à la source, voici le texte officiel du règlement RGPD.
Si vous êtes comme moi, vous n’y avez (presque) rien compris. Et vous n’avez probablement pas, en tant que chef d’entreprise, une journée pour lire et comprendre ce texte de loi.
D’où l’intérêt, je le souhaite, de l’article qui suit.
Je vais vous faire découvrir le RGPD en détail, allons-y !
Table des matières
Le RGPD 2018, c’est quoi ?
En 2016, les états de l’Union Européenne ont voté le règlement sur la protection des données.
Son objectif : Avoir des règles communes dans tous les pays de l’Union.
En mai 2018, toutes les entreprises de l’UE doivent s’être adaptées pour être en conformité.
Selon Thomas Dagonet, du cabinet de conseil Redsen traitant du RGPD, la finalité de cette législation européenne est de permettre aux citoyens d’avoir un meilleur contrôle sur l’utilisation de leurs données. Mais aussi aux entreprises d’avoir un processus simplifié pour la réglementation.
Amendes liées au RGPD
Le RGPD s’applique à toute collecte, traitement et utilisation de données personnelles des personnes physiques.
En clair, tout citoyen européen est maintenant protégé par le RGPD.
Cela vous concerne aussi si vous êtes une entreprise basée hors de l’UE et que vous avez des activités de Marketing Digital en France ou dans d’autres pays de l’Union Européenne.
Et les entreprises ne respectant pas les dispositions du RGPD risquent des amendes !
Si cela vous rappelle les règles émises par la CNIL en France, ce n’est pas pour rien. De nombreuses obligations précédemment imposées par la CNIL sont remplacées par le RGPD.
Une petite différence : le montant des sanctions est bien plus important avec le RGPD.
Si vous collectez et utilisez des données personnelles sans respecter le RGPD, vous risquez une amende de 4% du CA mondial de votre entreprise !
Et même si le montant des amendes est limité à… 20 millions d’Euros. Cela ne rigole plus 🙂
Evidemment, vous risquez auparavant de subir un avertissement, d’être mis en demeure, d’arrêter vos traitements d’informations et plein d’autres choses désagréables…
Mon but n’est pas de vous faire peur, mais de vous faire comprendre l’importance de l’enjeu de se mettre en conformité.
Les droits des citoyens renforcés par le RGPD
On entend parler du droit à l’oubli depuis des années.
Le RGPD renforce non seulement le droit à l’oubli mais aussi :
- Le droit d’être prévenu si nos données ont été piratées,
- Celui de demander à effacer ses données ou les transférer vers un autre prestataire, etc.
Imaginez que Facebook soit obligé de m’aider à transférer mes données personnelles vers un de ces concurrents ? Cela est déjà possible via la copie de ses données Facebook.
La logique de conformité côté entreprises
Avant le RGPD, il fallait faire des déclarations ou demander des autorisations (pensez à la déclaration d’une liste de contacts à la CNIL), avec le RGPD, il suffit d’être en conformité.
Votre entreprise doit donc :
- Prendre les mesures réelles pour être en conformité,
- Être à tout moment capable de prouver à l’autorité de contrôle que ces mesures sont bien mises en place.
Voyons un peu plus en détail comment, en tant qu’entrepreneur, le RGPD vous impacte quotidiennement.
Les limitations et actions imposées par le RGPD
Avec la mise en oeuvre du règlement européen « à la CNIL », les entreprises doivent maintenant :
- Limiter la collecte des données personnelles au strict minimum nécessaire,
- Obtenir et conserver le consentement des citoyens,
- Sécuriser les données récoltées.
Nous verrons ensuite comment mettre cela en pratique.
Mais comme vous pouvez déjà le voir, le RGPD restreint fortement ce que les entreprises ont le droit de faire !
A qui s’applique le règlement européen 2018 ?
Le RGPD s’applique à toute entreprise qui a une activité de collecte, de traitement et d’utilisation sur les données privées de citoyens européens.
Dit comme cela, ce sont toutes les entreprises ou presque !
Car même une activité dont les clients sont des entreprises ou des professionnels (B2B) demande des informations personnelles à ses interlocuteurs à certaines occasions.
Prenons un exemple, je réalise sur LinkedIn une extraction de noms, prénoms et emails professionnels grâce à un outil d’extraction dédié.
Je cible bien des entreprises. Mais le nom et le prénom sont bien des données personnelles des employés. Et selon Amabis, autre expert du RGPD, l’adresse email professionnelle est aussi une donnée personnelle.
Me voilà donc dans l’impossibilité de poursuivre cette pratique de Growth Hacking.
On comprend donc bien que LinkedIn, Facebook et autres Twitter, sont ravis de l’apparition du règlement européen. En effet, cela devrait limiter l’utilisation de tels outils « parasitant » leurs réseaux.
Si une entreprise récolte des informations personnelles « à grande échelle » (c’est le terme du RGPD, j’avoue … ce n’est pas très clair !), vous devez encore aller plus loin que les dispositions principales.
C’est le cas des organismes publics ou des grandes entreprises privées. Je vais partir du principe que vous mes lecteurs, vous gérez plutôt des entreprises TPE et PME. Mais si vous souhaitez en savoir plus, voici une liste des actions à mener, proposée par la CNIL. Il s’agira par exemple de créer un registre de toutes les collectes et traitements de données personnelles, mais aussi de désigner un délégué sur le sujet de la protection des données.
Attention toutefois, note importante : les entreprises B2B peuvent déroger au principe du consentement préalable !
Comment se mettre concrètement en conformité avec le règlement RGPD ?
Voyons les 3 obligations principales, une par une.
1. Limiter la collecte des données personnelles au strict minimum nécessaire
Le RGPD 2018 impose de ne récolter que des informations personnelles nécessaires, et limiter leur conservation dans le temps (12 mois).
Prenons un exemple concret.
Imaginons que vous vendez des formations pour bien ranger son bureau, à des entrepreneurs individuels.
Ceux-ci arrivent sur votre site et vous leur demandez de remplir un formulaire de contact, pour s’inscrire à la prochaine formation prévue.
Si vous leur demandez, par exemple, leur date et lieu de naissance, vous risquez d’avoir des problèmes !
En effet, ces 2 informations ne sont pas a priori du tout nécessaires pour faire une formation sur le rangement de bureaux !
Pour éviter tout souci, réalisez un parcours de votre site et de tous les lieux Web où vous demandez aux internautes des infos :
- Une lead Ad sur Facebook,
- Un formulaire sur une page d’atterrissage gérée avec un site partenaire, …
Faites consciencieusement cette identification/audit pour éviter de rater des choses à corriger.
2. Obtenir et conserver le consentement des citoyens
Le RGPD 2018 rend obligatoire l’obtention du consentement de vos prospects, lors de la collecte d’une adresse email ou tout autre information personnelle.
Pour cela, mettez à jour vos clauses sur le consentement sur vos Conditions Générales de Vente (CGV) ou vos Conditions Générales d’Utilisation (CGU). Et insérez un lien de type « J’accepte les CGV… » vers vos clauses à tout endroit de votre site où vous collectez une adresse email, un nom, un prénom, une date de naissance, etc.
Ce n’est pas une mince affaire !
3. Sécuriser les données récoltées
Et enfin, n’oubliez pas cette dernière obligation : sécuriser et protéger les données récoltées.
Reprenons notre exemple de formateur en rangement de bureaux. Imaginons que vous avez collecté 1 000 adresses emails, noms et prénoms.
Mais que, de toutes évidences, vous ne protégez pas correctement l’accès à votre espace administrateur (WordPress par exemple) avec un mot de passe trop simple à trouver, et, de nouveau, vous êtes responsable s’il y a un vol de données…
Et les internautes peuvent vous demander réparation pour les dommages subis !
En conséquence, vous devez travailler à la protection et à la sécurisation de votre site Internet d’entreprise.
Quid de WordPress par rapport au RGPD ?
L’un des avantages de WordPress dont j’ai souvent parlé est la possibilité de rendre le site web de votre entreprise plus puissant avec des extensions.
Ces extensions évitent un développement qui peut-être complexe et coûteux.
Par contre, avec les contraintes imposées par le RGPD, ça va devenir plus compliqué. En effet, vous ne maîtrisez pas l’arrière boutique de toutes ces extensions. Certaines installent surement des cookies et on peut imaginer qu’elle récupèrent aussi des informations.
Si vous voulez être prudent, je vous conseille de ne faire appel qu’à des extensions qui annoncent être en conformité elles-même avec le RGPD.
C’est d’ailleurs aussi le conseil de Alexandre JOLY, dit Inazo sur Kanjian.
Alexandre évoque aussi le risque des “embed” sur WordPress. En effet, lorsque vous insérez une vidéo, une infographie, un slideshare, ou encore une carte géographique dans un article, que se passe-t-il en arrière-plan ?
Maintenant que je suis bien consciente des enjeux et des contraintes, je vais faire un peu plus attention lorsque je testerai une nouvelle extension ou un nouveau service sur internet.
Et prions que Mailchimp fasse le nécessaire pour être lui-même en conformité !
Pour conclure sur le règlement européen de protection des données personnelles
Au cours de cet article, je vous ai d’abord présenté en détail les dispositions du RGPD. Vous avez aussi vu comment ce nouveau règlement peut impacter votre activité professionnelle. Et pourquoi il faut s’y préparer.
Dans la deuxième partie, j’espère que vous avez compris les 3 obligations majeures liées au RGPD :
- Limiter la collecte des données au strict nécessaire,
- Obtenir et conserver le consentement des utilisateurs
- Sécuriser les données récoltées.
Et comme un homme averti en vaut 2, mettez en action ce que vous venez d’apprendre pour éviter toute sanction.
Si ce sujet vous a interpellé, ne paniquez pas. Chez #audreytips, nous considérons que le RGPD est une opportunité à saisir pour améliorer l’efficacité de votre Marketing Digital.
Et vous, chère lectrice, cher lecteur, qu’en pensez-vous ? Connaissiez-vous que le RGPD ? Saviez-vous qu’il a des impacts majeurs sur la façon dont on travaille en Marketing Digital ? Avez-vous déjà préparé votre entreprise à cette mutation profonde ?
bonjour
je suis pâtissier et je saisi les adresses, téléphone et mail de mes clients pour leur commandes du week end
je considère leur acceptation de fait mais faut il en faire plus ?
ça risque de ressembler à une usine à gaz
que me conseillez vous ?
A vous lire
Merci pour ceci !
Tout dépend de ce que vous faites ensuite de ces informations personnelles. Si vous les conservez uniquement pour traiter la commande et ensuite les supprimez définitivement, je pense (à vérifier avec un avocat spécialisé) que tout est en ordre. Mais si vous utilisez ensuite ces emails pour d’autres choses (newsletter, invitations aux réseaux sociaux, etc), il faudrait (a minima) préciser aux clients que vous allez faire d’autres choses avec leurs données (et préciser quoi) pour obtenir leur consentement éclairé et complet. C’est aussi une question de respect du client tout simplement 🙂
Aviez-vous ceci en tête pour la gestion ultérieure de ces données ?
Bonjour,
je travaille dans une association, sommes-nous également concernés par cette protection des données? Notre base de données comprend des donateurs, partenaires, organismes divers…
Merci pour votre réponse
Bonjour, oui vous êtes aussi concernés. Ce n’est pas tant l’organisme et son type qui compte, c’est bien les données de l’individu qui sont à protéger, quel que soit l’entreprise, l’association ou autre qui les manipule.
Très bon article, très éclairant. Espérons que #wordpress montre encore une fois sa capacité d adaptation lors d’une prochaine mise à jour. Pour les plugins pour beaucoup développés hors Europe c est une autre paire de manche.
Merci Patrice pour ceci, oui nous avons confiance en WordPress mais pour les extensions moins connues et qui ciblent moins l’Europe, ce sera à surveiller de près !
Conseillez-vous vos propres clients sur le RGPD ? Est-ce que cela fait partie de leurs préoccupations ?
Bonjour, après lecture de votre article très bien récapitulé, je me pose des questions quant au cas de l’entreprise dans laquelle je travaille.
Je suis secrétaire dans une entreprise PME de 12 personnes spécialisée dans la menuiserie, la charpente et la couverture.
Au niveau traitement de données, je prend note bien sûr de tous les coordonnées des clients y compris leurs mails afin de leur préparer et de leur faire parvenir leurs devis…
Nous ne faisons pas d’opérations d’e-mailings pour de la pub ou autre….
Nous avons un site internet qui est géré par les pages jaunes sur lequel il y a seulement un lien de « contact » à remplir pour prendre les demandes éventuelles.
Aujourd’hui, nous sommes démarchées par des vendeurs de système informatique afin de mettre en place des systèmes d’hébergement pour la sauvegarde et la protection des données !!!! Je ne sais pas quoi en penser, est-ce utile ?
A notre niveau qu’avons nous à mettre en place pour être en « règle »?
Vous remerciant par avance de vos réponses.
Merci de votre sympathique commentaires concernant l’article et pour votre question !
La règle principale est d’obtenir le consentement des internautes sur l’utilisation qui sera faite de leurs données personnelles. Bien entendu, il ne faut pas récolter de données de manière non autorisée. Vous semblez être en règle sur ces points, mais n’hésitez pas à toujours consulter un juriste spécialisé en cas de doute, Audrey n’est pas avocate 🙂
Par ailleurs, vous êtes aussi sensée protéger les données récoltées de la part de hackers etc, qui pourraient les dérober et en faire une mauvaise utilisation. Si votre site est sur les Pages Jaunes, tout devrait être en ordre, ils sont responsables de protéger votre site et ses données. Par contre, assurez-vous d’avoir mis en place des mots de passe inviolables !
Bonjour,
Je vous remercie pour votre article, car cette nouvelle réglementation est très confuse. L’email d’une entreprise, est-ce une donnée personnelle ? Est-il permis de prendre le mail de contact d’une entreprise sur son site web pour lui envoyer une proposition commerciale ? Je ne parle de mailing de masse, seulement d’un mail commercial. Cela rentre-t-il dans le cadre de ces nouvelles dispositions ? Je vous remercie d’avance de votre réponse.
Bonjour Françoise,
Merci pour ceci : a priori, une adresse email générique d’entreprise de type contact@ ou info@ n’est pas une donnée personnelle. En effet, elle n’est pas liée à une personne physique.
Cependant, si j’étais vous, je n’inscrirais jamais (sans l’accord préalable) une adresse générique à une newsletter ou dans un flux de marketing automation.
Car certaines petites entreprises, voire travailleurs indépendants, utilisent une adresse email générique en guise d’adresse email personnelle.
Mon avis, mais je rappelle que je ne suis pas juriste spécialisé sur le sujet : vous pouvez contacter des entreprises sur un email générique, avec parcimonie et dans le respect du destinataire. Donc en donnant de la valeur dans votre email, en le personnalisant, en vous mettant à la place de la personne qui va le recevoir.
Avez-vous d’ailleurs en place un système permettant de se désinscrire à vos envois d’emails ? Via mailchimp par ex ?
Bonjour, merci pour votre article qui permets enfin de comprendre de manière pratique cette règlementation. Je travaille dans une structure qui envoie des emailing à un réseau professionnel dont les données sont récupérer via l’ordre professionnel, et les adresses par phoning ou recherche internet. ces données étant publiques dans quelles mesures doit on appliquer la règle du consentement ? D’autre part, le fichier étant mis régulièrement à jour, comment appliquer la règle des 12 mois à une base de 30 000 contacts?
Bonjour Florence et merci de votre retour. Le fait que l’adresse email d’un professionnel soit indiqué publiquement en ligne n’est pas, de mon point de vue, équivalent à une autorisation de l’utiliser pour le contacter 🙂 L’opt-in s’applique ici aussi…
Un fichier, qu’il fasse 30, 30.000 ou 3 millions de contacts, doit être maintenu à jour, c’est une des difficultés du RGPD. Des outils professionnels tels que MailChimp vous aident à segmenter et maintenir à jour votre base, vous y trouverez la date d’insertion dans la liste, ce qui permet des suppressions à la date souhaitée.
Bonjour, article très bien fait mais j’ai un doute qui subsiste:
Ma société n’utilise que le nom et prénom des personnes dans le cadre d’une carte de fidélité. Les seules autres informations dessus sont le matériel acheté (dans le cadre d’une garantie) et à la rigueur une saveur favorite. Nous n’envoyons pas de mails, nous les gardons que pour faciliter la vie du client qui a fort à faire avec toutes les cartes de fidélité qu’on lui propose. Sommes nous soumit à cette loi? Si oui je trouve dommage qu’à cause d’abus nous en arrivions à ce point là.
Merci Eric pour ceci ! A nouveau, je ne suis pas juriste 🙂
Mais cette utilisation des données personnelles me semble tout à fait acceptable !
N’oubliez pas cependant que 1. vous devez protéger (et prouver que vous le faites) ces données personnelles contre tout hackage…regardez les problèmes de Facebook actuels, qui n’a pas su protéger 87 millions de ses comptes 2. vous ne pouvez pas conserver les données au-delà d’une certaine durée…
Bonjour, merci pour cet article qui démontre bien la nécessité de faire attention avec la RGPD.
Je reprends l’affaire familiale dans le secteur de l’ameublement, nous avons un magasin physique et un site internet.
Pour l’établissement du bon de commande et assurer la livraison auprès de nos clients, nous avons besoin de leur nom, prénom, et adresse (date de naissance uniquement sur le site qui est sur OVH/Prestashop).
J’ai mis en place le module prestashop RGPD payant (version 1.6 de prestashop) et je me demande si je suis bien en règle…
Merci pour ceci et bravo de vous intéresser à la question du RGPD. Le recueil de ces informations est nécessaire pour accomplir la prestation, donc pas de problème, sauf pour la date de naissance, dont je ne vois pas en quoi vous en avez besoin pour vendre des meubles 🙂
Comme d’habittude, on n’apprend strictement rien dans cet article hormis le fait de se mettre en conformité avec la RGPD, mais ça ne dit pas sur quoi.
Et de toute façon cela vaut autant que l’obligation d’information des cookies provenant de la CNIL. De la pisse de diplômate très sincèrement.
Un grand groupe tel que facebook, google et j’en passe, ont des relations où peuvent s’en créer facilement. Des millions d’entreprises (notamment par le biais des applications mobile) exploitent grandement les données personnelles (c’est concrètement ça que l’on nomme le Big Data au final). De là à ce qu’une grande boite tombe cela voudra dire alors qu’un concurrent a payé quelqu’un pour mettre en évidence une faille. Car ce n’est pas le petit dev dans son coin qui va faire grand chose car tant qu’il n’y a pas de plainte, déjà y a pas de vague.
Il y a une époque où si l’on avait annoncé par les médias, aux citoyens que le pays obligeait à ficher tous ses concitoyens, tous le monde aurait crié au scandale.
Aujourd’hui il suffit de demandé aux personnes sur un jeu ou appli et emballé c’est pesé, on peut récupérer empreinte digitale, empreinte rétinienne, faceid, lire les sms qui transite, voir les vidéos, photos etc…
Enfin les possiblités sont innobrables et ultra personnelle.
Je le redis sans langue de bois (car je n’aime pas le politiquement correcte inutile), c’est de la pisse de diplômate.
Merci pour ce retour ! C’est une vision des choses et merci de la partager 🙂 Il faut en effet surveiller, en tant que citoyens, que les données personnelles ne puissent pas être accaparées et c’est tout l’objet du RGPD justement. Il impose des contraintes aux grands groupes également, vous aurez certainement reçu de nombreuses notifications de la part de Facebook, Google, etc vous indiquant leur mise en oeuvre du RGPD 🙂
Bravo pour l’article très complet.
Comme complément si besoin, nous avons développé un générateur de mentions légales RGPD.
Encore bravo pour l’article !
Merci Alexandre pour le générateur. Sans aucun doute c’est utile