Vous avez probablement envie d’être en règle dans votre activité professionnelle ?

Moi aussi, je ne souhaite pas prendre de risques inutiles.

C’est pourquoi j’ai étudié pour vous aujourd’hui le RGPD, applicable depuis mai 2018 dans toute l’Union Européenne.

RGPD (ou GDPR en anglais) sont les initiales pour “Règlement Général sur la Protection des Données”.

Voici ce que Laurent m’en a dit hier matin :

On valide ! Le RGPD est un sujet très important Audrey. La plupart de tes lecteurs ont tout intérêt à s’y intéresser d’autant plus que cela impacte le fonctionnement du Marketing Digital sur de nombreux axes.

OK l’équipe, je comprends. Il y a donc un lien très clair entre les actions de Marketing Digital que vous entreprenez pour développer votre entreprise et le RGPD.

Avant d’aller plus loin car je suis toujours partisane de prendre l’information à la source, voici le texte officiel du règlement RGPD.

Si vous êtes comme moi, vous n’y avez (presque) rien compris. Et vous n’avez probablement pas, en tant que chef d’entreprise, une journée pour lire et comprendre ce texte de loi.

D’où l’intérêt, je le souhaite, de l’article qui suit.

Je vais vous faire découvrir le RGPD en détail, allons-y !

Le RGPD 2018, c’est quoi ?

En 2016, les états de l’Union Européenne ont voté le règlement sur la protection des données.

Son objectif : Avoir des règles communes dans tous les pays de l’Union.

En mai 2018, toutes les entreprises de l’UE doivent s’être adaptées pour être en conformité.

Selon Thomas Dagonet, du cabinet de conseil Redsen traitant du RGPD, la finalité de cette législation européenne est de permettre aux citoyens d’avoir un meilleur contrôle sur l’utilisation de leurs données. Mais aussi aux entreprises d’avoir un processus simplifié pour la réglementation.

Amendes liées au RGPD

Le RGPD s’applique à toute collecte, traitement et utilisation de données personnelles des personnes physiques.

En clair, tout citoyen européen est maintenant protégé par le RGPD.

Cela vous concerne aussi si vous êtes une entreprise basée hors de l’UE et que vous avez des activités de Marketing Digital en France ou dans d’autres pays de l’Union Européenne.

Et les entreprises ne respectant pas les dispositions du RGPD risquent des amendes !

Si cela vous rappelle les règles émises par la CNIL en France, ce n’est pas pour rien. De nombreuses obligations précédemment imposées par la CNIL sont remplacées par le RGPD.

Une petite différence : le montant des sanctions est bien plus important avec le RGPD.

Si vous collectez et utilisez des données personnelles sans respecter le RGPD, vous risquez une amende de 4% du CA mondial de votre entreprise !

Et même si le montant des amendes est limité à… 20 millions d’Euros. Cela ne rigole plus 🙂

Evidemment, vous risquez auparavant de subir un avertissement, d’être mis en demeure, d’arrêter vos traitements d’informations et plein d’autres choses désagréables…

Mon but n’est pas de vous faire peur, mais de vous faire comprendre l’importance de l’enjeu de se mettre en conformité.

Les droits des citoyens renforcés par le RGPD

Les droits des citoyens renforcés par le RGPD

On entend parler du droit à l’oubli depuis des années.

Le RGPD renforce non seulement le droit à l’oubli mais aussi :

  • Le droit d’être prévenu si nos données ont été piratées,
  • Celui de demander à effacer ses données ou les transférer vers un autre prestataire, etc.

Imaginez que Facebook soit obligé de m’aider à transférer mes données personnelles vers un de ces concurrents ? Cela est déjà possible via la copie de ses données Facebook.

La logique de conformité côté entreprises

Avant le RGPD, il fallait faire des déclarations ou demander des autorisations (pensez à la déclaration d’une liste de contacts à la CNIL), avec le RGPD, il suffit d’être en conformité.

Votre entreprise doit donc :

  • Prendre les mesures réelles pour être en conformité,
  • Être à tout moment capable de prouver à l’autorité de contrôle que ces mesures sont bien mises en place.

Voyons un peu plus en détail comment, en tant qu’entrepreneur, le RGPD vous impacte quotidiennement.

Les limitations et actions imposées par le RGPD

Avec la mise en oeuvre du règlement européen « à la CNIL », les entreprises doivent maintenant :

  • Limiter la collecte des données personnelles au strict minimum nécessaire,
  • Obtenir et conserver le consentement des citoyens,
  • Sécuriser les données récoltées.

Nous verrons ensuite comment mettre cela en pratique.

Mais comme vous pouvez déjà le voir, le RGPD restreint fortement ce que les entreprises ont le droit de faire !

A qui s’applique le règlement européen 2018 ?

Le RGPD s’applique à toute entreprise qui a une activité de collecte, de traitement et d’utilisation sur les données privées de citoyens européens.

Dit comme cela, ce sont toutes les entreprises ou presque !

Car même une activité dont les clients sont des entreprises ou des professionnels (B2B) demande des informations personnelles à ses interlocuteurs à certaines occasions.

Prenons un exemple, je réalise sur LinkedIn une extraction de noms, prénoms et emails professionnels grâce à un outil d’extraction dédié.

Je cible bien des entreprises. Mais le nom et le prénom sont bien des données personnelles des employés. Et selon Amabis, autre expert du RGPD, l’adresse email professionnelle est aussi une donnée personnelle.

Me voilà donc dans l’impossibilité de poursuivre cette pratique de Growth Hacking.

On comprend donc bien que LinkedIn, Facebook et autres Twitter, sont ravis de l’apparition du règlement européen. En effet, cela devrait limiter l’utilisation de tels outils « parasitant » leurs réseaux.

Si une entreprise récolte des informations personnelles « à grande échelle » (c’est le terme du RGPD, j’avoue … ce n’est pas très clair !), vous devez encore aller plus loin que les dispositions principales.

C’est le cas des organismes publics ou des grandes entreprises privées. Je vais partir du principe que vous mes lecteurs, vous gérez plutôt des entreprises TPE et PME. Mais si vous souhaitez en savoir plus, voici une liste des actions à mener, proposée par la CNIL. Il s’agira par exemple de créer un registre de toutes les collectes et traitements de données personnelles, mais aussi de désigner un délégué sur le sujet de la protection des données.

Attention toutefois, note importante : les entreprises B2B peuvent déroger au principe du consentement préalable !

Comment se mettre concrètement en conformité avec le règlement RGPD ?

Comment se mettre concrètement en conformité avec le règlement RGPD ?

Voyons les 3 obligations principales, une par une.

1. Limiter la collecte des données personnelles au strict minimum nécessaire

Le RGPD 2018 impose de ne récolter que des informations personnelles nécessaires, et limiter leur conservation dans le temps (12 mois).

Prenons un exemple concret.

Imaginons que vous vendez des formations pour bien ranger son bureau, à des entrepreneurs individuels.

Ceux-ci arrivent sur votre site et vous leur demandez de remplir un formulaire de contact, pour s’inscrire à la prochaine formation prévue.

Si vous leur demandez, par exemple, leur date et lieu de naissance, vous risquez d’avoir des problèmes !

En effet, ces 2 informations ne sont pas a priori du tout nécessaires pour faire une formation sur le rangement de bureaux !

Pour éviter tout souci, réalisez un parcours de votre site et de tous les lieux Web où vous demandez aux internautes des infos :

Faites consciencieusement cette identification/audit pour éviter de rater des choses à corriger.

2. Obtenir et conserver le consentement des citoyens

Le RGPD 2018 rend obligatoire l’obtention du consentement de vos prospects, lors de la collecte d’une adresse email ou tout autre information personnelle.

Pour cela, mettez à jour vos clauses sur le consentement sur vos Conditions Générales de Vente (CGV) ou vos Conditions Générales d’Utilisation (CGU). Et insérez un lien de type « J’accepte les CGV… » vers vos clauses à tout endroit de votre site où vous collectez une adresse email, un nom, un prénom, une date de naissance, etc.

Ce n’est pas une mince affaire !

3. Sécuriser les données récoltées

Sécuriser les données récoltées

Et enfin, n’oubliez pas cette dernière obligation : sécuriser et protéger les données récoltées.

Reprenons notre exemple de formateur en rangement de bureaux. Imaginons que vous avez collecté 1 000 adresses emails, noms et prénoms.

Mais que, de toutes évidences, vous ne protégez pas correctement l’accès à votre espace administrateur (WordPress par exemple) avec un mot de passe trop simple à trouver, et, de nouveau, vous êtes responsable s’il y a un vol de données…

Et les internautes peuvent vous demander réparation pour les dommages subis !

En conséquence, vous devez travailler à la protection et à la sécurisation de votre site Internet d’entreprise.

Quid de WordPress par rapport au RGPD ?

L’un des avantages de WordPress dont j’ai souvent parlé est la possibilité de rendre le site web de votre entreprise plus puissant avec des extensions.

Ces extensions évitent un développement qui peut-être complexe et coûteux.

Par contre, avec les contraintes imposées par le RGPD, ça va devenir plus compliqué. En effet, vous ne maîtrisez pas l’arrière boutique de toutes ces extensions. Certaines installent surement des cookies et on peut imaginer qu’elle récupèrent aussi des informations.

Si vous voulez être prudent, je vous conseille de ne faire appel qu’à des extensions qui annoncent être en conformité elles-même avec le RGPD.

C’est d’ailleurs aussi le conseil de Alexandre JOLY, dit Inazo sur Kanjian.

Alexandre évoque aussi le risque des “embed” sur WordPress. En effet, lorsque vous insérez une vidéo, une infographie, un slideshare, ou encore une carte géographique dans un article, que se passe-t-il en arrière-plan ?

Maintenant que je suis bien consciente des enjeux et des contraintes, je vais faire un peu plus attention lorsque je testerai une nouvelle extension ou un nouveau service sur internet.

Et prions que Mailchimp fasse le nécessaire pour être lui-même en conformité !

Pour conclure sur le règlement européen de protection des données personnelles

Au cours de cet article, je vous ai d’abord présenté en détail les dispositions du RGPD. Vous avez aussi vu comment ce nouveau règlement peut impacter votre activité professionnelle. Et pourquoi il faut s’y préparer.

Dans la deuxième partie, j’espère que vous avez compris les 3 obligations majeures liées au RGPD :

  • Limiter la collecte des données au strict nécessaire,
  • Obtenir et conserver le consentement des utilisateurs
  • Sécuriser les données récoltées.

Et comme un homme averti en vaut 2, mettez en action ce que vous venez d’apprendre pour éviter toute sanction.

Si ce sujet vous a interpellé, ne paniquez pas. Chez #audreytips, nous considérons que le RGPD est une opportunité à saisir pour améliorer l’efficacité de votre Marketing Digital.

Et vous, chère lectrice, cher lecteur, qu’en pensez-vous ? Connaissiez-vous que le RGPD ? Saviez-vous qu’il a des impacts majeurs sur la façon dont on travaille en Marketing Digital ? Avez-vous déjà préparé votre entreprise à cette mutation profonde ?