Vous dirigez une entreprise ? Vous êtes propriétaire d’un site web ou expert en traitement des données personnelles ? Il est crucial de comprendre les implications du règlement général sur la protection des données (RGPD) sur vos activités. Son entrée en application sur le territoire européen date du 25 mai 2018.
Qu’est-ce que le RGPD ?
Le RGPD encadre le traitement des données à caractère personnel au sein de l’Union européenne (UE). Il s’inscrit dans le prolongement de la Loi française Informatique et Libertés du 6 janvier 1978. Il permet un meilleur contrôle par les citoyens de l’usage pouvant être fait de leurs données à caractère personnel.
Le RGPD a été instauré pour :
- Harmoniser les règles en Europe ;
- Offrir un cadre juridique identique aux professionnels. Grâce au règlement, ils peuvent développer leurs activités digitales, tout en instaurant une relation de confiance avec les utilisateurs.
Quels sont les objectifs du RGPD ?
Découvrez les trois grands objectifs du règlement général sur la protection des données :
- Accroître les droits des personnes. Le RGPD crée un droit de portabilité des données personnelles. Il intègre des dispositions spécifiques aux mineurs.
- Responsabiliser les différents acteurs en charge du traitement des données. Les responsables de traitement tout comme les sous-traitants sont concernés.
- Crédibiliser la régulation. Comment ? En accentuant la coopération entre les autorités de protection des données. Elles auront notamment la possibilité d’adopter des décisions communes et de durcir les sanctions pour les traitements transnationaux.
Quels sont les acteurs tenus d’appliquer le RGPD ?
Tout organisme, peu importe son envergure, son pays d’implantation ou son activité, peut être concerné par le RGPD. Le règlement s’applique à toutes les organisations, publiques comme privées, traitant des données à caractère personnel que ce soit pour leur compte ou non, si :
- Elles sont établies dans l’un des états membres de l’Union européenne ;
- Leur activité cible de manière directe les résidents européens.
Par exemple, une entreprise implantée en Italie exportant ses produits en Tunisie doit se conformer au RGPD. En effet, elle est implantée dans l’Union européenne. De même, une société établie au Japon disposant d’une boutique e-commerce en français, livrant des produits dans l’Hexagone, est tenue de le respecter.
Le règlement général sur la protection des données s’applique aussi aux sous-traitants : hébergeurs, intégrateurs de logiciels, agences de communication, etc. En effet, ces derniers traitent les données à caractère personnel pour le compte d’une autre entité (entreprise, d’une collectivité locale ou encore d’une association).
Bon à savoir : Qui doit désigner un DPO ?
Les sociétés effectuant des traitements de données et les sous-traitants sont tenus de nommer un délégué à la protection des données (DPO) si :
- Leur activité est rattachée au secteur public ;
- Leur activité principale requiert un suivi à une fréquence régulière, systématique et à grande échelle de personnes ;
- Leur activité principale repose sur le traitement de données à caractère sensible ou liées à des condamnations de nature pénale types infractions ou délits.
Le DPO est notamment chargé de conseiller la société sur la mise en place d’une analyse d’impact sur la vie privée (PIA). Elle est réalisée dans le cas où le traitement des données affiche un risque pour le droit et les libertés des personnes. L’objectif est d’évaluer l’origine, la nature, la particularité et la gravité du danger.
Qui est garant de la mise en application du RGPD ?
En France, la Commission nationale de l’informatique et des libertés (CNIL) veille à la protection des données à caractère personnel. Créée en 1978, cette autorité administrative indépendante agit au nom de l’État. Elle n’est toutefois pas placée sous l’autorité du Gouvernement ou d’un ministère.
La CNIL se compose d’un collège 18 membres, élus ou nommés et d’une équipe de 25 agents contractuels de l’État. Elle s’organise autour de cinq directions :
- Direction de l’accompagnement juridique (DAC).
- Direction de la protection des droits et des sanctions (DPDS).
- Direction des technologies et de l’innovation (DTI).
- Direction des relations avec les publics (DRP).
- Direction administrative et financière (DAF).
Parmi les 18 membres de la CNIL, nous retrouvons :
- Quatre parlementaires, deux députés et deux sénateurs ;
- Deux membres du Conseil économique, social et environnemental (CESE), la troisième assemblée constitutionnelle de la République ;
- Six représentants des hautes juridictions, deux conseillers d’État, deux conseillers à la Cour de cassation et deux conseillers à la Cour des comptes ;
- Cinq personnalités qualifiées. Le Président de l’Assemblée nationale en nomme une. Le Président du Sénat une autre. Le Conseil des ministres les trois dernières ;
- Le Président de la Commission d’accès aux documents administratifs (CADA).
Bon à savoir : Quelles sont les quatre missions de la CNIL ?
- Informer, protéger les droits. Investie d’une mission générale d’information, la CNIL répond aux demandes des particuliers comme des entreprises. Elle s’assure du bon accès des citoyens aux données contenues dans les traitements les concernant. En cas de difficulté pour exercer leurs droits, ils peuvent lui adresser une plainte.
- Accompagner la conformité, conseiller. Pour aider les organisations à se mettre en conformité avec le règlement, la CNIL leur propose une boîte à outils complète.
- Anticiper et innover. La CNIL contribue aux débats autour des enjeux éthiques du digital avec son Laboratoire d’innovation numérique (LINC). Elle participe au développement des solutions technologiques protégeant la vie privée.
- Contrôler, sanctionner. Elle s’assure de la bonne mise en œuvre du règlement sur le terrain. En 2022, 345 contrôles ont été effectués. Au besoin, elle peut aussi mettre en demeure ou sanctionner les organismes.
Quels sont les 5 grands principes de la protection des données à caractère personnel ?
- La finalité. Le responsable d’un fichier a le droit d’enregistrer et d’utiliser les informations sur des personnes physiques seulement dans un but précis, légal, légitime.
- La proportionnalité, la pertinence. Les données recueillies doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier.
- La limite de durée de conservation. Il n’est pas autorisé de garder indéfiniment des données sur des personnes physiques au sein d’un fichier. Suivant le type d’information enregistrée et la finalité du fichier, il convient d’établir une durée de conservation précise.
- La sécurité, la confidentialité. Le responsable du fichier doit assurer la sécurité des informations détenues. Il est tenu de veiller à ce que seules les personnes disposant d’une autorisation y aient accès.
- Les droits des personnes. Ils permettent aux citoyens de garder la maîtrise de leurs données. Le responsable du fichier doit leur expliquer la marche à suivre pour les exercer. Si elles choisissent d’exercer leurs droits, les personnes doivent recevoir une réponse dans un délai maximum d’un mois.
Bon à savoir : Quels sont les droits des personnes sur leurs données personnelles ?
- Le droit d’accéder aux données les concernant ;
- Le droit de rectification et d’opposition ;
- Le droit à la portabilité ;
- Le droit à l’oubli ;
- Le droit à notification ;
- Le droit à réparation du dommage matériel ou moral ;
- L’action de groupe.
Protection des données personnelles : 6 bonnes pratiques
Découvrez nos conseils à appliquer en entreprise pour garantir votre conformité RGPD.
- Collecter seulement les données utiles pour atteindre son objectif
Il est essentiel de collecter les données dans un but bien défini et légitime. Vous n’avez pas le droit de les traiter ultérieurement, dans une autre optique. Par exemple, un fichier de candidats dans le cadre d’un recrutement ne peut pas servir à diffuser des offres promotionnelles.
Pour respecter le RGPD, vous pouvez vous baser sur le principe de minimisation. Il réduit la collecte aux seules informations nécessaires à l’accomplissement de l’objectif.
- Faire preuve de transparence
Les citoyens doivent pouvoir conserver le contrôle sur les données les concernant. Cela suppose de bien les informer en amont sur l’usage qui sera fait de leurs données. L’information doit être à la fois :
- Cohérente par rapport aux situations et supports de collecte ;
- Accessible et compréhensible.
Il est interdit de récolter des informations les concernant à leur insu.
- Faciliter l’exercice des droits des personnes
Vous avez l’obligation d’organiser les modalités permettant à vos prospects et clients d’exercer leurs droits. Ils doivent pouvoir le faire par l’envoi d’un simple e-mail sur une adresse dédiée. S’ils les exercent, vous êtes tenu de répondre dans les meilleurs délais à leurs demandes.
- Établir des durées précises de conservation de la data
Il est interdit de conserver indéfiniment les données personnelles de vos cibles. Elles doivent être conservées uniquement le temps nécessaire pour atteindre l’objectif poursuivi. Ensuite, il convient de les détruire, de les anonymiser et/ou de les archiver. Le tout, en vous conformant aux obligations règlementaires applicables à la conservation des archives publiques.
- Garantir la sécurité des données personnelles
Sécurité physique et informatique, sécurisation des locaux, armoires et postes de travail, gestion rigoureuse des habilitations et des droits d’accès… L’ensemble des mesures visant à sécuriser les données doivent être prises. Il est nécessaire de les adapter à la sensibilité des informations ou des risques pouvant peser sur les personnes, si un incident de sécurité survenait.
- Adopter une démarche continue pour la mise en conformité
Régulièrement, il est important de vérifier si :
- Les traitements n’ont pas subi d’évolutions majeures ;
- Les procédures et les mesures de sécurité mises en place sont respectées ;
- Une adaptation est requise.
Emailing : comment recueillir le consentement des destinataires ?
Dans le cadre d’une campagne e-mailing, le consentement du destinataire de messages publicitaires est obtenu grâce à l’opt-in. Attention, s’il n’a pas dit « oui », cela doit être assimilé à un « non ». L’accord du prospect ou du client s’obtient par le biais d’une mention de ce type : « [] J’accepte que mon adresse e-mail soit utilisée pour recevoir des offres de la société X par courrier électronique. »
Pour l’envoi d’e-mails notamment, pensez au double opt-in. À l’inverse de l’opt-in classique, cette méthode repose sur deux étapes :
- Le destinataire de la publicité exprime son contentement ;
- Il confirme sa volonté de recevoir des messages publicitaires en cliquant sur un lien envoyé par e-mail.
Avec Dataventure, collectez des profils opt-in en utilisant différents leviers :
- Clic-lead. Ce type de campagne répond à la fois à des objectifs de visibilité, de trafic et d’acquisition de leads. La collecte est dédiée à 100 % pour un CPL contenu. Il n’y a aucun partage d’adresses. La solution clic-lead offre un volume de collecte important, définissable en amont.
- Co-registration premium. Cette solution vous permet de collecter des leads affichant une forte valeur ajoutée. La campagne est positionnée sur une page consacrée à votre marque. Elle s’accompagne d’un visuel valorisant votre offre. Vous pouvez paramétrer en toute liberté les questions de qualification.
- Co-registration. L’idéal pour récolter des profils affinitaires à coûts maîtrisés.
- Co-sponsoring. Cette solution de collecte massive et économique offre le coût par profil le plus bas du marché. Tous les mois, vous bénéficiez d’un potentiel de centaines de milliers de profils opt-in collectés.
Dataventure monétise les supports de collecte du groupe Dataventure. Chaque mois, plus de 3 millions d’adresses e-mail sont récoltées pour les plus grands annonceurs. Dataventure se positionne ainsi parmi les leaders français de la collecte de profils opt-in.
Quels sont les avantages du double opt-in ?
Faire le choix du double opt-in apporte de nombreux bénéfices aux entreprises :
- Confirmation que l’adresse e-mail est valide ;
- Amélioration la qualité de la liste de diffusion ;
- Conformité aux réglementations sur la protection des données ;
- Réduction du nombre de plaintes ;
- Meilleure image de marque.
Effacement des données, avertissement, mise en demeure, suspension des flux de données… Si vous ne vous conformez pas aux dispositions du RGPD, vous risquez de lourdes sanctions administratives. En fonction de la catégorie de l’infraction, les amendes peuvent grimper jusqu’à 10 ou 20 millions d’euros. Dans le cas d’une société, elles s’échelonnent de 2 % à 4 % de son chiffre d’affaires (CA) au niveau mondial, sur l’année.
Vous désirez mettre en place des opérations de conquête sur mesure, en toute sécurité ? Faites-vous accompagner par Dataventure Nos experts vous proposent les meilleures solutions RGPD friendly pour répondre à vos problématiques de trafic et d’acquisition client.