408 Rue Albert Bailly - 59290 Wasquehal, France

RGPD : 6 points à traiter pour moi acteur du web

Agence Webmarketing à Lille

rgpd-6pointscles-mvmarketing

RGPD : 6 points à traiter pour moi acteur du web

6 Points à traiter pour moi acteur du web

rgpd-6pointscles-mvmarketing

1. Modifier votre page « Politique de Confidentialité »
(Ou la créer 😉 )

 
Votre devoir d’information étant renforcé auprès de vos audiences avec le RGPD, il est indispensable d’insérer une (ou modifier votre) « Politique de Confidentialité » sur vos interfaces en ligne et physiques.

Il s’agira de fournir notamment aux participants les informations suivantes :

  • Le responsable de traitement (Qui?)
  • L’identité du DPO le cas échéant
  • Les finalités du traitement de leurs données (Pourquoi ?)
  • Les destinataires des données (A qui les transmettez-vous?)
  • Les transferts de données hors Union européenne
  • La durée du traitement (Pour quelle durée de conservation?)
  • Les droits dont ils disposent sur leurs données (droits d’accès, de rectification, d’effacement, de limitation, d’opposition, de portabilité, de retrait de consentement) et la personne auprès de laquelle ils peuvent les exercer
  • Leurs recours possibles auprès d’une autorité de contrôle
  • Le caractère obligatoire ou facultatif des réponses
  • Le recours au profiling le cas échéant.

2. Demander le consentement des utilisateurs sur votre site

 
Les campagnes marketing vous permettent de collecter, via les formulaires, le consentement de vos cibles à recevoir certaines communications, à accepter votre politique de confidentialité, ou encore à accepter des conditions de participation.

Le formulaire de collecte de votre campagne comprendra pour les nouveaux utilisateurs :

  • une mention d’information précise
  • plusieurs cases à valider obligatoirement :
  • Le consentement à la collecte et de l’utilisation des DP de l’individu (autant de cases à cocher que de finalités : une case pour l’envoi d’e-mailings d’information, une case à cocher, pour le profiling etc.)
  • L’acceptation du règlement du jeu ou de l’opération
  • L’acceptation de la politique de confidentialité

Le formulaire de collecte de votre campagne comprendra pour les utilisateurs existants :

  • Vous devez être capable de rapporter la preuve du consentement de vos utilisateurs !
  • La date et l’heure du consentement
  • L’identité de l’individu
  • Le mode de collecte du consentement
  • L’information fournie à l’utilisateur lors de l’expression de son consentement.

Voici nos conseils pour ne rien laisser de côté dans la qualification de vos opt-ins existants :

  • Listez vos opt-ins existants (infos produit, infos d’actualité, contenus riches de type livres-blancs, prospection, offres commerciales, etc.).
  • Triez-les : pour quels opt-ins disposez-vous des 4 informations-clés ? (voir Point n°4)
  • Pour les contacts avec des opt-ins valides, mettez en place la durée de conservation automatisée (ré-activation avant l’échéance, puis suppression automatique si le contact ne renouvelle pas son consentement).
  • Pour les opt-ins non valides (cases pré-cochées, informations incomplètes, etc.) : profitez des semaines avant fin mai pour lancer des campagnes destinées à récolter leurs consentements conformes. Ceux non valides au 25 mai devront être anonymisés ou retirés de vos listes de diffusion.

3. E-mailing, respecter les nouvelles consignes

 

  • Si vous faites des campagnes emailing à partir de bases de fichiers achetés, vous devrez vérifier que le vendeur vous garantit avoir valablement informé et obtenu le consentement des personnes concernées.
  • Si vous faites des campagnes emailing à partir de fichiers obtenus via vos interfaces en ligne comme hors ligne, vous devez avoir valablement informé et obtenu le consentement des personnes concernées.
  • Dans tous les cas, pensez bien à insérer un lien de désabonnement dans vos prospections qu’elles soient par email ou sms.
  • Veillez aussi à fournir un contact pour l’exercice des droits des individus à qui vous envoyez des emails.
  • Les adresses mail professionnelles doivent être traitée de la même manière qu’une adresse mail personnelle ou toute autre DP.

4. Durée de conservation des données

 

  • Si vous récoltez les coordonnées de la carte bancaire de vos clients à l’occasion de leur participation au jeu concours, vous ne conserverez ces données que le temps de la réalisation de l’opération de paiement.
  • Les coordonnées d’un prospect ou client qui ne répond à aucune sollicitation de votre part pendant 3 ans doivent être supprimées
  • Les données de navigation (issues de cookies, tags) doivent être supprimées au bout de 13 mois à compter du dépôt du cookie sur le terminal de l’utilisateur suivant le consentement.

5. Cookies et Profilage

Cookies

  • Le consentement implicite n’est plus suffisant. Il doit être donné via une action positive.
  • Il doit être aussi facile de retirer son consentement que de le donner.
  • L’alerte sur votre site doit contenir toutes les informations relatives aux cookies en tant que DP.
  • Il faut fournir une option de désinscription.

Profilage

  • Informer la personne concernée et lui donner la possibilité de s’y opposer
  • Ne pas baser dessus des décisions ou conditions discriminantes pour les individus, ou des décisions issues de traitements automatisés
  • Ne pas cibler les mineurs.

6. Gérer les droits de vos audiences

 

  • Droit d’accès : permet à tout individu de savoir quelles informations votre entreprise détient sur lui dans ses fichiers.
  • Droit à la portabilité : impose à votre société de fournir les données personnelles du demandeur dans un format « structuré, couramment utilisé et lisible par machine » qui permette leur réutilisation par lui ou par d’autres entités.
  • Droit à l’oubli (ou déréférencement) : consiste à demander à votre structure l’effacement de ses données personnelles, dû dans les meilleurs délais. Ce droit s’applique à tous les traitements et moyens de contact que votre entreprise possède à son égard.
  • Droit d’opposition : permet à chacun de ne plus être sollicité par une société ni par ses partenaires commerciaux, et plus largement de s’opposer au traitement de ses données.

CHECKLIST pour vous préparer à un contrôle

 

En cas de contrôle, vous (ou votre DPO) devrez être en mesure de prouver la conformité de vos traitements avec le RGPD, et notamment :

  • La bonne tenue de vos registres de traitements.
  • L’exhaustivité des informations fournies à vos audiences
  • La preuve du consentement libre, éclairé et explicite de vos audiences le respect des durées de conservation des DP
  • La mise en place de mesures de sécurité des DP
  • Le respect effectif du droit des personnes (mise en place d’un contact à qui s’adresser, respect des délais de traitement des demandes)
  • La réalisation d’analyses d’impact pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées (ex : en cas d’évaluation/scoring, collecte à large échelle, utilisation d’une nouvelle technologie etc.).

Aucun commentaire

Ajoutez votre commentaire