fbpx
RGPD expliqué à nos clients

Le RGPD expliqué à nos clients

RGPD expliqué à nos clients

Qu’est ce que le RGPD?

Le Reglement Général sur la Protection des Données (RGPD ou GDPR en anglais) remplace désormais la directive actuelle (Directive 95/46/EC) qui chapeautait les bases de la protection des données personnelles en Europe depuis 1995.

Le RGPD a pour but de renforcer, d'harmoniser et de moderniser la législation européenne sur la protection des données et renforcer les droits et libertés individuels, conformément à la conception européenne de la vie privée en tant que droit humain fondamental. Le RGPD réglemente, entre autres choses, comment les individus et les organisations peuvent obtenir, utiliser, stocker et éliminer des données personnelles. Il va donc grandement impacter le e-business.

LE RGPD entre en action aujourd'hui, le 25/05/18, c’est donc une bonne opportunité de revoir les pratiques de confidentialité et de sécurité des données au sein de votre organisation.

En quoi cela vous concerne t-il ?

Pourquoi devez-vous vous mettre en conformité avec le RGPD dès que possible?

D’abord, c’est une nouvelle obligation légale pour toutes les organisations (entreprises, associations, collectivités locales, Etat…), dès lors qu’ils sont situés en Europe ou qu’ils s’adressent à des citoyens européens. Les sanctions peuvent être lourdes (Jusqu’à 20 millions d’euros ou 4% de votre chiffre d’affaire international).

C’est donc le cas de toutes les entreprises et associations qui possèdent un site internet, puisque le world wide web a une portée mondiale. Par exemple, la société américaine Facebook est soumis à ce règlement parce que vous et moi l’utilisez. Mais c’est aussi le cas de Tiny Devotions , une petite entreprise de “mindfull jewellery”, située en Australie qui expédie ses créations inspirées des malas dans le monde entier et qui collecte vos coordonnées à des fins de livraison dans le cadre de son activité de e-commerce.

Ensuite, c’est une bonne opportunité de vérifier que vous pratiquez votre activité avec éthique, dans le respect des droits de vos clients, adhérents et abonnés. En tant que Change Makers et entrepreneurs conscients, ce type de pratiques fait partie de nos/vos valeurs, c’est donc plutôt une bonne occasion d’y accorder un peu de temps.

Quelles sont les données concernées?

Une donnée personnelle est une information permettant l’identification directe ou indirecte d’une personne. Il s’agit donc de toutes les informations recueillies : identité, photo, mail, téléphone, carte bancaire, adresse IP, identifiant et mot de passe ou habitude de navigation (cookies).

Cela signifie, pour les entreprises qui utilisent des formulaires sur leur site internet, leur réseaux sociaux ou des applications d’opt-in comme MailChimp pour les abonnement à une newsletter ou le téléchargement d’un freebie (contenu gratuit), que les informations collectées sur les abonnés et les contacts seront considérées comme personnelles dans le cadre du RGPD.

Donc si vous proposez à votre audience une méthode de jardinage gratuite basée sur le calendrier lunaire et que vous collectez leur prénom et leur adresse email pour la livraison de la méthode, vous collectez des données personnelles. Assurez-vous de ne collectez que les données nécessaires à la livraison du document (vous n'avez pas besoin de leur date de naissance ou de leur adresse postale dans ce cas précis).

Que signifie «traiter» les données?

Les opérations de collecte, enregistrement, organisation, stockage, consultation, utilisation, transmission et destruction des données sont considérés comme un traitement des données.

Cela signifie, par exemple, que si l'une des vos listes MailChimp contient l'adresse e-mail, le nom ou d'autres données personnelles de tout citoyen de l'UE, alors vous traitez les données personnelles de l'UE sous le RGPD.

Pour nos lecteurs francophones, il y a donc 99% de chance que si vous avez un site internet WordPress bien fait (i.e avec un formulaire d'opt in et des extensions qui trackent via des cookies les informations marketing de vos visiteurs comme Google Analytics), vous soyez considérés par le RGPD comme Responsable de Traitement des Données de votre site internet.

Quelles sont les nouvelles obligations des éditeurs de site WordPress?

  • - Informer : les utilisateurs doivent savoir quelles données les concernant sont conservées (par ex: adresse mail), pourquoi (par ex: envoi d’une newsletter) et à qui ont les transmet (par ex: à MailChimp pour l’envoi de la newsletter). Les utilisateurs peuvent aussi demander à recevoir leurs données personnelles.
  • - Obtenir l’accord: les utilisateurs doivent donner leur accord pour le traitement de leurs données, pouvoir s’y opposer, se désinscrire facilement voir demander la destruction de leurs données.
  • - Prouver : en tant qu’entreprise, vous devez pouvoir prouver que la personne a donné son accord. C’est à cela que sert le double opt-in.
  • - Sécuriser : les données doivent être protégées. En cas de cyber-attaque, vous devez prévenir la CNIL dans les 72h suivant la violation, en expliquant ce qui a été volé.

Le RGPD entraîne la disparition de la plupart des formalités préalables, comme la déclaration de fichiers à la CNIL, sauf en cas de données sensibles, par exemple relative à la santé.

Attention, certaines données nécessitent des dispositions particulières (En cas de doute, l’interlocuteur privilégié est la CNIL) :

les données concernant des mineurs

les données dites sensibles

le transfert des données est soumis au droit européen

les entreprises de plus de 250 salariés ou collectant des données sensibles doivent tenir un registre (consultable par la CNIL) des traitement mis en oeuvre, précisant où sont collectées les données, leur finalité, les personnes destinataires, les catégories de personnes concernées, la durée de conservation et les mesures prises pour limiter les risques. Elles doivent également nommer un Délégué à la Protection des Données (Data Protection Officer).

donnees sensibles rgdp

Quels sont les nouveaux droits  des individus que les propriétaires de site web doivent respecter avec le RGPD ?

Si vous traitez les données personnelles des citoyens de l'UE, vous devez vous assurer que vous pouvez respecter ces droits :

  • - Droit d'être oublié : un internaute peut vous demander de supprimer toutes les données le concernant, immédiatement.
  • - Droit d'opposition : un internaute peut vous interdire certaines utilisations des données que vous avez collectées à son sujet
  • - Droit de rectification : un internaute peut demander que des données incomplètes à son sujet  soient corrigées.
  • - Droit d'accès : un internaute a le droit de savoir quelles données les concernant vous conservez et comment vous les traitez.
  • - Droit de portabilité: les internautes peuvent demander que les données personnelles détenues par votre entreprises soient transférées à une autre

Qu'elles sont les implications du RGPD pour mon site WordPress?

Vous devez mettre en place une collecte de consentement plus stricte sur vos formulaires

Pour chaque utilisation des données personnelles de vos abonnés, vous devez avoir obtenu un consentement. Celui-ci doit être spécifique à des fins distinctes.

Attention, donc ne faites pas cette erreur :

  • - Les cases pré-cochées ne constituent pas un consentement conforme au RGPD
  • - Un consentement séparé doit être obtenu pour différentes activités de traitement, ce qui signifie vous devez être clair sur la façon dont les données seront utilisées lorsque vous obtenez le consentement

Les individus ont le droit de recevoir une information transparente sur le traitement de leurs données personnelles

y compris:

  • - Les coordonnées du Responsable du traitement
  • - Le but de la collecte des données : l’objectif doit être limité et la collecte doit être minimisée aux données essentielles. 
  • - La période de rétention : elle doit être aussi courte que possible
  • - La base légale: Vous ne pouvez pas traiter des données personnelles uniquement parce que vous le souhaitez. Vous devez avoir une "base légale" pour le faire, par exemple lorsque le traitement est nécessaire à l'exécution d'un contrat, une personne a consenti, ou le traitement est dans «l'intérêt légitime» de l'organisation

Examinez les extensions installées sur votre site pour savoir si vous transférez des données des membres de l'UE hors de l’UE.

Si vous utilisez une application d’email automation comme MailChimp par exemple, de fait vous transférez des données des membres de l'UE hors de l’UE (car MailChimp est situé aux Etats Unis). Ce n’est pas le cas si vous utilisez SendinBlue, entreprise française.

Le transfert des données hors de l’UE est possible dans le cadre du RGPD, si le niveau de protection des données transférés est jugé adéquat par la Commission Européenne. Aux Etats Unis, le cadre du Privacy Shield permet de respecter cette exigence. MailChimp respect le Privacy Shield. Si vous l’utilisez, vous devez signer ce qu’on appelle un Data Processing Agreement (DPA) ou Contrat de Traitement de Données en français.

Le RGPD Et Vous

-

Comment utiliser MailChimp pour vous conformer votre pratique d'emailing au RGPD?

Si vous utilisez déjà MailChimp, vous aller devoir faire un peu de ménage dans vos listes, mais vous êtes déjà sur la bonne voie, car l'utilisation de MailChimp peut vous aider à améliorer votre conformité au RGPD.

Si vous êtes encore à la préhistoire et que vous envoyez des mailings par centaines via Yahoo... stoppez ça immédiatement et inscrivez-vous sur MailChimp  (lien d'affiliation).

Voici comment MailChimp peut vous aider à respecter le RGPD :

 Élargissement des droits individuels

MailChimp permet de,répondre rapidement aux demandes des vos contacts conformément à leurs droits individuels étendus en vertu du RGPD.

  • - Droit d'être oublié: vous pouvez supprimer des abonnés à leur demande à tout moment.
  • - Droit d'opposition : Vous pouvez choisir de ne pas inclure les données de vos abonnés dans le projet d’études des données de Mailchimp, en modifiant le paramètre de confidentialité sur votre compte (voir comment faire en vidéo
  • - Droit à la rectification et d’accès : Vous pouvez accéder et mettre à jour vos listes d'abonné / contact dans votre compte MailChimp pour corriger ou compléter les informations d'abonné / contact sur leur demande à tout moment.
  • - Droit de portabilité : vous pouvez exporter vos listes à tout moment grâce à MailChimp

Conditions de consentement et de traitement plus strictes

Avec le RGPD, vous devez obtenir et traiter légalement l’adresse email et les autres informations de vos contacts.

Avec MailChimp vous pouvez collecter les données personnelles de vos abonnés via des formulaires intégrés ou des pop-up. MailChimp intègre désormais une option GDPR, qui permet d' adpater tous ceux déjà présent sur votre site.

Chacun de ces formulaires doit être conçu en intégrant de façon clair et précise :

  • - les raisons de la collecte d’information
  • - l’utilisation qu’il sera fait des informations collectée.

8 règles d’or à suivre si vous envoyer une campagne de emailing avec MailChimp, dans le respect du RGPD.

  1. Soyez très clairs sur le bénéfices de cet email pour le destinataire
  2. Assurez-vous qu'aucun dommage n'est causé au destinataire
  3. Identifiez l'audience la plus réactive grâce à la segmentation de vos listes
  4. Analysez le succès et le taux d'engagement des précédents mails directs
  5. Envisagez de filtrer vos listes
  6. Faites en sorte qu'il soit facile pour les abonnés à vos listes de se desinscrire
  7. Assurez-vous que les personnes qui ont demandé à ne pas participer ne sont pas incluses dans les futures campagnes.

Exigez de vos webmasters et webmarketers la mise en oeuvre de mesures de protection des données personnelles collectées par vos sites internet.

Nous pouvons vous accompagner dans la mise en conformité RGPD de votre site internet WordPress.

En tant qu'entreprise/association vous êtes vous aussi concernés par la mise en conformité RGPD de votre activité. 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.