NB : cet article a été mis à jour en juin 2020
Le Règlement Général sur la Protection des Données ou RGPD a eu l’effet d’un tsunami pour les entreprises digitalisées, qu’elles soient multinationales ou PME, basées en Europe ou non, bref, tout le monde est concerné.
Autrement dit, votre entreprise est concernée à partir du moment où elle dispose d’un site ou d’une stratégie d’emailing car vous traitez des données personnelles de citoyens européens.
Annoncé en 2016, ce projet de loi n’est pas des moindres, et lourdes seront les conséquences pour les entreprises qui n’en tiendraient pas compte (on me dit dans l’oreillette que l’amende peut aller jusqu’à 4% du CA !).
Pas de panique, voici les différentes étapes à suivre pour mettre aux normes votre entreprise.
Étape 1 : Le RGPD et la gestion des cookies sur votre site
Pour être conforme à ce règlement européen, l’internaute qui visite votre site devra être clairement informé des données qu’il laisse durant sa visite et du traitement de ces dernières à posteriori par l’entreprise et les accepter ou non.
Et oui ! Fini les bandeaux type « En poursuivant la navigation sur ce site, vous acceptez les cookies » qui ne laissaient pas d’autre choix à l’internaute que de quitter le site s’il n’était pas d’accord.
A partir du 25 mai, un bandeau informatif devra donc annoncer clairement à vos visiteurs quelle Data est récoltée et à quelle fin. Voici un exemple sur le site de Femina :
Vous ne remarquez rien ? L’internaute doit pouvoir paramétrer les cookies qu’il accepte ou non de vous laisser grâce à une page « Charte de gestion des cookies » !
Pour aller plus loin, la Commission Européenne propose que les internautes puissent rejeter d’emblée les cookies lors de l’arrivée sur un site sans avoir à réitérer le refus lors de chaque visite sur ce même site. La réactivation des cookies pourra alors se faire uniquement si l’utilisateur en fait la démarche. Ce dernier point ne reste qu’une proposition pour l’instant, et n’a pas encore été accepté.
Étape 2 : Le maître mot du RGPD, la transparence
Dans cette logique de nouvelle gestion des cookies, la page de « Politique de confidentialité » de votre site devra être facilement accessible et claire pour l’internaute. La loi RGPD porte tout particulièrement attention à la facilité de compréhension de cette page si votre site s’adresse à une cible de moins de 16 ans.
Qui dit transparence, dit « Privacy by Design ». C’est une notion centrale quand on parle de RGPD, elle induit la mise en place d’un système de protection des données dès le processus de création d’un projet.
« L’entreprise devra donc obligatoirement mettre en œuvre des mesures préventivespour limiter les risques de piratage. »
Pour résumer, votre entreprise devra être en mesure de garantir la protection des données personnelles et de démontrer les mesures prises à cet effet en cas de contrôle de la CNIL.
Étape 3 : Vos formulaires devront être le plus clair possible
Allez, on arrive à la troisième étape pour devenir conforme !
Et pour ce faire, les formulaires présents sur votre site nécessiteront votre attention sur deux points pour être conformes.
Les cases à cocher dans un formulaire pour recevoir des informations sur vos partenaires, des promotions ou autre devront explicitement demander le consentement de l’internaute.
Adieu les formulaires qui nous la font à l’envers avec des cases qu’il faut décocher pour ne pas recevoir 100 offres promotionnelles comme ici :
Ou encore pire les formulaires qui ne laissent carrément pas le choix : « En vous inscrivant par email, vous avez accepté de recevoir les promotions et mises à jour promotionnelles ». J’ai failli tomber de ma chaise en voyant ça :
Le « Privacy by Design » revient dans nos formulaires en stipulant qu’il est important de réduire la collecte de données à son strict minimum, tant au niveau du type, que de la quantité des données à caractère personnel.
Par exemple, si vous souhaitez connaitre l’âge d’un internaute, demandez simplement son année de naissance dans un formulaire peut être suffisant. Il n’est donc pas forcément nécessaire de demander également le jour et le mois de naissance. De même, le prénom et le nom ne sont pas toujours indispensables, mieux vaut laisser la possibilité à l’internaute d’utiliser un pseudo.
Étape 4 : Vos bases de données Newsletter
Juste pour le plaisir de le rabâcher, ajouter un email à sa base d’abonnés newsletter sans le consentement de son propriétaire est non seulement interdit, mais est surtout contre-productif dans votre stratégie d’emailing.
De toute façon avec la RGPD, votre entreprise devra être en mesure de présenter une preuve de consentement à l’inscription de chacun de vos abonnés. Cela s’applique à votre base existante comme à vos nouveaux opt-ins.
Si vous avez toujours été en règle, et avez une preuve du consentement à l’inscription à votre base de données, gardez ces informations précieusement et continuez comme ça !
Sinon, il est l’heure de mettre la main à la pâte. Pour ce faire, plusieurs solutions s’offrent à vous :
- Envoyez un email à votre base actuelle en expliquant rapidement cette nouvelle règlementation et demandez s’ils sont toujours intéressés par votre newsletter. Ajoutez simplement un CTA pour confirmer cette inscription. Vous aurez donc une preuve fiable de consentement pour être conforme au RGPD.
Évidemment, vous allez perdre en route les personnes qui étaient occupées ce jour-là, les distraits et j’en passe… C’est pourquoi je vous recommande de relancer les personnes qui n’ont pas ouvert ou pas cliqué à votre premier email.
Voici un très bon exemple :
- Pour faire plus dans l’originalité et vous démarquer de la vague d’emails que nous risquons de recevoir à la mi-mai, vous pouvez organiser un jeu concours sur votre site ! C’est toujours plus ludique, et avoir une récompense à la clé encouragera vos abonnés à faire la démarche de rester dans votre base de données toute propre pour le RGPD. C’est ce que propose notamment le CRM Spread, voici un exemple de pop-up juste ici :
Enfin, avec cette nouvelle règlementation les consommateurs peuvent demander d’avoir accès à leurs données, les faire modifier ou même supprimer grâce à un lien présent dans la newsletter.
Inutile de rappeler que le désabonnement doit lui aussi être clair et facile d’accès…
Étape 5 : Tenez un registre de traitement des données
Et enfin, last but not least : votre entreprise va devoir tenir à jour une documentation interne sur le traitement des données personnelles de ses contacts.
Désignez un pilote ou « Data Protection Officer » pour structurer et trier vos données. Oui, je sais, ajouter cette charge de travail à quelqu’un est plus facile à dire qu’à faire mais centraliser ce rôle sera d’une grande aide à votre entreprise pour tenir ce fameux registre de traitement de données.
Selon la CNIL ce registre doit :
- Relater les différents traitement qui sont faits aux données personnelles
- Catégoriser les données personnelles traitées
- Les objectifs du traitement de ces données
- Les acteurs et prestataires ayant accès à ces données
Voilà donc les 5 étapes nécessaire à la réussite de votre mise en conformité RGPD. Vous n’êtes pas sûr(e) d’avoir tout compris ? Vous voulez parler plus largement de votre projet digital ? Prenons rendez-vous