C’est le buzz, tout le monde en parle depuis des mois. Le 25 mai, le RGPD (Règlement Général sur la Protection des Données) entrera en vigueur. Elle concerne toutes les entreprises qui manipulent de près ou de loin les données personnelles de leurs utilisateurs.

C’est quoi une donnée personnelle ?

Dans la nouvelle législation, le terme « donnée personnelle » désigne toute donnée relative à une personne physique identifiée ou pouvant être identifiée directement ou indirectement grâce à cette donnée. L’adresse email, l’activité professionnelle, l’âge, le sexe d’une personne physique sont donc des données personnelles.

Quelques grands principes de cette réglementation européenne à avoir à l’œil :

  • La définition des données personnelles est élargie à tout ce qui peut permettre d’identifier un individu
  • Les droits individuels en matière de consentement et d’accès aux données sont renforcés
  • Les prestataires et sous-traitants (comme les services de Cloud) peuvent désormais être tenus responsables
  • Les entreprises ont l’obligation de communiquer clairement aux utilisateurs l’utilisation qui sera faite de leurs données et leurs droits à la modification ou l’effacement de celles-ci
  • Les utilisateurs devront pouvoir annuler facilement leur consentement et demander l’effacement de leurs données dans les meilleurs délais
  • Les entreprises devront mettre en place des mesures préventives de protection des données
  • Les entreprises devront informer les personnes concernées de toute fuite des données

En cas de non respect du dispositif, les entreprises pourront se voir infliger des amendes allant de 2% à 4% du chiffre d’affaires et jusqu’à 20 millions d’euros pour les infractions les plus graves.

Pour ceux qui souhaitent lire le texte du règlement intégral, c’est ici : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

Et moi, j’envoie juste quelques emails aux abonnés de ma Newsletter. Cela me concerne ?

Ben oui! Vous êtes concernés par le RGPD à partir du moment où vous manipulez des données personnelles de citoyens européens, quelque soit le pays où votre société est basée. Donc, une adresse email dans votre base de données d’emailing et vous êtes concerné!

Quelles conséquences pour l’envoi d’email ?

C’est principalement l’exigence du consentement des utilisateurs qui doit désormais être « librement donné » et se traduire sous la forme d’une « action positive ».

De plus, chaque entreprise doit pouvoir fournir une preuve de ce consentement, qui doit donc être tracé et archivé.

L’Opt-in actif sera la seule technique valide pour envoyer des emails à des prospects, clients, partenaires, etc…

C’est à dire que l’internaute doit exprimer librement son consentement par une action positive, généralement en cochant de lui-même une case correspondant au souhait de recevoir des emails de votre part.

Il sera désormais strictement interdit d’utiliser des adresses emails obtenues par opt-out ou par opt-in passif. Le consentement devra être demandé de manière explicite via la méthode de l’opt-in uniquement.

Seules les listes 100% opt-in seront utilisables légalement.

AmadeusConcept utilise la technique du double Opt-in. C’est une méthode d’obtention du consentement répondant aux exigences du RGPD puisqu’elle permet d’obtenir 2 fois le consentement de l’internaute. Il s’agit également de faire savoir à l’internaute la portée de son consentement.

Ce diaporama nécessite JavaScript.

Les fuites secrètes de données, c’est fini

Normalement, vous ne devriez pas avoir ce problème, mais si un jour vos données sont mises en danger, vous avez 72 heures pour prévenir vos abonnés.

Par exemple, si quelqu’un hacke votre CMS WordPress, sortez tout de suite un article pour dire que les données que vous avez récoltées ont peut-être été récupérées par quelqu’un d’autre.

Que faire pour m’assurer que je respecte les droits de mes utilisateurs ?

Vos procédures actuelles en matière d’accès des utilisateurs à leur données personnelles sont-elles à jour ? C’est peu probable.

Voici les principales actions que vous allez devoir mettre en place :

  • Revoir vos clauses de confidentialité et les textes de vos formulaires opt-in pour vous assurer que vos utilisateurs soient informés de l’utilisation que vous faites de leur données
  • Mettre en place une procédure (formulaire, page de contact, lien dans votre newsletter…) permettant à vos utilisateurs de demander une copie, une modification ou un effacement de leurs données
  • Mettre en place une procédure permettant à vos utilisateurs de s’opposer à ce que leurs données servent au profilage ou à une prise de décision automatisée les concernant

Nous sommes à votre disposition pour faire un audit de votre situation et éventuellement mettre en place les modifications légales avant le 25 mai 2018.

Nous contacter