Le RGPD (Règlement Général sur la Protection des Données)

La base

L’acronyme RGPD signifie Règlement général sur la protection des données, en anglais « GDPR » ou « General Data Protection Regulation ». Il s’agit d’une législation européenne qui remplace la directive de 1995 sur le même sujet, entretemps devenue obsolète. Le RGPD a été ratifié en 2016 mais son application ne fera l’objet de contrôles qu’à partir du 25 mai 2018. La nouvelle législation stipule comment les entreprises peuvent obtenir, utiliser, enregistrer et supprimer des données à caractère personnel. Elle s’applique aux entreprises de tous les secteurs qui traitent des données à caractère personnel de citoyens de l’Union européenne. Ne sous-estimez pas les nouvelles dispositions, car elles sont très détaillées. Même les entreprises qui ont conservé les adresses e-mail de personnes ayant l’année dernière posé leur candidature à un poste vacant relèvent du RGPD et sont tenues d’adapter leur politique.

Amendes ?

En principe, les entreprises pourront se voir infliger des amendes dès le 25 mai 2018. Ces sanctions peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel ou 20 millions d’euros, selon le plus élevé de ces deux montants. Il s’agit là des amendes maximales pour les infractions les plus lourdes. La Commission de la protection de la vie privée n’impose aucun minimum pour les amendes.

Comment s’y prendre ?

Analyse d'impact relative à la protection des données : Dans certains cas, vous êtes dans l’obligation de réaliser une analyse d'impact relative à la protection des données. C’est le cas des entreprises qui traitent des données à grande échelle, comme les entreprises de marketing direct. Vous procédez à un audit de sécurité, analysez comment votre entreprise traite les données et évaluez les risques de vol ou de perte. Sur la base de vos conclusions, vous établissez un plan d’action en vue de limiter ces risques.

Créez une base de données : Si vous traitez des données à caractère personnel, vous devez créer une base de données. Celle-ci contient des informations comme le délai dans lequel les données devront être effacées et les finalités pour lesquelles vous utilisez les données. Dans l’outil de Flexmail vous pouvez utiliser la date de création. Flexmail montre quand un contact a été importé ou quand un contact a rempli un opt-in. Tenez compte que le contact possiblement existe plus longue que votre période d’utilisation dans Flexmail.

Devoir de notification en cas de fuite de données : Lorsque vous remarquez que des données ont été volées ou se sont retrouvées d’une manière ou d’une autre entre de mauvaises mains, vous devez en informer les pouvoirs publics et le client concerné dans les 72 heures.

Délégué à la protection des données : Dans certains cas, vous êtes dans l’obligation de désigner un DPD, par exemple si votre activité principale est le marketing direct. Il peut s’agir d’un consultant externe ou d’un collaborateur interne. Cette personne est alors en quelque sorte un conseiller en prévention en charge de la protection de la vie privée.

Droit à l’information : Dès le mois de mai, les entreprises sont tenues d’indiquer clairement à quelles fins elles utilisent les informations personnelles de leurs clients. Il est important d’en faire clairement mention au moment de l’obtention des données, mais aussi par la suite au cours du processus de traitement.

Droit à l’effacement : Le contact a le droit de faire à tout moment supprimer ses données à caractère personnel de la base de données.

Droit à la rectification : Le contact a le droit de faire à tout moment compléter ou remplacer ses données à caractère personnel si elles ne sont pas correctes.

Droit d’accès : Le contact a le droit de consulter ses données à caractère personnel et de savoir à quelles fins elles sont utilisées. L’entreprise qui effectue le traitement est également tenue de fournir gratuitement, dans les 30 jours, une copie des informations.

Droit à la portabilité des données : Le contact a le droit de faire transférer ses informations, autrement dit de demander leur transmission en toute sécurité à un autre organisme.

Droit d’opposition : Le contact a le droit de s’opposer à l’utilisation de ses données dans un certain contexte. À partir du moment où vous utilisez les données d’un contact, vous êtes dans l’obligation de permettre à ce contact de manifester son opposition en ligne. Le contact pourra alors s’opposer au traitement de ses données à caractère personnel à des fins de marketing direct, de profilage ou de prise de décision automatisée.

De quel type sont les données traitées ?

Les données à caractère personnel sont des données qui permettent directement ou indirectement d’identifier une personne. Il peut par exemple s’agir de noms, d’adresses e-mail, de messages postés sur les réseaux sociaux, d’adresses IP, etc. Les données sensibles sont quant à elles soumises à des règles encore plus strictes. Les données sensibles ont notamment trait à la race, à des informations génétiques et autres. La plupart des entreprises traitent uniquement des données à caractère personnel et ne doivent donc pas tenir compte des règles qui s’appliquent aux données sensibles. En tant que responsable du traitement, il est de votre devoir de prendre les mesures requises pour chaque catégorie.

Que faire de mes contacts existants ?

Si vous avez obtenu des informations d’une manière conforme aux normes imposées par le RGPD, vous pouvez continuer à les utiliser. Si vous avez par contre obtenu les informations par le biais d’une case cochée au préalable sur votre site Internet, vous devrez à nouveau demander l’autorisation de votre contact. En effet, ces informations n’ont pas été communiquées « librement ».

Vous pouvez pour ce faire lancer une campagne de réactivation. Vous envoyez alors un e-mail à tous les contacts concernés de votre base de données pour leur demander un nouvel opt-in. Autrement dit, vous leur demandez de s’abonner à nouveau à votre lettre d’information ou à d’autres mailings. Ces e-mails de réactivation seront de préférence des messages attrayants qui feront miroiter au client les avantages d’un nouvel opt-in. Quelques destinataires n’y donneront probablement pas suite, de sorte que vous perdrez des contacts. En contrepartie, ceux que vous conserverez seront des contacts engagés, à savoir le public qu’il faut toujours viser dans un contexte d’e-mail marketing. Résultat : un public impliqué, des résultats représentatifs, un meilleur engagement et donc une plus grande délivrabilité !

Comment lancer des campagnes de réactivation dans Flexmail ?

Le programme vous propose deux options pour créer une campagne de réactivation : une méthode directe et une méthode indirecte.

Directement : Vous lancez une campagne d’opt-in, c’est-à-dire un message contenant un lien d’opt-in. Au moment de l’envoi de la campagne, les destinataires de la campagne sont désactivés en tant que contacts. Ils redeviennent actifs lorsqu’ils cliquent sur le lien. Les contacts qui ne cliquent pas sur le lien restent inactifs et ne recevront plus de mailings.

Indirectement : Vous lancez une campagne ordinaire, par exemple en envoyant une lettre d’information. Vous veillez à demander de manière bien visible à vos contacts s’ils souhaitent continuer à recevoir vos mailings à l’avenir. En regard de cette question, vous prévoyez un bouton sur lequel ils peuvent cliquer. Vous liez par exemple à ce bouton une page de destination afin de fournir un tag aux contacts.

Cette solution vous offre plusieurs possibilités :

• Créer un label d’intérêt.
• Créer dans la fiche du contact un champ que vous adaptez par le biais du workflow.
• Ajouter les contacts qui confirment à un nouveau segment par le biais du workflow.

Quel est mon rôle ?

Toute personne qui consulte des données à caractère personnel est un sous-traitant ou un responsable du traitement. Le responsable du traitement est l’entreprise qui décide quelles données sont collectées et comment elles sont utilisées. Le sous-traitant est l’entreprise qui traite les données pour le compte d’autres entreprises. Autrement dit, Flexmail est un sous-traitant. Flexmail est donc le canal intelligent qui est utilisé par le client, mais pas le responsable du traitement.

Le responsable du traitement est investi de la responsabilité primaire de la protection des données. Cela implique par exemple que le responsable du traitement est chargé de notifier les fuites de données dans les 72 heures.