Attention : si vous avez une newsletter ou que vous demandez aux personnes qui visitent votre site de s’inscrire dans votre base de données, vous êtes concerné par cet article. Après de longues années de réflexion et de modifications, le nouveau règlement européen sur la protection des données va, en effet, entrer en vigueur le 25 mai 2018.
Ce qui semble être un grand pas en avant pour le traitement des données personnelles sur internet va demander aux entreprises de réaliser quelques modifications sur leur façon de collecter différentes informations.
Faisons le point sur le RGPD et l’emailing.
RGPD : ce que vous risquez
Rentrons directement dans le vif du sujet en vous indiquant ce que vous risquez de subir si vous essayez de contourner la loi.
Ainsi, si vous ne vous mettez pas en règle ou que vous ne voulez pas vous plier délibérément aux obligations données par ce règlement, vous risquez une amende pouvant monter jusqu’à 20 millions d’euros ou 4 % de votre chiffre d’affaires annuel mondial (le plus haut des deux sera retenu par l’instance de justice). Évidemment, cette somme sera à nuancer en fonction du délit. À cela peut s’ajouter des sanctions pénales pouvant aller jusqu’à 5 ans de prison.
Le message est clair : les entreprises ne peuvent plus faire n’importe quoi avec les données de leurs utilisateurs. Si c’est le cas, les sanctions seront très fortes. Bien plus qu’auparavant.
De plus, sommes-nous obligés d’évoquer les dégâts causés au niveau de l’image de marque de l’entreprise qui sera prise sur le fait ?
Dans tous les cas, vous comprenez que le RGPD veut frapper fort afin de permettre à tous les internautes de naviguer plus sereinement.
RGPD : ce que vous devez faire
Pour être aux normes, tout d’abord, vous devez nommer un responsable du traitement des données ou vous rapprocher d’un prestataire extérieur qui sera le pilote de ce projet. Ce dernier devra identifier où vous en êtes en termes de protection de données de vos utilisateurs et ce que vous devez mettre en place pour vous conformer aux obligations à venir. La CNIL le nomme Correspondant Informatique et Libertés (ou CIL).
Ensuite, vous devez vérifier que tout est clair pour vos utilisateurs au moment où ils vous transmettent leurs données personnelles. Cela signifie que la demande de consentement doit être simple, compréhensible et accessible. De plus, s’ils le souhaitent, vos utilisateurs doivent pouvoir retirer leur consentement à tout moment et vous devez, de votre côté, les tenir informés que cela a bien été effectué.
Aussi, si un utilisateur le souhaite, vous devez lui restituer toutes ses données personnelles et, s’il en formule la demande, l’aider à les transférer à un autre responsable de traitements, d’un autre site. Évidemment, vous ne pouvez pas vous y opposer.
Finalement, il est impératif de réaliser les actions adéquates pour sécuriser au maximum les données dont vous avez la charge et de coopérer avec la CNIL, si besoin est.
Pour illustrer cela, nous vous donnons quelques exemples de choses à changer :
- Si vous avez mis en place un système qui coche préalablement des cases pour recevoir des emails non désirés, vous devez le retirer (cela peut induire en erreur) ;
- De même, dans vos formulaires de consentement, vous ne devez pas utiliser de phrases complexes qui jouent sur la négation (exemple : cochez cette case si vous ne souhaitez pas recevoir notre newsletter) ;
- N’incitez pas les utilisateurs à demander à recevoir votre newsletter en mettant en place une offre commerciale (exemple : -5 % sur vos achats si vous vous inscrivez à notre newsletter) ;
- Cela va sans dire : ne revendez pas les données de vos clients à d’autres sites sans l’accord de la personne.
En bref, faites votre maximum pour que tous vos formulaires de consentement soient faciles à comprendre, lisibles et honnêtes.
Point culture générale : le RGPD en quelques mots
Tout commence en 1995 avec l’adoption de la directive sur la protection des données personnelles. Nous étions alors aux prémices d’internet.
Quelques années plus tard (en 2012), la Commission européenne a souhaité proposer une réforme globale des règles en vigueur.
L’objectif : moderniser la précédente directive afin de « redonner aux citoyens un contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises ».
Ainsi, après plusieurs modifications, le RGPD fut finalement adopté le 12 mars 2014. Voté en Commission des libertés civiles, de la justice et des affaires intérieures le 17 décembre 2015 et publié dans le Journal officiel de l’Union européenne le 4 mai 2016, il sera applicable à partir du 25 mai 2018.
C’est aujourd’hui le texte européen de référence en ce qui concerne la protection de données personnelles des ressortissants européens. De ce fait, toutes les entreprises résidant dans les États membres se doivent de le connaitre et de l’appliquer.
Pour en savoir plus, nous vous invitons à le lire en détail. Vous trouvez le RGPD en intégralité sur le site de la CNIL.