Besoin de plus d'informations ?

Numéro vert
done Votre adresse a bien été enregistrée
close
error_outline Email invalide
close

En poursuivant votre navigation, vous acceptez l'utilisation de cookies à des fins d'analyse, de pertinence et de publicité. Pour en savoir plus et gérer vos paramètres, cliquez ici.

×

Sarbacane conforme au RGPD : toutes les informations

Logo RGPD

Le RGPD (ou GDPR), Règlement Général sur la Protection des Données, est une réglementation européenne visant à renforcer la protection des données personnelles. On entend par données personnelles, des données permettant d’identifier directement ou indirectement une personne physique. Le règlement sera applicable le 25 Mai 2018. A cette date des évolutions précises devront avoir vu le jour pour nombre d’acteurs du monde professionnel.

Qui sont-ils, à quelles évolutions doit-on se préparer en entreprise et dans la pratique du business au quotidien, quels impacts pour la communication digitale et comment Sarbacane Software s’implique-t-elle au quotidien sur ces sujets ?

Quels acteurs sont responsabilisés par le règlement européen ?

Deux types d’acteurs sont responsabilisés par le règlement européen sur la protection des données : les responsables de traitement et les sous-traitants.

Vous vous interrogez peut-être : êtes-vous l’un de ces deux acteurs ?

Pour rappel, le responsable de traitement détermine la(les) finalité(s) et les moyens du traitement appliqués aux données personnelles. Par la suite, il peut faire appel à un ou plusieurs sous-traitant(s) intervenant à des étapes spécifiques du traitement des données selon les objectifs désirés, agissant pour son compte et selon ses instructions. Avec le RGPD, les sous-traitants peuvent être amenés à engager leur responsabilité.

Exemple : vous êtes chargé(e) de marketing, responsable de communication, commercial(e), responsable opérationnel, administrateur IT, assistant juridique, spécialiste eCommerce - développement web, en charge des Ressources Humaines ?

Vous êtes certainement impliqué(e) au premier degré dans la finalité et les moyens du traitement appliqués aux données personnelles dans votre entreprise. Pour autant, c’est votre entreprise, personne morale, et non vous-même, personne physique, qui est le Responsable de traitement. Sauf s’il est démontré que vous, professionnel(le) de cette entreprise, avez agi seul(e) dans la détermination des finalités et des moyens du traitement appliqués auxdites données.

Comment responsables de traitement et sous-traitants sont-ils concrètement responsabilisés ?

A compter du 25 mai 2018, les déclarations à la CNIL prévues par la directive européenne de 1995 sur la protection des données à caractère personnel (et la loi Informatique et Liberté la transposant en droit français) sous le nom de “formalités préalables” disparaissent mais deux principes majeurs sont désormais à prendre en compte : privacy by design and by default et accountability.

Le privacy by design and by default (ou encore “protection des données dès la conception et par défaut”) est la nécessité d’intégrer de manière systématique les mesures nécessaires à la protection des données personnelles lors de la création d’un produit ou d’un service. En tant qu’acteur de la création d’un produit ou d’un service, qu’elle qu’en soit l’étape, vous êtes donc concerné par ce principe.

A ceci s’ajoute le principe d’accountability. Les responsables de traitement des données personnelles et les sous-traitants doivent tout à la fois mettre en œuvre les processus permettant la protection des données personnelles, et dans le même temps être en capacité perpétuelle de fournir la preuve de leur conformité au règlement européen (en d’autres termes, pouvoir tracer en permanence l’efficacité de ces processus par de la documentation et des mesures internes).

Quel est le champ d’application du RGPD ?

Le champ d’application est fixé de la manière suivante : Seront concernés les responsables de traitement et les sous-traitants basés dans l’Union européenne (UE), et ceux situés hors UE mettant en œuvre des traitements visant à fournir des biens et services à des personnes au sein de l’Union européenne ou visant à suivre leurs comportements au sein de l’UE.

Avec ce règlement, à quoi devez-vous notamment vous préparer ?

Les droits et obligations prévues par le règlement européen concernent notamment :

- La portabilité des données : votre client sera en mesure d’exiger que vous lui fassiez parvenir toutes ses données sur un support lisible pour les fournir à votre concurrent s’il choisit de changer de fournisseur.

- La notification de violation des données : En cas de violation de données (faille, accès non autorisé, etc), le responsable de traitement aura l’obligation d’informer l’autorité de protection des données dans les 72H, voire les personnes dont les données ont été violées si le risque d’atteinte aux droits et libertés desdites personnes est élevé.

- La tenue d’un registre des traitements de données, sous conditions, mais vivement recommandée.

- La nomination d’un Data Protection Officer (DPO) (sous conditions), garant de la protection des données personnelles.

- Avant mise en place de nouveau traitement, la réalisation d’analyses d’impact en cas de risque élevé d’atteinte à la protection des données personnelles. Elle est particulièrement conseillée pour un traitement déjà en place présentant un risque élevé.

Quid des sanctions ?

En cas de non-conformité au règlement européen de protection des données personnelles, une nouvelle échelle de sanctions a été définie. L’amende émise pourra atteindre 4% du chiffre d’affaire mondial du contrevenant avec un plafonnement à 20 millions d’euros, le montant le plus élevé des deux étant retenu.

En tant que marketeur et/ou acteur de la communication digitale, quelles sont les données personnelles susceptibles d’être traitées ?

En tant que communicant, ça n’est pas tant les messages (nature, signification) que vous transmettez qui devront changer avec l’application du RGPD, mais votre manière de traiter les données personnelles de vos cibles : les informer en amont du traitement avec plus de transparence ; dans le cas où la justification légale du traitement repose sur le consentement, vous devez être en mesure de fournir la preuve de leur consentement valide.

Qu’est-ce qu’une donnée personnelle et quelle application principale y a-t-il en email marketing?

Une donnée personnelle est une information permettant d’identifier directement ou indirectement une personne physique.

Une adresse mail nom.prénom@nomdedomaine.com est un moyen d’identifier directement une personne physique tandis qu’un numéro de client peut être un moyen d’identification indirect d’une personne physique.

A contrario, une adresse générique seule ne permet pas apriori d’identifier une personne physique (à moins d'être en possession d'informations permettant d'en identifier une par recoupement). contact@nomdelasociété.com sont des coordonnées de personnes morales. Ce type de données n’étant pas considérées comme des données personnelles, elles ne rentrent pas dans le cadre du RGPD.

Avec la mise en place du RGPD, quid du consentement ?

Les règles applicables en matière de communication électronique ne sont pas remises en cause par le RGPD. Vous pouvez retrouver ces règles sur le site internet de la CNIL.

Notez toutefois que le projet de règlement européen e-privacy, en cours de discussion à l’échelle européenne, lance le débat sur des thématiques mêlant communication digitale et consentement de l’utilisateur. Cette thématique reste donc à suivre dans les prochains mois.

Lorsque l’on évoque les données personnelles, on pense forcément à un moment ou à un autre au consentement des personnes dont on traite les données. Or les amalgames concernant l’évolution de la notion de consentement dans le cadre du RGPD sont légion sur internet...

Le texte européen rappelle que le consentement est l’une des justifications légales sur lesquelles peut s’appuyer le traitement des données. Mais il n’est pas la seule justification possible au traitement des données (ex : exécution d’un contrat) et en ce sens, il est erroné d’affirmer que le consentement sera rendu systématiquement obligatoire par le RGPD et qu’il deviendra la règle.

Par contre, le RGPD renforce les conditions applicables lorsqu'un traitement de données repose sur le consentement. En pratique, lorsque le consentement est exigé (dans le cas par exemple de la prospection commerciale BtoC) ou lorsque vous choisissez de justifier le traitement des données par le biais du consentement, vous devez :

- Obtenir un consentement valide au sens du RGPD :

- Il faut une déclaration ou acte positif clair et univoque de la personne : Les cases pré-cochées par défaut, les consentements passifs ou implicites sont à proscrire définitivement !

- Le consentement doit être éclairé : Informer la personne concernée avec des mots simples de l’usage envisagé de ses données, la personne doit avoir conscience du consentement donné et de sa portée. N’utilisez pas de négation.

- Le consentement doit être libre et spécifique : il doit être donné pour une finalité précise (pour l’envoi de vos propositions commerciales et non pas pour VOS propositions et celles de vos partenaires). Il ne doit pas être forcé (l’associer avec une réduction, un cadeau ou encore à l’exécution d’un service alors que pas nécessaire). Vous devez également distinguer entre le consentement à un traitement de données et le consentement à des CGU par exemple.

- Vous devez informer la personne qu’elle a le droit de retirer son consentement à tout moment, en précisant qu’il est aussi simple de retirer son consentement que de le donner.

- Prévoir de conserver la preuve du consentement obtenu (c’est à vous de le prouver !) : ce à quoi la personne a consenti, le moment où elle a consenti, qui a consenti. Une traçabilité des actions relatives au consentement doit être mise en œuvre : sur le consentement, les finalités et les consentements révoqués.

- Prévoir de manière effective que le retrait du consentement soit aisé pour la personne. (Paramètres modifiables dans son compte client par exemple)

Par ailleurs, le droit d'information au traitement des données se trouve renforcé par le règlement européen. Les utilisateurs doivent être notamment clairement informés de l’utilisation de leurs données, des destinataires, de la durée de conservation, de la possibilité de rectifier, effacer ou limiter leurs données, ou encore de s’opposer au traitement.

Quelle est la principale obligation du responsable de traitement par rapport à ses sous-traitants ?

A retenir : Le responsable de traitement doit uniquement faire appel à des sous-traitants démontrant les garanties suffisantes dans la mise en œuvre de mesures techniques et organisationnelles appropriées pour la protection des données, de manière à ce que le traitement réponde aux exigences du RGPD.

En tant que client d’une solution d’email marketing par exemple, vous êtes à première vue en position de responsable de traitement faisant appel à ce sous-traitant pour le routage de vos newsletters ou campagnes d’email envoyées en votre nom, pour votre compte et sous vos instructions. Il relève donc de votre responsabilité de vous assurer que cette solution d’email marketing met en œuvre les moyens nécessaires et adaptés à la protection des données personnelles.

Comment Sarbacane Software s’implique-t-elle au quotidien pour assurer sa conformité avec le RGPD?

Sarbacane s’implique à tous les niveaux de son écosystème.

Une équipe de mise en conformité au RGPD dédiée au sujet a été nommée il y a plusieurs mois. Elle est constituée de professionnels au profil technique et juridique qui impulsent des avancées concrètes et hebdomadaires sur le sujet.

L’une d’entre elles : un plan d’actions, défini et dont la mise en place évolue de jour en jour avec notamment la nomination prévue d’un DPO.

L’établissement d’un registre de traitement permettant d’avoir une visibilité perpétuelle et à jour sur les traitements de données personnelles.

Par ailleurs, les équipes de Sarbacane Software seront très prochainement formées aux nouvelles évolutions de la RGPD.

Sarbacane Software met à disposition de ses utilisateurs et clients d’une charte relative à la protection des données à caractère personnel pour une communication toujours plus transparente.

Note au sujet de l’hébergement des données de Sarbacane Software, sujet non traité dans le RGPD : Vos données de campagnes e-mail et SMS sont hébergées en France. Dans le cadre de l’envoi de SMS, vos données sont également hébergées au sein de l’Union européenne. Dans le cadre de notre relation client, lorsque vous échangez avec le support, votre adresse email et le contenu de vos échanges sont également transmis et hébergés aux Etats Unis par la société Freshdesk, adhérente au programme Privacy shield.

Pour aller plus loin

Cliquez ici pour accéder à davantage de contenu concernant le RGPD sur le site de la CNIL.

Pour plus d’informations relatives au poste de DPO, voici pour exemple une fiche de poste proposée par l’AFCDP.

Vous trouverez ici la charte relative à la protection des données à caractère personnel de Sarbacane

Essayer gratuitement