bento icon close
Logo

Tout ce que vous devez savoir et quelles sont les mesures prises par Sarbacane

Les données personnelles ne sont pas des données comme les autres, les protéger est une nécessité, et désormais une obligation. La palette de sujets abordés par le DPO est extrêmement variée. C'est un métier passionnant !”

Antoine DELECOURT

Délégué à la Protection des Données Sarbacane Software

Certifié Data Protection Officer par le Professional Evaluation and Certification Board*

*Certificat n°: DPCDPO1052813-2022-11

Comment Sarbacane vous aide à être conforme au RGPD

Une application 'RGPD compliant'

L'application Sarbacane met à disposition de ses utilisateurs des outils leur permettant de communiquer en respectant les règles du RGPD, à savoir :

  • La gestion automatique des désabonnements
  • La création et l'administration de listes noires
  • L'enregistrement des données liées à l'inscription et à la désinscription des contacts
  • Les mentions légales obligatoires à afficher lors de la création de formulaires de contacts
  • Validation d'inscription par double opt-in sur les formulaires de contacts

Modération systématique des envois

Chaque campagne de communication envoyée avec Sarbacane est analysée et modérée avant son envoi définitif.

Cette vérification permet à Sarbacane de s'assurer que ses utilisateurs respectent le règlement européen. Si tel n'est pas le cas, Sarbacane s'autorise à refuser certains envois. Les raisons peuvent varier : base de destinataires obtenue sans consentement, lien de désinscription inexistant, etc.

RGPD : définition, contexte et applications

Qu'est ce que le RGPD ?

Le RGPD est le Règlement Général sur la Protection des Données. Il s'agit d'un règlement adopté par le parlement européen le 14 avril 2016 et entré en vigueur dans l'Union Européenne le 24 mai 2018. Il a pour but de renforcer la protection des personnes et de leurs droits fondamentaux en encadrant juridiquement le traitement de leurs données personnelles.

Quels acteurs sont responsabilisés par le règlement européen ?

Deux types d'acteurs sont responsabilisés par le règlement européen sur la protection des données : les responsables de traitement et les sous-traitants.

Êtes-vous l'un de ces acteurs ?

Pour rappel, le responsable de traitement détermine la(les) finalité(s) et les moyens du traitement appliqués aux données personnelles.

Par la suite, il peut faire appel à un ou plusieurs sous-traitant(s) intervenant à des étapes spécifiques du traitement des données selon les objectifs désirés, agissant pour son compte et selon ses instructions. Avec le RGPD, les sous-traitants peuvent être amenés à engager leur responsabilité.

Exemple

Vous êtes chargé(e) de marketing, responsable de communication, commercial(e), responsable opérationnel, administrateur IT, assistant juridique, spécialiste eCommerce - développement web, en charge des Ressources Humaines ?

Vous êtes certainement impliqué(e) au premier degré dans la finalité et les moyens du traitement appliqués aux données personnelles dans votre entreprise. Pour autant, c'est votre entreprise, personne morale, et non vous-même, personne physique, qui est le Responsable de traitement. Sauf s'il est démontré que vous, professionnel(le) de cette entreprise, avez agi seul(e) dans la détermination des finalités et des moyens du traitement appliqués auxdites données.

Comment responsables de traitement et sous-traitants sont-ils concrètement responsabilisés ?

Formalités préalables

Depuis le 25 mai 2018, la grande majorité des déclarations à la CNIL prévues par la directive européenne de 1995 sur la protection des données à caractère personnel (et la loi Informatique et Liberté la transposant en droit français) sous le nom de “formalités préalables” disparaissent mais deux principes majeurs sont désormais à prendre en compte : privacy by design and by default et accountability.

Privacy by design and by default

Le privacy by design and by default (ou encore “protection des données dès la conception et par défaut”) est la nécessité d'intégrer de manière systématique les mesures nécessaires à la protection des données personnelles lors de la création d'un produit ou d'un service. En tant qu'acteur de la création d'un produit ou d'un service, qu'elle qu'en soit l'étape, vous êtes donc concerné par ce principe.

Principe d'accountability

A ceci s'ajoute le principe d'accountability. Les responsables de traitement des données personnelles et les sous-traitants doivent tout à la fois mettre en œuvre les processus permettant la protection des données personnelles, et dans le même temps être en capacité perpétuelle de fournir la preuve de leur conformité au règlement européen (en d'autres termes, pouvoir tracer en permanence l'efficacité de ces processus par de la documentation et des mesures internes).

Quel est le champ d'application du RGPD ?

Le champ d'application est fixé de la manière suivante : sont concernés les responsables de traitement et les sous-traitants basés dans l'Union européenne (UE), et ceux situés hors UE mettant en œuvre des traitements visant à fournir des biens et services à des personnes au sein de l'Union européenne ou visant à suivre leurs comportements au sein de l'UE.

Avec ce règlement, à quoi devez-vous notamment vous préparer ?

Les droits et obligations prévues par le règlement européen concernent notamment :

La portabilité des données

Votre client sera en mesure d'exiger que vous lui fassiez parvenir toutes ses données sur un support lisible pour les fournir à votre concurrent s'il choisit de changer de fournisseur.

La notification de violation des données

En cas de violation de données (faille, accès non autorisé, etc), le responsable de traitement a l'obligation d'informer l'autorité de protection des données dans les 72H, voire les personnes dont les données ont été violées si le risque d'atteinte aux droits et libertés desdites personnes est élevé.

La tenue d'un registre des traitements de données

Sous conditions, mais vivement recommandée.

La nomination d'un Data Protection Officer (DPO)

Sous conditions. Il doit être le garant de la protection des données personnelles.

L'analyse d'impact

Avant mise en place de nouveau traitement, la réalisation d'analyses d'impact en cas de risque élevé d'atteinte à la protection des données personnelles est obligatoire. Elle est particulièrement conseillée pour un traitement déjà en place présentant un risque élevé.

Quelles sont les sanctions prévues ?

En cas de non-conformité au règlement européen de protection des données personnelles, une nouvelle échelle de sanctions a été définie. L'amende émise pourra atteindre 4% du chiffre d'affaires mondial du contrevenant ou 20 millions d'euros, le montant le plus élevé des deux étant retenu.

En tant que marketeur et/ou acteur de la communication digitale, quelles sont les données personnelles susceptibles d'être traitées ?

En tant que communicant, ce ne sont pas tant les messages (nature, signification) que vous transmettez qui devront changer avec l'application du RGPD, mais votre manière de traiter les données personnelles de vos cibles : les informer en amont du traitement avec plus de transparence ; dans le cas où la justification légale du traitement repose sur le consentement, vous devez être en mesure de fournir la preuve de leur consentement valide.

Qu'est-ce qu'une donnée personnelle et quelle application principale y a-t-il en email marketing ?

Une donnée personnelle est une information permettant d'identifier directement ou indirectement une personne physique. Une adresse mail nom.prénom@nomdedomaine.com est un moyen d'identifier directement une personne physique tandis qu'un numéro de client peut être un moyen d'identification indirect d'une personne physique.

A contrario, une adresse générique seule ne permet pas a priori d'identifier une personne physique (à moins d'être en possession d'informations permettant d'en identifier une par recoupement). contact@nomdelasociété.com sont des coordonnées de personnes morales. Ce type de données n'étant pas considérées comme des données personnelles, elles ne rentrent pas dans le cadre du RGPD.

Avec la mise en place du RGPD, qu'en est-il du consentement ?

Les règles applicables en matière de communication électronique ne sont pas remises en cause par le RGPD. Vous pouvez retrouver ces règles sur le site internet de la CNIL.

Notez toutefois que le projet de règlement européen e-privacy, en cours de discussion à l'échelle européenne, lance le débat sur des thématiques mêlant communication digitale et consentement de l'utilisateur. Cette thématique reste donc à suivre dans les prochains mois.

Lorsque l'on évoque les données personnelles, on pense forcément à un moment ou à un autre au consentement des personnes dont on traite les données. Or les amalgames concernant la notion de consentement dans le cadre du RGPD sont légion sur internet...

Le texte européen rappelle que le consentement est l'une des justifications légales sur lesquelles peut s'appuyer le traitement des données. Mais il n'est pas la seule justification possible au traitement des données (ex : exécution d'un contrat) et en ce sens, il est erroné d'affirmer que le consentement est rendu systématiquement obligatoire par le RGPD et qu'il devient la règle.

Par contre, le RGPD renforce les conditions applicables lorsqu'un traitement de données repose sur le consentement. En pratique, lorsque le consentement est exigé (dans le cas par exemple de la prospection commerciale BtoC) ou lorsque vous choisissez de justifier le traitement des données par le biais du consentement, vous devez obtenir un consentement valide :

Déclaration ou acte positif clair et univoque de la personne

Les cases pré-cochées par défaut, les consentements passifs ou implicites sont à proscrire définitivement !

Le consentement doit être éclairé

Informer la personne concernée avec des mots simples de l'usage qui serait réalisé de ses données, la personne doit avoir conscience du consentement donné et de sa portée. N'utilisez pas de négation.

Le consentement doit être libre et spécifique

Le consentement doit être libre et spécifique : il doit être donné pour une finalité précise (pour l'envoi de vos propositions commerciales et non pas pour VOS propositions et celles de vos partenaires). Il ne doit pas être forcé (l'associer avec une réduction, un cadeau ou encore à l'exécution d'un service alors qu'il n'est pas nécessaire). Vous devez également distinguer entre le consentement à un traitement de données et le consentement à des CGU par exemple.

Le droit de retirer son consentement à tout moment

Vous devez informer la personne qu'elle a le droit de retirer son consentement à tout moment, en précisant qu'il est aussi simple de retirer son consentement que de le donner.

Conserver la preuve du consentement obtenu

Prévoir de conserver la preuve du consentement obtenu (c'est à vous de le prouver !) : ce à quoi la personne a consenti, le moment où elle a consenti, qui a consenti. Une traçabilité des actions relatives au consentement doit être mise en œuvre : sur le consentement, les finalités et les consentements révoqués.

Retrait du consentement aisé

Prévoir de manière effective que le retrait du consentement soit aisé pour la personne. (Paramètres modifiables dans son compte client par exemple)

Par ailleurs, le droit d'information au traitement des données se trouve renforcé par le règlement européen. Les utilisateurs doivent être notamment clairement informés de l'utilisation de leurs données, des destinataires, de la durée de conservation, de la possibilité de rectifier, effacer ou limiter leurs données, ou encore de s'opposer au traitement.

Quelle est la principale obligation du responsable de traitement par rapport à ses sous-traitants ?

Le responsable de traitement doit uniquement faire appel à des sous-traitants démontrant les garanties suffisantes dans la mise en œuvre de mesures techniques et organisationnelles appropriées pour la protection des données, de manière à ce que le traitement réponde aux exigences du RGPD.

En tant que client d'une solution d'email marketing par exemple, vous êtes à première vue en position de responsable de traitement faisant appel à ce sous-traitant pour le routage de vos newsletters ou campagnes d'email envoyées en votre nom, pour votre compte et sous vos instructions. Il relève donc de votre responsabilité de vous assurer que cette solution d'email marketing met en œuvre les moyens nécessaires et adaptés à la protection des données personnelles.

Comment Sarbacane assure sa conformité au RGPD

Sarbacane s'implique à tous les niveaux de son écosystème

Une équipe de mise en conformité au RGPD dédiée au sujet a été nommée il y a plusieurs mois. Elle est constituée de professionnels au profil technique et juridique qui impulsent des avancées concrètes et hebdomadaires sur le sujet.

Des solutions concrètes déjà mises en place

La nomination et la déclaration auprès de la CNIL d'un délégué à la protection des données (DPO).

L'établissement d'un registre de traitement permettant d'avoir une visibilité perpétuelle et à jour sur les traitements de données personnelles.

Sarbacane Software met à disposition de ses utilisateurs et clients une charte relative à la protection des données à caractère personnel, celle-ci a vocation à être mise à jour pour une communication toujours plus transparente.

Par ailleurs, les équipes de Sarbacane Software sont sensibilisées et formées aux exigences de la protection des données personnelles et continueront à l'être.

Sarbacane Software a également mis en place un accord sur le traitement des données personnelles.

Sarbacane est membre adhérent de l'AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) et participe ainsi à des groupes de travail pour échanger autour de la protection des données personnelles avec d'autres professionnels.

Note au sujet de l'hébergement des données

Vos données de campagnes e-mail et SMS sont hébergées en France. Dans le cadre de l'envoi de SMS, vos données sont également hébergées au sein de l'Union européenne. Dans le cadre de notre relation client, lorsque vous échangez avec le support, votre adresse email et le contenu de vos échanges sont également transmis et hébergés aux Etats Unis, sous protection des clauses types de la commission Européenne.