Ce document est fourni à titre d'information uniquement. Rien dans ce document ne saurait être interprété comme pouvant créer une représentation, un conseil juridique, une garantie ou une responsabilité de nature contractuelle ou autre qui engagerait Return Path, Inc. ou tout autre affilié de Return Path envers vous, toute autre personne ou tout autre entité. Ce document ne garantit pas non plus que vos campagnes email (et/ou tout autre aspect de votre activité) respectent lois en vigueur (nationales ou internationales). Return Path ne fait aucune déclaration, ne fournit aucune garantie et ne s'engage en rien en ce qui concerne la livraison aux usagers finaux de tout message que vous envoyez. Le présent document ne peut pas se substituer à, ni ne doit être utilisé à la place d'un conseil juridique, et il ne doit en aucun cas être considéré comme tel. Pour plus d'informations à ce sujet, nous vous recommandons de contacter votre conseiller juridique.
Qu'est-ce que le règlement Règlement Général sur la Protection des Données (RGPD) ?
Le Règlement Général sur la Protection des Données (RGPD) est un règlement de l'Espace économique européen (EEE) adopté le 24 mai 2016 dans le but d'harmoniser, de moderniser et de renforcer la confidentialité des données et les politiques de traitement des données dans toute l'Europe. Le RGPD remplace la Directive 95/46/EC sur la protection des données personnelles qui est devenue obsolète en raison de l'évolution des normes technologiques.
Les règles du RGPDsont entrées en vigueur le 25 mai 2018. Ce règlement exige que les organisations protègent activement les données personnelles et qu'elles fournissent des preuves sur les méthodes employées pour les protéger.
En matière de consentement, le RGPD définit des critères exigeants qui auront des répercussions considérables sur le secteur du marketing. Les clients devront pouvoir choisir et contrôler la façon dont sont traitées leurs informations. Pour vous conformer au nouveau règlement, vous devrez notamment savoir comment le RGPD définit les informations personnelles, où les trouver dans votre entreprise, comment elles sont utilisées et qui y a accès.
Le RGPD vous concerne-t-il ?
Le RGPD concerne TOUTE entreprise qui collecte, traite, stocke et utilise des données de personnes résidant dans l'EEE. Aucune distinction n'est faite si le siège de votre organisation se trouve dans l'EEE ou en dehors, ou si le traitement des données est effectué dans l'EEE ou en dehors. Que vous ayez un siège européen ou que vous soyez uniquement une société avec des bureaux ou des clients en Europe, vous devrez adopter ces nouvelles pratiques pour garantir votre conformité à ce règlement.
Dans les entreprises, les équipes de marketing seront les premières affectées par ces changements, car elles jouent un rôle majeur dans le traitement des données. Vos processus de collecte et de traitement des données devront être clairement définis et communiqués à tous vos usagers et vos abonnés.
Vous devrez peut-être désigner un délégué à la protection des données. Cette personne sera chargée d'informer et de conseiller le responsable du traitement des données, ainsi que de surveiller la conformité de votre entreprise au nouveau règlement.
Quelles informations sont-elles considérées comme personnelles ?
Le RGPD définit comme donnée à caractère personnel « toute information concernant une personne physique, identifiée ou identifiable ». Par conséquent, toute information qui permet d'identifier directement une personne ou qui – ayant été recoupée avec d'autres données – permet d'aboutir à l'identification d'une personne sera considérée comme une information personnelle.
Quels sont les concepts fondamentaux du RGPD ?
Vous trouverez ci-dessous la présentation de certains concepts fondamentaux de ce nouveau règlement. Avertissement : le RGPD étant le premier changement important apporté aux règlements sur la protection des données depuis plus de 20 ans, cette liste n'est pas exhaustive et des mises à jour sont attendues dans le futur. Demandez à votre conseiller juridique de vous communiquer les mises à jour les plus récentes.
-
Portée territoriale : le RGPD s'applique à toutes les entreprises qui traitent des données à caractère personnel de personnes résidant dans l'EEE, indépendamment du lieu de l'entreprise. Le RGPD s'applique également au traitement des données à caractère personnel des personnes résidant dans l'EEE par un responsable ou un sous-traitant qui n'est pas établi dans l'EEE, dans le cas d'activités qui se rapportent à :
- L'offre de biens et services (qu'un paiement soit requis ou non).
- La surveillance du comportement qui a lieu dans l'EEE.
- Pénalités et sanctions : les organisations qui enfreignent le RGPD peuvent recevoir une sanction représentant jusqu'à 4 % de leur chiffre d'affaires mondial ou 20 millions d'euros (le chiffre le plus élevé étant retenu). Ce chiffre représente la sanction maximale qui peut être imposée pour ne pas avoir fourni au client un consentement suffisant au traitement de ses données ou pour avoir enfreint les concepts fondamentaux du règlement en matière de confidentialité.
-
Consentement : les exigences en matière de consentement sont strictes. Vous devez utiliser des termes faciles à comprendre et vos conditions générales d'utilisation ne doivent pas être longues, illisibles ou employer un trop grand nombre de termes ou d'expression juridiques. La demande de consentement doit être fournie de façon claire et non ambigüe, et les organisations peuvent devoir adopter de nouvelles règles en matière de consentement, à savoir :
- Le consentement doit être spécifique pour chaque fin distincte, et le consentement ne peut pas être implicite ou présumé pour des usages multiples.
- Les cases pré-cochées ne constituent pas un consentement suffisant.
- Les organisations qui traitent les informations personnelles d'enfants de moins de 16 ans doivent obtenir le consentement d'un parent (notez que les États-membres peuvent choisir de baisser l'âge du consentement à 13 ans, ceci de façon indépendante).
- Le processus de refus doit être aussi simple et direct que celui du consentement.
- Les organisations doivent être en mesure de fournir à tout moment une preuve vérifiable de consentement. Il est par ailleurs essentiel que le responsable du traitement des données conserve une trace des éléments suivants :
- les mécanismes utilisés pour obtenir le consentement (par ex., des formulaires en ligne ou un consentement donné via un cookie) ;
- l'objectif de l'utilisation des données ;
- la date du consentement.
- Les personnes qui résident dans l'EEE obtiennent de nouveaux droits, notamment :
- Le droit à l'oubli : les organisations doivent mettre en place des méthodes permettant de trouver et de supprimer toutes les données d'un individu sur demande, y compris dans le cas où un responsable du traitement a transmis les données à un responsable secondaire ou à un sous-traitant.
- Le droit de s'opposer au traitement des données : les individus peuvent refuser que les organisations utilisent leurs données à des fins spécifiques, notamment le profilage marketing.
- Le droit de rectification : les individus peuvent demander que leurs données incomplètes ou incorrectes soient complétées ou corrigées.
- Le droit d'accès : les individus ont le droit de savoir quels éléments sont collectés et quelles sont les méthodes de collecte et de traitement de ces données.
- Le droit à la portabilité des données : les individus ont le droit de transmettre leurs données (ou demander que leurs données soient transmises en leur nom) d'une organisation à une autre, sans restrictions ou délais injustifiés.
- Notification en cas de compromission des données : la compromission des données personnelles au niveau du responsable du traitement des données doit être signalée à l'autorité de contrôle locale (établie au sein de chaque État-membre de l'EEE) sous 72 heures. Si la compromission des données personnelles représente un risque élevé pour la personne, le responsable du traitement doit l'informer immédiatement de cette compromission des données. Si les données ont été compromises au niveau du sous-traitant, celui-ci doit en informer immédiatement le responsable du traitement.
- Déclarations de confidentialité : les organisations doivent indiquer de manière transparente leur approche en matière de protection des données personnelles dans une déclaration de confidentialité. Les individus ont également le droit de recevoir des informations « justes et légales » concernant le traitement de leurs données dans cette déclaration, par exemple :
- Les coordonnées du responsable du traitement des données et du délégué à la protection des données.
- La façon dont les données sont utilisées (par ex., les détails des transferts de données en dehors de l'EEE).
- L'objectif de collecte des données : ceci doit être aussi spécifique et bref que possible (limitation de l'objectif et minimisation des données).
- La durée de conservation des données : cette période doit être la plus courte possible (limitation du stockage).
- Élargissement des définitions des données personnelles et sensibles : les définitions des données personnelles et sensibles ont été élargies pour inclure les données génétiques et biométriques. Le GDPR impose une définition stricte des données personnelles, à savoir « toute information qui pourrait être utilisée, seule ou en conjonction avec d'autres données, pour identifier une personne physique. »
- Confidentialité par défaut dès la conception : les organisations doivent prendre toutes les mesures permettant de protéger les droits des personnes dès la conception d'un projet, ainsi que tout au long du cycle de vie du traitement des données pertinentes (de leur collecte à leur suppression).
- Responsable et sous-traitant du traitement : le responsable et le sous-traitant du traitement des données sont chargés de mettre en œuvre des mesures techniques et structurelles adéquates pour garantir que leurs activités de traitement sont conformes aux exigences du GDPR. Le responsable du traitement doit également s'assurer que chaque sous-traitant a mis en œuvre des processus adéquats.
Quel sera l'effet du GDPR sur la délivrabilité ?
La délivrabilité est influencée par des centaines de facteurs liés à votre réputation d'envoi, y compris la qualité de vos abonnés. Avec l'importance accrue du consentement sans équivoque et en connaissance de cause imposé par le GDPR aux organisations qui envoient des messages aux résidents de l'EEE, il est possible que la délivrabilité s'améliore chez certains opérateurs de messagerie européens.
Plus vous envoyez de messages aux personnes qui donnent leur consentement pour recevoir vos campagnes, plus il y a de chances que celles-ci interagissent avec vos messages. Étant donné que l'engagement est un facteur utilisé par de nombreux opérateurs de messagerie lors du filtrage de vos messages, un taux d'engagement plus élevé (et un taux de plaintes plus faible) peut entraîner un placement plus élevé en boîte de réception chez certains opérateurs européens.
Où peut-on trouver des informations complémentaires concernant le Règlement Général sur la Protection des Données (RGPD) ?