Que faire concrètement pour mettre en conformité vos e-mailings promotionnels par rapport le GDPR ?

Tenir un registre des données personnelles RGPD

Sauf si vous ne traitez que de façon irrégulière des données personnelles, le RGPD (GDPR en anglais) vous oblige dorénavant à tenir un registre des traitements effectués (pas uniquement ceux relatifs aux actions d’e-marketing, mais aussi tous les autres, tels que ceux liés aux processus de RH, aux processus d’approvisionnement,…). Ce registre doit préciser:

  • Quels types de données,
  • quelles finalités,
  • quels sont les types de personnes concernées,
  • où sont stockés ces données,
  • quelle durée de conservation,
  • qui en a accès en interne ou parmi les sous-traitants,
  • quelles mesures de protection techniques et organisationnelles sont prises.

Ce travail de documentation obligatoire doit être effectué et mis à jour à chaque modification ou ajout de traitements, de manière à pouvoir être présenté à l’Autorité de Protection des Données (APD) sur demande.

 

En établissant ce registre, vous vous rendrez probablement compte que:

  • certaines données ont été récoltées sans avoir conservé la preuve du consentement éclairé et explicite de la personne concernée, ue des données sont utilisées pour une autre finalité qu’annoncé (ex : une adresse postale avait été demandée pour livrer une commande effectuée en ligne, mais ne peut être réutilisée pour l’envoi d’un carton d’invitation à une inauguration d’un point de vente),
  • que des données ne sont pas nécessaires ou sont sensibles (ex : données liées à la santé) alors que celles-ci ne sont pas indispensables.

En pratique, les informations encodées dans des champs libres d’Outlook ou de CRM devront être effacées si elles contiennent des éléments personnels (ex : le prénom des enfants des clients, qui avait été encodé pour s’en souvenir et demander de leurs nouvelles lors d’une reprise de contact) qui seront d’ailleurs bien gênants de reconnaître avoir stocké à l’insu des personnes lorsque celles-ci exerceront leur droit de consultation de leurs données.

Régulariser et à défaut détruire les données mal récoltées

La logique du GDPR implique pour données récoltées sans fondement juridique de soit régulariser (en envoyant par exemple un e-mail demandant le consentement) soit de détruire (ce qui devra de toute façon être le cas à défaut de consentement).

Attention aux données provenant ou gérées par des sous-traitants / partenaires

Quant aux données provenant partenaires, qui n’auraient pas récolté explicitement l’autorisation libre de transmission à des tiers, et aux données “tombées du camion” (ex : listing de participants à un salon professionnel), vous devrez les supprimer, si ce n’est pas déjà fait (la réglementation actuelle l’exigeait déjà).

Il faudra aussi vérifier les contrats avec les sous-traitants, en particulier ceux qui proposent des services de profilage et de retargeting. Si d’ailleurs vous effectuez de tels types de traitement de données, vous serez tenu d’effectuer, en plus du registre, une analyse d’impact relative à la protection des données (AIPD).

RETIS organise régulièrement des formations pratiques GDPR à Liège et à Bruxelles pour aider les indépendants et PME à être en ordre vis-à-vis de cette nouvelle réglementation

Check-list RGPD pour les e-mailings

Après avoir filtré les données personnelles qui peuvent être conservées, vous allez ensuite :

  1. vérifier le contenu de la page « charte vie privée » sur votre site web (toutes les infos obligatoires sont-elles bien reprises ? le texte est-il bien rédigé de façon accessible, sans termes abscons ?)
  2. contrôler les différents formulaires en ligne (ou au comptoir), en supprimant les champs libres ainsi que ceux non nécessaires par rapport à la finalité annoncée (ex : pour passer commande d’un parfum, pas besoin de récolter la date de naissance et la couleur de peau).
  3. veiller à ce que le consentement soit recueilli de façon libre, via une case qui ne peut être pré-cochée (attention : conditionner la participation à un concours ou la réception d’un bon de réduction à la validation de recevoir une newsletter est illicite). Seule exception : les adresses e-mail non nominatives (du type « info@ ») qui peuvent être utilisées à des fins marketing sans disposer de consentement
  4. vous équiper d’un outil fiable archivant et horodatant les consentements recueillis, et vérifier le niveau de sécurité du serveur stockant ces données (et des backups éventuels)
  5. vérifier le processus d’inscription à la newsletter, qui doit impliquer un double « opt-in » : la personne doit confirmer sa demande d’inscription.
  6. vérifier le contenu de vos e-mailing. Dans chaque envoi, les coordonnées de l’émetteur doivent être bien reprises et le processus de désinscription doit être possible , aussi facilement que ne l’a été l’inscription.
  7. Enfin détruire spontanément les données dépassée: celles de prospects ou de clients qui ne sont plus manifestés (vous devez fixer un délai compte tenu de votre activité, en sachant qu’au-delà de 3 ans, le délai est supposé exagéré sans motivation particulière).

Le respect attentif du RGPD peut être un argument commercial

La mise en conformité va probablement engendrer une suppression de multiples données personnelles sur vos clients. En effet, le GDPR engendre un changement de paradigme : le temps où on rusait, via des concours par exemple, pour soutirer des données privées est révolu. Il faut maintenant faire en sorte que le client soit demandeur d’être au courant de vos nouveaux produits et conditions avantageuses.

En marketing direct, fini la quantité. Place à la qualité. L’approche « bigdata » va disparaître (sauf pour les données non personnelles), au profit d’une sorte de « smartdata». Les données personnelles vont devenir un actif pour une entreprise, et protégées comme le sont des équipements par exemple.

Le citoyen étant de plus en plus préoccupé par l’usage adéquat de ses données privées, faites dorénavant du respect de celles-ci un argument commercial !

Compléments :

formations pratiques GDPR à Liège et à Bruxelles

Le GDPR en détails : Explication de la nouvelle réglementation générale sur la protection des données