ActiveTrail – Le Règlement Général sur la Protection des Données (RGPD)
Comment cela influe sur vos efforts en email marketing
Les lois relatives à la sécurité et à la protection de la vie privée changent continuellement pour suivre l’évolution fluide du paysage technologique et s’adapter aux nouvelles réalités numériques, mais il est rare que nous rencontrions des mises à jour aussi vastes que celles concernant la protection des données personnelles et le respect de la réglementation générale de l’Union européenne (UE) sur la protection des données, ou RGPD, dont l’entrée en vigueur est prévue pour le 25 mai 2018.
En tant que spécialistes du marketing digital, il y a de fortes chances que le RGPD ait un impact sur vos efforts marketing, en particulier, et sur votre entreprise, en général, surtout si vous êtes situé dans l’UE ou si vous faites des affaires avec des entreprises ou des citoyens de l’UE, tout comme il a un rapport avec ActiveTrail. Dans ce guide, nous avons compilé nos connaissances et nos idées sur le RGPD et ses répercussions, et nous vous l’offrons pour vous aider à vous préparer et à gérer les changements imminents que la mise en œuvre du RGPD apportera avec elle.
REMARQUE : Le présent guide n’a qu’un but informatif et n’est en aucun cas destiné à remplacer une opinion ou un avis juridique. Pour comprendre comment le RGPD pourrait avoir un impact sur votre entreprise ou organisation, nous vous conseillons vivement de consulter les professionnels juridiques, commerciaux ou autres types de professionnels appropriés.
Le RGPD – Introduction
Depuis 1995, la protection des données en Europe est régie par la directive 95/46/CE et, comme vous pouvez l’imaginer, elle doit faire l’objet d’une révision majeure depuis un certain temps. Par conséquent, en 2016, la Commission européenne (CE – Branche exécutive de l’UE) a adopté le Règlement Général sur la Protection des Données, une loi exhaustive sur la protection de la vie privée qui doit être pleinement appliquée dans toute l’Union européenne.
L’entrée en vigueur officielle du GDPR est prévue pour le 25 mai 2018.
En raison du délai prolongé entre la promulgation et l’exécution, les organisations ne bénéficieront pas d’un « délai de grâce » et devront se conformer au RGPD dès le 25 mai.
Objectif du RGPD
Au fil des années, la CE et les pays membres de l’UE ont adopté des amendements à la directive 95 et à la législation locale sur la protection des données pour suivre l’évolution technologique et rester dans l’air du temps, ce qui a entraîné une désynchronisation des lois sur la protection de la vie privée sur tout le continent. Selon les termes mêmes de la Commission européenne, le RGPD « …a été conçu pour harmoniser les lois sur la confidentialité des données à travers l’Europe, pour protéger et habiliter tous les citoyens de l’UE et pour remodeler la manière dont les organisations de la région abordent la confidentialité des données… » (Le portail RGPD, https://www.eugdpr.org/).
Le RGPD renforce la vision européenne du droit à la vie privée comme étant sur un pied d’égalité avec d’autres droits fondamentaux, et contrôle la manière dont les individus et les organisations peuvent collecter, utiliser, stocker et éliminer les données personnelles. Avec une portée aussi large et l’applicabilité du RGPD à l’échelle de l’UE, il a des conséquences substantielles pour les entreprises, les gouvernements et les organisations du monde entier.
Qui est concerné
Plus précisément, le RGPD affecte deux types d’entités centrales :
- Organisations de l’UE – Toutes les organisations constituées ou incorporées dans l’UE.
- Organisations « extraterritoriales » – Toutes les organisations impliquées dans le traitement des données personnelles des citoyens de l’UE, c’est-à-dire que le RGPD s’applique à toute organisation dans le monde qui traite les données personnelles des citoyens de l’UE, quel que soit l’endroit où ce traitement peut avoir lieu.
L’implication du #2 est que le RGPD a le potentiel d’avoir un impact sur la grande majorité des organisations sur la planète. Par conséquent, toutes les organisations de tous les secteurs et industries devraient, au final, procéder à un examen approfondi pour vérifier s’ils traitent les données personnelles des citoyens de l’UE.
Conformité et pénalité
Parmi les aspects les plus étendus du RGPD figurent les sanctions et les amendes excessivement lourdes imposées en cas de non-conformité. Les entreprises ou organisations qui enfreignent le RGPD pourraient se voir infliger des amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu).
Nous avons déjà mentionné que si vous êtes une entreprise ou une organisation de l’UE, ou si vous traitez des données personnelles de citoyens de l’UE (tel qu’un élément commun comme les adresses email de citoyens de l’UE), vous êtes tenu de respecter le RGPD si vous souhaitez poursuivre les activités liées à ces données. La portée de cette intégration est si vaste que la plupart des organisations sont encouragées à demander des conseils juridiques et autres conseils professionnels concernant leur besoin de se conformer au RGPD et, le cas échéant, des mesures à prendre pour assurer leur conformité après le 25 mai 2018.
Il convient également de noter que la législation de l’UE en matière de protection de la vie privée est souvent adoptée, sous une forme ou une autre, dans d’autres régions et pays du monde, de sorte qu’il peut être à votre avantage de préparer votre organisation à se conformer au RGPD, même si vous pensez que le RGPD n’a pas d’incidence actuellement sur votre entreprise.
Principaux composants du RGPD
Terminologie
Pour une meilleure compréhension des articles importants du RGPD, voici quelques termes clés définis dans le règlement :
- Données à caractère personnel : Le RGPD définit les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée» ) », c’est-à-dire toute information qui, en soi ou conjointement avec d’autres informations, pourrait servir à identifier une personne spécifique. Cette définition très large englobe des données telles que les données géographiques, les informations financières et les adresses IP, ainsi que des données personnelles « traditionnelles » telles que les numéros de passeport et de sécurité sociale, les noms, les données biométriques et les adresses email.
La plupart des informations sur les abonnés que vous recueillez et stockez dans ActiveTrail pourraient potentiellement correspondre à cette définition, même les pseudonymes et les alias qui peuvent être liés à des individus spécifiques. De plus, le RGPD exige une protection plus forte pour les informations personnelles sensibles telles que les données de santé ou raciales, et vous ne devriez pas conserver de telles données dans votre compte ActiveTrail.
- Traitement des données : Selon le RGPD, vous traitez les données personnelles des citoyens de l’UE si, d’une manière ou d’une autre, vous recueillez, gérez, utilisez ou stockez des données personnelles des citoyens de l’UE. Citant le RGPD, le traitement est « toute opération ou ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».
En ce qui concerne l’utilisation du système ActiveTrail, si une ou plusieurs de vos listes de diffusion contiennent des données personnelles d’une personne de l’UE, telles que son nom ou son adresse email, alors vous êtes considéré comme traitant des données personnelles de l’UE dans le cadre du RGPD.
- Responsable du traitement des données : Un responsable du traitement des données est une organisation qui utilise les données personnelles des citoyens de l’UE à ses propres fins. Les responsables du traitement déterminent quelles données personnelles à collecter, à quelles fins et comment les données seront traitées et utilisées. La grande majorité des clients ActiveTrail sont considérés comme des contrôleurs de données dans leur interaction avec le système ActiveTrail, c’est-à-dire que les clients ActiveTrail décident quels éléments de données personnelles ils souhaitent collecter et insérer dans le système ActiveTrail, quelles données à transférer vers leurs propres systèmes et comment utiliser ces données.
- Processeur : Un processeur est une organisation qui traite les données pour le compte d’un contrôleur. Par les services que nous fournissons à nos clients, ActiveTrail sert de processeur.
Concepts clés du RGPD
Bien que la directive de 1995 constitue un point de départ pour le RGPD, de nombreux principes centraux du RGPD sont agressifs et modifient considérablement ceux de la directive de 1995. D’un intérêt particulier, à notre avis, sont :
A. Une définition plus large des données personnelles, comme décrit ci-dessus.
B. Couvre un groupe beaucoup plus large d’organisations, y compris non seulement les organisations de l’UE, mais aussi les organisations en dehors de l’UE, ou les organisations « extraterritoriales » qui traitent les données des citoyens de l’UE.
C. Extension des droits à la confidentialité des données pour les citoyens de l’UE, que les organisations qui traitent les données des citoyens de l’UE doivent protéger, y compris :
- Droit à l’oubli : Une personne peut demander que ses données personnelles stockées par une organisation soient rapidement effacées.
- Droit d’opposition : Une personne peut déclarer que certaines parties de ses données personnelles ne peuvent pas être utilisées.
- Droit d’accès : Les individus peuvent demander à toute organisation de savoir quelles données personnelles les concernant l’organisation traite et comment ils s’y prennent.
- Droit de rectification : Les particuliers peuvent demander à une organisation de remplir des données incomplètes ou de corriger des données erronées.
- Droit à la portabilité : Les personnes peuvent demander que les données personnelles détenues par une organisation soient transférées à une autre organisation, par exemple, si elles changent de fournisseur de services.
D. Des exigences plus strictes concernant l’obtention du consentement, la plus importante étant que les organisations devront obtenir le consentement d’une personne chaque fois qu’elles utiliseront ses données personnelles, sauf dans certaines conditions décrites ci-dessous. En tant qu’utilisateur du logiciel ActiveTrail, vous devrez obtenir le consentement de vos abonnés et des membres de vos listes de diffusion. Quelques points concernant le consentement :
- Le consentement doit être donné dans le contexte d’un usage spécifique.
- Le consentement doit être proactif, c’est-à-dire que les sujets doivent explicitement autoriser ou accepter de donner leur consentement au stockage ou à l’utilisation de leurs données personnelles, ce qui peut entraîner la disqualification de cases à cocher ou d’autres moyens similaires comme moyen d’obtenir le consentement.
- Le consentement doit être donné séparément pour les différents types de traitement, de sorte que vous devez vous assurer que vous expliquez comment les données personnelles seront utilisées lorsque vous demanderez le consentement de l’utilisateur.
- Des exigences de traitement plus strictes selon lesquelles les sujets ont le droit de recevoir une description « juste et transparente » de la manière dont leurs données personnelles sont traitées, y compris :
- La finalité pour laquelle les données sont collectées : La finalité doit être spécifique et les données ne doivent être utilisées que pour la finalité déclarée (« limitation des finalités »). En outre, vous devriez, dans la mesure du possible, recueillir et utiliser uniquement les données nécessaires à la finalité déclarée et non plus (« minimisation des données »). Les organisations doivent être conscientes et capables de justifier (auprès des autorités) quelles données elles collectent et pourquoi.
- Durée de conservation : L’organisation devrait conserver les données personnelles pendant la période la plus courte possible (« limitation de la conservation »).
- Coordonnées du responsable du traitement des données (voir plus loin).
- Fondements juridiques : Les organisations doivent disposer d’une base juridique justifiable pour le traitement des données à caractère personnel (elles ne peuvent pas le faire simplement parce qu’elles le souhaitent), comme le fait d’avoir besoin de ces données pour satisfaire à des obligations contractuelles ou qu’un consentement a été donné à l’utilisation de données à caractère personnel pour une raison spécifique.
Le RGPD et le transfert de données à travers les frontières
Nous avons mentionné un certain nombre de fois que le RGPD a des implications mondiales, et cela a beaucoup à voir avec la manière dont le RGPD traite les transferts transfrontaliers de données personnelles des citoyens de l’UE des pays de l’UE vers des pays extérieurs à l’UE. Toutefois, à cet égard, le RGPD ne s’éloigne pas de la directive de 1995, puisqu’il traite des conditions qui doivent être remplies pour transférer des données personnelles en dehors de l’UE, suggérant implicitement qu’il est autorisé d’effectuer un tel transfert. Essentiellement, ces conditions constituent des dispositions en vertu desquelles les organisations peuvent légalement transférer les données personnelles des citoyens de l’UE en dehors de l’UE.
L’une de ces dispositions stipule que la Commission européenne peut prendre des décisions explicites d’ « adéquation », par lesquelles la Commission européenne « peut décider, avec effet dans l’ensemble de l’Union, qu’un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale offre un niveau adéquat de protection des données… Dans ce cas, les transferts de données à caractère personnel vers ce pays tiers ou cette organisation internationale peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autre autorisation ». la Commission européenne peut, par exemple, prendre une décision globale selon laquelle un pays donné dispose de mesures de protection des données à caractère personnel suffisantes, de sorte que les organisations qui transfèrent des données à caractère personnel vers ce pays n’ont pas besoin de s’appuyer sur une autre autorité pour transférer les données.
Contrôleurs et Processeurs
Les organisations qui interagissent avec les données personnelles des citoyens de l’UE sont soit des responsables du traitement, soit des sous-traitants, selon les définitions décrites plus haut dans le présent document. Ces définitions sont presque inchangées par rapport à la directive de 1995, mais le RGPD impose des responsabilités plus grandes (et différentes) à chaque catégorie d’organisation. Naturellement, les contrôleurs sont responsables au premier chef de la protection des données à caractère personnel. Les processeurs de données, bien qu’ils ne soient pas les premiers responsables, ont aussi des responsabilités directes. Il est donc impératif que vous connaissiez votre statut de contrôleur ou de processeur aux yeux du RGPD et, par conséquent, que vous connaissiez vos obligations.
La plupart des utilisateurs d’ActiveTrail appartiennent à la catégorie des contrôleurs car ils décident quelles informations transitent et/ou sont stockées dans ActiveTrail et demandent à ActiveTrail de traiter ces données personnelles en leur nom (c.-à-d. servir de processeur de données), par exemple en configurant ActiveTrail pour envoyer des emails personnalisés à leurs abonnés.
Bien entendu, il ne s’agit là que de quelques-uns des concepts et principes énoncés dans le RGPD et il est recommandé d’examiner le RGPD dans son intégralité (et de demander conseil, au besoin) avant de prendre des décisions sur la façon de bien se préparer au RGPD.
Le RGPD, ActiveTrail et vous
Confidentialité chez ActiveTrail
Chez ActiveTrail, nous avons toujours pris la protection de la vie privée au sérieux et, en ce sens, le RGPD nous fournit une justification supplémentaire pour ce que nous faisons depuis toutes ces années. D’un autre côté, au niveau macro, nous considérons que le RGPD établit une nouvelle base de référence, en ancrant la protection des données personnelles dans les fibres des pratiques commerciales du monde entier.
En ce qui concerne la date d’entrée en vigueur du 25 mai 2018 du RGPD, du point de vue du système interne d’ActiveTrail, nous avons examiné et documenté les processus et procédures, mis à jour la documentation, revu et renforcé certaines de nos dispositions en matière de sécurité, ajouté des positions spécifiques et des comités d’audit, etc. pour être sûr que tout est en ordre pour le 25 mai, et pour nous assurer que nous pouvons répondre aux demandes de nos clients qui découlent de leurs droits tels que décrits par le RGPD, comme par exemple votre « droit à l’oubli ».
Comment ActiveTrail vous aide à vous conformer au RGPD
Le plus intéressant pour vous en tant que client d’ActiveTrail concerne sûrement les caractéristiques de notre système qui vous permettent d’assurer plus facilement votre conformité avec le RGPD, comme suit :
Droit individuels :
Bien qu’il y ait de fortes chances que vous ayez déjà des processus en place, peut-être même dans ActiveTrail, notre système peut vous aider à vous assurer que vous pouvez répondre aux demandes des abonnés découlant des droits individuels élargis du RGPD.
- Connaître les données que vous recueillez sur vos abonnés (droit d’accès).
- Correction des données de l’utilisateur final (droit de rectification) – Selon le droit de rectification du GDPR, les abonnés peuvent demander que vous corrigiez leurs données à tout moment. Vous pouvez le faire à tout moment depuis votre compte ActiveTrail et vos abonnés peuvent demander que cela soit fait directement depuis ActiveTrail, sans frais pour vous ou pour eux.
- Demande de suppression (droit à l’oubli) – Selon le droit à l’oubli du RGPD, vos abonnés peuvent à tout moment demander à être complètement supprimés de vos systèmes. ActiveTrail répondra rapidement si nécessaire et supprimera complètement les informations de vos utilisateurs de ses systèmes. Si ce besoin se présente, veuillez contacter notre service clientèle qui effectuera cette procédure.
- Opposition à l’utilisation des données (droit d’opposition).
- Déplacement de vos données vers un autre système (droit de portabilité) – ActiveTrail vous donne des outils pour exporter vos données d’ActiveTrail vers d’autres systèmes, à tout moment, que vous pouvez choisir. Si vous avez besoin d’aide, nous serons heureux de vous aider tout au long du processus. Si vous souhaitez que vos données soient complètement effacées après l’exportation, veuillez contacter notre service clientèle et nous effectuerons cette procédure pour vous.
Consentement et traitement
Le RGPD énonce ce que vous devez faire pour recueillir et traiter légalement les données personnelles et les adresses email de vos abonnés et clients. La collecte des données des abonnés et la demande de consentement lors de la collecte sont les principaux moyens par lesquels vous pouvez utiliser le système ActiveTrail, et nous vous fournissons les outils pour vous aider à vous conformer au RGPD dans ce contexte :
- ActiveTrail vous offre un éditeur de landing page facile à utiliser et des formulaires d’inscription que vous pouvez placer dans vos landing pages, ce qui vous aide à collecter des informations sur les prospects et les abonnés.
- Lorsque vous concevez vos landing pages et formulaires, assurez-vous que, dans un pied de page ou dans le corps lui-même, vous indiquez clairement quelles informations vous souhaitez que l’utilisateur fournisse et décrivez l’utilisation que vous comptez faire de ces informations.
- Obtenez le consentement explicite de vos abonnés pour que vous puissiez transférer et traiter leurs données.
- Offrez toujours à vos abonnés un moyen simple de « se désabonner » et de « modifier leurs préférences », afin qu’ils puissent retirer leur consentement ou modifier leurs préférences en matière d’utilisation des données. ActiveTrail facilite votre travail ici en ajoutant automatiquement un pied de page de désabonnement à toutes les campagnes d’emailing.
- Assurez-vous que vos abonnés souhaitent et acceptent de recevoir des emails en utilisant l’option double opt-in d’ActiveTrail, par laquelle vous placez des cases opt-in à cocher sur vos formulaires d’inscription et envoyez également des emails aux inscrits leur demandant de confirmer leur inscription.
- Mettre à jour immédiatement toute information stockée dans ActiveTrail à la demande d’un abonné.
- Lorsqu’un abonné remplit et soumet l’un de vos formulaires d’inscription ActiveTrail, ActiveTrail enregistre l’adresse e-mail, l’adresse IP et l’horodatage associés à la soumission, vous fournissant ainsi une preuve de consentement facilement disponible. Cela vous aide à garder un œil sur le consentement que vos abonnés vous ont donné pour leur envoyer des campagnes marketing, stocker et utiliser leurs données personnelles ou d’autres types de traitement pour lesquels vous avez reçu leur consentement.
IMPORTANT : Le RGPD ne fait pas de distinction entre le consentement donné avant ou après l’adoption de la loi, c’est-à-dire que tout consentement du souscripteur doit être conforme au RGPD. Par conséquent, vous devriez obtenir des conseils juridiques concernant la conformité de tout consentement avant le 25 mai 2018 avec le RGPD, afin de vérifier si vous pouvez avoir besoin de demander un consentement additionnel/différent.
Consentement et tierces parties
ActiveTrail offre différents types d’intégration avec des applications tierces, augmentant considérablement la sphère des actions que vous pouvez faire avec et à travers ActiveTrail. Beaucoup de ces intégrations impliquent le transfert de données vers et/ou à partir de systèmes tiers, et le traitement de ces données dans ces systèmes. Si vous utilisez de telles intégrations, vous devez veiller à ce que tout consentement que vous obtenez de vos abonnés permette également le transfert et le traitement de l’information par les systèmes tiers.
Votre déclaration de confidentialité
Compte tenu de tout ce qui précède, il convient de vous assurer que votre propre déclaration de confidentialité stipule que certaines parties des données personnelles de vos abonnés seront transférées et traitées par ActiveTrail. Par exemple, vous pouvez envisager de mettre à jour votre déclaration de confidentialité pour identifier spécifiquement ActiveTrail en tant que responsable du traitement des données personnelles en votre nom, et mentionner comment vous utilisez ActiveTrail pour collecter et traiter ces données.
Vous pouvez trouver le RGPD dans toutes les langues en cliquant sur le lien suivant :
Toutes les langues : http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1465452422595&uri=CELEX:32016R0679
Français : http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=EN