6
PRIVACY G D P R The GDPR General Data Protection Regulation

The GDPR - flexmail.be · entreprises de tous les secteurs qui traitent des données à ... à tous les contacts concernés de votre base de données pour leur demander un nouvel

Embed Size (px)

Citation preview

Page 1: The GDPR - flexmail.be · entreprises de tous les secteurs qui traitent des données à ... à tous les contacts concernés de votre base de données pour leur demander un nouvel

PRIVACY

GDPR

The GDPRGeneral Data Protection Regulation

Page 2: The GDPR - flexmail.be · entreprises de tous les secteurs qui traitent des données à ... à tous les contacts concernés de votre base de données pour leur demander un nouvel

La réponse à toutes vos questions sur le RGPD

La base

Le RGPD soulève des questions épineuses en Europe, pour ne pas dire dans le monde entier. Par exemple : Mon entreprise est-elle concernée par le RGPD ? Suis-je passible d’une amende si je ne me conforme pas aux exigences du règlement ? Dois-je adapter ma base de données existante ? Si vous vous mettez en quête de réponses à ces questions, vous vous heurterez souvent à des textes de loi complexes et à peine compréhensibles. Dans ce whitepaper, nous avons réuni pour vous les questions les plus cuisantes et leurs réponses.

Amendes ?En principe, les entreprises pourront se voir infliger des amendes dès le 25 mai 2018. Ces sanctions peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel ou 20 millions d’euros, selon le plus élevé de ces deux montants. Il s’agit là des amendes maximales pour les infrac-tions les plus lourdes. La Commission de la protection de la vie privée n’impose aucun mini-mum pour les amendes.

L’acronyme RGPD signifie Règlement général sur la protection des données, en anglais « GDPR » ou « General Data Protection Regulation ». Il s’agit d’une législation européenne qui remplace la directive de 1995 sur le même sujet, entretemps devenue obsolète. Le RGPD a été ratifié en 2016 mais son application ne fera l’objet de contrôles qu’à partir du 25 mai 2018. La nouvelle législation stipule comment les entreprises peuvent obtenir, utiliser, enregistrer et supprimer des données à caractère personnel. Elle s’applique aux entreprises de tous les secteurs qui traitent des données à caractère personnel de citoyens de l’Union européenne. Ne sous-estimez pas les nouvelles dispositions, car elles sont très détaillées. Même les entreprises qui ont conservé les adresses e-mail de personnes ayant l’année dernière posé leur candidature à un poste vacant relèvent du RGPD et sont tenues d’adapter leur politique.

GDPR

Page 3: The GDPR - flexmail.be · entreprises de tous les secteurs qui traitent des données à ... à tous les contacts concernés de votre base de données pour leur demander un nouvel

Analyse d'impact relative à la protection des données : Dans certains cas, vous êtes dans l’obligation de réaliser une analyse d'impact relative à la protection des données. C’est le cas des entreprises qui traitent des données à grande échelle, comme les entreprises de marke-ting direct. Vous procédez à un audit de sécurité, analysez comment votre entreprise traite les données et évaluez les risques de vol ou de perte. Sur la base de vos conclusions, vous éta-blissez un plan d’action en vue de limiter ces risques.

Créez une base de données : Si vous traitez des données à caractère personnel, vous devez créer une base de données. Celle-ci contient des informations comme le délai dans lequel les données devront être effacées et les finalités pour lesquelles vous utilisez les données. Dans l’outil de Flexmail vous pouvez utiliser la date de création. Flexmail montre quand un contact

a été importé ou quand un contact a rempli un opt-in. Tenez compte que le contact possiblement existe plus longue que votre période d’utilisation dans Flexmail.

Devoir de notification en cas de fuite de données : Lorsque vous remarquez que des données ont été volées ou se sont retrouvées d’une manière ou d’une autre entre de mauvaises mains, vous devez en infor-mer les pouvoirs publics et le client concerné dans les 72 heures.

Délégué à la protection des données : Dans certains cas, vous êtes dans l’obligation de désigner un DPD, par exemple si votre activité principale est le marke-ting direct. Il peut s’agir d’un consultant externe ou d’un collaborateur interne. Cette personne est alors

en quelque sorte un conseiller en prévention en charge de la protection de la vie privée.

Droit à l’information : Dès le mois de mai, les entreprises sont tenues d’indiquer clairement à quelles fins elles utilisent les informations personnelles de leurs clients. Il est important d’en faire clairement mention au moment de l’obtention des données, mais aussi par la suite au cours du processus de traitement.

Droit à l’effacement : Le contact a le droit de faire à tout moment supprimer ses données à caractère personnel de la base de données.

Comment s’y prendre ?

Page 4: The GDPR - flexmail.be · entreprises de tous les secteurs qui traitent des données à ... à tous les contacts concernés de votre base de données pour leur demander un nouvel

De quel type sont les données traitées ?

Que faire de mes contacts existants ? Si vous avez obtenu des informations d’une manière conforme aux normes imposées par le RGPD, vous pouvez continuer à les utiliser. Si vous avez par contre obtenu les informations par le biais d’une case cochée au préalable sur votre site Internet, vous devrez à nouveau demander l’autorisation de votre contact. En effet, ces informations n’ont pas été communi-quées « librement ».

Droit à la rectification : Le contact a le droit de faire à tout moment compléter ou remplacer ses données à caractère personnel si elles ne sont pas correctes.

Droit d’accès : Le contact a le droit de consulter ses données à caractère personnel et de savoir à quelles fins elles sont utilisées. L’entreprise qui effectue le traitement est également tenue de fournir gratuitement, dans les 30 jours, une copie des informations.

Droit à la portabilité des données : Le contact a le droit de faire transférer ses informations, autrement dit de demander leur transmission en toute sécurité à un autre organisme.

Droit d’opposition : Le contact a le droit de s’opposer à l’utilisation de ses données dans un certain contexte. À partir du moment où vous utilisez les données d’un contact, vous êtes dans l’obligation de permettre à ce contact de manifester son opposition en ligne. Le contact pourra alors s’opposer au traitement de ses données à caractère personnel à des fins de mar-keting direct, de profilage ou de prise de décision automatisée.

Les données à caractère personnel sont des données qui per-mettent directement ou indirectement d’identifier une person-ne. Il peut par exemple s’agir de noms, d’adresses e-mail, de messages postés sur les réseaux sociaux, d’adresses IP, etc. Les données sensibles sont quant à elles soumises à des règles encore plus strictes. Les données sensibles ont notam-ment trait à la race, à des informations génétiques et autres. La plupart des entreprises traitent uniquement des données à caractère personnel et ne doivent donc pas tenir compte des règles qui s’appliquent aux données sensibles. En tant que responsable du traitement, il est de votre devoir de prendre les mesures requises pour chaque catégorie.

Page 5: The GDPR - flexmail.be · entreprises de tous les secteurs qui traitent des données à ... à tous les contacts concernés de votre base de données pour leur demander un nouvel

Si vous avez obtenu des informations d’une manière conforme aux normes imposées par le RGPD, vous pouvez continuer à les utiliser. Si vous avez par contre obtenu les informations par le biais d’une case cochée au préalable sur votre site Internet, vous devrez à nouveau demander l’autorisation de votre contact. En effet, ces informations n’ont pas été communi-quées « librement ».

Vous pouvez pour ce faire lancer une campagne de réactivation. Vous envoyez alors un e-mail à tous les contacts concernés de votre base de données pour leur demander un nouvel opt-in. Autrement dit, vous leur demandez de s’abonner à nouveau à votre lettre d’information ou à d’autres mailings. Ces e-mails de réactivation seront de préférence des messages attrayants qui feront miroiter au client les avantages d’un nouvel opt-in. Quelques destinataires n’y don-neront probablement pas suite, de sorte que vous perdrez des contacts. En contrepartie, ceux que vous conserverez seront des contacts engagés, à savoir le public qu’il faut toujours viser dans un contexte d’e-mail marketing. Résultat : un public impliqué, des résultats représenta-tifs, un meilleur engagement et donc une plus grande délivrabilité !

Le programme vous propose deux options pour créer une campagne de réactivation : une méthode directe et une méthode indirecte.

Directement : Vous lancez une campagne d’opt-in, c’est-à-dire un message contenant un lien d’opt-in. Au moment de l’envoi de la campagne, les destinataires de la campagne sont désactivés en tant que contacts. Ils redeviennent actifs lorsqu’ils cliquent sur le lien. Les contacts qui ne cliquent pas sur le lien restent inactifs et ne recevront plus de mailings.

Indirectement : Vous lancez une campagne ordinaire, par exemple en envoyant une lettre d’information. Vous veillez à demander de manière bien visible à vos contacts s’ils souhai-tent continuer à recevoir vos mailings à l’avenir. En regard de cette question, vous prévoyez un bouton sur lequel ils peuvent cliquer. Vous liez par exemple à ce bouton une page de destination afin de fournir un tag aux contacts.

Cette solution vous offre plusieurs possibilités :

Comment lancer des campagnes de réactivation dans Flexmail ?

Créer un label d’intérêt.Créer dans la fiche du contact un champ que vous adaptez par le biais du workflow.Ajouter les contacts qui confirment à un nouveau segment par le biais du workflow

--

-

Page 6: The GDPR - flexmail.be · entreprises de tous les secteurs qui traitent des données à ... à tous les contacts concernés de votre base de données pour leur demander un nouvel

Toute personne qui consulte des données à caractère personnel est un sous-traitant ou un responsable du traitement. Le responsable du traitement est l’entreprise qui décide quelles données sont collectées et comment elles sont utilisées. Le sous-traitant est l’entreprise qui traite les données pour le compte d’autres entreprises. Autrement dit, Flexmail est un sous-traitant. Flexmail est donc le canal intelligent qui est utilisé par le client, mais pas le responsable du traitement.

Le responsable du traitement est investi de la responsabilité primaire de la protection des données. Cela implique par exemple que le responsable du traitement est chargé de notifier les fuites de données dans les 72 heures.

Quel est mon rôle ?

GDPR

Flexmail NV Jaarbeurslaan 29 bus 31 3600 Genk T +32 (0)89 69 00 30 www.flexmail.be