RGPD : se préparer à la nouvelle législation sur les données personnelles

Nov 29, 2017
Wanda Saint-Paul

Le Règlement Européen sur la Protection des Données (RGPD) sera applicable le 25 mai 2018.

En ce moment, il suffit de souffler le mot RGPD au sein d’une direction marketing pour que ce soit panique à bord. Les sanctions de son non-respect pouvant aller jusqu’à 4% de votre chiffre d’affaires annuel, nous avons décidé de vous partager quelques conseils utiles pour être compliant !

Google et son dahsboard de gestion de ses données personnelles

Google et son dahsboard de gestion de ses données personnelles

Ne récolter que les données strictement nécessaires

C’est un vrai changement par rapport à l’ancienne législation qui ne parlait seulement de ne pas récolter des données « excessives ».
Cette disposition aura des impacts significatifs sur les stratégies marketing des acteurs digitaux. A titre d’exemple, un formulaire de création de compte d’un site e-commerce ne pourra plus comporter la récolte de l’adresse physique. Elle ne devra être demandée qu’en cas d’achat avec envoi du produit.
Autre exemple : Si à des fins marketing, vous souhaitez envoyer un mail célébrant l’anniversaire de vos clients. Vous ne pourrez plus leur demander l’année de naissance. Interdiction de leur demander une information qui n’est pas justifiée pour la finalité du service.
Afin d’être compliant pour fin mai 2018, il sera nécessaire d’entamer une optimisation de tous les mécanismes de récolte de données que comportent vos interfaces.

Obtenir le consentement explicite et positif

L’utilisateur doit donner son accord direct via une action positive pour toute utilisation de ses données personnelles.
Cette disposition impose notamment aux sites web et aux applications de demander de manière claire l’acceptation au dépôt de cookie tout en détaillant précisément sa finalité.

Il ne sera plus possible de pré-cocher la case d’acceptation des cookies.

Il en est aussi terminé de l’acceptation par défaut et des messages types : « En poursuivant votre navigation, vous acceptez l’utilisation de cookies. »
Autre impact notable, il va désormais être nécessaire de d’obtenir un accord pour chaque type de donnée (cookie publicitaire, réseaux sociaux, analyses statistique).
Terminé le bandeau générique d’optin au dépôt de cookie, le process va se compliquer significativement.

Exemple de demande d'acceptation conforme - CNIL

Exemple de demande d’acceptation conforme – CNIL

  • Effacer les données personnelles d’une personne qui le demande : Toute personne sera en droit de demander l’effacement complet de ses données personnelles. Il faudra alors procéder à la mesure sous 30 jours.
  • Permettre la portabilité des données personnelles : Toute personne pourra demander à recevoir dans un format structuré des données personnelles transmises à un organisme/entreprise. Il est recommandé de prévoir une fonctionnalité de téléchargement de ses données pour les internautes. Sinon, vous vous verrez dans l’obligation de procéder à cet export manuellement et dans « les plus brefs délais » !
    Exemple de fonctionnalité de téléchargement de données proposée par Linkedln

    Exemple de fonctionnalité de téléchargement de données proposée par Linkedln

  • Notifier la CNIL sous 72h en cas de fuite de données personnelles : Toute entreprise victime d’une fuite de données devra très rapidement notifier l’autorité nationale de protection. Elle devra également informer la personne concernée directement. Ce point est une vraie nouveauté qui obligera les entreprises à communiquer sur les hacking de données dont elles sont victimes. Nous pensons évidemment à Uber dont 57 millions de chauffeurs et utilisateurs ont été récemment victimes d’un vaste piratage de données qui a été par ailleurs dissimulé.
  • Ne pas transférer des données personnelles en dehors de l’Union Européenne : Attention quand vous sélectionnerez vos partenaires marketing de type outil de retargeting, d’envoi d’email ou push notifications. Tous leurs serveurs de stockage de donnée devront se situer dans l’Union Européenne.

En respectant quelques règles de base et en anticipant le sujet, vous devriez être prêts pour la date fatidique de mai. En attendant, nos consultants Digital Analytics vous accompagnent sur le sujet et continuent de déployer des stratégies digitales.

helloquence-61189

 

Take Away pour être RGPD compliant

  • Ne récolter que les données nécessaires à la finalité
  • Obtenir le consentement explicite et positif à la récolte de données : Fini la théorie du « Qui ne dit mot consent » et les bandeaux d’acceptation de cookies avec un oui par défaut
  • Permettre l’effacement et la portabilité des données personnelles à tout client le demandant : Prévoir une fonctionnalité automatique dès la conception de vos interfaces !
  • Notifier la CNIL et vos clients le plus vite possible en cas de piratage de vos données

Wanda Saint-Paul, Digital Analytics Team Manager, @WandaSaintPaul

UX-REPUBLIC est une agence spécialisée en stratégie data et conception centrée utilisateur. Nous sommes également centre de formation agréé. Retrouvez toutes nos formations sur notre site training.ux-republic.com

 

 

No comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *