RGPD : se préparer à la nouvelle législation sur les données personnelles

Le Règlement Européen sur la Protection des Données (RGPD) sera applicable le 25 mai 2018.
En ce moment, il suffit de souffler le mot RGPD au sein d’une direction marketing pour que ce soit panique à bord. Les sanctions de son non-respect pouvant aller jusqu’à 4% de votre chiffre d’affaires annuel, nous avons décidé de vous partager quelques conseils utiles pour être compliant !

Google et son dahsboard de gestion de ses données personnelles
Google et son dahsboard de gestion de ses données personnelles

Ne récolter que les données strictement nécessaires

C’est un vrai changement par rapport à l’ancienne législation qui ne parlait seulement de ne pas récolter des données “excessives”.
Cette disposition aura des impacts significatifs sur les stratégies marketing des acteurs digitaux. A titre d’exemple, un formulaire de création de compte d’un site e-commerce ne pourra plus comporter la récolte de l’adresse physique. Elle ne devra être demandée qu’en cas d’achat avec envoi du produit.
Autre exemple : Si à des fins marketing, vous souhaitez envoyer un mail célébrant l’anniversaire de vos clients. Vous ne pourrez plus leur demander l’année de naissance. Interdiction de leur demander une information qui n’est pas justifiée pour la finalité du service.
Afin d’être compliant pour fin mai 2018, il sera nécessaire d’entamer une optimisation de tous les mécanismes de récolte de données que comportent vos interfaces.

Obtenir le consentement explicite et positif

L’utilisateur doit donner son accord direct via une action positive pour toute utilisation de ses données personnelles.
Cette disposition impose notamment aux sites web et aux applications de demander de manière claire l’acceptation au dépôt de cookie tout en détaillant précisément sa finalité.

Il ne sera plus possible de pré-cocher la case d’acceptation des cookies.

Il en est aussi terminé de l’acceptation par défaut et des messages types : “En poursuivant votre navigation, vous acceptez l’utilisation de cookies.”
Autre impact notable, il va désormais être nécessaire de d’obtenir un accord pour chaque type de donnée (cookie publicitaire, réseaux sociaux, analyses statistique).
Terminé le bandeau générique d’optin au dépôt de cookie, le process va se compliquer significativement.

Exemple de demande d'acceptation conforme - CNIL
Exemple de demande d’acceptation conforme – CNIL
  • Effacer les données personnelles d’une personne qui le demande : Toute personne sera en droit de demander l’effacement complet de ses données personnelles. Il faudra alors procéder à la mesure sous 30 jours.
  • Permettre la portabilité des données personnelles : Toute personne pourra demander à recevoir dans un format structuré des données personnelles transmises à un organisme/entreprise. Il est recommandé de prévoir une fonctionnalité de téléchargement de ses données pour les internautes. Sinon, vous vous verrez dans l’obligation de procéder à cet export manuellement et dans “les plus brefs délais” !
    Exemple de fonctionnalité de téléchargement de données proposée par Linkedln
    Exemple de fonctionnalité de téléchargement de données proposée par Linkedln
  • Notifier la CNIL sous 72h en cas de fuite de données personnelles : Toute entreprise victime d’une fuite de données devra très rapidement notifier l’autorité nationale de protection. Elle devra également informer la personne concernée directement. Ce point est une vraie nouveauté qui obligera les entreprises à communiquer sur les hacking de données dont elles sont victimes. Nous pensons évidemment à Uber dont 57 millions de chauffeurs et utilisateurs ont été récemment victimes d’un vaste piratage de données qui a été par ailleurs dissimulé.
  • Ne pas transférer des données personnelles en dehors de l’Union Européenne : Attention quand vous sélectionnerez vos partenaires marketing de type outil de retargeting, d’envoi d’email ou push notifications. Tous leurs serveurs de stockage de donnée devront se situer dans l’Union Européenne.
  • Tenir compte du principe de co-responsabilité : Les partenaires qui exploitent vos données personnelles doivent également être conformes avec la RGPD : tenue de registre, notification en cas de fuite de données… Prévoyez un contrat de sous-traitance qui stipule notamment les données traitées, la finalité du traitement et les exigences légales en terme de protection des données.

En respectant quelques règles de base et en anticipant le sujet, vous devriez être prêts pour la date fatidique de mai. En attendant, nos consultants Digital Analytics vous accompagnent sur le sujet et continuent de déployer des stratégies digitales.
helloquence-61189
 

Take Away pour être RGPD compliant

  • Ne récolter que les données nécessaires à la finalité
  • Obtenir le consentement explicite et positif à la récolte de données : Fini la théorie du “Qui ne dit mot consent” et les bandeaux d’acceptation de cookies avec un oui par défaut
  • Permettre l’effacement et la portabilité des données personnelles à tout client le demandant : Prévoir une fonctionnalité automatique dès la conception de vos interfaces !
  • Notifier la CNIL et vos clients le plus vite possible en cas de piratage de vos données

UX-Republic
[actionbox color=”default” title=”” description=”UX-REPUBLIC est une agence spécialisée en stratégie data et conception centrée utilisateur. Nous sommes également centre de formation agréé. Retrouvez toutes nos formations sur notre site training.ux-republic.com” btn_label=”Nos formations” btn_link=”http://training.ux-republic.com” btn_color=”primary” btn_size=”big” btn_icon=”star” btn_external=”1″]