En mai 2018, le Règlement Général sur la Protection des Données est entré en vigueur sur tout le territoire européen, incombant à l’ensemble des entreprises de se mettre conformité dans leurs différentes pratiques.

C’est sur toutes celles liées à la prospection et la gestion client (de la récolte à la conservation des données) que nous avons choisi de nous intéresser dans ce webséminaire Trajectoires Tourisme, en partenariat avec la Mona, et co-animé avec Adrien Chambade, Consultant – Formateur -Auditeur SSI et DPO chez Onyl Rocks.

Les fondamentaux du RGPD

Les deux textes de référence légaux liés à la protection des données sont :

  • la loi « Informatique et Libertés » de 1978
  • le Règlement Général de la Protection des Données, publié en 2016 et entré en application en 2018. C’est le socle commun pour l’ensemble des pays européens.

La Commission nationale de l’informatique et des libertés (CNIL), créée en 1978, est l’institution française chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés.

La protection des données n’est donc pas un sujet nouveau mais encore de nombreuses entreprises tardent à se mettre à en conformité sur ces questions.

Quand est-ce que le RGPD s’applique ?

Ce règlement s’applique dès lors que l’on va traiter des données personnelles, de manière automatisée ou non. Par exemple, lorsque l’on envoie des newsletters (traitement automatisé) ou que l’on classe des listes de noms et prénoms par ordre alphabétique dans un classeur papier (traitement non automatisé).

Le RGPD concerne toutes les structures de l’Union Européenne, qu’elle que soit leur taille ou leur raison sociale.

C’est quoi une donnée personnelle ?

Ce sont toutes les informations qui concernent une personne physique et qui permettent de l’identifier. Ainsi, les noms – prénoms, le numéro de téléphone, une adresse mail, un numéro d’immatriculation…

Comment faire de la prospection en étant conforme au RGPD ?

Vous souhaitez intégrer dans votre listing de newsletter une personne qui vous a contacté par téléphone pour des informations touristiques. Vous souhaitez envoyer une offre commerciale à un client. Vous prévoyez d’envoyer un mailing à vos partenaires. Vous récoltez des contacts à l’issue d’un salon ou d’un jeu concours… Est-ce que toutes ces pratiques sont conformes au RGPD ?

Que nous dit la CNIL ? « Pas de message commercial sans accord préalable du destinataire ». Les personnes sollicitées doivent au préalable avoir donné leur accord (consentement) pour recevoir vos messages (plutôt dans le cadre de communication B2C) ou ne pas avoir exprimé leur refus (dans une communication B2B).

Principes lorsque vous envoyez des newsletters :

  • l’identité de l’annonceur doit être clairement énoncé dans chaque message envoyé
  • Chaque mailing doit contenir un moyen simple de s’opposer à la réception de nouvelles sollicitations (ex : un lien de désinscription)
  • on ne collecte que les informations nécessaires à notre action de prospection
  • on ne conserve pas les données de façon illimitée
  • on sécurise les données conservées
  • les personnes sollicitées ont des droits d’accès, de modification, d’opposition et de suppression de leurs données

Pour la communication en BtoC

La publicité par courrier électronique est possible à condition que les personnes aient explicitement donné leur accord pour être démarchées, au moment de la collecte de leur adresse mail.

Il existe toutefois des exceptions :

  • si la personne prospectée est déjà cliente de l’entreprise et si la prospection concerne des produits et services analogues à ceux déjà fournis par l’entreprise
  • si le message n’est pas de nature commerciale

Pour la communication en BtoB

Si vous souhaitez, par exemple, envoyer un message à vos partenaires, socio-professionnels. La personne sollicitée doit, au moment de la collecte de son adresse mail :

  • être informée que son adresse mail sera utilisée à des fins de prospection
  • être en mesure de s’opposer à cette utilisation de manière simple et gratuite

A noter que l’objet de la sollicitation doit être en rapport avec la profession de la personne démarchée. Lees adresses génériques (contact@, info@…) ne sont quant à elles pas soumises aux principes du consentement et du droit d’opposition.

Combien de temps peut-on conserver les données ?

Le RGPD indique que cette durée ne doit pas aller au-delà de la finalité.

  • Données nécessaires à la gestion d’un site internet (ex : les identifiants de connexion) => 1 an
  • Gestion d’un fichier client => au maximum pendant le temps de la relation commerciale, et au maximum pendant 3 ans à compter de la fin de la relation commerciale
  • Gestion d’un fichier de prospects non clients => au maximum 3 ans à compter de la récolte des données ou du dernier contact émanant du prospect (ex: demande de documentation, clic sur un lien dans un email…)
  • Statistiques de mesures d’audience (cookies essentiellement) => 1 an

Cookies or not cookies ?

Pour y voir plus clair, la CNIL propose une série de vidéos pédagogiques sur la notion de cookies et la bonne pratique à suivre lorsque l’on installe des cookies sur son site web.

Mise en conformité : par où commencer ?

Plan d’action recommandé par la CNIL :

1/ Désigner un pilote : un DPO ou chef de projet qui sera responsable de la mise en conformité de la structure

2/ Faire un état des lieux de toutes les données conservées, recenser ses différentes activités de traitement et leur durée de conservation : les données physiques (papiers, classeurs, archives…) et le stockage informatique (disque dur, réseau, drives, CRM, newsletter…)

3/ Faire un tri : sur le volume et l’étendue des données récoltées (peut-être que seule la conservation des adresses mail suffit pour nos actions) . Ce tri pourra ensuite donner lieu à la création d’un tableau qui recensera les procédures à suivre pour chaque type de donnée et traitement, le durée de conservation…

4/ Mettre à jour les informations contractuelles (CGV, mentions légales, contrats…), mettre en place une politique de protection des données sur son site web, rajouter les mentions légales sur les formulaires de collecte (papier et en ligne). Pour vous aider, la CNIL propose des exemples de mentions d’information conformes au RGPD

Pour aller plus loin

Plusieurs ressource documentaires et outils vous aideront à lancer votre démarche de mise en conformité RGPD :

Les fiches pratiques et outils de la CNIL :

Trajectoires Tourisme propose une formation de 2 jours « RGPD : mettre sa structure en conformité avec la réglementation » pour les DPO. Cette formation est animée par Adrien Chambade, qui est intervenu pendant ce webséminaire.

Enfin, ADN Tourisme a mis en place un accompagnement spécifique pour la mise en conformité au RGPD, ainsi que l’accès à un DPO externalisé pour ses adhérents. https://www.adn-tourisme.fr/cnil/

Voir le replay du webséminaire

Animé par Adrien Chambade, Consultant – Formateur -Auditeur SSI et DPO chez Onyl Rocks

Voir le document récapitulatif.

Foire aux Questions

Pendant le live, notre expert a répondu aux questions des participants. Nous avons compilé les réponses ci-dessous :

1/ Si une adresse mail professionnelle est visible sur un site internet, est-ce que cette donnée est soumise au même règlement ?
Le fait qu’une donnée soit publique n’en change pas l’application du RGPD. Elle reste soumise au règlement, et ne peut être utilisée sans cadre défini.

2/ Peut-on envoyer des newsletters à des contacts récoltés lors d’un jeu concours sur Facebook ? Il faut informer les personnes des modalités de traitement et durée de conservation des données récoltées, dans le règlement par exemple.

3/ Lors d’un appel téléphonique, nous sommes amenés à collecter des données sur les clients pour un envoi de documentation. Peut-on leur envoyer des mailings commerciaux ?
Il est important de formaliser une procédure qui soit démontrable, et tracer dans un registre les consentements donnés. Si la personne a donné simplement un accord oral, il faut le reporter et le dater dans le registre pour pouvoir démontrer l’obtention du consentement.

4/ Quel sont les risques juridiques pour le DPO ?
Le DPO n’est pas sanctionné dans l’exercice de ses fonctions.

5/ Si on possède un formulaire sur son site, pointant vers une adresse qui elle-même est redirigée vers gmail pour le traitement du mail, que faut-il faire ?
Il faut l’indiquer au moment de la collecte, au niveau du formulaire pour que la personne soit informé du transfert de ses données.

6/ Sur un salon, lorsqu’on récupère les noms, prénoms et adresse mail des personnes rencontrées en les faisant signer une liste d’émargement? est-ce légal ?
Oui, du moment que la personne en est informé au préalable de la récolte de ses données, et que ces informations d’utilisation soient explicitées.

7/ J’utilise un logiciel d’e-mailing (Mailjet, Mailchimp, Sarbacane…) pour faire des campagnes newsletter, s’agit-il d’un transfert de données ?
Un transfert c’est lorsque que l’on communique, copie ou déplace des données personnelles dans un pays tiers à l’Union européenne.
Dans le cadre des logiciels de mailings, il est important de se renseigner sur la structure qui assure le traitement de nos données. Par exemple, Mailjet, qui était une entreprise française a été récemment rachetée par un concurrent américain. On peut donc parler de transfert. Il est donc obligatoire d’en informer les personnes au moment de la récolte de ses données.
Si en revanche l’acteur est français, et que l’hébergement est en Europe, on ne parle pas de transfert.

libero porta. vel, eleifend felis diam quis sed