Le RGPD, présentation générale et lexique utile

Le Règlement Général sur la Protection de la Donnée (RGPD) crée un cadre unifié entre les différents pays de l’Union Européenne.  Il institue l’obligation de sécurisation des données personnelles et responsabilise les acteurs traitant ces données :

Le RGPD assoit l’enjeu central de la finalité de la collecte des données personnelles, de la transparence des fins visées, des usages des données et de leur délai de conservation par le Responsable de traitement. Les relations entre responsables de traitement et les sous-traitants sont aussi abordées; le RGPD crée une responsabilité partagée quant aux méthodes de sécurisation mises en place à l’évaluation et au suivi de ces méthodes. Le RGPD vise finalement à crédibiliser la régulation grâce à des sanctions renforcées et à une coopération accrue entre les autorités de protection des données (la CNIL en France), qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux.

Le Règlement 2016/679 est constitué de 99 articles applicables à partir du 25 mai 2018.

Quelques définitions utiles à la compréhension du RGPD

Qu’est-ce qu’une donnée à caractère personnel ?

« Toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale».

M. Dupond, résidant au 3 rue des Lilas à Paris ayant pour adresse mail Dupond@hotmail.fr : Ce sont des données personnelles permettant d’identifier directement ou indirectement M. Dupond.

Qu’est-ce qu’un traitement de données ?

« Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction».

Exemple : Vous collectez l’adresse mail, le nom et le prénom d’une personne pour lui envoyer des informations sur votre organisation ? Vous réalisez un traitement de données.

Qu’est-ce qu’un responsable de traitement ?

« La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre ».

Exemple : Vous collectez des données personnelles et vous décidez de les utiliser pour envoyer des communications à vos contacts / prospects / clients / … ? Vous êtes responsable de traitement.

Qu’est-ce qu’un sous-traitant ?

« La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. »

Exemple : Vous utilisez un routeur professionnel (comme Sendethic) / un logiciel de CRM en ligne ?… Ceux-ci sont des sous-traitants.

Qu’est-ce que  la responsabilisation ?

Ce principe (aussi nommé « accountability ») désigne « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. » Ainsi, c'est au responsable de traitement de démontrer qu'il est en conformité avec le RGPD des la mise en place de ses traitements.

Qu’est-ce que la protection des données dès la conception et par défaut ?

Ces principes (aussi nommé « Privacy by design and default ») désignent la mise en place par les entreprises de mesures techniques et organisationnelles. Celles-ci garantissent aussi bien la protection des données, que le respect du règlement et les droits des personnes. Vous devez garantir que vous avez, et ce dès la conception de votre traitement, prévu de protéger les données, de respecter les droits des personnes quant à leurs données personnelles (Droit à l' information, accès, rectification, opposition, limitation, portabilité, oubli).

 

Appréhender le RGPD 

Les bases légales justifiant un traitement de données personnelles

Un traitement de données personnelles doit reposer sur un fondement, ce dernier permet au responsable de traitement de justifier l'utilisation des données personnelles d'un individu.

L’article 6 du RGPD défini les bases légales peuvent justifier un traitement de données personnelles et rendre celui-ci licite lorsque :

  1. la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.
  2. le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures pré contractuelles prises à la demande de celle-ci.
    Par exemple : vous êtes e-commerçant, dans le cadre de la relation avec votre client vous allez lui envoyer des factures, les conditions de retours… Dans ce cadre, le traitement des données personnelles est licite.
  3. le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis. Pour certains secteurs, la loi impose les traitements de données personnelles aux responsables de traitement, il s’agit par exemple du secteur bancaire.
  4. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique.
    Il peut s’agir ici par exemple du secteur de l’Assurance.
  5. le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.
  6. le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

 

Appréhender le RGPD 

Les droits des personnes concernées

Le cadre légal antérieur définissait des droits pour les personnes concernées par un traitement de leurs données personnelles; le RGPD renforce ces droits et en ajoute de nouveaux. 

Ainsi, les personnes concernées peuvent exercer ces droits :

  • Le droit à l’information :  le responsable de traitement doit mettre à disposition de la personne concernée les informations sur le/les traitements : identité et coordonnées responsable de traitement + finalités + durée de conservation,…
  • Le droit d’accès : Vous devez permettre à une personne concernée de se renseigner sur où sont ses données, quelles sont les données qui sont traitées etc.
  • Le droit de rectification des données. Vous devez permettre à une personne de modifier ses données.
  • Le droit à l’oubli : Vous devez pouvoir garantir la possibilité de supprimer la donnée de contact d’un individu. Par exemple à l'échéance de la durée de conservation.
  • Le droit à la portabilité: Vous devez pouvoir répondre à un individu qui vous demande les informations dont vous disposez sur lui et lui transmettre ses données ou les transférer à un autre responsable de traitement s’il en fait la demande.
  • Le droit à la limitation de traitement: Possibilité de suspendre le traitement tout en gardant les données personnelles en l'état au moment de l'exercice du droit. 
  • Droit d’opposition au traitement: Possibilité de retirer son consentement pour un traitement précis.

Le citoyen peut en outre toujours pouvoir refuser le profilage à des fins marketings.

Ces différents droits des personnes concernées sont visibles aux articles 12 à 23 du RGPD.

 

Appréhender le RGPD 

La durée de conservation

La durée de conservation des données personnelles va de pair avec le « droit à l’oubli ». 

L’article 17 du RGPD concerne le droit à l’effacement des données personnelles : le « droit à l’oubli ».

Ce droit est exercé lorsque :

  1. les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière,
  2. la personne concernée retire le consentement sur lequel est fondé le traitement et il n'existe pas d'autre fondement juridique au traitement,
  3. la personne concernée s'oppose au traitement,
  4. les données à caractère personnel ont fait l'objet d'un traitement illicite,
  5. les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis.

Dans tous les cas, la durée de conservation doit être proportionnelle à la finalité du traitement.

 

Appréhender le RGPD 

Les obligations du Responsable de Traitement

Le RGPD instaure de nouvelles obligations incombant au responsable de traitement, celui-ci doit désormais assurer ou s'assurer de :

  1. Désigner un Délégué à la Protection des Données (DPO) ou un équivalent (chargé de projet, responsable conformité RGPD…), interne ou externe à la société. Il est l’interlocuteur actif auprès de la CNIL concernant l’initiative.
  2. De déterminer les finalités et tenir à jour les registres des traitements. Une mise à jour des traitements et des finalités doit être effectuée dès qu’un changement est constaté (nouveau traitement/ ajout d’une nouvelle finalité…). 
  3. Mettre en place des différents processus internes et de vérification de leur fonctionnement. Exemples de procédure :  la procédure d’exercice des droits des personnes concernées, les tests de sécurité, le droit à l’oubli, la procédure de retrait du consentement, la procédure de notification aux personnes concernées par une faille de sécurité). Ceux-ci doivent régulièrement être testé pour en garantir l’efficacité de leur fonctionnement.
  4. La disponibilité des engagements de conformité. Les droits des personnes concernées doivent être accessibles et aisément applicables (une personne concernée peut facilement exercer son droit d’accès par exemple, la démarche à suivre est indiquée et aisée à mettre en œuvre). La personne concernée peut facilement obtenir toutes les informations sur le traitement dont elle fait l’objet (finalité, destinataire, durée de conservation, lieu d’hébergement…) et la possibilité de s’y opposer librement.  Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données et ensuite (en vous appuyant, par exemple, sur les fonctionnalité à votre disposition dans nos services).
  5. D'effectuer une veille continue. Organiser la veille au sein de l’entreprise pour permettre au DPO mais aussi aux équipes de l’organisation d’entretenir les compétences de chacun sur les sujets de la protection personnelle. Le DPO a aussi un rôle de formation des équipes sur les sujets de la protection des données.

 

Appréhender le RGPD 

Sendethic s’engage et participe de votre conformité

La protection des données personnelles est dans notre ADN depuis la création de nos services

Au sens du RGPD Sendethic est un sous-traitant.

Dans ce contexte, Sendethic s’engage à garantir la confidentialité des données à caractère personnel traitées dans le cadre de la sous-traitance.

Nous prenons en compte dès la conception de nos services les principes de protection des données personnelles.

Nous traitons les données personnelles que vous nous confiez uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance.

Nous traitons ces données conformément à vos instructions documentées de par l’utilisation de nos services. Dans ce cadre, nous vous en informons si nous considérons qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’union ou du droit des Etats membres relative à la protection des données.

Nous vous indiquons à l’article 11 de nos Conditions Générales d'Utilisation et Vente que « si un incident de sécurité impactant l’intégrité ou la confidentialité des données personnelles du Client, traitées par Sendethic SAS ou un de ses sous-traitants, est porté à la connaissance de ce dernier, le Client devra impérativement en être informé, dans les meilleurs délais après la découverte de l’incident, afin que les mesures qui s’imposent soient ensuite appliquées. »

Dans la mesure du possible, nous vous aidons à  vous acquitter de votre obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’apposition, droit à la limitation du traitement, droit à la portabilité des données.

Nous pouvons vous aider dans la réalisation de vos analyses d’impact relative à la protection des données et dans le cas de consultation préalable de l’autorité de contrôle.

Notre Délégué à la Protection des Données (DPO) peut être contacté à l'adresse e-mail dpo (at) messagebusiness . com.

Nous mettons à votre disposition le registre de sous-traitant récapitulant les catégories d’activité de traitements (disponible depuis la rubrique Plus > Coordonnées), ainsi qu’un ensemble de documents (dont celui-ci) pour démontrer le respect de nos obligations, permettre la réalisation d’audits et surtout vous assurez de la conformité de Sendethic quant à ses obligations vis-à-vis du RGPD.

Appréhender le RGPD

Charte interne de protection des données personnelles

Les employé.e.s de Sendethic sont conscient.e.s des principes de confidentialité et de protection de la donnée et appliquent les 12 règles d’or de la protection de la donnée personnelle présentes au sein de cette charte Interne :

  1. Ne pas utiliser les données à des fins autres que celles prévues par ses attributions,
  2. Empêcher l’utilisation détournée ou frauduleuse de ces données,
  3. Ne divulguer ces données qu’aux personnes dûment autorisées,
  4. Utiliser les moyens de communication sécurisés pour le transfert de ces données,
  5. Ne jamais confier d’identifiant/mot de passe à des tiers non-autorisés,
  6. Verrouiller son ordinateur dès que l’on s’absente de son poste de travail,
  7. Ne pas installer, copier, modifier, détruire des logiciels sans autorisation,
  8. Signaler toute violation ou tentative de violation de son compte informatique,
  9. Partager son expérience pour tout questionnement au sujet de la protection de la donnée,
  10. Exprimer des avis quant à la pertinence des données traitées pour la réalisation des objectifs, 
  11. Effectuer une veille sur l’évolution du sujet de la protection de la donnée,
  12. Répondre aux demandes de modification de données des personnes concernées.

La présente charte est applicable à tous les employé.e.s de Sendethic.

Elle peut être partagée avec le plus grand nombre.

 

Appréhender le RGPD 

La prospection BtoB et BtoC

Les données personnelles sont au cœur de la prospection. Cependant, avec le durcissement des règles et des obligations incombant au responsable de traitement, faut-il y voir la fin de la prospection ?

C'est la CNIL qui a reconfirmé le 30 mars 2018 que « le RGPD ne change pas les règles applicables aux mails de prospection », que ces derniers soient à destination des professionnels (B2B) ou des particuliers (B2C).

Pour poursuivre, le SNCD a publié une infographie détaillant les impacts du RGPD sur le marketing direct; celle-ci informe des règles applicables en prospection électronique et précise qu'elles ne sont pas modifiées par le RGPD.

Ceci posé, entre le respect de la législation en vigueur et celui de la (bonne) pratique, il peut y avoir des différences d'appréciations importantes de la part de vos destinataires; aussi, nous vous invitons non seulement à ne pas ignorer la loi mais aussi et surtout respecter les règles d'or pour réussir vos prochaines opérations !  

 

Appréhender le RGPD 

Consentement et RGPD : explications pragmatiques et exemples de mises en œuvre

Le RGPD renforce les règles applicables au consentement des personnes lorsque celles-ci vous transmettent leurs données personnelles afin qu'elles soient ensuite traitées par vos soins. 
 
Dans ce document, nous vous proposons de faire un point sur :
  • La collecte du consentement d’une personne,
  • La manière de documenter ce consentement, 
  • Une méthode pour re-valider (si nécessaire) les consentements des contacts collectés avant le 25 mai 2018.

Sommaire

  • Définition du consentement selon le RGPD
  • Méthodes de collecte du consentement en conformité avec le RGPD
  • Que faire des consentements existants dans vos bases ?
  • Faire une campagne de re opt-in
  • Avant ou après le 25 mai… Nos conseils pour initier / parfaire la conformité au RGPD de votre organisation !
  • Les fonctionnalités et services de Sendethic qui vous accompagnent

Télécharger ce document en toute confiance 😉 Votre adresse mail ne sera jamais revendue, ni échangée. A tout moment vous pourrez vous désabonner de nos communications (newsletter et invitations à nos événements).

Quelques mots des fondateurs de Sendethic

Le Règlement Général sur la Protection de la Donnée renforce la protection des données, responsabilise les acteurs traitant ces données et crée de nouvelles obligations à respecter.

Comme tout ce qui est nouveau, l'arrivée de ce règlement est aussi vectrice d'affirmations alarmistes alors que le RGDP est avant tout une formidable opportunité d'affirmer vos engagements dans la relation de confiance que vous entretenez avec les contacts qui vous ont confié leurs données personnelles.

Nous vous proposons dans ce document de faire un point sur le consentement… Objectif : vous éclairer de manière pragmatique et concrète. Nous y rappelons les fonctionnalités et services disponibles dans l’application qui vous aideront dans votre démarche RGPD : sécurisation des accès, désignation du DPO, droit à l’oubli, Do Not Track, et conseils pragmatiques.

Nous avons également conçu un document qui détaille en toute transparence de nos engagements vis-à-vis de vous et de notre accompagnement pour vous aider à sécuriser les données personnelles qui vous sont confiées et que vous exploitez pour vos finalités. C’est notre manière de prolonger notre engagement à vos côtés.

Vincent Fournout, Guillaume Le Friant Jean-Michel Hazera (co fondateurs de Sendethic)

 

Pourquoi il faut relire ses emailings avant envoi ? Le cas Guillaume Pepy

Merci Guillaume Pepy avec son email aux usagers de la SNCF de nous permettre de faire encore et toujours de la pédagogie.

En pleine période de mouvements sociaux dans son entreprise le président de la SNCF rédige un long emailing d'excuse et où il partage des actions engagées pour atténuer l'impact des grèves.

Initiative louable mais on peut supposer que l'emailing a été validé un peu trop tard dans la nuit car il comporte au moins une coquille. 

Nous allons garantir 300 tous les jours de grève ! 

300 c'est une belle référence à la révolte de Spartacus !

 

La twittosphère n'a pas manqué de réagir dans la foulée sur un ton mi amusé mi vindicatif ! 

 

Donc on répète après nous :

on relit et on corrige ses emailings AVANT de les envoyer.

Petite slide qui conclue nombre de nos événements et formations