Sélectionner une page

RGPD : L’essentiel + les actions à faire pour les web entrepreneurs

Depuis ces derniers jours certains grincent des dents et d’autres ont des frissons dès qu’on prononce ces trois mots :

“25” … “Mai” … “RGPD”.

Et bien vous ne devriez pas car le RGDP (Règlement Général sur la Protection des Données) ce n’est pas nouveau et c’est simple à comprendre.

Adopté le 14 avril 2016 par le Parlement européen, le RGPD de 2018 remplace l’ancien texte de référence européen de 1995 en matière de protection des données personnelles.

Autant vous dire que depuis 1995, le volume de données a très largement explosé donc les lois se mettent à jour compte tenu du contexte.

Rassurez-vous et rangez ce doliprane, vous n’en n’aurez pas besoin pour cet article car j’ai simplifié l’information au maximum pour vous.

Plus sérieusement, j’ai l’impression que tous les rédacteurs qui ont fait un article sur la RGPD ne voulaient pas que les lecteurs comprennent.

Avant d’écrire cet article j’ai lu et analysé des dizaines et des dizaines d’articles et je n’ai rien trouvé de clair et synthétique dans UN SEUL article.

J’ai aussi posé un tas de questions à une juriste qui m’a aidé à mettre au clair certaines parties des textes de La Loi.

D’ailleurs, j’ai une bonne nouvelle !

Le RGPD est plus simple que ça en a l’air et pour la mise en place tout dépend des outils que vous utilisez à ce jour. Mais de manière générale, tous les outils sont maintenant à jour sur le sujet.

Dans cet article, je vais vous expliquer en quoi le RGPD ce n’est que du bon sens.

Mais avant d’aller plus loin, je veux mettre une chose bien au clair avec vous ! 🙂

Je ne suis pas un professionnel de la Loi et je vous invite à vous rapprocher de professionnels si vous avez des questions beaucoup plus poussées.

En suivant cet article vous serez tout de même en règle, j’ai pris le temps de ne rien oublier mais si votre cas est particulier n’hésitez pas à demander à un professionnel.

Toutes les informations de cet article sont issues du site de la CNIL, de BPIFRANCE, d’une dizaines de blogs, de vidéos Youtube et d’un entretien avec une juriste Bordelaise.

Autant vous dire des heures de travail car c’est un sujet important et à ne pas prendre à la légère.

C’est un article pratique afin d’aller à l’essentiel pour que vous soyez enfin en règle (si ce n’est pas déjà le cas, mais j’en doute si vous lisez cet article).

Si vous souhaitez lire l’intégralité de La loi (99 articles) et aller beaucoup plus loin je vous laisse dans les mains cette ressource de la CNIL.

(Là vous aurez besoin d’un Doliprane par contre).

Sinon on démarre tout ça avec ma version plus simplifiée.

 

La notion de base la plus importante avec le RGPD :

 

J’ai repéré une dizaine de mots un peu compliqué sur les textes de la CNIL comme «pseudonymisation», «données génétiques» ou encore «traitement transfrontalier» dont je vous épargnent les définitions.

En revanche, il y a un terme qui est impératif à comprendre c’est «donnée à caractère personnel».

Les «données à caractère personnel» c’est toutes les informations se rapportant à une personne physique identifiée ou identifiable grâce à un nom, prénom, mail, numéro client et j’en passe.

 

Voici un exemple concret de données à caractère personnel :

 

Maintenant que vous voyez à quoi correspond une donnée à caractère personnel voici les 6 règles à respecter autour de ces données.

 

6 règles fondamentales à suivre avec les données à caractère personnel :

 

Si vous comprenez ça, tout le reste sera une évidence pour vous et il y aura juste à l’implémenter sur votre site comme nous allons le voir plus bas.

C’est parti, voici les 6 règles !

  1. Les données doivent être collectées avec respect et vous ne devez pas les négliger. Ce n’est pas qu’une simple succession de chiffres et lettres, il y a des humains derrière les données à caractères personnelles. Du bon sens !
  2. La personne qui donne ses données doit très précisément savoir ce qu’il va se passer après avoir donné son mail ou autre. Pour exemple, vous pouvez mentionner sur votre formulaire : “Vous allez recevoir une newsletter marketing tous les mardis” ou “des offres commerciales personnalisées vous seront adressées tous les mois”.
  3. Vous devez récolter seulement les données qui vous sont vraiment utiles dans le moment présent. Ne demandez pas l’adresse de domicile ou le numéro de téléphone si ça ne vous sera pas utile. Il faut minimiser le nombre de données collectées.
  4. Il faut mettre à jour régulièrement votre base de données pour ne pas avoir une base avec des données à caractères personnel erronées. Vous pouvez adresser un mail à vos clients pour demander si leurs coordonnées sont toujours les mêmes une fois tous les ans par exemple.
  5. Les données sont conservées dans un registre, permettant l’identification des personnes. Vous pouvez mettre en place un fichier exporté sous format excel depuis votre autorépondeur. Voici un exemple modèle de registre (pdf) réalisé par la CNIL.
  6. Les données doivent-être sécurisées avec des outils aux normes. Pour ça, veuillez-vous assurer que votre logiciel de gestion des données fait bien le travail. À titre personnel, j’utilise Active Campaign qui sécurise toutes ces données comme vous pouvez voir sur cette page.

 

 

Avec le GRPD, le client est (toujours) roi de ses données : 

 

Si une personne vous demande des informations sur ses données à caractère personnel vous devez lui donner en toute transparence de manière claire et concise sans utiliser des termes complexes.

Les informations peuvent être fournies par écrit, par oral ou par mail en fonction de la spécificité de la demande de la personne concernée.

Vous n’avez pas le droit à moins que ce ne soit techniquement impossible pour vous, de refuser de donner les informations que demande la personne en question. Sinon une réclamation auprès d’une autorité de contrôle pourra être mise en oeuvre par la personne concernée.

Il n’est pas possible de faire payer pour fournir les informations demandées. En revanche, lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, vous pouvez exiger un paiement ou refuser de donner suite à ces demandes.

Si vous avez des doutes sur l’identité de la personne faisant une demande, vous pouvez lui demander de fournir des informations supplémentaires pour confirmer son identité.

 

POUR ALLER PLUS LOIN :

Après plusieurs mois d’expérimentation j’ai enfin trouvé comment récolter des mails vraiment qualifiés. Je vous offre aujourd’hui un Pdf qui recense ces 5 méthodes pour vous permettre de capturer plus de mails qualifiés.

Cliquez ici pour en savoir plus

 

TO-DO LIST à mettre en place dans votre entreprise :  

 

Choisir un DPO

Définir un délégué à la protection des données (DPO), peut-être vous-même si vous travaillez seul pour le moment. C’est la personne qui veille à ce que la loi RGPD soit respectée avec tous les interlocuteurs de votre projet. Vous devez faire une liste de tous vos partenaires et vérifier que tous sont aux normes. Si l’un d’eux n’est pas aux normes, vous n’êtes vous-même plus aux normes RGPD.

 

Faire un registre des données

Vous devez créer un registre de traitement des données personnelles, sous la forme de votre choix donc ça peut-être un fichier Excel par exemple comme vu plus haut avec le modèle de registre (pdf) réalisé par la CNIL.

C’est un travail un peu pénible, mais une fois qu’il est fait ce n’est plus à faire. Vous devez lister toutes les sources qui traitent des données pour votre entreprise.

 

Ce registre doit contenir :

  • La manière dont vous traitez et utilisez les données personnelles
  • Les catégories de données personnelles traitées (nom, mail, etc…)
  • Les objectifs poursuivis par les opérations de traitements de données
  • Les acteurs (internes ou externes) qui traitent ces données pour vous
  • Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

 

Pensez également à tous les partenaires et outils avec lesquels vous travaillez comme votre hébergeur, les extensions de votre site, un générateur de factures, etc…

Une fois que vous avez fait la liste globale de toutes ces source de données, il faut déterminer clairement ce que vous allez en faire et pour combien de temps elles seront utilisées.

 

La TO-DO LIST pour mettre votre site aux normes RGPD :

 

Mentions Légales :

Si vous ne disposez pas encore de mentions légales, il vous faudra en ajouter et inclure de nouvelles mentions liées aux données personnelles.

Vous pouvez générer votre propre mention légale sur le site de la CNIL en cliquant sur ce lien.

 

Données personnelles :

De même que pour les mentions légales, cette page (données personnelles) est peut-être déjà présente sur votre site. Si ce n’est pas encore le cas, vous devez à présent le faire.

Un gabarit officiel est proposé par la CNIL, vous n’avez qu’à compléter les informations et ça génère automatiquement votre mention “données personnelles”.

Accéder au gabarit de la CNIL

 

Bandeau Cookie :

Bref petit rappel, les cookies sont des fichiers informatiques qui collectent certaines de vos données personnelles lorsque vous naviguez sur Internet. Ces données collectées sont ensuite utilisées pour améliorer votre navigation sur un site ou pour vous proposer des offres commerciales ciblées.

Par exemple, vous allez sur Amazon regarder le prix d’un livre puis ensuite vous allez sur Facebook. Vous allez rapidement voir des publicités liées au livre que vous avez regardé sur Amazon car un cookie a enregistré que vous étiez intéressés par un produit sur Amazon.

Vous avez 3 obligations auprès de l’internaute avec les cookies :

  • Informer l’internaute de la finalité des cookies
  • Obtenir son accord via un bouton
  • Lui permettre de refuser les cookies

 

Vous pouvez informer l’internaute de la finalité des cookies par un bandeau comme par exemple celui que vous avez pu rencontrer sur mon site.

Pour avoir votre propre bandeau cookie sur votre site wordpress vous pouvez installer l’extension Cookie Notice très facile à installer et à paramétrer.

Après validation par l’internaute, un cookie a une durée de vie de 13 mois maximum. Pour les supprimer sur votre navigateur Chrome vous pouvez suivre cette procédure faites par Google ou le faire automatiquement via Cookie Notice.

 

La page en savoir plus :

Il faudra également ajouter un bouton “En savoir plus” présent sur votre bandeau cookie. Si vous cliquez sur ce bouton, il mène à une page permettant à l’internaute d’en savoir plus sur l’utilisation et le traitement des cookies.

 

Formulaire de contact ou pop-up :

 

La case à cocher

Il faudra maintenant ajouter une case à cocher accompagné d’un texte explicatif sur votre formulaire pour valider le consentement de la personne qui souhaite s’abonner.

Un exemple :

« j’accepte de recevoir 1 mail tous les mardis et des offres commerciales personnalisées liées à mes problématiques »

La case ne peut pas être cochée par défaut et si votre visiteur ne la coche pas il sera impossible pour vous de rendre actif le formulaire.

 

Sécuriser le formulaire

Votre formulaire de capture doit sécuriser les données transmises et doit impérativement être présent sur des pages en “https//”.

 

Finalité d’utilisation des données

Vous devez mentionner les finalités de la collecte des données.

 

Par exemple :

  • Vous recevrez un mail par jour pendant 7 jours
  • En vous inscrivant à la newsletter vous recevrez un mail tous les mardis
  • Nous allons vous contacter pour une prise de rendez-vous

 

Un lien vers une page

Afin de donner accès à toute la partie réglementation à votre lecteur vous devez faire un lien vers votre page de politique de confidentialité pour qu’il ait une totale compréhension du sujet de sa part.

 

POUR ALLER PLUS LOIN :

Après plusieurs mois d’expérimentation j’ai enfin trouvé comment récolter des mails vraiment qualifiés. Je vous offre aujourd’hui un Pdf qui recense ces 5 méthodes pour vous permettre de capturer plus de mails qualifiés.

Cliquez ici pour en savoir plus

 

Voici maintenant des exemples de formulaires conformes :

 

Voici un exemple tout à fait conforme.

 

Voici ici un autre exemple tout à fait conforme.

 

 

Puis un dernier pour la route même si je pense vous avez compris la structure.

 

 

Petit rappel :

Si vous possédez déjà une liste mail vous devez informer vos abonnés actuels (avant le 25 mai 2018) des mises à jour du RGPD et de votre nouvelle politique de gestion des données personnelles. Ensuite, ils doivent cliquer sur un lien ou un bouton qui fera office de validation de leur consentement. Les autres abonnés seront à supprimer de votre base de données.

 

L’essentiel à retenir de cet article :

 

Les autorités ne vont pas vous tomber dessus le 25, l’idée est de montrer que vous êtes en train de faire les démarches pour vous mettre en règle.

Le RGPD c’est vraiment du bon sens.

Ne récoltez que les données vraiment essentielles au bon fonctionnement de votre projet comme le prénom et le mail par exemple.

Sur votre formulaire de capture, soyez le plus clair possible pour faire comprendre à la personne qu’après avoir donné son mail il va se passer telle ou telle action.

Les données doivent être respectées et protégées car derrière il y a des vies privées en jeu.

Mettez-vous simplement dans la peau de la personne qui donne ses données sur internet et vous aurez naturellement les bonnes actions.

Voyez la loi RGPD comme une occasion d’être encore plus transparent avec vos prospects et d’augmenter la valeur ajoutée de votre offre.

Ressources complémentaires pour aller plus loin :

J’ai consulté énormément de ressources et je vous conseille vraiment ces deux vidéos pour aller plus loin.

Le GRPD en EMOJI

https://www.youtube.com/watch?v=u4M5lVYv3UI

FAQ avec la CNIL

https://www.youtube.com/watch?v=OUMGp3HHel4

Tous les guides officiels de la CNIL :

Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises

FICHE 1 : Sachez que faire quand votre entreprise communique et/ou vend en ligne

FICHE 2 : Améliorez et maîtrisez votre relation client

FICHE 3 : Protégez les données de vos collaborateurs

Guide sécurité des données personnelles

POUR ALLER PLUS LOIN :

Après plusieurs mois d’expérimentation j’ai enfin trouvé comment récolter des mails vraiment qualifiés. Je vous offre aujourd’hui un Pdf qui recense ces 5 méthodes pour vous permettre de capturer plus de mails qualifiés.

Cliquez ici pour en savoir plus

Articles recommandés pour vous :

Hello moi c’est Loïc !

Après avoir obtenu un Master II en Webmarketing et Communication et passé 2 ans en agence de communication digitale, j’ai décidé de créer un projet avec plus de sens.

J’ai mis en place ce projet pour 2 raisons principales :

  • Connecter les activités que j’aime faire aux problématiques concrètes des entrepreneurs pour les aider à avancer.
  • Me libérer du temps pour voyager, profiter de mes proches et faire davantage de choses qui me passionnent.

Ces derniers mois j’ai publié d’autres articles sur le blog d’Olivier Lambert (La Tranchée) ou encore Webmarketing & Com’.

M