#FAQ Webinar : Comment s’assurer que votre plate-forme digitale est conforme ?

Muriel Glatin, la DPO de Webedia répond à vos questions.

Lors de notre webinar GDPR “Comment s’assurer que votre plate-forme est conforme ?” du 4 décembre dernier, vous avez été plus de 90 participants (merci !) et vous avez posé de nombreuses questions pertinentes auxquelles nous répondons ici, manquant de temps lors du webinar pour y répondre au fur et à mesure.

Evidemment, cette FAQ n’a pas pour vocation de régler votre problématique (pour cela, il nous faudrait plus d’informations) mais de vous partager, dans les grandes lignes, les actions à prévoir.
Bien sûr, si vous avez des projets de conformité RGPD en 2019, l’équipe DPO de Camp de Bases sera ravie de vous accompagner !

1 – “Que dois je insérer dans mes mentions CNIL ?”
Les mentions CNIL sont des mentions qui doivent être intégrées à la suite des formulaires de collecte : inscription à une newsletter, contact SAV, création de compte…
Ces mentions doivent renseigner a minima le nom et coordonnées du responsable de traitement, les finalités du traitement, la durée de conservation des données, le droit des personnes et renvoyer vers votre politique de protection des données.

2 – “Que signifie CGP ?”
Conditions Générales de Participation .

3 – “Le délai de réponse aux demandes des personnes peut-il être suspendu ?”
Depuis le 25 mai 2018, vous avez un mois maximum pour traiter une demande de droit d’accès, modification, rectification, suppression, limitation, à compter de la réception de cette demande (art 12.3 du RGPD). Dans le cas où vous demandez des précisions sur la nature de la demande ou une pièce d’identité s’il y a doute raisonnable sur l’identité de la personne, le délai est suspendu jusqu’à la réponse du demandeur.

4 – “Comment répondre à un contrôle URSSAF au bout de 24 mois si les données numériques ont été effacées et les archives détruites ?”
Les documents destinés à l’URSAFF doivent être conservés pendant 3 ans à compter de la fin de l’année civile au titre de laquelle ils sont dus (art. L244-3 du code de la sécurité sociale).

5 – “Combien de temps puis-je conserver les données des personnes inscrites à une newsletter ?”
Attention, il ne faut pas confondre durée de conservation des données et gestion de l’abonnement à la newsletter !
Vous pouvez conserver les données d’une personne à partir du moment où elle est encore active dans votre base et qu’elle n’a pas demandé à ce que soient supprimées ses données.
N’oubliez pas, il est important de définir cette notion d’activité (clic sur un lien hypertexte contenu dans un email ? achat sur le site ?)

6 – “En B2B et dans le cadre d’une prospection commerciale mailing, dois-je demander le consentement des personnes ?”

Que l’on soit en BtoB ou BtoC, la prospection mailing postal ne requiert pas d’opt in. La règle est celle de l’opt out. S’agissant d’une prospection e-mailing, dès lors que l’adresse email de la personne est nominative et professionnelle et que l’objet de la sollicitation est en rapport avec sa profession, la base légale sera l’intérêt légitime.

7 – “Y a -t-il des règles communes en matière de durée de conservation ou est-ce à l’entreprise de définir  ses propres règles ?”
– Il peut y avoir des durées imposées par la loi : c’est notamment le cas pour les documents comptables et pièces justificatives (bon de commande, de livraison ou de réception, facture client et fournisseur, etc.) qui doivent être conservés pendant 10 ans à compter de la clôture de l’exercice (art. L123-22 du code de commerce)
– D’autres durées peuvent être fixées par l’entreprise. Tel est le cas par exemple de l’email collecté dans le cadre d’une inscription à une newsletter. L’entreprise devra être en mesure de justifier ces durées.

8 – “Connaissez-vous un site où je pourrais récupérer des exemples de documents de mise en conformité RGPD ?” 
Le site de la CNIL diffuse de nombreux modèles de documents : registre des traitements, avenant au contrat de sous-traitance, bandeau cookies, exemple de mentions CNIL…

9 – “Les TPE/PME bénéficient-elles d’un traitement de faveur en matière de réglementation ?”
Le RGPD s’applique à toute entreprise, quel que soit sa taille, dès lors qu’elle traite de la donnée personnelle.
Pour vous aider dans cet exercice de conformité, la CNIL et Bpifrance ont élaboré un « Guide pratique de sensibilisation au RGPD » à destination des TPE et PME, disponible ici.

10 – “Quels peuvent être les risques pour une TPE (en BtoB) en cas de non-conformité ?”
Quel que soit le type d’entreprise et la nature de la clientèle (BtoB/BtoC), les risques sont les mêmes.
– Risque financier : vous pouvez être sanctionné d’une amende pouvant aller jusqu’à 4% du CA mondial.
– Risque business : vos clients peuvent ne plus vouloir travailler avec vous.
– Risque image : la presse peut exposer au grand public vos agissements contraires à la loi.
– Risque opérationnel (injonction) : la CNIL peut vous imposer de cesser immédiatement les flux de données mis en cause.

11 – “Un SMS envoyé à nos clients avec le contenu (approximatif) suivant : “Dans le cadre du RGPD, si vous ne voulez plus recevoir nos offres commerciales par SMS, envoyez STOP au XXXX” est-il suffisant ? “
Pour vos campagnes SMS comme pour toute communication électronique, vous devez en effet prévoir systématiquement un lien de désabonnement : la mention STOP pour les SMS.

12 – “Nous sommes un organisme de formation. Nous avons des demandes de la part de la direction à envoyer des emails aux anciens stagiaires. Nous avons cependant aucune possibilité de vérifier que les personnes ont été averties lors de la collecte de données du fait que nous puissions les contacter pour d’autres fins que la communication concernant leur formation.”
Votre demande mérite d’être précisée quant aux profils des stagiaires et du contexte.
Si vous agissez en tant qu’organisme de formation pour le compte d’une entreprise, vous pouvez contacter ces anciens stagiaires sous réserve que l’adresse de contact est nominative et professionnel et que l’objet de la sollicitation est en rapport avec leur profession. Il faudra impérativement prévoir de rédiger/mettre à jour votre politique de protection des données et de la communiquer, par tous moyen, aux personnes afin de les informer de cette dite finalité.

13 – “Des personnes nous contactent via le site web. S’ils n’ont pas coché la case pour recevoir la newsletter, devons-nous seulement répondre à leur question sans sauvegarder l’adresse email pour l’utiliser « plus tard » ? ”        
Vous devez nécessairement conserver les données pour apporter une réponse à la demande. Une fois cette demande traitée, il faudra supprimer ces données.

Hypothèse 1 : BtoC
La demande a bien été traitée. Si la personne a souhaité recevoir la newsletter (qu’elle a donc coché la case), il sera utile de conserver seulement l’adresse email. Il faut en effet respecter le principe de minimisation : ne collecter que les données nécessaires au regard des finalités pour lesquelles elles sont traitées.

Hypothèse 2 : BtoB
S’il s’agit en revanche de professionnels, l’opt in n’est pas nécessaire pour leur communiquer des newsletters sous réserve que l’adresse email de la personne est nominative et professionnelle et que l’objet de la sollicitation est en rapport avec sa profession. Dans cette hypothèse également, il faudra respecter le principe de minimisation et ne conserver que ce qui est réellement utile.

Merci pour vos questions et vos commentaires sur notre webinar !

 

Une remarque ?

Leave a Reply

A lire aussi
Une question Data ? Échangeons sur le sujet !

Au moins 3 bonnes raisons de nous contacter :

  • prendre un café avec l’équipe
  • en savoir plus sur les sujets Data Marketing
  • relancer l’éternel débat : “Marketing ou IT” avec notre CTO…

Camp de Bases (Groupe Webedia)
114 rue chaptal
92300 Levallois Perret

01 85 09 76 65