Si la RGPD (Règlementation Générale sur le Protection des Données) peut être une problématique extrêmement complexe pour une entreprise existante, qui a enregistré de nombreuses données personnelles au fil de son activité, la situation est toute autre quand on démarre une activité. Voici quelques conseils simples à mettre en oeuvre, issus de l’expérience d’Octopus Marketing, que je partage avec plaisir avec vous.

1 – Seules les données réellement utiles tu collecteras

Tout d’abord, de quoi parle-t-on réellement? Uniquement des données personnelles, c’est-à-dire selon la CNIL « toute information se rapportant à une personne physique identifiée ou identifiable ». Il ne s’agit donc pas des autres données relatives à l’entreprise. Les données anonymes d’utilisation d’une application n’entrent donc pas dans ce champ, sauf si elles incluent par exemple une adresse IP qui permet d’identifier un utilisateur précis. Soyez donc vigilants à la nature des données que vous manipulez et que vous stockez.

Ensuite, ne récupérez que les informations qui ont réellement une valeur ajoutée pour vous. Est-ce bien utile de connaître la date d’anniversaire ou les hobbies de vos prospects si vous proposez une application financière pour des entreprises ?

2 – Le consentement des contacts que tu collectes explicitement tu demanderas et enregistreras

Dès le moment où votre site web comporte un formulaire de contact, ajoutez-y une (ou plusieurs) case(s) à cocher pour demander leur accord explicite pour recevoir votre newsletter, vos offres commerciales, vos invitations, etc. Soyez le plus précis possible à propos du type de communications que vous envisagez, sans pour autant faire un inventaire à la Prévert. Vous vous constituerez ainsi immédiatement une base de prospection opt-in, bien plus qualifiée que celle que vous pourriez acheter ou louer par ailleurs, puisqu’ils sont déjà intéressés à rester en contact avec vous.

Enregistrez ce consentement au même titre que les données personnelles que vous collectez, en y incluant sa formulation et la date à laquelle vous l’avez reçu. Cela vous permettra de répondre en toute transparence aux demandes de vos contacts ou des organismes de contrôle, sans vous demander d’effort supplémentaire.

3 – Des possibilités simples de mise à jour, de désinscription et de suppression des données à tes contacts tu proposeras

L’un des principes de base est le respect du droit des personnes, et la RGPD vient notamment renforcer les obligations d’information et de transparence à propos des données traitées. Pour cela chaque contact doit pouvoir connaître et mettre à jour facilement les données qui le concernent, modifier ses préférences en matière de communication, et demander sa suppression des bases de données de l’entreprise.

Chaque email envoyé, chaque newsletter devra donc comporter les mentions permettant facilement ces opérations. Le plus simple est d’utiliser les possibilités offertes par les outils d’emailing du marché, qui incluent maintenant tous ces fonctionnalités. Evitez les envois de masse depuis des messageries, vous y gagnerez non seulement en professionnalisme vis-à-vis de vos prospects, mais vous bénéficierez en outre des options de suivi et de reporting pour mesurer la performance de vos campagnes, de gestion de listes d’opt-out, et même d’intégration avec une solution de CRM.

4 – Pour les bases de données que tu achètes ou que tu loues, l’opt-in tu vérifieras

Même s’il est plus efficace de constituer votre propre base de contacts à partir de vos contenus et de campagnes d’inbound marketing, vous pouvez choisir d’accélérer ce processus ou toucher un public plus large en achetant ou en louant des données. Attention cependant à bien sélectionner vos fournisseurs de données : adressez-vous à des sous-traitants reconnus pour leur sérieux et posez expressément la question : « incluez-vous les données d’opt-in ?  » et demandez un échantillon. En cas de doute, abstenez-vous : la réglementation considère l’ensemble des acteurs des traitements des données comme responsables, vous inclus !

5 – Dans un document centralisé les informations sur les données personnelles tu recenseras

Si la désignation d’un DPO (Data Protection Officer, ou Délégué à le Protection des Données en français dans le texte) n’est obligatoire que dans certains cas, et optionnelle pour beaucoup de petites entreprises en B2B, la CNIL indique néanmoins que « les organismes doivent tenir une documentation interne complète sur leurs traitements de données personnelles et s’assurer que ces traitements respectent bien les nouvelles obligations légales. » Pour cela, vous devrez donc consigner dans un document centralisé, souvent appelé Registre des Données personnelles, les différents traitements de données personnelles, avec leurs objectifs, les catégories de données traitées, qui réalise ces traitements (prestataires inclus) et comment les données circulent. Documenter ceci dès la collecte des premières données sera bien plus simple que recenser a posteriori tout l’existant, il ne restera qu’à tenir à jour ce registre.

6 – La sécurité des données personnelles que tu détiens tu assureras

Comme pour toute donnée d’entreprise, les opérations de collecte, de stockage, de transmission et de suppression des données personnelles doivent être réalisées de manière à assurer un niveau de sécurité et de confidentialité approprié. Prenez les devants!

La réglementation exige également de signaler toute violation des données à l’autorité de protection des données, en l’occurence la CNIL en France, dans les 72 heures. Dans certains cas où le risque pour les droits et les libertés d’une personne sont élevés, il faudra informer les personnes concernées.

 

En résumé, la RGPD fait passer d’une logique de déclaration à une logique de conformité, elle responsabilise les acteurs sous le contrôle et l’accompagnement des organismes de régulation. Sur le fond, elle vient surtout renforcer la directive existante et quelques actions simples mises en place systématiquement dès les premières collectes de données devraient vous permettre de démarrer sereinement votre activité vis -à-vis de la RGPD.
Plus d’informations sur le site de la CNIL, et plus spécifiquement ici pour les PME et les TPE.