Une nouvelle loi est entrée en vigueur dans l’Union Européenne depuis le 25 mai dernier pour mieux encadrer la collecte et l’utilisation des données personnelles par les entreprises et les organismes. Bien que cette nouvelle loi de collecte des données personnelles du RGPD (Règlement général sur la protection des données) ne s’applique pas au Québec, elle est tout de même importante à comprendre.
Tout sur la nouvelle loi de collecte des données personnelles RGPD:
Pourrais-je être concerné par cette nouvelle loi du RGPD?
Tout d’abord, il faut préciser que si, comme chef d’entreprise, ton siège social est au Canada ou que tu discutes uniquement avec des clients sur le continent nord-américain, tu n’es aucunement concerné par cette nouvelle loi. Dans ce cas, c’est uniquement la loi canadienne anti-pourriel (C-28) qui s’applique.
Cette loi du RGPD se veut une meilleure protection pour les utilisateurs au niveau de leurs données personnelles comme leur nom, leur numéro de téléphone et leur adresse de courriel.
Comment se conformer au RGPD?
Il y a plusieurs choses que tu peux faire pour t’aider à te conformer à cette nouvelle loi du RGPD, si bien évidemment celle-ci s’applique pour toi.
1. Segmenter ta liste de courriels
Avec ta liste de courriels, si tu peux segmenter tes contacts européens en les plaçant dans un autre groupe que tes autres contacts. C’est suggéré de le faire. Il sera ainsi facile de leur envoyer des courriels distincts (si nécessaire) et de t’y retrouver.
Ta plateforme actuelle pour envoyer/gérer les emails, comme par exemple Cyberimpact ou MailChimp peut te permettre de trier tes contacts avec les options présentes dans la création et la gestion de des groupes.
2. Tenir un registre de traitement des données
Selon le RGPD, tu dois tenir un registre de traitement des données, qui servira enter autres à prouver sa conformité. Dans ce registre, il doit y avoir des informations importantes, comme le but du traitement, les catégories de données, la description des mesures de sécurité mises en place et ainsi de suite.
Toutefois, les entreprises qui comptent moins de 250 employés ne sont pas tenus d’avoir ce registre, sauf si leur traitement informatique influe sur les droits des personnes concernées. Heureusement, plusieurs plateformes vont automatiquement se mettre à jour.
Pour tes contacts européens, mieux vaut garder uniquement les adresses de ceux dont tu as un consentement explicite et si tu as bien sûr cette preuve de ce consentement.
En effet, la loi stipule que la personne doit donner un consentement clair et explicite avant qu’une entreprise puisse cumuler et utiliser ses informations personnelles.
Il faut aussi savoir que lorsqu’un ajoute un contact à notre liste de diffusion et qu’on lui envoie par la suite nos emails commerciaux, il s’agit d’une utilisation de données personnelles.
Il existe toutefois quelques exceptions à la loi sur l’obtention d’un accord avant l’envoi de messages publicitaires à une adresse électronique:
- Le message publicitaire est envoyé à ton adresse électronique professionnelle et le message est en rapport direct avec ta profession;
- Le message provient d’une société dont tu es déjà client et concerne des produits ou services similaires à à ceux que tu as déjà achetés;
- Le message provient d’un organisme caritatif.
Dans ces trois cas-là uniquement, l’organisme ou la société doit cependant t’avoir prévenu au préalable de l’utilisation de ton adresse de courriel. Bien évidemment, tu as le droit de refuser. Un lien de désabonnement doit toujours être présent et fonctionnel dans tes courriels.
Au Canada, avec la loi canadienne anti-pourriel, il est possible d’envoyer des emails commerciaux à des personnes qui ne nous en ont pas nécessairement donné la permission explicitement, mais avec qui nous entretenons une relation d’affaires (consentements tacites).
3. Réduire le nombre d’informations personnelles
Une autre bonne chose à faire au sujet de cette nouvelle loi du RGPD est de réduire le plus possible le nombre d’informations personnelles demandé dans les formulaires d’abonnement.
De cette façon, les informations personnelles superflues ne seront pas cumulées et ainsi, cela devrait réduire les doutes de tes abonnés. Selon le RGPD, l’adresse de courriel, la géolocalisation par adresse IP et la preuve de consentement suffisent.
4. Communiquer clairement
Si tu as des formulaires d’abonnement à une infolettre sur ton site web (ce qui est recommandé), tu dois t’assurer de communiquer clairement à quoi serviront les informations recueillies de tes lecteurs.
Une présentation comme « Tu peux remplir le formulaire ci-dessous pour t’inscrire à mon infolettre. Tu recevras ainsi toutes les promotions et articles d’information par courriel » a le mérite d’être plus que claire, non?
Bien évidemment, tu ne pourras pas écrire un telle chose et finalement, utiliser les informations recueillies pour autre chose. Pour te donner des idées, tu peux te servir des exemples disponibles sur le site de la Commission Nationale de l’Informatique et des Libertés (CNIL).
En cas de violation des données, selon la loi, il faut le signaler aux autorités de contrôle du RGPD dans les 72 heures suivantes. S’il existe un risque pour la vie privée et les droits des individus concernés, ils doivent également être prévenus.
5. Supprimer les contacts qui le demandent
Selon la loi, il faut supprimer les contacts de ta liste qui en feraient la requête. Si un contact européen te demande alors de supprimer les données que tu as sur lui, il faut le faire sans attendre.
Lorsque tu supprimes un contact, toutes les informations contenues dans sa fiche sur la plateforme choisie seront automatiquement supprimées. Cependant, il se peut que l’adresse de courriel reste visible dans les statistiques des envois précédents. Il ne sera toutefois plus possible d’accéder à la fiche de ce contact ou de lui envoyer un message.
6. Mettre à jour sa politique de protection des données
Si tu as un site internet ou ta compagnie, il faut mettre à jour ta politique de protection des données (ou politique de la vie privée). Si tu n’en as pas, il faut en créer une.
Ce site est une excellente ressource pour bien connaître cette loi. Il est aussi recommandé d’avoir un lien vers cette politique dans le pied de la page principale de ton site internet.
7. Être transparent
Dans la vie, il vaut mieux être honnête, et c’est le cas également avec nos abonnés. Si ces derniers souhaitent accéder à l’information que tu as sur eux, ils le peuvent et ils peuvent également la modifier.
Ces deux points sont des éléments très importants du RGPD. Tu dois nommer ton DPO (Data Privacy Officer en anglais) ou le délégué à la Protection des Données. Il faut également s’assurer que ce responsable soit accessible en tout temps pour tes abonnés selon la loi.
Il est possible d’ajouter dans le bas de tes courriels cette option et ainsi, tes abonnés peuvent faire leur demande en t’envoyant un courriel. C’est aussi simple que cela!
Tu peux ajouter un bloc à tes envois dans lequel il y a une mention comme «pour obtenir une copie de tes données personnelles ou pour en demander la modification, répondre simplement à ce courriel». Ainsi, tu recevras ces demandes à ton adresse de retour configurée dans l’application et tu pourras ainsi aller consulter, modifier ou supprimer la fiche du contact qui en a fait la demande.
À savoir pour les entreprises canadiennes
Il faut savoir que le RGPD accepte que les données personnelles des citoyens européens soient transmises et hébergées dans certains pays du monde. Ces pays doivent être considérés comme ayant un niveau de protection adéquat. Heureusement pour plusieurs, le Canada fait partie de cette liste!
Conclusion sur la nouvelle loi de collecte des données personnelles
Pour résumé, la nouvelle loi du RGPD est effective en Europe, mais elle affecte également les entreprises et organismes canadiens. Cette loi renforce la sécurité des données pour les utilisateurs. Les compagnies doivent donc s’assurer de bien respecter les règles.
Elles peuvent y parvenir en segmentant leur liste de courriels, en tentant un registre de traitement de données, réduire le nombre d’informations personnelles demandé aux utilisateurs, communiquer clairement, supprimer les contacts qui en font la demande, mettre à jour sa politique de protection de données et être transparent.
De ton côté, est-ce que cette nouvelle va te forcer à changer certains aspects de ton infolettre? Si oui, lesquels?