A partir du 25 mai 2018, le Règlement Général de la Protection, des Données Personnelles entre en vigueur. Ce texte, qui remplace une directive datant de 1995, veut harmoniser les règles en vigueur dans les différents pays de l’Union et apporter aux internautes européens davantage de contrôle sur l’utilisation de leurs données personnelles. Et autant te dire que cette nouvelle réglementation a secoué le web (surtout ceux qui y font n’importe quoi) et ce n’est pas plus mal !
Dorénavant la détention, l’utilisation et la vente de données personnelles sont strictement encadrés et ça met un peu d’éthique au centre du traitement des données personnelles.
Vu le tapage que ça fait, je pense que tu en as entendu parler.
Cette reforme concernent toutes les entreprises, toutes les collectivités, toutes les associations qui utilisent des données personnelles de clients ou prospects. Donc ça TE concerne aussi ! Elle touche ta façon de communiquer avec tes clientes, de gérer tes listes de mails, ta façon de récolter leur adresse mail et de les traiter. Alors pour que tu n’es pas de soucis avec la justice, on va faire le point sur les obligations du RGPD et les changements réels que tu dois mettre en place.
Prépare ta boite d’Aspro (ou le pinard, c’est selon), c’est parti !
Les éléments contenus dans cet article sont strictement informatifs, ils ne se substituent à la réglementation en vigueur. Je ne pourrais pas être tenue responsable de l’utilisation de ses informations si elles s’avèrent inappropriées à ton cas.
Qu’est-ce que les données personnelles ?
Selon la CNIL, une donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable ».
Une personne peut être identifiée :
• directement (exemple : nom, prénom) ;
• indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), l’ADN, etc.).
• à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN) ;
• à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)
Un « traitement de données personnelles » est une action que tu fais ou un ensemble d’action sur des données personnelles. Comme collecter, enregistrer, organiser, conserver, modifier, consulter ou utiliser les adresses mails de tes visiteurs pour envoyer une Newsletter ou de tes clients pour envoyer les commandes après leur achat sur ta boutique en ligne.
Qu’est-ce-que le RGPD ?
Une nouvelle réglementation qui impose un traitement responsable et respectueux des données personnelles des clients, prospects et visiteurs. Que ce soit pour la vente en ligne ou autres activités qui nécessitent la conservation de données personnelles.
Il s’applique sur :
– la tenue d’un fichier clients,
– la collecte de coordonnées et données personnelles de prospects via un questionnaire/sondage,
– la mise à jour d’un fichier de fournisseurs,
– etc.
Par contre, un fichier ne contenant que des coordonnées d’entreprises (par exemple, entreprise TrucMuche 1 rue du TrucMuche 66600 TrucMuchVille + le numéro de téléphone + un email de contact générique «contact@trucmuche.fr ») n’est pas un traitement de données personnelles. Car une entreprise est publique. Par contre, si tu détiens des coordonnées des personnes qui bossent dans cette entreprise, là c’est de la détention de données personnelles et le RGPD s’applique.
Un traitement de données personnelles n’est pas obligatoirement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions que les fichiers informatiques.
Avec le RGPG, un traitement de données doit avoir un objectif, une finalité. C’est-à-dire que tu ne peux pas collecter ou traiter des données personnelles simplement au cas où cela te serait utile un jour. À chaque traitement de données doit être attribué un objectif, qui doit bien évidemment être légal et avoir un rapport avec ton activité professionnelle. Tu ne dois pas demander plus d’informations que ce dont tu as besoin.
Le truc cool avec le RGPD, c’est que c’est une réglementation européenne ! Fini la concurrence déloyale des entreprises étrangères qui n’ont pas la même réglementation que nous ! TOUTES les entreprises, dès lors qu’elles proposent des produits ou services aux résidents européens, doivent appliquer le RGPD.
Pour être en règle avec le RGPD, la CNIL conseille 4 actions assez simple à mettre en place.
Les 4 étapes du RGPD
1. Liste tes besoins en traitement de données
Il faut que tu crées un « registre des traitements des données » c’est-à-dire une liste des actions qui nécessitent des données personnelles dans ton entreprise créative. Par exemple, la gestion des commandes, l’envoi de Newsletter, la mise en place d’un SAV, la mise en place d’un sondage, etc.
La CNIL en donne un modèle sur son site. Je te donne le lien de téléchargement un peu plus bas car ce modèle contient d’autres éléments.
2. Tri les données en ta possession
Ensuite, pour chaque action que tu as listé dans ton registre, tu dois faire une fiche qui comprend :
• l’objectif de cette action (par exemple : la fidélisation client) ;
• les catégories de données utilisées (par exemple : nom, prénom, date de naissance, adresse, etc.) ;
• qui a accès aux données (par exemple : toi, ton assistante, ton auto-répondeur comme Mailchimp) ;
• la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).
Le registre est sous ta responsabilité donc pour chaque fiche de registre créée, tu dois vérifier :
• que les données que tu utilises sont vraiment nécessaires à ton entreprise (par exemple, inutile de savoir si tes clientes ont des enfants, si tu ne proposes aucun programme ou aucune offre qui ne soit lié à cette info) ;
• que tu ne traites aucune donnée dite » sensible « . C’est-à-dire des informations qui peuvent donner lieu à de la discrimination ou des préjugés comme la religion, orientation sexuelle, etc. ;
• que seules les personnes habilitées ont accès aux données dont elles ont besoin ;
• que tu ne conserves pas tes données au-delà de ce qui est nécessaire.
Ça te fait flipper ? Aucune inquiétude à avoir, la CNIL t’offre un modèle prêt-à-remplir dont je t’ai fait une première capture d’écran plus haut. C’est par ici : CLIC.
3. Informe tes clients
Sur chaque formulaire via lequel tu récoltes des adresses mails (inscription à la NL, bon de commande, etc) tu dois ajouter des mentions légales sur les données personnelles. Ces mentions légales doivent impérativement préciser :
• pourquoi tu collectes les données. Par exemple, au-dessus de ton formulaire d’inscription à ta Newsletter du précise « Abonne-toi pour recevoir les dernières news du blog et des infos sur mes offres exceptionnelles ». Sur ton bon de commande « Nous collectons vos données personnelles afin de vous assurer de la livraison de vos achats ». Si tu veux ajouter l’adresse mail d’un client à la base de données de ta Newsletter, alors qu’il vient de t’acheter une création, tu ne peux plus le faire sans son consentement écrit (on détaille ça plus bas, ne t’inquiète pas). Bref, explique à ton prospect à quoi va servir le partage de ses données personnelles.
• Qui a accès aux données. Donc toi, éventuellement ton assistante, etc.
• Combien de temps tu les conserves (exemple : » 5 ans après la fin de la relation contractuelle » ou « A durée indéterminée. Vous êtes libre de vous désabonner à tout moment ») ;
• les modalités de modification ou de suppression des données perso de chaque client/prospect. En général, ça se fait via leur espace personnel sur ton site, par mail, via un lien en bas de chacun de tes mails (ce que je fais) ou par un courrier postal. Le moyen de modifier/supprimer ses données perso doit être simple et rapide. Cette obligation existait déjà avant le RGPD.
• Si tu transfères des données hors de l’Union européenne et que tu dépends du droit français, ou belge ou autre.
Pour éviter des mentions trop longues sur ton formulaire d’inscription ou bon de commande, tu peux diviser l’affichage des infos. Tu peux donner un premier niveau d’information à la fin de ton formulaire d’inscription puis finir avec un lien qui renvoie à tes CGV ou CGU où tu as ajouté un paragraphe sur ta politique de confidentialité. Ou bien vers ta page « Mentions Légales » ou une page « Vos données personnelles » sur ton site/blog. Et là tu seras dans les clous bien comme il faut !
4. Sécuriser les données
Tu as pour obligation de garantir la sécurité des données personnelles que tu conserves en minimisant les risques de pertes de données ou de piratage. Pareil, ça aussi c’était déjà une obligation lorsque c’est la CNIL qui réglementait tout ce schmilblick.
Plus tes infos sont sensibles, plus elles doivent être protégées. Dans ton cas, tu es une toute petite structure, donc pas besoin d’un dispositif avec laser invisible et fermeture à triple tour de ton bureau.
La base c’est :
– de mettre à jour ton antivirus ou logiciels de capture d’email,
– de changer régulièrement tes mots de passe et d’utiliser des mots de passe complexes, pas juste ta date de naissance. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.
Pour les listing papier, l’idéal est un tiroir qui se ferme à clefs.
Ce que dois-tu faire en ligne?
Plus haut, on a vu les étapes du RGPD que tu DOIS appliquer. Certaines étapes impliquent des changements à faire sur tes différents supports de communication. Voici plus de détails.
Sur ton blog
– Ajouter les « mentions CNIL » en bas de tes formulaire d’inscriptions et de contact ! Comme je te le disais plus haut, tu as des modèles personnalisables sur le site de la CNIL ici : CLIC.
– Offrir un moyen simple de contact par voie électronique ou de gestion des données personnelles pour que les personnes puissent exercer leurs droits de modifications ou suppression de leurs informations. Perso, il y a un line à la fin de chacun de mes mails.
– Afficher des mentions légales qui t’identifient et identifient ton hébergeur sur ton site. Ça c’était déjà valable avant le RGPD, tu as les infos sur le site du service public ici : CLIC.
– Proposer une case à cocher (pas cocher par défaut) pour pouvoir envoyer tes offres commerciales à ton lectorat.
– WordPress a ajouté une fonctionnalité lors de sa dernière mise à jour. Dans le menu « réglages », tu as un nouvel onglet qui s’appelle « politique de confidentialité », je t’invite à le découvrir. Tu trouveras plus de détails sur les modifications que WordPress a mis en place pour le RGPD sur le super article de la Marmite ici : CLIC.
Sur ta e-boutique
Pour de la vente en ligne, ton site doit être à jour et sa sécurité renforcée. Pour l’achat de tes créations, tu peux demander un certain nombre d’informations pour assurer la sécurité de la transaction et enrichir ta « connaissance clients » mais les données que tu collectes doivent être justifiées par le service rendu au client.
Tu dois proposer au client, une case à cocher (pas cocher par défaut) pour qu’il accepte de recevoir tes offres commerciales.
Vérifie toujours l’utilité des données demandées (exemple : pour offrir un service particulier à l’occasion de son anniversaire, tu peux demander au client sa date de naissance, sinon non). Comme je le disais plus haut, tu ne peux pas ajouter un client qui t’a acheté une création à la liste de ta Newsletter sans son consentement écrit. Ce consentement écrit se fait par l’envoi d’un mail en double optin. C’est-à-dire que lorsque ton client s’inscrit, il entre ses données dans ton formulaire d’inscription, puis il reçoit un premier mail qui lui demande de confirmer son inscription puis seulement son inscription est validée.
Sur les réseaux sociaux
Si tu vends sur les réseaux sociaux, ajoute dans ta présentation, un lien vers ta page sur le traitement des données perso. Ensuite crée un mail type de validation de commande où tu demandes au client son autorisation pour conserver ses données personnelles afin de procéder à l’envoi de son colis.
Sur les marketplaces
Idem que pour les réseaux sociaux, ajoute dans ta présentation, un lien vers ta page sur le traitement des données perso. Si tu peux, personnalise ton mail de confirmation de commande et ajoute une partie où tu demandes au client son autorisation pour conserver ses données personnelles afin de procéder à l’envoi de son colis.
Pour les cookies
Pas ceux qu’on mange non. Les Cookies de ton site ou blog.
Un Cookie est un fichier texte qui est déposé dans ton ordinateur par les sites que tu visites sur le net. Il est totalement inoffensif.
Ce fichier enregistre tes informations de navigations sur le net. C’est ce qui permet, par exemple, à ton client de retrouver son panier plein sur ton site quand il revient. C’est aussi ce qui enregistre tes recherches dans Google ou qui va permettre d’afficher que ce qui t’intéresse sur un site comme Youtube par exemple, etc. , etc.
L’usage de Cookie est réglementé : il faut que tu installes un bandeau d’avertissement sur ton site ou blog pour informer ton visiteur que tu utilises des Cookies. Tu as toutes les infos ici : www.cnil.fr/fr/site-web-cookies-et-autres-traceurs
Ce qu’il ne faut surtout pas faire
- Lorsque tes clientes ou vsiteurs s’inscrivent sur ton blog ou passent une commande sur ton site, ne mats PAS de case pré-cochée par défaut pour les inscrire sur tes listes. Les consentements passifs ou implicites sont à proscrire définitivement !
- Le consentement doit clair : Informe la personne concernée avec des mots simples sur ce que tu vas faire ses données, la personne doit avoir conscience du consentement qu’elle donne et de sa portée. N’utilise pas de négation !
- Il faut faire une distinction entre le consentement à un traitement de données et le consentement à des CGV par exemple. Cocher la case des CGV n’est pas un consentement valable pour utiliser les données d’une personne.
Voilà, maintenant tu en sais plus sur ce fameux RGPD. Alors certes il y a du taf, mais cette réglementation est une opportunité de mettre de l’ordre dans tes listes mails et surtout de mettre en place une ou des stratégies d’envois de mails pour fidéliser ta clientèle. Si tu as encore des questions, écris-les en commentaire. Je tâcherai d’y répondre dans la mesure de mes compétences. Sinon, tu peux aussi contacter la CNIL !
merci Mélanie, quand je vois tout ce que j’ai pu lire sur le sujet est bien étayé là et me conforte dans ce que j’avais compris toutefois tu y ajoutes deux trois petites choses plus nettes ainsi je suis parée … y’a plus qu’à ! beau travail !!!
Merci Mélanie, ma question se porte sur les ventes facebook et sur Etsy : où peut ton indiquer que l’on respecte le RGPD ?
Sinon j’ai bien compris le principe, y a plus qu’à créer un bon tableau 🙂
@pitersky : ajoute dans ta presentation sur Etsy et Facebook, un lien vers ta page sur le traitement des données perso et créé un mail type où tu valides la commandes et tu demandes au client son autorisation pour conserver ses données personnelles afin de procéder à l’envoi de son colis.
Toujours aussi claire ! Merci pour toutes ces précisions. Y a plus qu’à…
Merci Mélanie pour cette synthèse claire et compléte….Mon programme du jour était justement de me mettre en conformité avec le RGPD alors il tombe à point nommé…
Super cool, un immense merci pour nous éclairer sur ce casse tête. C’est clair, net et précis, j’adore !
Des bisous
Merci pour ton article ! c’est plus clair maintenant 🙂
génial ton article ! très clair. Merci beaucoup !!
Merci beaucoup pour cet article clair et précis Y a plus qu’à …
Merci Mel pour tous ces éclaircissements sur le RGPD. Au moins là, je comprends mieux de quoi il s’agit!!!!
Pour nos propres sites ok. En revanche pour les markets places ? Qui fait quoi ?
@cheval-claire : tout est ecrit dans l’article =)
Coucou Mélanie. Tout d’abord, merci pour cet article très clair (de loin de le plus clair que j’ai lu jusqu’à présent).
J’ai une question à propos de la newsletter. Dans ma newsletter, je ne fais pas de distinction entre une newsletter pour la sortie d’un nouvel article de Blog et une newsletter pour une offre promotionnelle.
Du coup, est-ce que maintenant il faut faire cette distinction dans le formulaire d’inscription ? Genre une case à cocher « abonnez vous aux articles de Blog » et une autre case « Recevoir nos offres promotionnelles » ?
Je suis un peu perdue avec cette nouvelle réglementation…
@eloise non mais sur ton formulaire ou ta page d’inscription, tu précises qu’en s’abonnant à tes news, on recevras les news de ton site et tes offres commerciales =)
Hé oui, sujet un peu fastidieux mais qu’il est nécessaire de comprendre pour être en règle.
Belles explications. Pour ma part c’est fait.
Enfin un article que je comprends, qui est clair, pour la mise en pratique de cette nouvelle loi 🙂 merci !
Hello Mélanie,
Petite question quand tu as une boutique en physique? Comment ça se passe? car lorsque je fais une vente, j’enregistre le client s’il le souhaite dans ma base de données pour être tenu informé des nouveautés de la boutique. Je ne fais pas remplir de document particulier donc comment ça se passe?
Merci
@paula : j’avais lu un truc, mais je ne me souviens plus exactement, je crois que tu dois faire remplir une fiche à ton client avec une case à cocher comme quoi ils sont d’accord pour que tu conserves les données. Je ne connais plus les détails mais tu es concernée aussi, surtout pour la partie tri et listing
Coucou,
Merci pour cet article qui éclaire ma lanterne !
Je suis en train de plancher dessus (oui je sais je suis un peu en retard…) et je viens de penser à un truc : Pour mes newsletters j’utilise MailChimp. J’ai cherché leur siège social qui est aux Etats-Unis… ce qui veut techniquement dire que je transfère des données de mes clients hors de l’UE… Donc il faut que je m’assure que Mailchimp respecte le RGPD ou il vaut mieux que je m’en trouve un en UE ?
Salut Cécile,
Je me posais la même question que toi concernant Mailchimp (Je précise que je n’ai pas encore de newsletter, mais que je compte utiliser cet auto-répondeur).
Du coup, j’ai fait des petites recherches et j’ai découvert que Mailchimp est inscrit au registre d’auto-certification reconnu par la Commission Européenne qui s’appelle le « Privacy Shield »; c’est-à-dire qu’il s’engage à offrir un certain niveau de protection des données.
Tu trouveras plus d’infos sur le site de la CNIL:
https://www.cnil.fr/fr/le-privacy-shield
Tu trouveras aussi le profil « actif » de Mailchimp sur le site officiel:
https://www.privacyshield.gov/participant?id=a2zt0000000TO6hAAG&status=Active
Comme le disait Laura, Mailchimp SE DOIT d’avoir un niveau de protection des données en règle (même si le côté « auto-certification » me dérange, j’avoue!), dans la mesure où il est énormément utilisé, mais, personnellement, dès que ce sera possible, je passerai à une version payante domiciliée en France pour être plus sereine. Pour info, j’ai vu que SG-autorépondeur (qu’utilise notre Pie Mélanie!) a une formule à 8 euros/mois; intéressant, non!
Voilà, je résume donc : Perso, je vais utiliser Mailchimp en informant les personnes que leur données sont transférées chez ce sous-traitant domicilié aux USA en donnant le lien qui renvoie vers sa politique de confidentialité (en Anglais, bien sûr! Ca peut être gênant…) et en précisant qu’il est inscrit dans ce fameux registre.
Mais, dès que possible, j’utiliserai un auto-répondeur français.
En espérant que ça t’aide un peu… Bon courage à toutes celles qui ont le nez dans la rédaction de leur RGPD!
(Si j’ai dit des bêtises, tout rectificatif est le bienvenu 😉
Merci pour toutes ces infos (y) 😉
@cecile : normalement Mailchimp s’est mis en conformité, je vois bcp de Pies sur Mailchimp. Normalement tua s reçu des mails d’informations
Oui… j’ai du en recevoir… 😛
Hello,
Cecile, je crois que Mailchimp, qui travaille avec de nombreux sites doit respecter les nouvelles règles, ne serait-ce que pour garder ses clients européens. C’est vrai que c’est essentiel pour être aux normes pour toutes les demandes des clients sur leurs données personnelles.
Perso, j’utilise sendinblue qui est basé en France et qui est très pointilleux sur la RGPD, et qui l’annonce à chaque connexion.
Oui effectivement ils sont en « règle » avec le RGPD. C’est intéressant de savoir qu’il y a des auto-répondeurs français. Merci de l’info 😉
de rien @cecile et comme dit SG autorepondeur sont vraiment top !
Bonjour Mélanie,
Alors ma question est: la clause de confidentialité des données est bien distincte des CGV ? ou est ce un paragraphe ?
Parce que tu dis à un moment que c’est un paragraphe des CGV or sur plein de sites la clause de confidentialité est bien une clause à part et est méga longue, genre preparée par un cabinet d’avocat. Je ne sais pas du tout par quel bout la prendre. Est ce qu’il y a des modèles sur lequel se baser?
J’espère que j’ai été claire !!Merci d’avance de ta réponse
c’est les deux @alexandra. Tu en fais mention en partie dans tes CGV avec un lien vers plus de détail. Ce lien ira vers une page dédiée à la politique de confidentialité
Bravo Mélanie !! Je me penche ENFIN sur tout ça (ben oui, pas le temps avant…) mais grâce à toi, encore une fois, je fais ça bien 😉
J’ai une question à mon tour : comment peut-on préciser une durée de conservation dans son registre pour de la vente en ligne ??? Par exemple, mon site a été fait avec WordPress et Woocommerce, mais je n’ai pas la date à laquelle la cliente a créé son compte… Du coup, comment je sais si ça fait 4 ans qu’elle est inscrite ou 2 semaines ? Et comment je fais pour préciser une durée dans mon registre si je n’ai pas de date d’inscription quelque part ???
MERCI par avance pour ta réponse !!!! et pour tout ce que tu nous apportes !!!!
coucou @emma-calas, alors perso, dans tous les formulaires d’inscription à la newsletter que j’ai utilisé, j’avais la date d’inscriptions qui s’enregistrait.
Après, d’après ce que j’ai compris, si tu laisses un lien de desabonnement à a fin de chaque mail, tu n’as pas besoin de définir de durée. En tout cas c’est ce que j’ai fait perso.
Concernant la colelcte de données perso pendant les achats, tu as la date de commande de ta cliente, donc c’est bon =)