Le RGPD : conséquences et précautions
Le RGPD : Le Règlement Général sur la Protection des Données
Le RGPD est la nouvelle loi de référence européenne en matière de protection des données à caractère personnel. Ainsi, elle est entrée en vigueur dans 28 pays européens le 25 mai 2018. En effet, elle définit de nouveaux droits aux personnes. De la sorte, de nouveaux devoirs incombent aux responsables du traitement de ces données.
Donc, voici les quelques grands principes à retenir pour les associations.
- La définition des données personnelles est élargie à tout ce qui peut permettre d’identifier un individu. Les courriels peuvent évidemment faire partie de cette définition lorsqu’il y a nom et/ou prénom.
- Les structures ont l’obligation de communiquer clairement aux utilisateurs l’utilisation qui sera faite de leurs données et leurs droits à la modification ou l’effacement de celles-ci.
- Les utilisateurs devront pouvoir annuler facilement leur consentement et demander l’effacement de leurs données dans les meilleurs délais.
- Les structures devront mettre en place des mesures préventives de protection des données.
- Les structures devront informer les personnes concernées de toute fuite des données.
En cas de non respect du dispositif, les structures pourront se voir infliger des amendes allant de 2% à 4% du chiffre d’affaires et jusqu’à 20 millions d’euros pour les infractions les plus graves.
Le texte de loi est disponible dans son intégralité ici.
RGPD et inscriptions aux listes de diffusion
Tout d’abord, une mesure concerne les structures dont la collecte de données ou l’envoi de courriels est l’activité principale. Ainsi, elle consiste à rendre obligatoire le recrutement d’un Data Protection Officer (DPO). A priori, cette obligation ne s’applique pas aux structures d’EEDD.
Ensuite, l’opt-out et l’opt-in passif sont désormais interdits. Il nous faut passer par un petit point de définitions. L’opt-out est la pratique consistant à inscrire d’office un utilisateur à une liste après une inscription à un service, en lui laissant la charge de se désinscrire. De plus, l’opt-in passif consiste à obtenir le consentement d’un internaute de manière détournée. Par exemple, le plus souvent en pré-cochant la case correspondant au souhait de recevoir des courriels de la part de l’entreprise.
Mais, l’opt-in reste autorisé. Il s’agit de laisser l’internaute exprimer librement son consentement par une action positive. Généralement, l’internaute coche de lui-même une case correspondant au souhait de recevoir des courriels de votre part.
A priori, si l’inscription à une liste de diffusion (lettre d’information ou autre) fait suite à la demande du destinataire, vous êtes dans le bon. Il me semblerait que nous n’avons pas obligation d’envoyer un courriel aux inscrits pour leur redemander de s’inscrire. Cependant, il serait de bon aloi de garder en mémoire ou en archive les demandes (via le bulletin d’inscription, courriel de demande…).
Ce que RGPD autorise…
Par conséquence, nous ne pouvons plus utiliser de listes de diffusion créées sans consentement des destinataires. Les listes de collectivités pour communiquer sur nos actions de formation seraient-elles à proscrire ?
En définitive, le RGPD concerne les courriels permettant d’identifier le ou la destinataire, c’est-à-dire contenant un nom de famille et/ou un prénom. Donc, les mesures ne concerne pas les courriels génériques du type info, accueil, formation, direction, etc.
Par contre, à noter que le RGPD prévoit 2 exceptions pour lesquelles l’obtention du consentement n’est pas obligatoire.
- Pour les contacts B2B, (c’est à dire des courriels professionnels) à condition que la prospection concerne l’activité exercée par le destinataire.
- Pour vos clients existants, à condition que vos communications portent sur des produits ou services en rapport avec ce qu’ils ont déjà acheté précédemment.
En définitive, le texte permet une certaine flexibilité à condition que l’on puisse le justifier. Il sera certainement amendé pour être complété. Pour ces raisons, affaire à suivre…
Télécharger un message-type à envoyer à vos contacts en .docx ou en .odt