Guide ultime pour PME : comment se conformer au RGPD?

Ariane Chouinard
Gestionnaire de contenu marketing

**IMPORTANT**

Cet article est rédigé à titre indicatif seulement et n’a aucune valeur légale. Il ne compile que les informations recueillies par LeadFox au sujet de la Réglementation générale sur la protection des données (RGPD). Nous vous recommandons de consulter un professionnel afin de vous assurer que vos pratiques sont conformes avec les dispositions législatives prévues. Retrouvez le texte complet ici.

La checklist pour se conformer au RGPD

La loi sous forme de checklist pour vous assurer de ne manquer aucun élément

Le parfait aide-mémoire au PME francophone!

Cliquez ici pour y avoir accès

Table des matières

Chapitre 1

Survol du RGPD

Chapitre 2

Les 3 principaux changements

Chapitre 3

Des initiatives qui respectent le RGPD

Chapitre 4

Comment LeadFox s’y prend

Chapitre 5

Comment LeadFox vous aide face au RGPD

Chapitre 6

Comment vous préparer au RGPD

Survol : ce que vous devez savoir sur le RGPD

Dès le 25 mai 2018, les entreprises devront se plier aux nouvelles régulations encadrées par la Réglementation générale sur la protection des données. Plus communément appelé RGPD, ce règlement vise à établir « des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données ».

Ces renseignements sensibles sont décrits comme « toute information se rapportant à une personne physique […] qui peut être identifiée, directement ou indirectement, par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique […] ».

Mais encore? De plus amples explications, s’il vous plaît!  

L’aide-mémoire sous forme de checklist est ici!

Voyez les éléments essentiels à changer dans votre marketing pour être conforme au RGPD

Cliquez ici pour obtenir la checklist RGPD!

Les objectifs de la législation

Derrière ces grands termes se cachent trois objectifs simples visant à structurer les pratiques des sociétés qui collectent, stockent, transfèrent et exploitent les datas d’Européens dans le cadre de leurs activités. La législation prévoit d’abord d’unifier les différentes régulations européennes protégeant les données personnelles. L’élaboration du Règlement s’inspire ainsi des règles régionales déjà en place et consolide les meilleurs éléments en un seul et même texte de loi. Ensuite, elle tente d’offrir aux citoyens européens un contrôle accru sur l’usage fait de leurs renseignements.

Il s’agit d’une avancée majeure en comparaison aux présentes dispositions, cherchant à prévenir de fâcheux incidents comme celui qui a secoué l’actualité au cours des dernières semaines. Finalement, le Parlement européen espère responsabiliser les entreprises sur le traitement des informations à caractère personnel.

Trop beau pour être vrai ?

Non-respect, les conséquences possibles

Pourtant, les sociétés qui ne se soumettent pas aux dispositions encourent de sévères sanctions, « proportionnelles à l’offense et dissuasives », pouvant représenter 4 % du chiffre d’affaires, jusqu’à concurrence de 20 000 000 €. L’Autorité de Protection des Données, qui est responsable de l’encadrement des différentes législations présentement en place, sera en charge de faire respecter la RGPD. Pour l’instant, le processus de plaintes, le champ d’application, la teneur des amendes et son principe de proportionnalité demeurent flous. Toutefois, le Parlement européen cherche à lancer un message clair : d’importantes contraintes pécuniaires peuvent être imposées à ceux qui tenteront de contourner les règles!

N’ayez crainte, une période de sursis de 2 ans est prévue afin de permettre aux compagnies de se conformer aux dispositions. La seule condition pour bénéficier de cette période de grâce ? Démontrer que des efforts suffisants sont déployés et que la société tente activement de se soumettre aux règlements.

Êtes-vous concerné ?

L’application de cette régulation n’est pas limitée à votre emplacement géographique. Sociétés québécoises, vous pourriez être concernées si vous remplissez l’un des trois critères suivants, et ce, même si votre entreprise ne compte aucun client européen.

Vous devrez vous conformer aux nouvelles dispositions si :

  1. Vous exploitez une société en territoire européen;
  2. Votre entreprise est située en dehors du territoire européen, mais détenez une clientèle en Europe;
  3. Vous compilez des données relatives aux comportements de résidents européens dans le cadre de vos activités.

En pratique ? Par exemple, si certaines de vos initiatives marketing demandent à un navigateur de compléter un formulaire pour accéder à vos services ou à des éléments de contenu, vous devez vous plier aux règles. Après tout, Internet est sans frontière et vous ne pouvez contrôler la provenance de votre trafic web pour éliminer les visiteurs de certaines zones géographiques !

Du Data Protection Directives au RGPD : 3 principaux changements

Mise en place en 1995, le Data Protection Directives est l’ensemble de règles régissant actuellement l’utilisation de données personnelles. Inutile de souligner que cette législation, développée avant l’arrivée du stockage Cloud, des CRM et des initiatives publicitaires web basées sur les comportements, est désormais… bien obsolète.  

via GIPHY

L’avantage pour les marketeurs jusqu’à présent : les directives reflètent si peu la réalité qu’elles laissent place à une généreuse marge de manœuvre pour mener à bien les activités marketing. Afin de s’inscrire dans les tendances actuelles, la RGPD prévoit trois grands axes de changements.

Le droit d’accès et un contrôle accru des citoyens sur leurs données personnelles

Le RGPD encadre les procédures de collecte, storage, exploitation et transfert des renseignements personnels. Ces nouvelles directives garantissent aux citoyens européens la possibilité :

  • D’exiger un accès facilité aux données. Selon cette disposition, tout usager d’un site Internet est en droit de connaître l’objectif de la collection, le type de datas recueilli, les tiers partis avec qui elles sont partagées et la période de stockage prévue par l’entreprise. L’utilisateur doit également être en mesure de déposer une plainte auprès des autorités compétentes en cas de besoin. Les informations accumulées sont accessibles gratuitement, dans un délai d’un mois et en format électronique.
  • De rectifier des renseignements. Les navigateurs de votre site Internet peuvent demander la correction d’informations erronées et ces modifications sont effectuées dans un temps raisonnable. Le visiteur web doit pouvoir ajouter les détails manquants à son sujet s’il le désire.
  • D’effacer des informations ou le droit d’être oublié. Chaque citoyen peut exiger d’une entreprise qu’elle efface les datas collectés à son endroit. La société doit garantir le retrait sans délai, à moins que les renseignements soient nécessaires à l’accomplissement de l’offre de services qui la lie à l’individu ou qu’une législation requiert la préservation des données. La description des mesures techniques déployées par l’organisation pour détruire les archives doit être accessible.
  • De solliciter la portabilité des données. De par cette mesure, l’Union européenne souligne que chaque individu est libre de demander accès aux renseignements collectés à son endroit. La compagnie doit fournir ces informations dans un format lisible et compréhensible. Le citoyen peut ensuite acheminer ces datas au tiers parti de son choix, pour autant que cette action ne brime ni la sécurité ni la liberté d’autrui.
  • De s’opposer à la collection de renseignements. Cette disposition garantit que l’enregistrement des informations ne s’effectue que lorsqu’un individu énonce clairement son accord. Parlant de consentement…

Une définition plus stricte du consentement

Le RGPD revoit complètement la notion d’accord tel que généralement utilisé par les marketeurs.

L’inscription d’office, où le visiteur web est responsable de sa propre désinscription, de même que l’opt-in passif, avec une case précochée, sont désormais considérés comme des procédures frauduleuses. L’opt-in devient alors la seule mesure reconnue afin qu’un individu consente à la collection et l’exploitation de données le concernant. Les directives entourant les datas collectés et l’utilisation des renseignements doivent être énoncée en termes clairs et sans ambiguïté. En tout temps, le citoyen doit être en mesure de facilement retirer son accord.

Plus de transparence sur l’usage des données après la collecte

Le RGPD prévoit un ensemble de directives visant une collecte, un storage, une exploitation et un transfert transparent des datas accumulées dans le cadre des activités de votre entreprise. Les pratiques de votre société doivent donc s’inscrire dans cette optique, notamment en garantissant une protection adéquate des informations personnelles archivées contre un usage malveillant ou un vol de ces renseignements. Afin de vous conformer sans soucis, dotez votre site Internet de Termes & Conditions faciles d’accès qui décrivent simplement les différentes utilisations des données collectées.

L’avantage pour les marketeurs jusqu’à présent : les directives reflètent si peu la réalité qu’elles laissent place à une généreuse marge de manœuvre pour mener à bien les activités marketing. Afin de s’inscrire dans les tendances actuelles, la RGPD prévoit trois grands axes de changements.

Le droit d’accès et un contrôle accru des citoyens sur leurs données personnelles

Le RGPD encadre les procédures de collecte, storage, exploitation et transfert des renseignements personnels. Ces nouvelles directives garantissent aux citoyens européens la possibilité :

  • D’exiger un accès facilité aux données. Selon cette disposition, tout usager d’un site Internet est en droit de connaître l’objectif de la collection, le type de datas recueilli, les tiers partis avec qui elles sont partagées et la période de stockage prévue par l’entreprise. L’utilisateur doit également être en mesure de déposer une plainte auprès des autorités compétentes en cas de besoin. Les informations accumulées sont accessibles gratuitement, dans un délai d’un mois et en format électronique.
  • De rectifier des renseignements. Les navigateurs de votre site Internet peuvent demander la correction d’informations erronées et ces modifications sont effectuées dans un temps raisonnable. Le visiteur web doit pouvoir ajouter les détails manquants à son sujet s’il le désire.
  • D’effacer des informations ou le droit d’être oublié. Chaque citoyen peut exiger d’une entreprise qu’elle efface les datas collectés à son endroit. La société doit garantir le retrait sans délai, à moins que les renseignements soient nécessaires à l’accomplissement de l’offre de services qui la lie à l’individu ou qu’une législation requiert la préservation des données. La description des mesures techniques déployées par l’organisation pour détruire les archives doit être accessible.
  • De solliciter la portabilité des données. De par cette mesure, l’Union européenne souligne que chaque individu est libre de demander accès aux renseignements collectés à son endroit. La compagnie doit fournir ces informations dans un format lisible et compréhensible. Le citoyen peut ensuite acheminer ces datas au tiers parti de son choix, pour autant que cette action ne brime ni la sécurité ni la liberté d’autrui.
  • De s’opposer à la collection de renseignements. Cette disposition garantit que l’enregistrement des informations ne s’effectue que lorsqu’un individu énonce clairement son accord. Parlant de consentement…

Une définition plus stricte du consentement

Le RGPD revoit complètement la notion d’accord tel que généralement utilisé par les marketeurs.

L’inscription d’office, où le visiteur web est responsable de sa propre désinscription, de même que l’opt-in passif, avec une case précochée, sont désormais considérés comme des procédures frauduleuses. L’opt-in devient alors la seule mesure reconnue afin qu’un individu consente à la collection et l’exploitation de données le concernant. Les directives entourant les datas collectés et l’utilisation des renseignements doivent être énoncée en termes clairs et sans ambiguïté. En tout temps, le citoyen doit être en mesure de facilement retirer son accord.

Plus de transparence sur l’usage des données après la collecte

Le RGPD prévoit un ensemble de directives visant une collecte, un storage, une exploitation et un transfert transparent des datas accumulées dans le cadre des activités de votre entreprise. Les pratiques de votre société doivent donc s’inscrire dans cette optique, notamment en garantissant une protection adéquate des informations personnelles archivées contre un usage malveillant ou un vol de ces renseignements. Afin de vous conformer sans soucis, dotez votre site Internet de Termes & Conditions faciles d’accès qui décrivent simplement les différentes utilisations des données collectées.

Au quotidien, cette directive affecte plusieurs de vos activités marketing.

Dans le cas de vos campagnes d’email marketing, prévoyez l’ajout de plusieurs éléments à vos gabarits (templates), comme la case opt-in lors de l’interaction initiale, de même qu’un lien de désistement à chaque envoi. Assurez-vous également de conserver une preuve de consentement pour chaque contact, dans un format lisible.

Même après la mise en place du RGPD, il sera toujours possible de recourir à des stratégies de marketing automatisé, par exemple le déploiement de formulaires, les campagnes d’email marketing, le retargeting et le profiling. Toutefois, les visiteurs de votre site Internet devront être en mesure de retirer leur accord en tout temps. L’objectif de la collecte et de l’exploitation des datas sont également à souligner dans la section Termes et Conditions de votre site web.  

Des initiatives qui respectent le RGPD

Afin de se conformer aux régulations du RGPD, les initiatives marketing doivent satisfaire plusieurs critères. Notamment, elles soulignent les raisons précises de la collecte et décrire le cadre dans lequel ces informations seront exploitées. Il est également impératif que l’utilisateur web puisse accéder facilement aux politiques de confidentialité et aux conditions de navigation du site Internet.

Quand recourir au fameux opt-in — aussi appelé checkbox, case à cocher, etc. ? L’opt-in est fortement suggéré pour chacun de vos formulaires. Selon certains marketeurs, la réglementation contraint les organisations à instaurer un double opt-in; soit une case à cocher au moment de l’inscription et un courriel demandant à l’abonné de confirmer son adhésion.

Bien que cette pratique comprenne certains avantages — les leads sont généralement mieux qualifiés et plus engagés par la suite — aucune directive textuelle n’oblige votre compagnie à adopter une telle méthode.

Le web regorge de plusieurs exemples de sociétés ayant déjà adopté de bonnes pratiques marketing qui respectent les directives prévues au RGPD. En voici une, mais rien ne vous empêche d’effectuer vos propres recherches (chez vos compétiteurs, par exemple), afin de créer du matériel qui reflète votre secteur d’activités et votre image de marque.

Exemple 1 : Lancôme France

Comment LeadFox se prépare-t-elle au RGPD

Évidemment LeadFox sera conforme dès le lancement du RGPD le 25 mai 2018. Voici en résumé, les droits auxquels LeadFox répondra:

  • Droit d’accès sur vos données personnelles
  • Droit de consentement
  • Droit de transparence sur l’usage des données après la collecte

Le droit d’accès et un contrôle accru des citoyens sur leurs données personnelles

  • Droit de rectifier des renseignements. Vous pouvez modifier vos informations à tout moment via les paramètres de votre compte. De plus, vous pouvez nous contacter à l’adresse rgpd@leadfox.io afin de rectifier des informations à votre compte.
  • Droit d’effacer des informations ou le droit d’être oublié. Vous pouvez résilier définitivement votre abonnement LeadFox mensuel et fermer votre compte quand vous le souhaitez. Aussi, vous pouvez nous contacter à l’adresse rgpd@leadfox.io afin d’effacer toutes les données vous concernant.
  • Droit de solliciter la portabilité des données. Si vous en faites la demande, nous pouvons exporter vos données de manière à ce qu’elles puissent être transférées à une tierce partie ou encore à un concurrent. De plus, vous pouvez télécharger en document csv l’ensemble des données de vos contacts via les paramètres de votre compte.
  • Droit de s’opposer à la collection de renseignements. En tant que contact ou utilisateur de LeadFox, vous pouvez vous désinscrire de toutes les utilisations spécifiques que nous faisons de vos informations via les paramètres des préférences d’emails.
  • Droit d’exiger un accès facilité aux données. L’une des valeurs de notre entreprise est la transparence. Donc, nous sommes transparents sur les données que nous collectons et l’usage que nous en faisons. Vous avez donc accès à vos données via votre compte. Vous pouvez de plus vous référer aux conditions d’utilisation et de confidentialité pour plus de détails.

Une définition plus stricte du consentement

D’ici le 25 mai 2018, LeadFox aura réalisé 3 actions importantes afin de renforcer le consentement de ses utilisateurs :

  1. Tous les formulaires seront conformes au RGPD. Nous demanderons le consentement via un opt-in (cases à cocher) et nous présenterons les conditions d’utilisation sur chacun d’eux.
  2. Nous confirmerons le consentement à nos contacts dont nous n’avons pas de preuve.
  3. Nous conserverons une preuve de consentement pour l’ensemble de nos contacts et utilisateurs.

Plus de transparence sur l’usage des données après la collecte

Afin d’être totalement transparents sur l’usage des données, nous avons mis à jour nos termes d’utilisation et de confidentialité. Ceux-ci détaillent les implications de nos pratiques d’emails et de marketing automation. Vous pouvez les consulter en cliquant ici.

Finalement, afin de maximiser la sécurité de vos données, nous avons nommé à l’interne un DPA (Data Protector Officer). Celui-ci s’assure que nous respectons les meilleures pratiques mondiales avec notre gestion des données.

Comment LeadFox vous aide-t-elle à vous préparer au RGPD

En plus de s’engager à respecter la loi RGPD, LeadFox met en place plusieurs dispositions et outils afin de vous préparer aux nouveaux changements. Voici nos recommandations :

LeadFox vous aide à respecter les droits de vos utilisateurs

  • Droit de rectifier des renseignements. Vous avez la possibilité de modifier vous-même les informations de vos contacts. Malgré tout, vous pouvez nous contacter et nous vous aiderons à modifier, télécharger ou supprimer les données de vos contacts.
  • Droit d’effacer des informations ou le droit d’être oublié. LeadFox permet de simplement supprimer un contact en quelques secondes.
  • Droit de solliciter la portabilité des données. Vous pouvez exporter les données que vous recueillez à propos d’un contact, via les paramètres de contacts.
  • Droit de s’opposer à la collection de renseignements. Nous vous recommandons d’activer l’option gratuite de préférence d’email associée à votre compte. De cette façon, vos contacts pourront exercer leur droit d’opposition en pouvant facilement se désabonner de certaines listes via le lien de désinscription des emails ou la gestion des paramètres.
  • Droit d’exiger un accès facilité aux données. Veillez à bien expliquer l’usage que vous faites des données que vous collectez dans votre politique de confidentialité et dans vos conditions.

Il est à noter que si l’un de vos contacts nous fait une demande valide d’accès ou de modifications de ses données, nous répondrons à sa demande. Bien sûr, nous vous avertirons de la situation.

LeadFox vous offre tous les outils nécessaires pour vous conformer au RGPD

LeadFox inclut tous les outils nécessaires pour respecter le RGPD. Avec LeadFox, vous serez en mesure de facilement :

  • Créer des formulaires respectant le RGPD
  • Demander le consentement à vos futurs contacts
  • Reconfirmer le consentement aux contacts dont vous n’avez pas la preuve
  • Conserver facilement une preuve que vos contacts ont donné leur consentement
  • Respecter l’ensemble des droits de vos utilisateurs (voir ici-haut)

LeadFox vous offre la documentation marketing nécessaire

LeadFox se démarque de ses concurrents par la qualité de son contenu marketing en français. Le dossier RGPD ne fait pas exception à la règle.

Voici les liens vers les principales documentations RGPD de LeadFox

Finalement, vous pouvez nous contacter en tout temps afin d’avoir des conseils sur comment respecter le RGPD avec votre entreprise.

Évidemment, un avis juridique est la seule façon d’être certain de répondre à l’ensemble des spécificités de la loi.

Comment vous préparer au RGPD ?

« Avez-vous accès aux données me concernant ? »

« Quelle est la teneur de ces données ? »

« Puis-je avoir accès aux données accumulées à mon endroit. »

« S’il vous plaît, détruisez toutes mes données personnelles archivées. »

« Quelles sont les mesures garantissant la sécurité des informations me concernant ? »

Avec la mise en place du RGPD, votre entreprise doit être en mesure de répondre à toutes ces informations dans un délai raisonnable. Savez-vous seulement où trouver tous ces renseignements ? Avant de remettre en question l’ensemble de vos pratiques, evaluez ces dernières en fonction des nouvelles contraintes à respecter. Débutez par l’inventaire des données que vous collectez et le traitement qui est réservé à ces datas. Voici quelques pistes de réflexion à considérer :

  • Quels outils utilisez-vous pour collecter les données ?
  • Qui a accès à ces renseignements ?
  • Partagez-vous ces informations avec un tiers parti ?

Le RGPD s’applique non seulement sur les nouvelles informations que vous emmagasinez après le 25 mai, mais également aux adresses courriel de votre base de données actuelles. Vous devez donc vous assurer que tous vos contacts aient consenti à poursuivre le dialogue entrepris avant la date butoir. Oui, malheureusement, cela signifie communiquer avec l’ensemble de vos contacts afin de confirmer leur adhésion à vos listes d’envoi. Vous pourrez ainsi retirer les leads dormants, ceux qui ne représentent plus de potentiel commercial et les individus qui ne souhaitent plus conserver une correspondance avec votre société.

Assurez-vous ensuite de contrôler les différents éléments qui vous permettront de vous ajuster rapidement aux nouvelles dispositions. Dans cette perspective, instaurez immédiatement une confirmation opt-in sur vos formulaires, en plus de consolider les preuves de consentement en un document facile d’accès. Habituez-vous à supprimer et modifier vos contacts. Également, validez le processus technique servant à exporter les datas accumulées.

En résumé, d’ici le 25 mai 2018, nous vous recommandons d’être en mesure de :

  • D’ajouter une confirmation de type opt-in sur vos formulaires
  • De supprimer, exporter et modifier les informations de vos contacts
  • Confirmer le consentement de votre base actuelle de données
  • Expliquer clairement l’usage que vous ferez des données de vos contacts

Nous vous suggérons de télécharger notre checklist RGPD afin de couvrir tous les éléments essentiels.

Cliquez ici pour télécharger gratuitement la checklist

Vous avez d’autres questions par rapport au RGPD et à LeadFox?

Communiquez avec nous par email au RGPD@leadfox.io

Visitez notre section RGPD ici.

Partager

Abonne-toi

À toutes les semaines, recevez nos techniques pour générer plus de clientèle avec le marketing automatisé!

Inscrivez-vous à notre lettre d'information et nous vous tiendrons au courant.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Performez de façon rusée

Ouvrez un essai gratuit de 14 jours dès maintenant et accédez instantanément à tous nos outils ainsi qu’au support tant apprécié de Leadfox!

Essayer Leadfox gratuitement

Pas de demande de carte de crédit. Prends moins de 30 secondes.