RGPD et envois de courriels: Qu’ont besoin de savoir les PME

Le Règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai prochain dans l’Union Européenne. Même si certains détails concernant l’application de la loi reste à circonscrire, les entreprises assujetties devront, à ce moment, être en mesure de prouver qu’elles sont conformes à cette dernière.

Qui est assujetti au RGPD ?

Pour ceux parmi nous en Amérique du Nord qui faisons affaire avec des pays européens, nous sommes assujettis au RGPD étant donnée la collaboration internationale entre autorités étatiques. Toutefois, le RGDP s’applique particulièrement à :

  • Toute organisation qui collecte, change, transmet, supprime ou de toute autre façon utilise ou stocke les données personnelles de citoyens européens (une donnée personnelle est toute donnée qui utilisée seule ou avec d’autres données pourrait permettre d’identifier une personne).
  • Toute personne ou organisation qui, seule ou avec d’autres, détermine les usages et fins du traitement des données personnelles, aussi connu sous le nom de «contrôleur», est responsable en vertu du RGDP
  • Toute organisation envoyant des courriels à des sujets dans l’Union Européenne est assujetti au RGPD, peu importe le pays d’où émane lesdits courriels.

Quelles sont les deux principales différences entre la LCAP et le RGDP ?

1. Message électronique commercial vs. Protection des données personnelles

La différence majeure entre la LCAP et le RGDP est que la première régit les messages électroniques commerciaux (MEC) alors que le deuxième régit la sécurité et protection entourant les données personnelles.

2. Programme de conformité vs. Bases légales

Au Canada, un programme de conformité à la LCAP qui satisfait au huit exigences du CRTC est le seul moyen de défense que peut présenter une entreprise. Pour être conforme au RGDP, une organisation peut faire référence à une des six bases légales, en autant qu’elle puisse prouver et démontrer qu’elle a respecté tous les détails et entrepris toutes les actions nécessaires pour être conforme à la base légale choisie.

À propos du consentement

Certaines bases légales ne sont pas applicables à toutes les entreprises ou spécialistes du marketing, mais si vous envoyez des courriels, vous serez certainement intéressés à en savoir plus la base légale du consentement.

Il est important de noter qu’une compagnie doit être capable de justifier pourquoi elle collecte de l’information sur un individu ou une organisation, à quelles fins elle l’utilise et comment elle la protège.

Pour les spécialistes du marketing numérique, le consentement est une des façons les plus simples de prouver qu’ils sont en règles et conformes en vertu du RGPD. Toutefois, pour utiliser le consentement comme base légale vous devrez remplir certaines exigences strictes. En effet, vous devrez obtenir un consentement explicite de tous vos abonnés pour aller de l’avant avec les envois de courriels.  La même règle est applicable aux personnes qui remplissent des formulaires sur votre site web indiquant qu’ils souhaitent recevoir vos communications.

Important : contrairement à la LCAP, le RGPD ne reconnait pas les consentements implicites ni les exceptions B2B. Seul le consentement explicite compte. Il est à noter que :

  • Le consentement doit être spécifique à des fins particulières
  • Le silence, des boîtes pré-cochés ou l’inactivité ne peuvent constitués un consentement; les individus doivent explicitement pouvoir « opt-in » au stockage, à l’usage et à la gestion de leur données personnelles. Une procédure prévoyant un double « opt-in » est définitivement la meilleure façon de faire.
  • Des consentements séparés doivent être obtenus pour différentes activités de traitement des données. Ceci implique que vous devez être clairs lorsque vous indiquez comment les donnés seront utilisées lorsque vous obtenez un consentement. Le message accompagnant le « opt-in » doit énoncer toutes les utilisations possibles des données personnelles que vous recueillez et comment vous protégez lesdites données. (ex.: spécifier que vous prenez la protection des données personnelles au sérieux en incluant un lien vers votre politique de vie privée et indiquer qu’une personne peur accéder, rectifier ou supprimer toutes informations personnelles et ce, à tout moment.)
  • Le consentement doit être vérifiable et sa gestion demande un registre écrit (ou électronique) de quand et comment une personne vous a permis de traiter ses données personnelles.

Accéder, rectifier ou supprimer

De plus, en vertu du RGPD, votre collecte de données personnelles par l’entreprise de formulaires web (ex : prénom, nom de famille, courriel) doit permettre aux individus touchés de pouvoir, en tout temps, accéder, rectifier et supprimer leurs donnés. Ainsi, nous vous suggérons d’inclure dans votre politique de vie privée une clause indiquant comment ce faire (ex.: en envoyant une demande par courriel à l’adresse vieprivé[email protected]).

Tenue de dossiers et base de données centralisée

Adopter de bonnes pratiques concernant la tenue de dossiers ne sert pas seulement à présenter une défense de diligence raisonnable en cas de plaintes contre votre entreprise, mais vous aide aussi à (i) identifier des enjeux de non-conformité potentiels, (ii) examiner et répondre aux plaintes des consommateurs, (iii) répondre aux questions concernant les pratiques et procédures de l’entreprise, (iv) superviser votre programme corporatif de conformité (v) et déceler la nécessité d’entreprendre des actions de renforcement de la conformité et à démontrer que celles-ci ont été implantées.

En outre, une base de données centralisée administrant la gestion des contacts, le traitement des données de même que leur documentation n’est pas seulement utile afin remplir les exigences du RGPD en ce qui concerne la protection des données et le consentement,  mais aussi en vue de faciliter la relation avec les consommateurs et la mise en marche efficace des opérations.

 

Quelle est la meilleure solution en tant qu’individu ou organisation envoyant des courriels à des fins de marketing ou d’affaires ?

Un programme de conformité à la LCAP est considéré comme le plus haut standard de protection afin de vous mettre à l’abri de lourdes amendes en provenance des autorités chargées de l’application de la Loi. Rappelez vous : la LCAP s’applique autant aux courriels individuels qu’aux courriels groupés, sans égard au fait que ceux-ci véhiculent du contenu promotionnel ou non.

L’implantation d’un programme de conformité remplissant toutes les exigences du CRTC est non seulement requise par la Loi au Canada, mais est aussi un bon moyen de se protéger en ce qui à trait aux enjeux soulevés dans le RGPD.

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Laisser un commentaire

Votre adresse de courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *