• Ecrit par Julie Françon
• Tagged as Juridique

---

Toutes les entreprises, dans le domaine de la vente et du marketing, ont besoin d'accéder à des informations personnelles concernant leurs prospects et clients. Ces données constituent un atout essentiel de l'entreprise. Cependant, le Règlement Général sur la Protection des Données (RGPD) a introduit des règles strictes qui ont un impact direct sur la gestion des bases de données marketing relatives aux prospects et clients. Avant de lancer toute action marketing, il est aujourd'hui crucial de se poser des questions essentielles concernant les données personnelles :

• Ai-je réellement besoin de ces données ?

• Suis-je autorisé à les conserver ?

• Quels sont les risques liés à leur détention, tant pour moi que pour mon entreprise, ainsi que pour les clients ?

Pour répondre à ces questions, concentrons-nous sur l'essence même des données, leur formulation et la nécessité de les conserver. Penchons-nous également sur les aspects organisationnels et techniques relatifs à la base de données, en insistant sur la protection et l'accessibilité de ces données. Tout au long de cette réflexion, gardons à l'esprit les avantages de la mise en œuvre de ces recommandations, ainsi que les risques encourus si nous négligeons ces aspects.

GESTION ET PRESERVATION DES INFORMATIONS A CARACTERE PERSONNEL.

Le RGPD définit les données personnelles comme suit : « Toute information se rapportant à une personne physique identifiée ou identifiable ». De plus, certaines données sont considérées comme sensibles au regard du RGPD et font l'objet d'une réglementation stricte. Il est impératif de justifier la détention de ces données, en particulier dans le domaine du marketing, en mettant l'accent sur le consentement et la légitimité.

1. Le Consentement de la Personne

Le RGPD exige que le consentement soit libre, spécifique, éclairé et univoque. Il ne s'applique qu'à des finalités de traitement précises. La personne doit également avoir la possibilité de retirer son consentement à tout moment. Il est essentiel que la base de données contienne des informations sur les consentements et les retraits de consentement, qu'ils soient totaux ou partiels. Lorsque des bases de données sont achetées, il est impératif de détenir la preuve du consentement des personnes et des finalités associées.

Dans le cas des salons, il est possible de remplir une fiche de contact incluant les informations nécessaires, y compris la finalité du traitement, et de la faire signer par la personne sur place. Lorsque les enfants ont moins de 16 ans, le traitement n'est licite que s'ils ont obtenu le consentement du détenteur de l'autorité parentale.

En ce qui concerne les cartes de visite, le RGPD ne traite pas spécifiquement ce cas. Pourquoi ne pas inclure une mention manuscrite indiquant si notre interlocuteur peut nous recontacter et dans quel but ? En alternative, nous pouvons contacter par e-mail les personnes dont nous avons une carte de visite pour solliciter leur consentement, en expliquant la finalité du traitement que nous souhaitons effectuer.

2. La Légitimité

Analyser la légitimité des données par rapport à l'objectif du traitement envisagé et les risques potentiels est une étape indispensable avant de lancer toute action marketing impliquant le contact de personnes. Il est essentiel de se rappeler que le Responsable Marketing de toute organisation est souvent aussi le Responsable du traitement de la base de données prospects/clients. En conséquence, il engage la responsabilité de son entreprise et l'expose à des risques. Il est légitime, par exemple, qu'une agence immobilière ou un hôtel détienne des informations sur le handicap d'un client. En revanche, la société sous-traitante chargée du nettoyage de l'immeuble n'a pas besoin de connaître cette information.

De plus, il est nécessaire de justifier la conservation de certaines données en fonction d'obligations légales, telles que la garantie ou la comptabilité. Le RGPD stipule que la durée maximale de conservation des informations doit être égale à la durée légale minimale. Les données doivent également être régulièrement mises à jour et peuvent être rectifiées sur demande. Cela offre une opportunité de recontacter un prospect ou un client inactif, de maintenir ou de renforcer le lien, ou de supprimer les informations devenues obsolètes.

Nous recommandons donc d'inclure la date de la dernière action dans la base de données. De plus, ces personnes ont le droit d'accéder à leurs données, il est donc nécessaire de limiter les annotations et de les formuler de manière non discriminante. Certaines entreprises ont même mis en place un contrôle automatique des commentaires ajoutés dans la section "notes" de leur CRM.

CONSEILS POUR ASSURER LA SECURITE DE VOTRE BASE DE DONNEES.

La sécurité des données est probablement la préoccupation majeure et le point faible de nombreuses entreprises. Le RGPD introduit la notion de violation de données personnelles, définie comme "une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données". Pour éviter de telles violations, il est crucial de se concentrer sur les aspects organisationnels et techniques.

1. Les Aspects Organisationnels : Réexaminer les contrats avec les sous-traitants

En tant que donneur d'ordre, une entreprise est responsable des actions de ses sous-traitants en ce qui concerne le RGPD. Si la base de données doit être transmise à des sous-traitants, il est essentiel de choisir ceux qui offrent des garanties suffisantes pour assurer la protection des données personnelles. Le Responsable Marketing ou Commercial doit être particulièrement vigilant si les données sont transférées en dehors de l'Union européenne, car les contrôles et les audits seront plus complexes.

2. Les Aspects Organisationnels : Réaliser une Analyse d'Impact en cas de Violation des Données

Le RGPD introduit une approche axée sur les risques. L'article 35 du RGPD prévoit la réalisation d'une analyse d'impact relative à la protection des données (AIPD) lorsqu'un traitement de données personnelles est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées. En cas de violation des données personnelles, l'article 34 exige de notifier les personnes concernées dans les plus brefs délais et de signaler l'incident à l'autorité de régulation dans les 72 heures. En anticipant ces actions de communication, vous travaillerez de manière plus sereine, avec un meilleur contrôle de la situation, ce qui contribuera à une meilleure perception de la part des personnes concernées. Une organisation qui met en avant sa responsabilité sociale peut tirer parti de la publication d'un résumé de son analyse d'impact, mettant en évidence sa politique de gestion des données personnelles, de cybersécurité et de transparence des algorithmes, car ces domaines se chevauchent et reflètent les attentes croissantes de la société. Nous recommandons donc de prévoir un plan d'action en cas de violation de la base de données marketing prospects/clients, y compris une campagne de communication en cas de fuite de données.

3. Les Aspects Techniques Cruciaux pour la Sécurité et la Conformité des Bases de Données Marketing Prospects/Clients sous le RGPD

L'article 5 du RGPD rappelle que la sécurité informatique est fondamentale. Il précise que les données doivent être traitées de manière à garantir une sécurité appropriée, y compris la protection contre tout traitement non autorisé ou illicite, ainsi que contre la perte, la destruction ou les dommages accidentels. Cela doit être accompli au moyen de mesures techniques ou organisationnelles appropriées pour assurer l'intégrité et la confidentialité des données. L'article 32 détaille l'obligation de sécurité en fonction des connaissances, des coûts, de la nature du traitement, de la portée, du contexte, des finalités et des risques pour les droits et libertés des personnes. Il incombe au Responsable du traitement et au sous-traitant de mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque.

1. Pseudonymisation des Contacts de la Base de Données La pseudonymisation (remplacement du nom par un pseudonyme) présente un intérêt particulier, notamment lorsqu'un traitement statistique des données de la base est effectué par un sous-traitant. C'est courant dans le domaine de l'intelligence artificielle, où des données client sont traitées en masse pour prédire des comportements. Pour illustrer ce concept, on peut citer la phrase de Fulup Ar Fol, architecte internet chez Sun Microsystems, qui expliquait : " Je sais qui tu es, mais je ne sais pas comment tu t'appelles." Cela signifie que l'on peut attribuer un code généré aléatoirement à chaque client, que l'on retrouve par exemple lors de l'envoi d'un courriel de demande de consentement.

2. Accessibilité de la Base de Données, Droits d'Accès et Protection pour le Personnel Interne Il est essentiel de mettre en place des mesures limitant l'accès à la base de données marketing prospects/clients. Avec un tableur tel qu'Excel, il faut protéger la feuille et séparer les informations en onglets distincts en fonction de leur nature. Si vous utilisez un CRM, vous devrez cloisonner les informations par catégories et restreindre leur accès en fonction des rôles des employés. Par exemple, le service de comptabilité n'a pas besoin de connaître les spécificités d'un menu spécial (hallal, végétarien, etc.), car cela implique des données sensibles en vertu du RGPD. Si vous choisissez de différencier ces menus pour des raisons tarifaires ou statistiques, une mention du type "menu spécial" doit être prévue à l'usage de la comptabilité.

3. Accessibilité de la Base de Données pour les Intervenants Externes, Principe du "Privacy by Design" Pour prévenir les failles de sécurité, il est essentiel de mettre en œuvre des mesures préventives pour limiter les risques de violation des données personnelles. Un audit du site web de l'entreprise, réalisé par des experts en fraude informatique, permettra de détecter et de corriger ces failles. Cela relève du principe du "privacy by design" prévu par l'article 25 du RGPD, qui exige que l'entreprise prenne des mesures techniques et organisationnelles appropriées en fonction des finalités du traitement. Cette démarche doit être mise en œuvre dès la conception du site internet et de la base de données associée.

4. Accessibilité de la Base de Données pour le Personnel Interne en Mobilité L'accès à la base de données marketing prospects/clients est souvent possible via des appareils mobiles, notamment dans le cadre de l'utilisation de CRM. La pratique courante du "Bring your own device" (BYOD), où les employés utilisent leurs appareils personnels, soulève des problèmes de sécurité potentiels. Il est essentiel de déterminer quelles données sensibles entrent et sortent de l'entreprise, et de planifier des procédures de sécurité adéquates. Pour assurer la sécurité, il est recommandé de :

• Exiger des mots de passe complexes ou d'utiliser la reconnaissance biométrique.

• Crypter les données.

• Accéder aux informations via un réseau privé virtuel (VPN).

• Consulter les e-mails via une messagerie web.

• Mettre en place des solutions de gestion des terminaux mobiles (MDM) et de gestion des applications mobiles (MAM).

• Séparer les données personnelles des données professionnelles par l'utilisation de "conteneurs" (sandboxes).

5. Réalisation de Sauvegardes de la Base de Données et Éviter les Duplications Inutiles La base de données doit disposer d'une copie de sauvegarde pour être en mesure de la restaurer en cas de problème. Cependant, il est essentiel de différencier cette copie de sauvegarde, qui doit être protégée, chiffrée et non accessible en dehors du service concerné, des duplications inutiles. Les duplications augmentent les risques de perte ou de violation des données. À l'exception de la copie de sauvegarde, la base de données originale doit rester unique. Si elle n'est pas gérée à l'aide d'un CRM, elle peut être partagée via un service cloud ou un serveur de partage comme SharePoint (Microsoft) pour rester unique et sécurisée.

En somme, il est possible d'exploiter une base de données marketing prospects/clients tout en respectant le RGPD. Cette démarche est non seulement une obligation légale, mais aussi une réponse aux préoccupations croissantes des clients concernant la protection de leurs données personnelles. Chaque nouvel client peut devenir un client fidèle, à condition de bâtir une relation de confiance durable, et la protection des données clients est un élément clé de cette relation.

La prochaine étape est le Règlement E-privacy qui est souvent considéré comme une extension du RGPD, mais destiné à réguler les communications électroniques. Il exercera un impact significatif sur les stratégies de marketing. Bien que sa date de mise en vigueur reste incertaine, il est sage de se préparer, en particulier en ce qui concerne la gestion des cookies sur les sites web, dont les paramètres seront désormais contrôlés par les utilisateurs via leurs navigateurs. La conformité au RGPD est une opportunité de renforcer la confiance des clients et de rester en avance sur les réglementations à venir dans le domaine de la protection des données. En fin de compte, cela garantira que votre entreprise est bien positionnée pour prospérer dans un environnement où la confidentialité des données est de plus en plus cruciale pour les clients et les régulateurs.

Si vous êtes intéressé par l'exploration des avantages d'Ethnoforms, n'hésitez pas à nous contacter pour une démo gratuite. Vous aurez ainsi l'opportunité de découvrir comment cet outil innovant peut profondément transformer la collecte et l'analyse de données dans le domaine juridique, contribuant ainsi à améliorer la conformité et l'efficacité de vos processus.

Contactez-nous pour explorer nos solutions qui permettent de respecter les exigences légales dans le domaine des logiciels d'enquêtes.

Ceci pourrait également vous intéresser