Rgpd et outils de communication client

J’ai eu l’occasion d’expliquer précédemment comment recenser, cartographier et analyser les différents traitements de données personnelles effectués dans votre établissement.

Aujourd’hui, mon propos concernera les outils que vous utilisez régulièrement dans vos relations avec vos clients (site, newsletter, mailing, CRM, PMS, moteur de réservation en ligne, réseaux sociaux, Channel manager….). Il est en effet important que vous sachiez si leur utilisation est conforme aux obligations du RGPD et aux droits des personnes concernées.

Voici les principaux points de vigilance.

VOTRE SITE INTERNET

Les mentions légales obligatoires doivent être complétées par une partie spécifique sur votre politique de confidentialité des données.

Vos internautes doivent être informés de leurs droits et de la façon dont sont traitées les données qu’ils fournissent en naviguant sur votre site, en créant un compte……, en s’abonnant à une newsletter….

Les cookies

Ainsi, une personne qui se rend sur votre site pour se renseigner, effectuer une réservation doit tout d’abord être informée de la politique que vous menez en matière de cookies, ces petits fichiers texte déposés sur un terminal qui permettent la reconnaissance d’une machine.

Lors de la première connexion d’un internaute, un bandeau d’information doit apparaitre et indiquer

  • Les finalités précises des cookies utilisés
  • La possibilité de s‘y opposer et de changer les paramètres en cliquant sur un lien
  • Que la poursuite de navigation vaut accord au dépôt de cookies sur le terminal.

Le dépôt de cookies a une durée de validité de 13 mois maximum.

La politique de confidentialité

Elle doit contenir notamment les informations spécifiques suivantes :

  • La localisation physique des données collectées
  • Le temps de conservation des données
  • Les services ayant accès aux fichiers
  • Ce à quoi l’utilisateur consent lorsqu’il remplit un formulaire et coche la case de validation d’utilisation de ses données
  • Les démarche à suivre pour :
  • consulter ses données stockées
  • modifier ses abonnements aux communications
  • demander la suppression de ses données.

Votre politique de confidentialité est à mettre en avant sur votre site internet.

L’EMAILING – LA NEWSLETTER 

Vous travaillez avec un CRM, un fichier client ou une solution d’emailing marketing pour envoyer des messages ciblés, des newsletters à des clients ou prospects.

Quelques bonnes pratiques doivent être suivies :

Récolter le consentement des utilisateurs

Les formulaires d’inscription doivent renseigner correctement vos visiteurs. Ils doivent savoir pourquoi et comment leurs données seront utilisées afin d’accepter en bonne foi de vous les confier.

Il vous appartient d’obtenir leur consentement en utilisant le fameux  Opt-in actif, la pratique qui laisse l’internaute exprimer librement son consentement par une action positive.

L’Opt-out (inscription d’office) ou l’Opt-in Passif (préinscription avec une case pré cochée) sont interdites.

Pour s’inscrire par exemple à votre liste de contacts, l’utilisateur va ainsi devoir cocher lui-même une case accompagnée d’une phrase affirmant qu’il souhaite recevoir des emails ou une newsletter mensuelle….

2 exceptions à l’obligation du consentement préalable

En BtoB : vous pouvez démarcher un professionnel pour lui proposer vos prestations si elles sont en rapport avec son activité

En BtoC : vous pouvez continuer à communiquer avec vos clients si vos communications portent sur des produits ou services en rapport avec ce qu’ils ont déjà acheté précédemment

Attention:

  • Vous ne pouvez utiliser des adresses emails obtenues par opt-out /opt-in passif
  • La preuve du consentement donné par vos contacts doit pouvoir être apportée
  • Chaque type de traitement doit être distingué : vous ne pouvez pas en cochant 1 seule case valider la réception d’une newsletter mensuelle et des emails marketing

Pour une newsletter, il est recommandé de recueillir les souhaits de votre abonné sur la fréquence, le type de messages qu’il souhaite recevoir….. Le niveau d’engagement de vos clients/prospects sera bien meilleur si les contacts sont réellement consentants sur des services qu’ils ont approuvés eux même

S’assurer du consentement de contacts existants

La question est de savoir si vous pouvez utiliser les fichiers clients, liste de contacts dont vous disposez.

Si vos formulaires de collecte étaient déjà opt-in et que vous êtes en mesure de prouver le consentement donné, vous pouvez a priori continuer à utiliser pleinement ces listes.

Sinon, en fonction de la situation, il vous appartiendra soit de réfléchir à une campagne de réengagement, soit désabonner les contacts inactifs ou les supprimer purement et simplement ….

Attention :

  • Les données d’un fichier de contacts ne peuvent être conservées plus de 3 ans
  • Le contact et ses données doivent être supprimés s’il ne répond pas à vos sollicitations dans ce délai
  • Les données des personnes ayant demandé à ne plus être contactées doivent être archivées.

Faciliter les demandes d’accès aux données

Vos contacts doivent pouvoir accéder, modifier ou supprimer leurs données à tout moment de manière simple et rapide. Pour cela, vous devez :

  • Mettre en avant un lien de désinscription/désabonnement dans vos emails
  • Vous assurer que la désinscription est valable pour toutes vos listes
  • Ne pas utiliser d’adresse email type « no reply » pour que vos clients puissent aisément vous demander leurs données

MINIMISATION DES DONNÉES VOS OUTILS-SOLUTIONS PMS, CRM, RÉSERVATION EN LIGNE, CHANNEL MANAGER….

Vous utilisez forcement dans votre établissement un ou plusieurs de ces outils.

Le RGPD introduit une notion de responsabilité commune des entreprises et des prestataires qui hébergent leurs données.

A vous de vous assurer que chaque partenaire offrant un service, une prestation impliquant un traitement de données à caractère personnel pour votre compte respecte les principes du RGPD et garantit l’intégrité et la sécurité des données personnelles collectées.

Le RGPD précise ainsi qu’un contrat ou un avenant doit indiquer notamment :

  • l’objet et la durée de la prestation effectuée pour votre compte
  • la nature et la finalité du traitement
  • le type de données à caractère personnel traitées pour votre compte
  • les catégories de personnes concernées
  • les obligations et droits du responsable de traitement et du sous-traitant
  • ….

A  vous également de vous assurer auprès de votre prestataire :

  • de l’organisation qu’il a mise en place et des actions prises :
    • Pour garantir la sécurité, la confidentialité des données collectées/stockées pour votre compte
    • Pour mettre en œuvre les mesures techniques et organisationnelles appropriées au respect des différents principes et exigences du RGPD  ……
  • des mesures prises concrètement en vertu de son obligation d’assistance et de conseil dans la mise en conformité de certaines obligations prévues.

ET SUR LES RÉSEAUX SOCIAUX ?

Cette question est délicate car les entreprises se considèrent souvent comme de simples utilisatrices. Elles estiment que seul le réseau social utilisé peut-être responsable en cas de litige.

Exposer les fans et utilisateurs de pages professionnelles à un risque de violation de données personnelles est pourtant risqué.

Si l’entreprise peut être considérée comme responsable conjoint, avec le réseau social, des traitements réalisés sur une page fan, il est important pour vous :

  • De bien lire les conditions générales d’utilisation des politiques de confidentialité (souvent imposées), dans lesquelles sont définies les obligations de l’entreprise ou du réseau social, notamment en matière d’information
  • De vous assurer que les réseaux sociaux utilisés sont conformes au RGPD

S’ils sont bien soumis à l’application du RGPD, les réseaux sociaux mettent à jour au fur et à mesure les conditions générales d’utilisation et leur politique de confidentialité. Mais la vraie question est de savoir concrètement quelles mesures techniques et organisationnelles ils mettent en œuvre pour garantir notamment la minimisation de la collecte et la sécurisation des traitements.

Compte tenu de ce qui précède, à vous de faire un effort en matière de pédagogie à l’égard de vos fans/clients /usagers et de rester prudent sur le contenu des publications, les données échangées….

Concernant les outils utilisés dans la relation avec les clients/prospects, le RGPD peut donc engendrer de nombreux impacts :

  • Adapter les formulaires de réservation en ligne, de check-In, de collecte des données
  • Adapter le bandeau cookies
  • Rendre visible les informations relatives à la confidentialité et gestion des données
  • Se constituer en interne un dossier avec les preuves de consentement recueillies
  • Nettoyer le fichier clients/contacts
  • ….

Dans le prochain article, j’insisterai sur les questions de sécurité relatives aux données à caractère personnel. Vous pourrez alors évaluer votre organisation et réfléchir aux actions que vous pourrez mettre en œuvre pour sécuriser les données collectées et traitées.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.