inspirations innovatech

Inspirations,
news et dossiers

RGPD: quels enjeux concrets pour une PME?

Date de publication
16 mars 2018
facebook twitter LinkedIn Google Mail Informatique/Propriété intellectuelle Print
GDPR

Un cas pratique: l’usage de MailChimp largement utilisée par les PME de notre pays pour leurs activités de marketing.

Le mois de mai approchant, les mises en garde plus ou moins alarmistes sur les nouvelles obligations du Règlement général sur la protection des données (RGPD ou « GDPR » en anglais) se multiplient.

Pour vous aider à y voir plus clair, un atelier pratique est organisé par InnovaTech le 15 mai prochain de 9h à 12h à Gosselies. Plus d’infos ici. N’hésitez pas à contacter aubin.deperthuis@innovatech.be pour vous y inscrire.

RGPD: l’exemple de MailChimp

RGPDPour beaucoup de PME ne traitant pas de données à caractère sensible ou en grand nombre, la relation entre leurs activités commerciales et la question de la protection des données à caractère personnel n’est pas toujours claire. Ces entreprises ont du mal à voir concrètement l’impact de cette réglementation sur leur fonctionnement quotidien.

Plutôt que revenir sur la définition de « données à caractère personnel » et de « traitement » ou d’expliquer les grands principes du RGPD, nous avons préféré passer directement à un cas pratique pour illustrer quelques-uns de ses effets concrets. Nous avons pris l’exemple de l’application MailChimp, largement utilisée par les PME de notre pays pour leurs activités de marketing.

Vous utilisez MailChimp pour envoyer par email une lettre d’information trimestrielle sur vos nouveaux produits et services à vos clients et prospects. Vous avez donc créé une liste de distribution avec les adresses emails de vos clients et prospects sur votre compte. Ces coordonnées, sauf s’il s’agit d’adresses générales de type « contact@ » ou « info@ » d’une entreprise, sont des données à caractère personnel, qu’elles soient d’ordre professionnel ou privé.

Par la collecte et le traitement de ces données, vous êtes soumis au RGPD en tant que responsable du traitement. Il vous appartient dès lors de vous assurer la base légale de leur collecte et traitement mais également de pouvoir le prouver et donc le documenter en cas de contrôle de la Commission vie privée (ou plus exactement, de l’Autorité de protection des données, son nouveau nom à partir du 25 mai).

S’agissant d’une activité de marketing direct à caractère commercial, il conviendra de vous assurer que les destinataires de ces mails aient bien donné leur consentement préalable à la réception de tels mails sauf si:

  • vous avez obtenu les coordonnées électroniques directement dans le cadre de la vente d’un produit ou d’un service ;
  • vous utilisez les coordonnées électroniques exclusivement pour des produits ou des services similaires que vous fournissez et,
  • au moment où vous collectez les coordonnées électroniques, vous offrez aux clients la possibilité de s’opposer gratuitement et facilement à l’exploitation de ces données.

 

C’est MailChimp qui traite les données

GDPRVous avez certes collecté ces données mais ce n’est pas vous qui concrètement allez les traiter dans le cadre de votre campagne marketing. En réalité, c’est MailChimp, votre sous-traitant au regard du RGPD, qui s’en occupera.

Comme vous ne le savez peut-être pas, il s’agit d’une société de droit américain dont les serveurs sont localisés aux États-Unis. La localisation de cette société en dehors de l’Union européenne ne l’exclut cependant du champ d’application de cette réglementation. Celle-ci s’impose notamment lorsque les activités de traitement d’un sous-traitant sont liées à l’offre de biens ou de services à des personnes dans l’Union, qu’un paiement soit exigé ou non.

Y « uploader » ses listes de distribution s’apparente donc à un transfert transfrontalier de données à caractère personnel de l’Union européenne vers les États-Unis. Le RGPD rend possible un tel transfert si le pays visé a fait l’objet d’une décision d’adéquation de la Commission européenne ou offre des garanties appropriées. Ces garanties appropriées peuvent être fournies notamment par des clauses contractuelles types de protection des données adoptées par la Commission.

Heureusement pour vous, la Commission a considéré que les États-Unis assuraient un niveau de protection adéquat des données à caractère personnel transférées, dans le cadre du bouclier de protection des données UE-USA (dit « Privacy Shield »), de l’Union vers des entreprises auto-certifiées aux États-Unis.

MailChimp est non seulement certifiée conforme aux règles du Privacy Shield depuis son entrée en vigueur mais a également conclu avant avec la Commission européenne des clauses contractuelles types pour le traitement des données.

Le transfert transfrontalier de données est donc possible.

Attention: tout ce qui précède pourrait vous laisser croire que l’outil MailChimp va s’occuper de tout et qu’il vous exonère d’une part de vos responsabilités. Ce n’est évidemment pas le cas. Et c’est toujours à l’utilisateur de MailChimp de s’assurer que sa base de données a été constituée de manière conforme. En clair, si vous ne voulez courir aucun risque, il faudra obtenir à nouveau le consentement de toutes les personnes de votre base de données sur la base des obligations renforcées de transparence et d’information du RGPD.

RGPD: traitement des données par un sous-traitant

Le RGPD prévoit encore que le traitement des données par un sous-traitant doit faire l’objet d’un contrat ou d’un autre acte juridique. Sans préjudice d’un contrat particulier, le RGPD prévoit que le contrat ou l’autre acte juridique peut être fondé, en tout ou en partie, sur des clauses contractuelles types.

A ce titre, pouvez-vous invoquer les clauses contractuelles types conclues entre la Commission et MailChimp en juin 2016 ? La réponse n’est pas si simple dans la mesure où ces clauses devraient être adaptées pour être tout à fait conformes au RGPD, notamment en matière de durée du traitement des données ou de confidentialité. Par ailleurs, un simple renvoi à ces clauses dans la « privacy policy » de MailChimp est-il suffisant ? Des précisions devraient être apportées prochainement soit par cette société soit par l’autorité belge de protection des données.

En tant que sous-traitant, MailChimp est tenue d’aider le responsable de traitement, par des mesures techniques et organisationnelles, dans ses propres obligations vis-à-vis des titulaires des données à caractère personnel, en l’espèce, les destinataires des emails. Pour rappel, le RGPD reprend et renforce les droits de ces titulaires: droit à l’information, l’accès, la rectification, l’effacement, la limitation du traitement, la portabilité et le droit d’opposition aux prises de décisions individuelles automatisées.

Dans sa brochure « The General Data Protection Regulation« ,  MailChimp rappelle l’importance des formulaires utilisés et la possibilité de les formater de manière à satisfaire à vos obligations renforcées de transparence et d’information.

Concrètement, le « MailChimp signup form » peut être utilisé à cette fin. Il permet aussi de s’assurer du consentement des destinataires via le double « opt-in » et de l’archiver. Par ailleurs, vous pouvez inclure un « preference link » en bas de page du message envoyé permettant aux destinataires de modifier directement leurs données.

Sous réserve de la question du contrat entre vous et MailChimp, le recours à ce service est possible dans le cadre du RGPD. Sous-traitant de vos données, cette application ne vous dédouane donc pas de vos obligations propres en tant que responsable de traitement même si, bien utilisée, elle peut vous y aider, notamment en matière de transparence, d’information, d’accès et de preuve du consentement.

N’hésitez pas à vous inscrire à notre atelier pratique. Il est organisé le 15 mai prochain de 9h à 12h à Gosselies. Plus d’infos ici. N’hésitez pas à contacter aubin.deperthuis@innovatech.be pour vous y inscrire.

l'équipe de rédaction InnovaTech

Par

L'équipe de rédaction d'InnovaTech est composée d'experts en innovation technologique et en communication.

Website Facebook Twitter LinkedIn

Services associés

coach

Bénéficiez d’un coach

propriété intellectuelle

Propriété intellectuelle