Le RGPD (Règlement général sur la protection des données) est en vigueur depuis le 25 mai 2018 dans l’Union européenne.

Plusieurs utilisateurs de Cyberimpact se posent des questions à propos de ce règlement, surtout ceux qui envoient des courriels à des contacts européens.

Chez Cyberimpact, nous pensons que ces questions sont tout à fait légitimes et que notre grande expérience en matière de conformité avec la loi canadienne anti-pourriel nous permet de démystifier le RGPD (ou GDPR en anglais) pour vous. Nous ne sommes pas des juristes, mais nous voulons vous aider à y voir plus clair. Alors, voici quelques explications et recommandations pour vous conformer à cette nouvelle réglementation.

PREMIÈREMENT: Êtes-vous concernés ?

Votre siège social est situé au Canada, vous communiquez exclusivement avec vos contacts canadiens ou nord-américains ? Vous n’êtes pas concernés par le RGPD. Dans votre cas, seule la loi canadienne anti-pourriel (C-28) s’applique. Consultez notre vaste section consacrée à la loi canadienne anti-pourriel.

Par contre, peu importe où votre entreprise ou organisme est situé dans le monde, si vous collectez des données personnelles de citoyens européens (par exemple, via un formulaire d’inscription sur votre site web) et/ou si vous leur envoyez des courriels commerciaux, vous êtes concernés et êtes tenu de vous conformer au RGPD. Ainsi, si vous avez une filiale ou simplement des clients en Europe, continuez de lire ce qui suit…

DÉFINITION: Qu’est-ce que le RGPD veut dire par données personnelles ?

Le RGPD vient encadrer la collecte et l’utilisation des données personnelles par les entreprises et les organismes. Par données personnelles, on doit comprendre toute information qui permet d’identifier un individu. Par exemple, le nom, le numéro de téléphone ou l’adresse courriel de quelqu’un.

Cyberimpact est-il conforme au RGPD ?

Cette question nous est fréquemment posée ces jours-ci, et c’est bien normal ! La réponse est…oui, mais avec quelques bémols. Laissez-moi vous expliquer…

Le simple fait d’utiliser Cyberimpact pour réaliser votre marketing par courriel ne garantit pas le respect de ce règlement. C’est malheureusement plus complexe que ça. En fait, Cyberimpact possède des outils qui vous aideront à respecter le RGPD dans le cas où vous avez des abonnés et des visiteurs européens. C’est plutôt la votre façon dont vous utilisez l’outil qui déterminera si vous êtes conforme ou non. Et non pas l’outil en tant que tel.

Comment faire ? Suivez nos recommandations ci-dessous et ce sera un pas (ou plusieurs) dans la bonne direction !

Recommandations pratiques pour vous conformer au RGPD

1. SEGMENTEZ

Si vous pouvez segmenter vos contacts européens dans des groupes distincts, faites-le. Il sera ainsi facile de leur envoyer des courriels distincts (si nécessaire) et de vous y retrouver si vous devez gérer vos contacts et faire des manipulations. Cyberimpact vous permet de trier vos contacts avec les options présentes dans la création et la gestion de vos groupes dynamiques. Bientôt, vous aurez aussi l’option de filtrer vos recherches en fonction du pays de vos contacts.

2. PROUVEZ

Selon le RGPD, il est nécessaire de tenir un registre de traitement des données, qui servira notamment à prouver sa conformité. Celui-ci doit contenir des informations comme le but du traitement, les catégories de données, la description des mesures de sécurité mises en place, etc.

Toutefois, les entreprises de moins de 250 employés ne sont pas obligées de tenir ce registre des activités de traitement, sauf si leur traitement informatique influe sur les droits et les libertés des personnes concernées, n’est pas occasionnel ou inclut certains types de données personnelles sensibles. Bonne nouvelle ! En utilisant une solution comme Cyberimpact, votre registre se met à jour directement dans l’application. En consultant votre compte Cyberimpact, les informations nécessaires relativement à votre relation et vos actions avec vos contacts y sont consignées. Assurez-vous de compléter tous les champs mis à votre disposition pour constituer et mettre à jour votre registre.

Un conseil, ajoutez seulement dans votre compte Cyberimpact des contacts européens envers qui vous avez un consentement exprès (explicite) et seulement si vous détenez une preuve de ce consentement. Vous pouvez noter vos preuves dans le champ « preuve de consentement » des profils de vos contacts dans Cyberimpact.

Pour votre information, le règlement stipule que la personne doit donner un consentement clair et explicite avant qu’une entreprise puisse cumuler et utiliser ses informations personnelles. Le fait d’ajouter un contact à une liste de diffusion et de lui envoyer des courriels commerciaux constitue une utilisation de données personnelles. Conservez vos preuves de consentement. Cyberimpact vous permet de recueillir des preuves électroniques qui sont acceptées par les diverses réglementations. Nous avons d’ailleurs un bloc de consentement fait exprès pour le RGPD que vous pouvez tout simplement ajouter à vos courriels.

Sur le territoire de l’Union européenne, il existe quelques exceptions à la règle d’obtention d’un accord préalable avant l’envoi de courriers publicitaires à une adresse électronique:

  • Le message publicitaire est envoyé à votre adresse électronique professionnelle et le message est en rapport direct avec votre profession;
  • Le message provient d’une société dont vous êtes déjà client et concerne des produits ou services similaires à à ceux que vous avez déjà achetés;
  • Le message provient d’un organisme caritatif.

Dans ces trois cas, l’organisme ou la société doit vous avoir prévenu au préalable de cette utilisation de votre adresse électronique, et vous avoir clairement et facilement permis de vous y opposer. Un lien de désabonnement doit toujours être présent et fonctionnel dans vos courriels. Cyberimpact l’inclut automatiquement dans tous les envois faits avec l’outil.

Au Canada, avec la loi canadienne anti-pourriel, nous avons l’habitude d’envoyer des courriels commerciaux à des gens qui ne nous en ont pas donné la permission explicitement, mais avec qui nous avons une relation d’affaires (les consentements tacites).

3. AVISEZ

Si vous avez des formulaires d’abonnement sur votre site web ou ailleurs, assurez-vous de communiquer clairement à quoi serviront les informations recueillies. Une mention telle que « Remplissez le formulaire ci-dessous pour vous inscrire à notre infolettre. Vous recevrez ainsi nos promotions et articles d’information par courriel. » a le mérite d’être claire. Bien sûr, vous ne devez pas utiliser les informations recueillies à d’autres fins. Vous pouvez vous servir des exemples disponibles sur le site web de la Commission Nationale de l’Informatique et des Libertés (CNIL).

En cas de violation des données, il faut le signaler aux autorités de contrôle du GDPR dans les 72 heures suivant sa détection. S’il existe un risque pour la vie privée et les droits des individus concernés, ils doivent également être prévenus.

4. ADOPTEZ LE DOUBLE OPT-IN

Utilisez l’option « double opt-in » avec tous vos formulaires d’inscription. C’est une bonne pratique de toute façon !

5. RÉDUISEZ

Réduisez au maximum le nombre d’informations personnelles que vous demandez dans vos formulaires d’abonnement. Ainsi, les informations personnelles superflues ne seront pas cumulées et ceci devrait réduire les préoccupations de vos abonnés en relation avec votre liste de distribution et vos usages commerciaux de leurs données. Dans le contexte du RGPD, gardez en tête que l’adresse courriel, la géolocalisation par adresse IP et la preuve de consentement peuvent suffire pour atteindre vos objectifs de communications.

6. SOYEZ TRANSPARENT

Indiquez à vos abonnés comment ils peuvent accéder à l’information que vous détenez sur eux et comment ils peuvent la modifier. Ces deux points sont des éléments très importants du RGPD. Nommez votre DPO (Data Privacy Officer) ou Délégué à la Protection des Données et assurez-vous que ce responsable soit accessible en tout temps pour vos abonnés.

Pour le moment, il n’est pas possible avec Cyberimpact de permettre à vos abonnés de vérifier et de modifier leur profil par eux-mêmes.Toutefois, il vous est possible d’inscrire dans le bas de vos courriels que vos abonnés peuvent vous faire ces demandes en vous envoyant un courriel. C’est aussi simple que cela !

Ajoutez un bloc à vos envois dans lequel il y a une mention telle que « pour obtenir une copie de vos données personnelles ou pour en demander une modification, répondez simplement à ce courriel».  Ainsi, vous recevrez ces demandes à votre adresse de retour configurée dans l’application et pourrez aller consulter, modifier ou supprimer la fiche du contact qui en a fait la demande. Vous pourrez sauvegarder ce bloc comme bloc personnalisé et le réutiliser dans vos prochains envois, voici comment.

Veuillez noter que nous travaillons pour insérer cette fonctionnalité et qu’elle devrait être ajoutée dans Cyberimpact sous peu pour l’ensemble de nos usagers.

7. SUPPRIMEZ

Supprimez de votre compte Cyberimpact les contacts qui vous en feraient la requête. Si un contact européen vous demande de supprimer les données que vous détenez sur lui, supprimez ce contact de votre registre et/ou de votre base de données sans délai.

Lorsque vous supprimez un contact, toutes les informations contenues dans sa fiche sont automatiquement supprimées. Notez que l’adresse courriel restera visible dans les statistiques des envois précédents, cependant, vous ne pourrez utiliser cette adresse courriel ou accéder à la fiche de ce contact.

8. AJUSTEZ

Si vous avez un site internet, mettez à jour votre politique de protection des données (ou politique de la vie privée) ou créez-en une. Ce site est une excellente ressource. Assurez-vous d’avoir un lien vers cette politique dans le pied de page de votre site web.

Une bonne nouvelle pour les entreprises et organismes canadiens !

Il est à noter que le RGPD accepte que les données personnelles des citoyens européens soient transmises et hébergées dans certains pays considérés comme ayant un niveau de protection adéquat. Heureusement, le Canada fait partie de cette liste de pays ! Tous les serveurs de Cyberimpact étant situés au Canada, vous pouvez donc être rassuré par rapport à ce point.

Cyberimpact reste un outil spécialisé pour les besoins des PME canadiennes

Comme vous pouvez le constater à la lecture de cet article, il vous est possible de vous conformer au RGPD en utilisant Cyberimpact pour vos communications par courriel. En utilisant Cyberimpact, vous avez à votre disposition des fonctionnalités qui vous aident dans votre démarche de conformité. Nous travaillons en ce moment à en ajouter de nouvelles, ce qui vous simplifiera la tâche davantage.

En conclusion, Cyberimpact demeure votre plateforme de choix pour vous aider à vous conformer à la loi canadienne anti-pourriel (C-28). Si la majorité de vos activités de communication sont au Canada, voire en Amérique du Nord, Cyberimpact est la meilleure solution pour vos besoins.

Suite à la lecture de ce billet, si vous avez toujours des questions concernant le Règlement général sur la protection des données (RGPD) ainsi que sur l’utilisation de Cyberimpact, n’hésitez pas à nous contacter, il nous fera plaisir de vous aider !

Vous n’utilisez pas Cyberimpact pour communiquer avec vos contacts ? Créez-vous un compte gratuitement !