Assurez-vous que votre activité est conforme au RGPD

FAQ

• Qu'est-ce que le RGPD ?

  Nous pensons que vous avez entendu parler du RGPD. Le Règlement général sur la protection des données (ou « RGPD ») est une législation européenne sur la protection de la vie privée qui est entrée en vigueur le 25 mai 2018 et qui visait à renforcer, harmoniser et moderniser la loi européenne sur la protection des données et à améliorer les droits et libertés individuels, conformément à la compréhension européenne de la confidentialité en tant que droit humain fondamental. Le RGPD réglemente la manière dont les personnes et les organisations peuvent obtenir, utiliser, stocker et partager des données à caractère personnel. En tant que réglementation, elle doit être suivie dans son intégralité dans toute l’UE.

• Le RGPD s’applique-t-il à moi ?

  Le champ d’application du RGPD est très large. Il s’applique à (1) toutes les organisations établies dans l’UE, et (2) toutes les organisations qui ciblent ou surveillent les individus dans l’UE. Concrètement, cela signifie que le RGPD s'applique à la plupart des organisations qui traitent des données à caractère personnel de résidents de l’UE, et ce où que se trouve leur siège social, quel que soit l'endroit où leurs activités de traitement sont effectuées. Cela signifie que le RGPD peut s’appliquer à toute organisation partout dans le monde, dans tous les secteurs d’activité et industries. Vous devez effectuer votre propre analyse pour déterminer dans quelle mesure (le cas échéant) votre organisation peut être soumise au RGPD.

• Qu’est-ce qui est considéré comme des « données à caractère personnel » ?

  Les données à caractère personnel sont toutes les informations relatives à une personne identifiée ou identifiable, c’est-à-dire les informations qui pourraient être utilisées, seules ou en conjonction avec d’autres données, pour identifier une personne. Considérez la portée extrêmement large de cette définition : elle comprend non seulement des informations qui sont généralement considérées comme étant de nature personnelle (par ex., numéros de sécurité sociale, noms, adresses physiques, adresses électroniques), mais également des données telles que les adresses IP, les données comportementales, les données de localisation, les données biométriques, les informations financières, etc. Cela signifie que, pour les clients Mailchimp, au moins une majorité des informations que vous collectez sur vos contacts seront considérées comme des données à caractère personnel en vertu du RGPD.

  La définition générale englobe les adresses électroniques professionnelles contenant le nom d’une personne ou toutes les coordonnées professionnelles liées à ou en lien avec une personne, comme le nom de la personne, son intitulé de poste, sa société, son adresse professionnelle, son numéro de téléphone professionnel, etc. En revanche, les données à caractère personnel n’incluent pas les noms commerciaux génériques, les adresses commerciales, les adresses électroniques génériques ou toute autre information commerciale générale, tant que ces informations n’ont pas été liées à une personne. Ainsi, par exemple, « John.Smith@mailchimp.com » serait probablement considéré comme des « données à caractère personnel » régies par le RGPD, alors que « contact@mailchimp.com » ne le serait pas.

  Il est également important de noter que même les informations qui ne permettent pas d’identifier une personne en particulier par elles-mêmes, mais qui pourraient être combinées à d’autres informations pour identifier une personne (appelées « données pseudonymisées ») sont considérées comme des données à caractère personnel. Ainsi, par exemple, une adresse électronique hachée sera toujours considérée comme des données à caractère personnel, bien que pseudonymisées.

  Les données à caractère personnel sensibles, telles que les informations de santé ou les informations qui révèlent l’origine raciale ou ethnique d’une personne, nécessitent une protection encore plus grande. Vous ne devez pas stocker de données de cette nature dans votre compte Mailchimp.

• Que signifie « traiter » les données ?

  Le traitement est toute opération effectuée sur des données à caractère personnel, que ce soit ou non par des moyens automatisés. Cela inclut la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation, l’extraction, l’utilisation, la combinaison, l’effacement, la destruction, la divulgation, la diffusion ou la mise à disposition de données à caractère personnel.

  Fondamentalement, si vous collectez et gérez des données à caractère personnel de personnes physiques résidant en Europe (même si elles ne sont pas des citoyens), vous traitez les données à caractère personnel au sens prescrit par le RGPD. Cela signifie, par exemple, que si l'une de vos audiences Mailchimp contient l'adresse électronique, le nom ou d'autres données à caractère personnel d'une personne située en Europe, vous traitez les données à caractère personnel en vertu du RGPD.

• Quelle est la différence entre un responsable du traitement et un sous-traitant ?

  Si vous traitez des données à caractère personnel, vous le faites en tant que responsable du traitement ou sous-traitant, et il existe différentes exigences et obligations qui s’appliqueront à vous en fonction du rôle que vous occupez. Il est important de comprendre si vous agissez en tant que responsable du traitement ou sous-traitant et de vous familiariser avec les responsabilités qui s’appliquent à vous.

  Un responsable du traitement est l’organisation qui détermine les finalités et les moyens du traitement. Il prend les décisions importantes telles que les données à caractère personnel collectées, l’utilisation des données, la durée de conservation et les personnes avec lesquelles elles sont partagées. Un sous-traitant est une organisation qui traite les données pour le compte du responsable du traitement et conformément à ses instructions uniquement. Cela signifie généralement qu’un sous-traitant ne peut pas utiliser les données à caractère personnel à d’autres fins que pour fournir un service au responsable du traitement concerné.

  Les responsables du traitement conservent la responsabilité principale de la conformité au RGPD (y compris, par exemple, l’obligation de notifier les personnes au sujet du traitement, de répondre aux personnes exerçant leurs droits à la vie privée et de signaler les violations de sécurité aux autorités de protection des données). Cependant, le RGPD impose également certaines responsabilités directes aux sous-traitants.

  Dans le contexte de Mailchimp, dans la majorité des cas, notre client agit en tant que responsable du traitement. Nos clients, par exemple, décident quelles informations de leurs contacts sont téléchargées ou transférées sur leur compte Mailchimp, ordonnent à Mailchimp, via notre application, d'envoyer des e-mails à certains contacts sur leurs listes de distribution d'e-mails et demandent à Mailchimp de placer des publicités en leur nom sur des plateformes tierces telles que Facebook ou Instagram.

  Mailchimp agit en tant que sous-traitant en effectuant ces services et d'autres pour nos clients. Dans certains cas, nous agissons en tant que responsable du traitement, par exemple lorsque nous traitons les informations des clients à nos propres fins commerciales (comme la gestion des comptes et la facturation) et pour notre projet d’analyse des données. Vous pouvez trouver plus d’informations sur nos projets d’analyse de données, y compris sur la manière dont vous pouvez vous désinscrire de l’analyse de données, ici.

• Quels sont les principes clés du RGPD ?

  Le RGPD contient un certain nombre de principes clés qui doivent être suivis lors du traitement des données à caractère personnel pour garantir la conformité. Il incombe au responsable du traitement de garantir la conformité à ces principes clés.

  • Les données à caractère personnel doivent être traitées de manière équitable, légale et transparente : Les personnes doivent être informées de la manière dont leurs données à caractère personnel seront utilisées et vous ne devez jamais utiliser les données d’une manière à laquelle la personne ne s’attendrait pas raisonnablement. Vous devez également disposer d’une base juridique pour le traitement des données à caractère personnel, par exemple avec le consentement de la personne, pour satisfaire un contrat, ou sur la base de vos intérêts légitimes.
  • Les données à caractère personnel doivent être collectées à des fins spécifiques, explicites et légitimes : Vous ne devez collecter des données à caractère personnel que pour remplir des finalités spécifiques et ne pas utiliser les données d’une manière incompatible avec ces finalités.
  • Les données à caractère personnel doivent être pertinentes et limitées à ce qui est nécessaire : Vous ne devez collecter que les informations dont vous avez besoin et ne devez pas collecter ou utiliser des données inutiles ou redondantes.
  • Les données à caractère personnel doivent être exactes et tenues à jour : Vous devez vous assurer que les données que vous détenez sont exactes et prendre des mesures pour examiner et mettre à jour les informations si nécessaire.
  • Les données à caractère personnel ne doivent être conservées que pendant la durée nécessaire : Vous ne devez conserver les données à caractère personnel que pendant la durée nécessaire et ne devez pas les conserver indéfiniment ou « juste au cas où ».
  • Les données à caractère personnel doivent être conservées en toute sécurité : Vous devez mettre en œuvre des mesures techniques et organisationnelles pour protéger les données à caractère personnel en fonction du type de données que vous traitez et des ressources et technologies disponibles.

  Plus important encore, vous devez être capable de démontrer comment vous respectez ces principes et comment vous êtes responsable.

• Quels sont les droits des personnes physiques en vertu du RGPD ?

  Le RGPD accorde aux personnes un certain nombre de droits concernant leurs données à caractère personnel. Vous devez vous assurer que vous pouvez accommoder ces droits si vous traitez des données à caractère personnel de personnes de l’UE.

  • Droit d'accès : Les personnes ont le droit de recevoir certaines informations sur la manière dont leurs données ont été recueillies et utilisées et d’obtenir une copie de leurs données auprès de vous.
  • Droit à la rectification : Les personnes peuvent demander que leurs données soient rectifiées ou mises à jour à tout moment.
  • Droit à l’effacement (le « droit à l’oubli ») : Dans certaines circonstances, les personnes peuvent demander que leurs données soient entièrement supprimées.
  • Droit de retrait du consentement  : Si vous avez obtenu le consentement d’une personne pour traiter ses données à caractère personnel, elle peut retirer son consentement à tout moment.
  • Droit d’opposition : Sinon, si vous vous fondez sur vos intérêts légitimes pour traiter les données d’une personne, la personne peut s’opposer à votre traitement et vous devez arrêter de le faire, à moins que vous ne puissiez démontrer que vos intérêts l’emportent sur les intérêts et les droits de la personne.
  • Droit d’opposition au marketing  : Les personnes ont le droit absolu de s’opposer à tout moment au traitement de leurs données à caractère personnel à des fins de marketing.
  • Droit à la portabilité. Les personnes peuvent vous demander de transférer leurs données à une autre organisation.

  Les organisations doivent répondre à ces demandes dans un délai d’un mois ou, dans des cas exceptionnels, dans un délai de trois mois. À l’exception du droit de s’opposer au marketing (qui est absolu et doit donc toujours être respecté), certaines exemptions aux droits ci-dessus peuvent s’appliquer. Toutes les demandes doivent donc être examinées attentivement.

• Comment le RGPD s’applique-t-il au marketing par e-mail ?

  En ce qui concerne la réglementation du marketing par e-mail en Europe, le RGPD n’est que la moitié de l’histoire. L’Europe dispose également d’une législation distincte, la Directive sur la protection de la vie privée dans le secteur des communications électroniques (Directive e-Privacy), qui contient des règles supplémentaires régissant les exigences de consentement pour le marketing électronique, c.-à-d. le marketing envoyé par des canaux de communication électroniques (tels que le téléphone, le fax, l’e-mail et les SMS). Lors de l’envoi d’e-marketing, ces règles de consentement supplémentaires s’appliquent en plus de la nécessité pour les entreprises d’identifier les motifs de traitement légaux en vertu du RGPD.

  En d’autres termes, ces règles exigent un consentement d’opt-in pour le marketing par e-mail et SMS, à moins que les coordonnées d’une personne n’aient été recueillies dans le cadre d’une vente et que la personne ait eu la possibilité de se désinscrire à ce moment-là. Si c’est le cas, le marketing par e-mail et SMS de première partie est possible sur une base de désinscription (bien que le marketing par e-mail et SMS de tierce partie nécessite toujours l’inscription).

  Étant donné que la Directive e-Privacy est une directive, ce qui signifie qu’elle doit être mise en œuvre dans la législation locale de chaque État membre, vous devez vérifier la législation locale de l’État membre pour vérifier les exigences locales. Par exemple, certains pays (comme le Royaume-Uni) sont plus souples au sujet du marketing par e-mail B2B (qui peut être effectué sur une base de désabonnement), tandis que d’autres pays (comme l’Allemagne) ont une exigence plus stricte de double opt-in (voir plus ci-dessous).

  Cependant, le RGPD reste pertinent, car la plupart des adresses e-mail seront considérées comme des données à caractère personnel et donc également soumises aux exigences du RGPD. En particulier, lorsque vous devez obtenir le consentement d’une personne, vous devez le faire conformément au RGPD.

• Que dit le RGPD sur le consentement ?

  Nous sommes heureux que vous nous ayez posé la question. Le consentement n’est pas toujours nécessaire pour traiter les données à caractère personnel d’une personne. Cependant, lorsque vous êtes tenu(e) d’obtenir le consentement de la personne (ce qui peut s’appliquer si vous effectuez certains e-mails marketing), vous devez vous assurer d’obtenir le consentement conformément aux exigences strictes du RGPD :

  • Le consentement doit être sous forme d’opt-in : Les personnes doivent explicitement s’inscrire par opt-in à la collecte et à l’utilisation de leurs données à caractère personnel. Cela signifie que le silence, les cases pré-cochées et les opt-ins implicites (c.-à-d. l’inactivité) ne sont pas valides.
  • Le consentement doit être éclairé : Cela signifie que vous devez fournir des informations significatives aux personnes sur la raison pour laquelle vous recueillez les informations et expliquer clairement comment vous prévoyez de les utiliser. Ces informations doivent être fournies au moment où les personnes donnent leur consentement.
  • Le consentement doit être spécifique : Cela signifie qu’un consentement distinct doit être obtenu pour différentes activités de traitement et que vous ne devez pas essayer de regrouper différentes finalités en un seul consentement.
  • Le consentement doit être donné librement : Cela signifie que les personnes doivent avoir un véritable choix lorsqu’elles consentent et que leur consentement ne doit pas être conditionné à la réception d’un produit ou d’un service.
  • Le consentement doit être démontrable : N’oubliez pas que vous devez être en mesure de démontrer que vous avez obtenu le consentement, y compris qui a consenti, quand et quelles informations ont été données à la personne à ce moment-là.

  Enfin, gardez à l’esprit que certains pays exigent un consentement à "opt-in double" pour effectuer du marketing par e-mail. L'opt-in double comprend une étape de confirmation supplémentaire ayant pour but de vérifier chaque adresse électronique. Bien que cela ne soit pas requis par le RGPD, ou par tous les États membres de l’UE, nous vous recommandons d’activer l’opt-in double lorsque vous envoyez des communications marketing électroniques aux personnes de l’UE.

• Le GDPR dit-il quelque chose sur les transferts de données transfrontaliers ?

  Oui, le GDPR contient des dispositions relatives au transfert de données personnelles des États membres de l'UE vers des pays tiers, tels que les États-Unis. Le GDPR ne contient aucune exigence spécifique selon laquelle les données personnelles des individus de l'UE doivent être stockées uniquement dans les États membres de l'UE. Le GDPR exige plutôt que certaines conditions soient remplies avant que les données personnelles ne soient transférées en dehors de l'UE, en identifiant un certain nombre de mécanismes différents que les organisations peuvent utiliser pour effectuer des transferts de données transfrontaliers : décisions d'adéquation, clauses contractuelles types, règles d'entreprise contraignantes, mécanismes de certification et codes de conduite. L'objectif principal de ces mécanismes est de garantir que lorsque les données personnelles des Européens sont transférées à l'étranger, la protection voyage avec les données.

  Une décision d'adéquation est une décision de la Commission européenne selon laquelle le pays ou le territoire où les données à caractère personnel sont transférées offre un niveau de protection adéquat. Avant la décision de 2020 invalidant les cadres du bouclier de protection de la vie privée UE-États-Unis et Suisse-États-Unis, le cadre du bouclier de protection de la vie privée UE-États-Unis était un exemple de décision d'adéquation.

  Le 10 juillet 2023, la Commission européenne a adopté un nouveau cadre de protection des données (DPF) UE-États-Unis, accordant le statut d'adéquation aux États-Unis. Les parties précédemment certifiées au titre du cadre du bouclier de protection de la vie privée UE-États-Unis et qui se sont engagées à respecter les principes du DPF peuvent désormais s'appuyer sur cette décision d'adéquation pour transférer des données de l'UE vers les États-Unis. Mailchimp est l'une de ces entreprises et continuera à protéger les données de l'EEE, du Royaume-Uni et de la Suisse conformément à ses obligations de certification.

  En outre, Mailchimp s'engage à transférer et traiter toutes les données de ses utilisateurs dans l'UE, en Suisse et au Royaume-Uni conformément aux clauses contractuelles types de l'UE, qui demeurent un mécanisme d'exportation des données valide et qui s'appliquent automatiquement, conformément à l'Addendum relatif au traitement des données de Mailchimp. Vous pouvez en savoir plus sur notre certification DPF ici.

  Si vous transférez des données à caractère personnel à d'autres organisations situées en dehors de l'UE, vous devez vous assurer que vous disposez d'un motif approprié pour effectuer le transfert transfrontalier de données, tel qu'une décision d'adéquation ou des clauses contractuelles types approuvées par la Commission européenne.

• Le RGPD s’applique-t-il toujours au Royaume-Uni après le Brexit ?

  Le RGPD de l’UE est un règlement de l’UE et ne s’applique plus au Royaume-Uni. Cependant, toute entreprise qui exerce ses activités au Royaume-Uni doit se conformer à la loi britannique sur la protection des données. Le RGPD a été intégré à la loi britannique sur la protection des données en tant que RGPD britannique. Par conséquent, dans la pratique, les principes, droits et obligations fondamentaux en matière de protection des données figurant dans le RGPD britannique ne sont que peu modifiés.

  N’oubliez pas que si vous êtes basé au Royaume-Uni mais que vous ciblez ou surveillez des personnes de l’UE, vous serez toujours soumis au RGPD même après la fin de la période de transition.

• Que se passe-t-il si vous ne respectez pas le RGPD ?

  Le non-respect du RGPD peut entraîner de lourdes sanctions financières. Les sanctions pour non-conformité peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon la valeur la plus élevée.

• Pourquoi la protection des données est-elle importante ?

  Outre le fait que vous pourriez être tenu de respecter certaines lois relatives à la protection des données en fonction de vos activités commerciales, la protection des données offre plusieurs avantages. Il est particulièrement important de respecter les bonnes pratiques en matière de protection des données si votre entreprise traite les données à caractère personnel des clients.

  Un engagement à protéger les données des clients aide à établir la confiance avec ces derniers, vous permettant ainsi de conserver les clients pendant longtemps et de réduire leurs coûts d'acquisition.

  La protection des données est également excellente, car elle peut servir à changer la façon dont vous gérez vos données et à vous assurer de leur sécurité, mais aussi de leur facilité d'accès. La collecte et la gestion appropriées des données sont les pierres angulaires de la protection des données. Par conséquent, la protection de vos données et la mise en place d'éléments, tels que le consentement au RGPD, peuvent vous aider à améliorer la gestion de vos données dans son ensemble. Cela signifie que les données sont toujours disponibles lorsque vous ou vos clients en avez besoin, afin d'éviter toute interruption de vos activités commerciales.

• Quels sont les avantages du consentement RGPD ?

  Tout d'abord, si vous êtes tenu de suivre le RGPD, il est essentiel que vous le fassiez en fonction des données que vous collectez. Si votre entreprise recueille des données à caractère personnel sur un individu dans l'Union européenne, le consentement au RGPD peut être un élément important pour être certain que vous recueillez ces données de façon légale.

  La gestion des données améliorée constitue un avantage de la conformité au RGPD. Lorsque vous utilisez le consentement au RGPD et que vous collectez des données conformément au RGPD, vous avez également la possibilité d'adopter les bonnes pratiques en matière de gestion des données que vous n'avez peut-être jamais utilisées. Ainsi, comme la conformité au RGPD exige que vous collectiez, stockiez et gériez les données d'une certaine manière, elle vous aide à améliorer la gestion de vos données par défaut. Si vous êtes déjà en train de restructurer vos processus de collecte et de gestion des données, profitez-en pour vous assurer d'être également à jour quant à la conformité au RGPD.

• En tant que personne physique, dois-je me conformer au RGPD ?

  En tant que personne physique, vous devez maintenir la conformité au RGPD tant que vous répondez aux critères. Aussi longtemps que vous recueillerez des données à caractère personnel sur des individus résidant dans l'Union européenne, vous devrez respecter le RGPD en matière de collecte, de stockage et de gestion de ces données à caractère personnel. Ceci étant dit, il existe certains cas où une personne physique n'a pas l'obligation de se conformer au RGPD même si elle collecte des données sur des personnes situées dans l'UE.

  L'un des éléments les plus importants à garder à l'esprit est que certains types de collectes de données sont exemptés du RGPD. Vous devez suivre les directives du RGPD uniquement si vous recueillez des informations personnelles sur des personnes situées au sein de l'UE à des fins professionnelles. Les autres types de collecte de données ne sont pas soumis aux directives du RGPD. Cela inclut la collecte de données à caractère personnel, telles que les listes de numéros de téléphone, d'adresses et d'autres informations destinées à un usage personnel ou domestique. Toutefois, il est toujours judicieux de maintenir la conformité au RGPD si vous collectez des données sur des résidents de l'UE, et ce, quel que soit le type de données. Le maintien de la conformité au RGPD vous aidera à vous assurer de la bonne tenue à jour de vos systèmes de protection et de gestion des données.

  Si vous êtes une personne physique, mais que vous ne collectez pas de données sur des individus situés dans l'UE, la conformité au RGPD ne vous concerne pas. Cependant, le fait de suivre les directives du RGPD en matière de marketing et de protection des données peut vous aider à être sûr de protéger les données privées de vos clients. Cela peut fortement contribuer à améliorer la fidélité des clients et à booster la réputation de votre marque.

  Même en tant que personne physique, il est important de comprendre si vous devez ou non maintenir la conformité au RGPD. Vous estimez peut-être que vous collectez une petite quantité de données qui n'ont pas particulièrement de valeur, mais la protection des données est cruciale lorsque vous traitez des données à caractère personnel, quelles qu'elles soient.

• En dehors du RGPD, existe-t-il d'autres réglementations à suivre en matière de protection des données ?

  Le RGPD n'est qu'une des lois que vous devrez comprendre pour votre entreprise, en particulier si vous traitez les données à caractère personnel de personnes situées en dehors de l'UE. Les États, provinces et pays ayant des lois différentes, les réglementations que vous devez suivre varient en fonction de vos activités commerciales et du type de données que vous traitez.

  Par exemple, la Californie possède peut-être la loi sur la protection des données la plus connue des États-Unis, appelée la Loi sur la protection des données à caractère personnel des consommateurs résidant (California Consumer Privacy Act, CCPA). Plusieurs autres États appliquent également des lois sur la protection des données sur le même modèle que la CCPA ou le RGPD. Évidemment, la conformité au RGPD pourra rester obligatoire et vous pourrez être tenu de respecter d'autres réglementations si vous opérez des activités en dehors des États-Unis, mais la collecte de données sur les clients dans certains États imposera des réglementations supplémentaires à celles imposées par le RGPD.

  Il existe également une loi canadienne relative à la protection des données appelée la Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA). Cette loi est souvent désignée comme l'équivalent canadien du RGPD, c'est pourquoi le maintien de la conformité à la PIPEDA est également important pour de nombreuses entreprises. Tout comme la conformité au RGPD, vous devez assurer la conformité à la PIPEDA si vous collectez, utilisez ou divulguez les informations personnelles concernant des citoyens canadiens à des fins professionnelles. Et, comme pour les États-Unis, il existe également des lois provinciales sur la protection des données au Canada qui peuvent avoir un impact sur votre activité commerciale

  Enfin, il existe d'innombrables réglementations en matière de gestion d'entreprise, qu'elle soit en ligne ou physique. Par exemple, si vous avez une campagne de marketing par e-mail aux États-Unis, vous devez suivre la loi CAN-SPAM de 2003, et il existe des lois équivalentes dans de nombreux autres pays. Si vous avez un volume de commerce à l'international important, envisagez de consulter un expert concernant les lois que vous devez respecter pour protéger les données de vos clients.