LE RGPD ET VOS OUTILS DE COMMUNICATION CLIENT
Aide au RGPD : David Campagne vous accompagne :
J’ai eu l’occasion d’expliquer précédemment comment recenser, cartographier et analyser les différents traitements de données personnelles effectués dans votre établissement.
Aujourd’hui, mon propos concernera les outils que vous utilisez régulièrement dans vos relations avec vos clients (site, newsletter, mailing, CRM, PMS, moteur de réservation en ligne, réseaux sociaux, Channel manager….). Il est en effet important que vous sachiez si leur utilisation est conforme aux obligations du RGPD et aux droits des personnes concernées.
Voici les principaux points de vigilance.
VOTRE SITE INTERNET
Les mentions légales obligatoires doivent être complétées par une partie spécifique sur votre politique de confidentialité des données.
Vos internautes doivent être informés de leurs droits et de la façon dont sont traitées les données qu’ils fournissent en naviguant sur votre site, en créant un compte……, en s’abonnant à une newsletter….
Les cookies
Ainsi, une personne qui se rend sur votre site pour se renseigner, effectuer une réservation doit tout d’abord être informée de la politique que vous menez en matière de cookies, ces petits fichiers texte déposés sur un terminal qui permettent la reconnaissance d’une machine.
Lors de la première connexion d’un internaute, un bandeau d’information doit apparaitre et indiquer
Les finalités précises des cookies utilisés
La possibilité de s‘y opposer et de changer les paramètres en cliquant sur un lien
Que la poursuite de navigation vaut accord au dépôt de cookies sur le terminal.
Le dépôt de cookies a une durée de validité de 13 mois maximum.
La politique de confidentialité
Elle doit contenir notamment les informations spécifiques suivantes :
La localisation physique des données collectées
Le temps de conservation des données
Les services ayant accès aux fichiers
Ce à quoi l’utilisateur consent lorsqu’il remplit un formulaire et coche la case de validation d’utilisation de ses données
Les démarche à suivre pour :
consulter ses données stockées
modifier ses abonnements aux communications
demander la suppression de ses données.
Votre politique de confidentialité est à mettre en avant sur votre site internet.
L’EMAILING – LA NEWSLETTER
Vous travaillez avec un CRM, un fichier client ou une solution d’emailing marketing pour envoyer des messages ciblés, des newsletters à des clients ou prospects.
Quelques bonnes pratiques doivent être suivies :
Récolter le consentement des utilisateurs
Les formulaires d’inscription doivent renseigner correctement vos visiteurs. Ils doivent savoir pourquoi et comment leurs données seront utilisées afin d’accepter en bonne foi de vous les confier.
Il vous appartient d’obtenir leur consentement en utilisant le fameux Opt-in actif, la pratique qui laisse l’internaute exprimer librement son consentement par une action positive.
L’Opt-out (inscription d’office) ou l’Opt-in Passif (préinscription avec une case pré cochée) sont interdites.
Pour s’inscrire par exemple à votre liste de contacts, l’utilisateur va ainsi devoir cocher lui-même une case accompagnée d’une phrase affirmant qu’il souhaite recevoir des emails ou une newsletter mensuelle….
2 exceptions à l’obligation du consentement préalable
En BtoB : vous pouvez démarcher un professionnel pour lui proposer vos prestations si elles sont en rapport avec son activité
En BtoC : vous pouvez continuer à communiquer avec vos clients si vos communications portent sur des produits ou services en rapport avec ce qu’ils ont déjà acheté précédemment
Attention:
Vous ne pouvez utiliser des adresses emails obtenues par opt-out /opt-in passif
La preuve du consentement donné par vos contacts doit pouvoir être apportée
Chaque type de traitement doit être distingué : vous ne pouvez pas en cochant 1 seule case valider la réception d’une newsletter mensuelle et des emails marketing
Pour une newsletter, il est recommandé de recueillir les souhaits de votre abonné sur la fréquence, le type de messages qu’il souhaite recevoir….. Le niveau d’engagement de vos clients/prospects sera bien meilleur si les contacts sont réellement consentants sur des services qu’ils ont approuvés eux même
S’assurer du consentement de contacts existants
La question est de savoir si vous pouvez utiliser les fichiers clients, liste de contacts dont vous disposez.
Si vos formulaires de collecte étaient déjà opt-in et que vous êtes en mesure de prouver le consentement donné, vous pouvez a priori continuer à utiliser pleinement ces listes.
Sinon, en fonction de la situation, il vous appartiendra soit de réfléchir à une campagne de réengagement, soit désabonner les contacts inactifs ou les supprimer purement et simplement ….
Attention :
Les données d’un fichier de contacts ne peuvent être conservées plus de 3 ans
Le contact et ses données doivent être supprimés s’il ne répond pas à vos sollicitations dans ce délai
Les données des personnes ayant demandé à ne plus être contactées doivent être archivées.
Faciliter les demandes d’accès aux données
Vos contacts doivent pouvoir accéder, modifier ou supprimer leurs données à tout moment de manière simple et rapide. Pour cela, vous devez :
Mettre en avant un lien de désinscription/désabonnement dans vos emails
Vous assurer que la désinscription est valable pour toutes vos listes
Ne pas utiliser d’adresse email type « no reply » pour que vos clients puissent aisément vous demander leurs données
MINIMISATION DES DONNÉES VOS OUTILS-SOLUTIONS PMS, CRM, RÉSERVATION EN LIGNE, CHANNEL MANAGER….
Vous utilisez forcement dans votre établissement un ou plusieurs de ces outils.
Le RGPD introduit une notion de responsabilité commune des entreprises et des prestataires qui hébergent leurs données.
A vous de vous assurer que chaque partenaire offrant un service, une prestation impliquant un traitement de données à caractère personnel pour votre compte respecte les principes du RGPD et garantit l’intégrité et la sécurité des données personnelles collectées.
Le RGPD précise ainsi qu’un contrat ou un avenant doit indiquer notamment :
l’objet et la durée de la prestation effectuée pour votre compte
la nature et la finalité du traitement
le type de données à caractère personnel traitées pour votre compte
les catégories de personnes concernées
les obligations et droits du responsable de traitement et du sous-traitant
….
A vous également de vous assurer auprès de votre prestataire :
de l’organisation qu’il a mise en place et des actions prises :
Pour garantir la sécurité, la confidentialité des données collectées/stockées pour votre compte
Pour mettre en œuvre les mesures techniques et organisationnelles appropriées au respect des différents principes et exigences du RGPD ……
des mesures prises concrètement en vertu de son obligation d’assistance et de conseil dans la mise en conformité de certaines obligations prévues.
ET SUR LES RÉSEAUX SOCIAUX ?
Cette question est délicate car les entreprises se considèrent souvent comme de simples utilisatrices. Elles estiment que seul le réseau social utilisé peut-être responsable en cas de litige.
Exposer les fans et utilisateurs de pages professionnelles à un risque de violation de données personnelles est pourtant risqué.
Si l’entreprise peut être considérée comme responsable conjoint, avec le réseau social, des traitements réalisés sur une page fan, il est important pour vous :
De bien lire les conditions générales d’utilisation des politiques de confidentialité (souvent imposées), dans lesquelles sont définies les obligations de l’entreprise ou du réseau social, notamment en matière d’information
De vous assurer que les réseaux sociaux utilisés sont conformes au RGPD
S’ils sont bien soumis à l’application du RGPD, les réseaux sociaux mettent à jour au fur et à mesure les conditions générales d’utilisation et leur politique de confidentialité. Mais la vraie question est de savoir concrètement quelles mesures techniques et organisationnelles ils mettent en œuvre pour garantir notamment la minimisation de la collecte et la sécurisation des traitements.
Compte tenu de ce qui précède, à vous de faire un effort en matière de pédagogie à l’égard de vos fans/clients /usagers et de rester prudent sur le contenu des publications, les données échangées….
Concernant les outils utilisés dans la relation avec les clients/prospects, le RGPD peut donc engendrer de nombreux impacts :
Adapter les formulaires de réservation en ligne, de check-In, de collecte des données
Adapter le bandeau cookies
Rendre visible les informations relatives à la confidentialité et gestion des données
Se constituer en interne un dossier avec les preuves de consentement recueillies
Nettoyer le fichier clients/contacts
….
Dans le prochain et dernier article, j’insisterai sur les questions de sécurité relatives aux données à caractère personnel. Vous pourrez alors évaluer votre organisation et réfléchir aux actions que vous pourrez mettre en œuvre pour sécuriser les données collectées et traitées.
David Campagne
Partenaire Reservit - Expert CHR et RGPD
Lorem ipsum dolor sit amet, consectetur adipisicing elit. Accusamus accusantium, adipisci consectetur corporis cum dicta ex inventore ipsum molestiae neque omnis praesentium quia quo rerum, sit veniam veritatis, vitae voluptatem.