Article

La RGPD est le sujet brulant de l’année 2018. Il s’agit du nouveau Règlement Général sur la Protection des Données. De nombreux acteurs sensibilisent (plus ou moins bien) leurs clients du fait qu’ils agissent en qualité de « sous-traitant ». C’est le cas notamment des solutions d’emailing.

En attendant notre atelier complet à ce sujet, voici l’essentiel à savoir sur la RGPD. C’est votre première étape de sensibilisation.

[heading style= »modern-2-blue » size= »18″]Une vraie réforme[/heading]

Cette mesure était destinée à remédier à la politique des grandes entreprises de préférer payer une amende plutôt que de respecter les contraintes de protection des données à caractère personnel. D’où la mise en oeuvre de ce nouveau règlement européen dont l’application est :

  • Mondiale
    Dès lors que vous avez des prospects ou des clients situés en Union Européenne, vous êtes régi par la RGPD. Quelque soit votre lieu géographique. idem pour les prospects et clients de vos clients.
  • Globale
    Elle ne concerne pas que les entreprises. Même si vous êtes Youtubeur ou Bloggeur et que vous ne vendez rien, vous êtes tenu de respecter le présent règlement.
  • Renforcée
    Il fait mention de manière plus explicite la notion de Protection mais aussi de Sécurité (et des responsabilités qui en découlent).

[heading style= »modern-2-blue » size= »18″]Des amendes dissuasives et effectives[/heading]

Finit les possibilités de recevoir une simple remontrance. En cas de contrôle, l’autorité se basera sur le texte qui mentionne la marche à suivre pour déterminer l’amende qui sera désormais effective, proportionée et dissuasive. Jusqu’à 10M€ pour les petites entreprises comme les nôtres. Ce sont 12 critères précis, écrits dans le règlement, qui vont servir de référence de calcul.

 

[heading style= »modern-2-blue » size= »18″]SG Autorépondeur sera conforme ?[/heading]

En qualité de « sous-traitant », la conformité RGPD est notre cheval de bataille à plusieurs niveaux.

  • Au niveau de la solution que nous vous proposons.
  • Au niveau des documents modèles que nous pourrons fournir à nos clients pour les aider dans leur mise en conformité.

C’est pour cela que Sébastien Gourrier, fondateur de SG Autorépondeur, a suivi lui-même une formation spécialisée sur le sujet pendant 2 jours intensifs avec près de 400 pages à digérer. Le texte du règlement fait une centaine de page à lui seul. Sébastien Gourrier s’est formé auprès d’un docteur en droit reconnu pour son expertise « Informatique et Libertés » depuis plusieurs années. Ce dernier était au plus proche des négociations au sein du cabinet du premier ministre français lors de la création de la RGPD.

Nous avons choisi la meilleure référence connue pour ne rien laisser passer au sujet de ce règlement. Nous avons étudié de nombreux cas d’école.

Sébastien a ainsi reçu l’attestation de formation CIL/DPO (Correspondant Informatique et Libertés/Délégué à la Protection des Données) afin de bien maîtriser cette mise en conformité au sein de ses entreprises et celle de ses clients.

[heading style= »modern-2-blue » size= »18″]Votre plan de de conformité en 4 points[/heading]

 

Point n°1, le choix de vos sous-traitants !

Désormais, vous serez responsable de la gestion de vos données. Que cette gestion soit effectuée par vos soins, ou par vos sous-traitants (et les sous-sous-traitants). Et c’est à vous qu’il revient de vous assurer de la conformité RGPD de vos prestataires (Autorépondeur, Plateforme de e-learning, outil de webinaire, système de paiement, système de facturation, etc).

Et comme certains prestataires font appel à d’autres, vous devez vous assurer que la chaine de traitement entière est confirme RGPD.

Par exemple, SG Autorépondeur maîtrise l’envoi de vos emails. C’est notre métier. Nous le faisons avec nos serveurs, en France. Pas de risque de transfert de données hors Union Européenne. Ce qui vous sera plus difficile de vérifier pour certains outils de marketing tout en un.

Autre exemple, nous assurons la gestion de l’envoi de vos SMS, mais ce n’est pas nous qui sommes en relation avec les opérateurs. Nous passons par un prestataire français (à Marseille) et nous nous assurons de leur conformité RGPD. Et nous devons informer noir sur blanc dans nos mentions légales le nom de ce prestataire pour que vous puissiez vous aussi vous assurer de sa conformité (c’est votre devoir).

Point n°2, votre registre…

La fausse bonne nouvelle, c’est qu’il n’est plus nécessaire de faire de déclaration à la CNIL. Car cela est remplacé par le fait de tenir un registre. On peut lire le texte dans tous les sens, on constate que la tenue d’un registre concerne finalement tout le monde. Au sein de l’atelier que nous allons organiser, nous vous montrerons à quoi cela ressemble. Ce n’est pas si compliqué mais il y a des points importants pour chaque « traitement » et leurs « finalités ». Nous vous montrerons un exemple d’une de nos fiches de registre.

Point n°3 : Vos mentions légales !

Nous constatons que de nombreux utilisateurs de SG Autorépondeur sont en illégalité par rapport à leurs mentions légales (absentes ou incomplètes). Ce sera plus contraignant. Il a des mentions à ajouter. Notamment le nom de vos prestataires, les finalités de vos traitements de données à caractère personnel, la notion de transfert des données hors UE si vous êtes concerné, ce que nous déconseillons fortement car le risque de perdre la conformité est assez élevé.

Point n°4 : Vos procédures

Nous mettons actuellement en place 3 types de procédures dans notre entreprise en ce concerne la RGPD.

  • Les procédures de sensibilisation (par rapport à nos collaborateurs, nos sous-traitants, nos clients).
  • Les procédures de vérification (car l’on doit s’assurer de la conformité constamment).
  • Les procédures d’urgence (en cas de violation des données).

[heading style= »modern-2-blue » size= »18″]Précisions sur les outils hors Union Européenne[/heading]

Certains outils de marketing que vous utilisez directement ou qui sont utilisés par vos prestataires (même français) mettent désormais en péril votre conformité RGPD dès lors que les données sont transitées dans un pays hors Union Européenne.

En effet, non seulement le transfert ne peut avoir lieu que sur un pays avec un « niveau juridique suffisant » (réévalué tous les 4 ans). Et l’outil en question doit présenter les garanties suffisantes à vous proposer ses services (ou qu’il soit dans le monde).

De plus, le niveau de protection des DCP ne doit alors pas être compromis pour le responsable de traitement (vous), le sous traitant (l’outil que vous utilisez) et les transferts ultérieurs.

[heading style= »modern-2-blue » size= »18″]Conclusion[/heading]

  1. Privilégiez les outils de marketing localisés en Union Européenne et qui n’externalisent rien hors Union Européenne.
  2. Assurez-vous de la bonne conformité des outils et des services que vous utilisez dans votre entreprise.
  3. Considérez ce sujet comme sérieux. C’est une vraie réforme qui se veut effective et dissuasive.

 

Vous pouvez accéder à notre guide de mise en conformité RGPD en 4 étapes ici : http://rgpd.jeveuxvoir.fr

Le contenu de cet article n’engage en aucun cas la responsabilité de son auteur. Toutes informations issues de ce document est à considéré comme un divertissement pédagogique. Pour la mise en conformité de votre entreprise, vous êtes invité à vous entourer d’un conseil juridique compétent et accrédité.

 

Cet article est rédigé par Sébastien Gourrier

Comments (28s)

  • quelles différences si l’on est localisé en Suisse ?

    • Ce règlement s’applique dès lors que vous avez des prospects ou clients qui sont ressortissants de l’Union Européenne. Donc oui, même si vous êtes en Suisse.

  • Bonsoir Sébastien
    Quid des associations qui par le passé étaient exemptées du NS 48, pour leurs membres et leurs listes de prospects ou contacts ?
    Je sais que c’est une particularité, mais travaillant sur les 2 secteurs, si tu pouvais éclairer ma lanterne
    D’avance Merci
    Cordialement
    Patrice

    • Bonjour Patrice. Il semblerait que le règlement s’applique aussi pour les associations.

      • C’est relativement débile et contradictoire avec la dernière orientation. Travaillant sur les 2 secteurs le traitement des données était très différent. La CNIL invoquait le fait qu’il y avait trop de petites associations … ce qui n’a pas changé avec cette loi.
        Pensez-vous réellement qu’un Club loi de 1901, de 10 à 30 membres, qui a une liste de membres, et qui la pour communiquer avec ses membres, ne va pas la revendre à des sociétés pour faire de l’argent ou à quelconque organisation !
        On parlait à un moment de sociétés de plus de 250 personnes
        Il est évident que c’était beaucoup plus raisonnable
        Comme un membre le signalait dans les commentaires, cela va donner envie d’aller rejoindre des contrées plus paradisiaques, tant sur le plan administratif que climatique
        La France et l’Europe croulent sous un fonctionnariat inutile qui ne justifie sa raison d’être qu’en faisant des lois, pour être ensuite être occupé en poursuivant les contrevenants …
        Je dis inutile car on a l’inverse des fonctionnaire dans l’éducation, l’armée, la police, la santé hospitalière qui sont le nez dans le guidon, et qui n’auraient pas le temps de pondre de telles absurdités tant ils sont débordés
        A la base cela partait pourtant d’une bonne intention. Ce weekend encore, en réunion, un ami qui a participé de loin défendait cette loi en arguant que si l’on, ne fait rien, toutes; nos données médicales seront données en pâture à tout le monde, et au plus offrant. IL aurait été beaucoup plus simple, et plus facile à contrôler de mettre juste les grosses administrations, les grosses sociétés internationales dans le collimateur d’une nouvelle loi …
        Mais y aura-t-il réellement des sanctions pour des géants, dont le CA dépasse parfois les PIB de certains états européens ???
        Autre question humoristiques … Quid des énormes listes mondiales des Mormons lol

  • Bonjour

    Merci de cet article.
    Si je comprends bien, la seule utilisation d’un outil de Google par exemple (ou Dropbox, ou Apple, ou autre…) nous mettra en infraction ?
    Par exemple
    – un agenda google ou l’on indique le nom et l’adresse de nos rdv ?
    – un questionnaire sous google form dans lequel le répondant inscrit une donnée personnelle, comme son adresse mail ?
    – ou …

    • Bonjour Ghislain. Oui c’est une question délicate en effet. Google et DropBox ont de fortes chances d’être conforme RGPD car ce sont des géants. Mais cela devra apparaitre dans votre registre et dans vos mentions légales. Selon les finalités de vos traitemennts certains vous feront prendre moins de risque si vous les gérer avec des outils français notamment pour la gestion de vos newsletters.

  • Merci Sébastien, comme toujours l’Europe pond des pavés beaucoup trop lourds à digérer pour le simple utilisateur, avec l’habituelle illisibilité.
    Nous regarderons de près ce document afin de voir s’il ne s’agit pas d’une immixtion à visées politiques.
    Car l’enjeu est là: est-ce bon, ou est-ce à nouveau une contrainte qui détruira de l’activité au profit des seuls gros acteurs du marché ? l’Internet de monsieur tout le monde va-t-il être mis à mort, in fine ?
    Votre tâche est d’autant plus délicate que cette pétrification du droit européen et des normes corolaires, véritable soviétisation des mœurs, ne peut aller qu’en s’accroissant.
    Nous redoutons que le simple entrepreneur ait finalement autant de problèmes là que l’entrepreneur classique à la fin de la période économique (années 90), lorsqu’il devait fermer son entreprise du fait du harcèlement administratif et des multiplications normatives, ajoutées aux taxes. On touche là aux Libertés publiques et sous couvert de mieux à cause de quelques problèmes qui eussent pu été réglés autrement, techniquement, on fait comme d’habitude: tout le monde va payer, tout le monde va être limité. Et il est assez probable même à terme que seules les très grosses entreprises survivent. C’est ce qu’on appelle l’Union européenne.
    Comme nous le disions au ministre de l’éducation récemment, c’est le même processus avec le terrorisme: un attentat = 300 millions de gens perdant des heures dans les aéroports.
    D’où notre conclusion. A votre phrase « Privilégiez les outils de marketing localisés en Union Européenne et qui n’externalisent rien hors Union Européenne », nous avons tendance à nous demander : ne faut-il pas songer à l’envol hors du Bloc de l’Ouest pour vivre à 100% en pays libre ? (d’autant que le client se fait vraiment pauvre en Europe, alors que des gisements énormes existent en Asie)

    • Bonjour Remy, en terme de considération politique ou de débat philosophique, SG Autorépondeur n’y trouve pas sa place. Notre priorité est de vous accompagner sur cette mise en conformité de part notre devoir de conseil. Cela semble être une continuité de ce que le Canada a posé quelques années auparavant.

  • Bonjour,

    C’est un moyen de faire de l’utilisation du web ne soit fréquenté que par une élite, ou que le plus vulnérable passe à la caisse…
    D »une part , je n »y comprends rien de plus, je me demande pourquoi cette réforme? Encore un fil a la patte?
    Cordialement
    JLNV

    • Bonjour. Ce n’est pas l’utilisation du web. C’est adressé aux entrepreneurs en matière de protection des données à caractère personnel. A l’origine, cette réforme était prévu pour stopper la logique des GAFAs qui préféraient payer une amende plutôt que de se mettre en conformité.

      • En fait, il y a une volonté de contrôle bien affirmé par divers gouvernements, souhaitant juguler le flux d’information du net et les ressources. L’aspect données personnelles n’est qu’un des aspects déjà évoqué avant l’an 2000 par la Commission européenne et le Sénat US. Il faut bien trouver une raison plausible. Cela concernera à terme tout le web des entrepreneurs, qui constitue le champ opérationnel d’une liberté fondamentale.
        C’est donc inquiétant. Maintenant, il y a l’autre pôle, à l’Est, qui maintient sa liberté et apportera une réponse au spamming et au vol de données, qui sera exclusivement technique. C’est la seule voie acceptable pour tout citoyen conscient des enjeux.

    • Précisément, de telles dérives ne sont possibles que si les acteurs du marché les acceptent. On peut les admettre parce que la force prime, sans les accepter sur le principe. Vous ne savez pas où tout cela peut conduire, en particulier pour votre activité. Il y a un moment où en tant qu’acteur il faut donner son avis. On peut toujours dire qu’on ne se prononce pas, mais c’est repousser à plus tard ce qui est inéluctable.

      • En tant qu’acteur, nous sommes concentré à répondre au mieux à nos utilisateurs et leurs besoins fonctionnels. Nous n’avons pas les ressources suffisantes pour créer des débats et initier des actions à forte probabilité stériles. Cette mesure nous semble intéressante pour éviter justement que la nouvelle vague de l’intelligence artificielle prenne un courant dévastateur au sujet des données à caractère personnel.

  • J’apprecie beaucoup la decision.

  • Bonjour Sébastien,
    je viens de souscrire à l’offre ecom que vous proposez.
    Quand est-ce que les ateliers RGPD seront en ligne
    Car vu l’enorme travail que cela implique pour nous (et je pèse mes mots quand je viens d’assister a une conférence sur le sujet dans ma région pour les tpe, il y a de quoi s’arracher les cheveux tant c’est TRES lourd à mettre ne place)… mais bon, c’est cela ou on ferme nos activités sur le net. On n’a pas le choix.
    bonne journée
    Didier

    • Bonjour Didier.

      Comme vous le dîtes, cela est assez lourd. Mais surtout pour nous en tant que prestataire. De ce fait, nous terminons notre mise en conformité afin que nos ateliers soient réellement qualitatifs. Normalement courant février. Ce qui vous laissera encore quelques mois.

  • bonjour Sébastien
    pourquoi avez-vous supprimé mon post ?

  • Bonsoir,

    Il me semble qu’il y avait une formation payante sur ce lien http://rgpd.jeveuxvoir.fr/

    Ce qui ne semble plus être d’actualité.
    Est-il toujours possible d’avoir accès à la formation

  • Bonjour Sébastien,

    Suite à ce que j’ai lu dans une de vos communication, est-ce une obligation légale RGPD de supprimer de notre base toute personne n’ayant pas interagi avec nous depuis 3 ans (interagi = cliqué sur un lien dans une communication que nous leur avons adressée) ?
    Merci d’avance.

    • Bonjour Lo,
      Il faut savoir qu’on ne peut pas garder des contacts indéfiniment.
      Légalement, s’il n’y a plus d’actes clairs de relation entre votre prospect et vous, alors ce prospect doit être effacé de votre listing au bout d’un certain temps.
      Notre préconisation c’est que si votre prospect n’a rien acheté, n’a pas cliqué dans vos emails ou ne s’est pas inscrit dans une autre liste pendant 12 mois consécutifs, vous devriez le résilier grâce aux règles automatiques spéciales que vous pouvez configurer au sein de SG Autorépondeur.
      12 mois c’est le meilleur délai qui vous permet non seulement d’être dans la légalité, mais aussi d’améliorer votre délivrabilité par rapport aux contraintes imposés par les filtres anti-spam.
      Merci encore pour votre fidélité.

  • Bonsoir Tarik et Sébastien
    Je m’occupe d’une grosse association de plus de 2500 membres
    Les associations sont prises dans le RGPD
    Cependant à force de chercher j’ai vu que les membres d’une associations n’auraient pas besoin d’exprimer un consentement spécifique, car ce sont des informations légales
    Qu’en pensez-vous ?
    Cordialement
    Patrice

    • Bonjour Patrice,
      Le RGPD s’applique à toute les entreprises, quelle que soit leur taille), à toutes les institutions ainsi qu’à toutes les associations.
      Du coup, tous les articles de cette loi s’appliquent aussi à votre association, y compris en ce qui concerne le consentement.

  • Bonjour Tarik,
    Encore 2 soucis:
    Je veux importer des fichiers csv de nos abonnés depuis Aweber pour SG Autorepondeur je voudrais savoir:
    1) La structuration à adopter c’est à dire comment repositionner les colonnes par ordre d’arrivé. Exemple: Mail; name; message number…
    2) A quel niveau intégrer ou faire importer le fichier?
    Merci

    • Bonjour,
      Nous avons mis en place un processus spécial pour pouvoir importer directement un backup aWeber.
      Merci de passer par le manu « Mes contacts » puis « Ajout / Import de contacts ».

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

© 2010 - 2022 SG Autorépondeur. Tous droits réservés.