Vos outils marketing sont-ils conformes au RGPD ?

Le RGPD concerne toutes les entreprises traitant des données à caractère personnel, cela implique également les sous-traitants. Avec le nombre croissant d’outils marketing déployés en Europe destinés à la prospection, nous sommes donc en droit de nous demander comment ces derniers vont nous permettrent d’être conformes. Vous allez donc devoir vous assurer que vos prestataires ont bien entamé leur démarche de mise en conformité, voici les points essentiels à observer.

Quelles sont les obligations des sous-traitants ?

Le règlement européen sur la protection des données (RGPD) a pour objectif de responsabiliser les entreprises autant que leurs sous-traitants (y compris hors UE).

Qu’est-ce qu’un sous-traitant au regard du RGPD ?

Les prestataires qui traitent des données pour le compte d’un responsable de traitements et sur ses instructions sont considérés comme sous-traitants. Cela concerne donc les sociétés de service informatique (hébergement, par exemple), les agences marketing, et plus généralement toute entreprise qui propose un service nécessitant un traitement de données personnelles à une autre société.

Il apparaît donc évident que des outils marketing et CRM permettant de collecter des données en vue de campagnes d’automatisation ou tout simplement de prospection, sont concernés par la nouvelle réglementation.

Concrètement quelles sont leurs obligations ?

Les sous-traitants sont assujettis au mêmes obligations que les responsables de traitement, notamment :

• La transparence sur la nature des traitements de données et leur finalité
• La notification en cas de violation de la vie privée des personnes concernées
• La mise en place de mécanismes et process facilitant l’exercice des droits des personnes (portabilité, oubli, etc.)
• La conception de services et produits “privacy by design” (la protection des données personnelles prise en compte dès la conception) et “privacy by default” (garantir le plus haut niveau de protection des données dès la première utilisation)

Au-delà des obligations “classiques” du RGPD, les sous-traitants jouent un rôle clé dans la conformité de leurs clients, notamment concernant deux aspects, à savoir :

• Documenter toutes les instructions transmises par l’entreprise commanditaire dans le cadre des traitements de données pour son compte
• Informer et accompagner le client dans son maintient de sa conformité au RGPD en particulier pour :
• Identifier les traitements constituant une violation de la protection de données,
• Mettre en place des processus d’exercice des droits des personnes concernées,
• Mettre en oeuvre les mesures de sécurité suffisantes et réaliser un PIA quand cela est nécessaire (Privacy Impact Assessment)

Dès lors, il devient indispensable pour les entreprises de clarifier le niveau de conformité de leurs sous-traitants ou les mesures entreprises par ces derniers pour être prêts d’ici mai 2018.

De nos jours, nombreuses sont les sociétés qui ont déployé des solutions CRM & marketing pour faciliter la gestion de leurs stratégies de prospection et de vente. Ces plateformes et leur fournisseurs se trouvent donc directement dans le giron du nouveau règlement, alors comment s’assurer de leur conformité ?

Comment savoir que votre outil marketing est conforme au RGPD ?

Il existe quatre points essentiels à observer pour s’assurer que votre plateforme marketing sera conforme au moment de la mise en application du nouveau règlement européen.

1. Révision des clauses de contrats concernant les traitements de données personnelles

La première étape à franchir consiste à s’assurer que le sous-traitant prévoit la révision des clauses de contrat qui le lie à ses clients. Il convient alors d’éclaircir les droits et le devoirs de chacun en précisant :

• La nature du service fournis et la durée de la prestation
• Le type de traitement effectué pour le compte de l’entreprise commanditaire et sa finalité
• La nature des données à caractère personnel collectées puis traitées
• Les catégories de personnes auxquelles s’appliquent le traitement

2. Clarification des mentions d’information du sous-traitant

À l’instar des responsables de traitements, les sous-traitants sont tenus de réviser leurs mentions d’information de sorte à clarifier l’utilisation qui est faite des données de leurs clients. Cela concerne notamment les conditions d’utilisation, le contrat de traitement des données et la politique de confidentialité.

Selon l’article 28 du RGPD, il s’agit en par exemple de :

• Informer le responsable de traitement quand un sous-traitant fait appel à un sous-traitant
• Ne traiter les données que sur instructions claires et documentées du client
• S’assurer que toutes les personnes ayant accès aux données respecte les mesures nécessaires à la protection des données

Cette liste n’est pas exhaustive, mais laisse imaginer que la relation entre le sous-traitant et son entreprise commanditaire devra être transparente et tournée vers un objectif commun de conformité au RGPD.

3. Mise à jour technique et fonctionnelle pour garantir la conformité du marketing

La mise en application du RGPD va donc clairement changer la manière de fonctionner des équipes marketing et les obliger à mener des campagnes respectueuses des données personnelles.

Dans cette optique, les plateformes marketing vont devoir évoluer afin de proposer des fonctionnalités capables de simplifier la mise en oeuvre d’actions conformes aux exigences du RGPD.

Parmi les must-have, il faudra notamment retrouver :

• Un suivi complet du cycle de vie des données d’un prospects ou client (notamment la date de création du contact obligatoire)
• La possibilité de supprimer aisément les données complètes d’un contact en possession de l’entreprise lors d’un recours au droit à l’oubli (ou du dépassement de la durée maximale de conservation de 3 ans)
• La mise en place simple d’un mécanisme de double opt-in
• La création de formulaires conformes aux exigences du nouveau règlement
• Un paramètre permettant d’afficher rapidement le consentement positif des personnes concernées par un traitement
• La possibilité de créer une section “gestion de préférences” pour les utilisateurs
• La demande de vérification systématique du caractère opt-in d’une base de données importées dans la plateforme

4. Transparence et garanties renforcées pour les transferts hors UE

La plupart des solutions marketing actuellement déployées dans les entreprises européennes sont fournies par des entreprises établies en dehors de l’Union Européenne. Le RGPD s’applique également dans ce cas de figure et prévoit d’ailleurs un renforcement du cadre des transferts hors UE.

Ainsi le sous-traitant devra être en mesure de prouver que toutes les dispositions ont été prises pour garantir la sécurité et la confidentialité des données lors de transfert de l’Union Européenne vers un pays tiers. Cela peut se traduire par la mise en place d’un code de conduite approuvé par la CNIL (BCR pour Binding Corporate Rules) selon l’article 40 ou bien d’une certification approuvée comme le prévoit l’article 42.

Il apparaît donc clair que les sous-traitants proposant des solutions marketing ont fort à faire pour leur mise en conformité au RGPD.

Par exemple, Hubspot (prestataire basé aux USA) avec son outil Marketing & Sales complet s’est d’ailleurs fortement engagé en vue de sa conformité au RGPD. La société prévoit divers changements fonctionnels pour faciliter la mise en place d’actions marketing et de gestion des profils prospects et clients conformes aux exigences. Son chantier de révision des mentions d’information est en cours de réalisation. De plus, il dispose de la certification “U.S. Department of Commerce” garantissant la mise en place des mesures de sécurité nécessaires à l’encadrement des transferts depuis l’Union Européenne.

Les équipes marketing peuvent donc se rassurer, elles ne seront pas nécessairement livrées à elle-même face au raz-de-marée RGPD. En faisant le choix d’utiliser des outils marketing conformes, elles bénéficieront de garanties solides et d’un accompagnement dans la mise en conformité. Vous pouvez aussi y voir l’opportunité de reconsidérer le choix de vos sous-traitants pour envisager d’avoir recours à ceux qui s’engagent d’ores et déjà dans une démarche de respect des données personnelles.