Le RGPD concerne toutes les entreprises traitant des données à caractère personnel, cela implique également les sous-traitants. Avec le nombre croissant d’outils marketing déployés en Europe destinés à la prospection, nous sommes donc en droit de nous demander comment ces derniers vont nous permettrent d’être conformes. Vous allez donc devoir vous assurer que vos prestataires ont bien entamé leur démarche de mise en conformité, voici les points essentiels à observer.
Le règlement européen sur la protection des données (RGPD) a pour objectif de responsabiliser les entreprises autant que leurs sous-traitants (y compris hors UE).
Les prestataires qui traitent des données pour le compte d’un responsable de traitements et sur ses instructions sont considérés comme sous-traitants. Cela concerne donc les sociétés de service informatique (hébergement, par exemple), les agences marketing, et plus généralement toute entreprise qui propose un service nécessitant un traitement de données personnelles à une autre société.
Il apparaît donc évident que des outils marketing et CRM permettant de collecter des données en vue de campagnes d’automatisation ou tout simplement de prospection, sont concernés par la nouvelle réglementation.
Les sous-traitants sont assujettis au mêmes obligations que les responsables de traitement, notamment :
Au-delà des obligations “classiques” du RGPD, les sous-traitants jouent un rôle clé dans la conformité de leurs clients, notamment concernant deux aspects, à savoir :
Dès lors, il devient indispensable pour les entreprises de clarifier le niveau de conformité de leurs sous-traitants ou les mesures entreprises par ces derniers pour être prêts d’ici mai 2018.
De nos jours, nombreuses sont les sociétés qui ont déployé des solutions CRM & marketing pour faciliter la gestion de leurs stratégies de prospection et de vente. Ces plateformes et leur fournisseurs se trouvent donc directement dans le giron du nouveau règlement, alors comment s’assurer de leur conformité ?
Comment savoir que votre outil marketing est conforme au RGPD ?
Il existe quatre points essentiels à observer pour s’assurer que votre plateforme marketing sera conforme au moment de la mise en application du nouveau règlement européen.
La première étape à franchir consiste à s’assurer que le sous-traitant prévoit la révision des clauses de contrat qui le lie à ses clients. Il convient alors d’éclaircir les droits et le devoirs de chacun en précisant :
À l’instar des responsables de traitements, les sous-traitants sont tenus de réviser leurs mentions d’information de sorte à clarifier l’utilisation qui est faite des données de leurs clients. Cela concerne notamment les conditions d’utilisation, le contrat de traitement des données et la politique de confidentialité.
Selon l’article 28 du RGPD, il s’agit en par exemple de :
Cette liste n’est pas exhaustive, mais laisse imaginer que la relation entre le sous-traitant et son entreprise commanditaire devra être transparente et tournée vers un objectif commun de conformité au RGPD.
La mise en application du RGPD va donc clairement changer la manière de fonctionner des équipes marketing et les obliger à mener des campagnes respectueuses des données personnelles.
Dans cette optique, les plateformes marketing vont devoir évoluer afin de proposer des fonctionnalités capables de simplifier la mise en oeuvre d’actions conformes aux exigences du RGPD.
Parmi les must-have, il faudra notamment retrouver :
La plupart des solutions marketing actuellement déployées dans les entreprises européennes sont fournies par des entreprises établies en dehors de l’Union Européenne. Le RGPD s’applique également dans ce cas de figure et prévoit d’ailleurs un renforcement du cadre des transferts hors UE.
Ainsi le sous-traitant devra être en mesure de prouver que toutes les dispositions ont été prises pour garantir la sécurité et la confidentialité des données lors de transfert de l’Union Européenne vers un pays tiers. Cela peut se traduire par la mise en place d’un code de conduite approuvé par la CNIL (BCR pour Binding Corporate Rules) selon l’article 40 ou bien d’une certification approuvée comme le prévoit l’article 42.
Il apparaît donc clair que les sous-traitants proposant des solutions marketing ont fort à faire pour leur mise en conformité au RGPD.
Par exemple, Hubspot (prestataire basé aux USA) avec son outil Marketing & Sales complet s’est d’ailleurs fortement engagé en vue de sa conformité au RGPD. La société prévoit divers changements fonctionnels pour faciliter la mise en place d’actions marketing et de gestion des profils prospects et clients conformes aux exigences. Son chantier de révision des mentions d’information est en cours de réalisation. De plus, il dispose de la certification “U.S. Department of Commerce” garantissant la mise en place des mesures de sécurité nécessaires à l’encadrement des transferts depuis l’Union Européenne.
Les équipes marketing peuvent donc se rassurer, elles ne seront pas nécessairement livrées à elle-même face au raz-de-marée RGPD. En faisant le choix d’utiliser des outils marketing conformes, elles bénéficieront de garanties solides et d’un accompagnement dans la mise en conformité. Vous pouvez aussi y voir l’opportunité de reconsidérer le choix de vos sous-traitants pour envisager d’avoir recours à ceux qui s’engagent d’ores et déjà dans une démarche de respect des données personnelles.