Résultats
Type de données
Les données que vous exploitez ne sont pas considérées comme sensible. Si vous demandez toutes les autorisations, vous pouvez utiliser ces données à des fins marketing pendant une durée de 3 ans. Si cette personne devient votre client, vous pouvez exploiter ces données pendant une durée de 6 ans sauf reconduction.
- Jusqu'à 6 ans pour des données clients
- Vos utilisateurs doivent pouvoir à tout moment demander le retrait et l'export de leurs données auprès de votre entreprise
- Mise en place d'un registre d'utilisation des données
Formulaires
Vous devez mettre à jour vos formulaires pour préciser spécifiquement aux utilisateurs dans quelle mesure les données qu’ils vous transmettent seront utilisées. Chaque élément spécifique nécessite une approbation séparée des utilisateurs (une case à cocher par exemple).
- Newsletter
- Offre commerciale
- Campagne SMS
Une page définissant les conditions d’utilisation, de stockage et de surpression doit être accessible aux utilisateurs. L’utilisateur devra délibérément spécifier son accord explicite de ces conditions pour que vous puissiez continuer d'exploiter ces données.
Vous allez devoir tenir un registre de traitement des données afin de garder une trace de vos différentes actions.
- Ajouter une page comportant les conditions d'utilisation du site internet
- Ajouter une page comportant la politique d'utilisation des données utilisateur de votre entreprise
- Mettre en place un moyen simple pour vos utilisateurs de demander le retrait ou l'export des données client
Collecte de données via des partenaires
Il est fort probable que vous ayez déjà reçu un e-mail de votre service vous expliquant les démarches de mise en conformité.
Prenons le plus gros en exemple : Google Analytics.
Le service a lancé un outil permettant de supprimer les données des utilisateurs à leur demande, mais également d’exporter l’ensemble des données obtenues collectées de cet utilisateur (une des obligations de la loi). Bien que vous ne conserviez pas les données vous-même de votre partenaire, vous êtes responsable de leurs collectes.
Vous devez donc en informer vos utilisateurs dès leur entrée sur votre site internet : la fameuse « cookie bar ». Les informer n’est pas suffisant vous allez devoir demander leurs acceptations explicites pour la collecte de ces données en leurs demandant de bien vouloir valider vos conditions d’utilisation du site internet.
/!\ Vous collectez des données sur Google Analytics, une démarche manuelle est nécessaire avant le 25 mai afin de configurer la durée de conservation des données des utilisateurs limitée à 3 ans maximum.
- Configurer les durées de conservation des données utilisateur
Services tiers
Vous n'avez donc rien à faire de ce côté là.
Participation de vos utilisateurs
Même procédure que pour un formulaire de contact ou un formulaire d’inscription, ils vont devoir passer par toute une série d’acceptations puisque vous collectez leurs données (adresse e-mail, prénom et nom à minima). Le plus simple dans ce cas-là est d’obliger vos utilisateurs à être inscrits pour laisser un commentaire, vous ne leur aurez donc demandé qu’une seule fois leur acceptation pour la collecte des données et vous serez tranquille une bonne fois pour toute.
- Demander l'accord aux utilisateurs si vous exploitez leurs données personnelles ensuite en demandant bien explicitement un accord pour chaque canal de diffusion (e-mail informatif, e-mail commercial, sms, courrier etc...)
PENSEZ À METTRE EN PLACE :
Pensez à mettre en place :
Des conditions d’utilisation de votre site internet
Des conditions d'utilisation et de traitement de données personnelles
Nommez un responsable de sécurité des données personnelles
Donnez les coordonnées de votre responsable sécurité afin qu’il puisse être contacté le plus simplement possible par vos utilisateurs.
Mettez en place des procédures permettant l’extraction rapide des données d’un utilisateur.
Mettez en place des procédures permettant la suppression des données des utilisateurs et une preuve de suppression. Ces suppressions doivent avoir lieu sur l’ensemble des zones où vos utilisateurs sont : base de données du site internet, fichiers excel, base de contacts e-mail, listing de newsletter chez votre prestataire (Mailchimp, Sendingblue, Mailjet …), et même les sauvegardes de vos ordinateurs et de vos bases de données…
Demander à votre responsable sécurité de mettre en place les registres de traitement des données utilisateurs : suivi des zones de stockage, des modes de sécurité mis en place : cryptage, mot de passe, utilisation marketing ...
BON À SAVOIR :
Vous avez 72h pour signaler à la CNIL et à vos utilisateurs un problème de sécurité ou une intrusion dans vos systèmes mettant en péril les données personnelles que vous stockez.