Assurez-vous que votre entreprise est conforme au GDPR

FAQ

• Qu'est-ce que le GDPR ?

  Nous pensons que vous avez entendu parler du GDPR. Le Règlement général sur la protection des données (ou "RGPD" en abrégé) est une loi européenne sur la protection de la vie privée qui est entrée en vigueur le 25 mai 2018 et qui visait à renforcer, harmoniser et moderniser le droit de l'UE en matière de protection des données et à renforcer les droits et libertés individuels, conformément à la conception européenne de la vie privée en tant que droit de l'homme fondamental. Le GDPR réglemente la manière dont les individus et les organisations peuvent obtenir, utiliser, stocker et partager des données personnelles. En tant que règlement, il doit être respecté dans son intégralité dans l'ensemble de l'UE.

• Le GDPR s'applique-t-il à moi ?

  Le champ d'application du GDPR est très large. Elle s'applique à (1) toutes les organisations établies dans l'UE et (2) toutes les organisations qui ciblent ou surveillent des personnes dans l'UE. Cela signifie essentiellement que le GDPR s'appliquera à la plupart des organisations qui traitent des données personnelles de personnes de l'UE, quel que soit le lieu d'établissement de l'organisation et quel que soit le lieu où se déroulent les activités de traitement. Cela signifie que le GDPR pourrait s'appliquer à n'importe quelle organisation partout dans le monde, dans toutes les industries et tous les secteurs. Vous devez effectuer votre propre analyse pour déterminer dans quelle mesure (le cas échéant) votre organisation peut être soumise au GDPR.

• Qu'entend-on par "données à caractère personnel" ?

  Les données à caractère personnel sont toutes les informations relatives à une personne identifiée ou identifiable, c'est-à-dire les informations qui pourraient être utilisées, seules ou en combinaison avec d'autres données, pour identifier une personne. Cette définition a une portée extrêmement large : elle inclut non seulement les informations généralement considérées comme personnelles (numéros de sécurité sociale, noms, adresses physiques, adresses électroniques), mais aussi des données telles que les adresses IP, les données comportementales, les données de localisation, les données biométriques, les informations financières et bien d'autres encore. Cela signifie que, pour les clients de Mailchimp, au moins une majorité des informations que vous collectez sur vos contacts seront considérées comme des données personnelles en vertu du GDPR.

  La définition large englobe les adresses électroniques professionnelles contenant le nom d'une personne ou toute information de contact professionnelle liée à une personne, telle que le nom de la personne, son titre de poste, son entreprise, son adresse professionnelle, son numéro de téléphone professionnel, etc. En revanche, les données à caractère personnel ne comprennent pas les noms commerciaux génériques, les adresses commerciales, les adresses électroniques génériques ou toute autre information commerciale générale, tant que ces informations n'ont pas été reliées à une personne. Ainsi, par exemple, "John.Smith@mailchimp.com " seraient très probablement considérées comme des "données à caractère personnel" régies par le GDPR, tandis que "contact@mailchimp.com " ne le ferait pas.

  Il est également important de noter que même les informations qui ne permettent pas d'identifier une personne en particulier mais qui pourraient être combinées à d'autres informations pour identifier une personne (connues sous le nom de "données pseudonymes") sont considérées comme des données à caractère personnel. Ainsi, par exemple, une adresse électronique hachée sera toujours considérée comme une donnée personnelle, même si elle est pseudonymisée.

  Les données personnelles sensibles, telles que les informations sur la santé ou celles qui révèlent l'origine raciale ou ethnique d'une personne, nécessitent une protection encore plus grande. Vous ne devez pas stocker de données de cette nature dans votre compte Mailchimp.

• Que signifie "traiter" des données ?

  Le traitement est toute opération effectuée sur des données à caractère personnel, que ce soit ou non par des moyens automatisés. Cela comprend la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation, l'extraction, l'utilisation, la combinaison, l'effacement, la destruction, la divulgation, la diffusion ou toute autre forme de mise à disposition de données à caractère personnel.

  En principe, si vous collectez et gérez des données à caractère personnel de personnes résidant physiquement en Europe (même si elles ne sont pas des citoyens), vous traitez des données à caractère personnel au sens du GDPR. Cela signifie, par exemple, que si l'une de vos audiences Mailchimp contient l'adresse électronique, le nom ou d'autres données personnelles d'une personne située en Europe, vous traitez des données personnelles en vertu du GDPR.

• Quelle est la différence entre un responsable du traitement des données et un sous-traitant ?

  Si vous traitez des données à caractère personnel, vous le faites soit en tant que responsable du traitement, soit en tant que sous-traitant, et il existe différentes exigences et obligations qui s'appliquent à vous en fonction du rôle que vous jouez. Il est important de savoir si vous agissez en tant que responsable du traitement ou sous-traitant et de vous familiariser avec les responsabilités qui vous incombent.

  Le responsable du traitement est l'organisation qui détermine les finalités et les moyens du traitement - il prend les décisions importantes telles que la nature des données à caractère personnel collectées, l'utilisation qui en est faite, la durée de leur conservation et les personnes avec lesquelles elles sont partagées. Un sous-traitant est une organisation qui traite les données pour le compte du responsable du traitement et uniquement selon les instructions de ce dernier. Cela signifie généralement qu'un sous-traitant ne peut pas utiliser des données à caractère personnel à d'autres fins que la fourniture d'un service au responsable du traitement concerné.

  Les responsables du traitement conservent la responsabilité première du respect du GDPR (y compris, par exemple, l'obligation de notifier les individus au sujet du traitement, de répondre aux individus qui exercent leurs droits en matière de vie privée et de signaler les violations de la sécurité aux autorités chargées de la protection des données) ; toutefois, le GDPR confère également certaines responsabilités directes aux sous-traitants.

  Dans le contexte de Mailchimp, dans la majorité des cas, notre client agit en tant que responsable du traitement. Nos clients, par exemple, décident quelles informations de leurs contacts sont téléchargées ou transférées dans leur compte Mailchimp ; ordonnent à Mailchimp, par le biais de notre application, d'envoyer des courriels à certains contacts de leurs listes de distribution de courriels ; et ordonnent à Mailchimp de placer des publicités en leur nom sur des plateformes tierces telles que Facebook ou Instagram.

  Mailchimp agit en tant que sous-traitant en effectuant ces services et d'autres pour nos clients. Dans certains cas, nous agissons en tant que responsable du traitement, notamment lorsque nous traitons les informations relatives aux clients à des fins commerciales (comme la gestion des comptes et la facturation) et dans le cadre de notre projet d'analyse des données. Vous trouverez ici de plus amples informations sur nos projets d'analyse de données, y compris sur la manière dont vous pouvez vous désengager de l'analyse de données.

• Quels sont les principes clés du GDPR ?

  Le GDPR contient un certain nombre de principes clés qui doivent être respectés lors du traitement des données personnelles afin de garantir la conformité. Il incombe au contrôleur de veiller au respect de ces principes clés.

  • Les données à caractère personnel doivent être traitées de manière équitable, légale et transparente : Les personnes doivent être informées de la manière dont leurs données personnelles seront utilisées et vous ne devez jamais utiliser les données d'une manière à laquelle la personne ne s'attendrait pas raisonnablement. Vous devez également disposer d'une base juridique pour traiter les données à caractère personnel, par exemple avec le consentement de la personne, pour satisfaire à un contrat ou en vous fondant sur vos intérêts légitimes.
  • Les données à caractère personnel doivent être collectées à des fins spécifiques, explicites et légitimes : Vous ne devez collecter des données à caractère personnel que pour des finalités spécifiques et ne pas utiliser les données d'une manière incompatible avec ces finalités.
  • Les données à caractère personnel doivent être pertinentes et limitées à ce qui est nécessaire : Vous ne devez collecter que les informations dont vous avez besoin et ne pas collecter ou utiliser des données inutiles ou redondantes.
  • Les données personnelles doivent être exactes et mises à jour : vous devez vous assurer que les données que vous détenez sont exactes et prendre des mesures pour réviser et mettre à jour les informations si nécessaire.
  • Les données à caractère personnel ne doivent être conservées que le temps nécessaire : Vous ne devez conserver les données à caractère personnel que le temps nécessaire et ne devez pas les conserver indéfiniment ou "au cas où".
  • Les données à caractère personnel doivent être conservées en toute sécurité : Vous devez mettre en œuvre des mesures techniques et organisationnelles pour protéger les données à caractère personnel en fonction du type de données que vous traitez et des ressources et technologies disponibles.

  Plus important encore, vous devez être en mesure de démontrer que vous respectez ces principes et que vous en êtes responsable.

• Quels sont les droits des individus en vertu du GDPR ?

  Le GDPR donne aux individus un certain nombre de droits en relation avec leurs données personnelles. Vous devez vous assurer que ces droits sont respectés si vous traitez des données à caractère personnel de personnes de l'UE.

  • Droit d'accès : Les personnes ont le droit d'obtenir certaines informations sur la manière dont leurs données ont été collectées et utilisées et d'obtenir une copie de leurs données auprès de vous.
  • Droit de rectification : Les personnes peuvent à tout moment demander que leurs données soient corrigées ou mises à jour.
  • Le droit à l' effacement (le "droit à l'oubli") : Dans certaines circonstances, les personnes peuvent demander que leurs données soient entièrement effacées.
  • Droit de retirer son consentement : Si vous avez obtenu le consentement d'une personne pour traiter ses données à caractère personnel, elle peut le retirer à tout moment.
  • Droit d'opposition : Si vous vous appuyez sur vos intérêts légitimes pour traiter les données d'une personne, cette dernière peut s'opposer à votre traitement et vous devez cesser de le faire, à moins que vous ne puissiez démontrer que vos intérêts l'emportent sur les intérêts et les droits de la personne.
  • Droit d'opposition au marketing : Les personnes ont le droit absolu de s'opposer à tout moment au traitement de leurs données à caractère personnel à des fins de marketing.
  • Droit à la portabilité : Les personnes peuvent vous demander de transférer leurs données à une autre organisation.

  Les organisations doivent répondre à ces demandes dans un délai d'un mois ou, dans des cas exceptionnels, dans un délai de trois mois. À l'exception du droit de s'opposer au marketing (qui est absolu et doit donc toujours être respecté), certaines exemptions aux droits susmentionnés peuvent s'appliquer. Toutes les demandes doivent donc être examinées avec soin.

• Comment le GDPR s'applique-t-il à l'email marketing ?

  En matière de réglementation du marketing par courriel en Europe, le GDPR n'est que la moitié de l'histoire. L'Europe dispose également d'une loi distincte, la directive sur la vie privée et les communications électroniques (ou directive "vie privée et communications électroniques"), qui contient des règles supplémentaires régissant les exigences en matière de consentement pour le marketing électronique, c'est-à-dire le marketing envoyé par des canaux de communication électroniques (tels que le téléphone, la télécopie, le courrier électronique et les SMS). Lors de l'envoi d'e-marketing, ces règles de consentement supplémentaires s'appliquent en plus de la nécessité pour les entreprises d'identifier des motifs de traitement légitimes en vertu du GDPR.

  En d'autres termes, ces règles exigent un consentement préalable pour le marketing par courrier électronique et par SMS, sauf si les coordonnées d'une personne ont été recueillies dans le cadre d'une vente et que la personne a eu la possibilité de se désinscrire à ce moment-là. Si c'est le cas, le marketing par e-mail et SMS de première partie est possible sur la base de l'opt-out (bien que le marketing par e-mail et SMS de tierce partie nécessite toujours l'opt-in).

  La directive "vie privée et communications électroniques" étant une directive, elle doit être transposée dans le droit local de chaque État membre. Il convient donc de vérifier la législation de l'État membre concerné pour s'assurer que les exigences locales sont respectées. Par exemple, certains pays (comme le Royaume-Uni) sont plus souples en ce qui concerne le marketing électronique interentreprises (qui peut être effectué sur la base de l'opt-out), tandis que d'autres pays (comme l'Allemagne) ont une exigence plus stricte en matière de double opt-in (voir plus loin).

  Toutefois, le GDPR est toujours d'actualité car la plupart des adresses électroniques sont considérées comme des données personnelles et sont donc soumises aux exigences du GDPR. En particulier, lorsque vous êtes tenu d'obtenir le consentement d'une personne, vous devez le faire conformément au GDPR.

• Que dit le GDPR à propos du consentement ?

  Nous sommes heureux que vous ayez posé la question. Le consentement n'est pas toujours nécessaire pour traiter les données personnelles d'une personne. Toutefois, lorsque vous êtes tenu d'obtenir le consentement de la personne (ce qui peut s'appliquer si vous effectuez certaines opérations de marketing par courrier électronique), vous devez veiller à obtenir ce consentement conformément aux exigences strictes du GDPR :

  • Le consentement doit être facultatif : les personnes doivent explicitement consentir à la collecte et à l'utilisation de leurs données personnelles. Cela signifie que le silence, les cases pré-cochées et les opt-ins implicites (c'est-à-dire l'inactivité) ne sont pas valables.
  • Le consentement doit être éclairé : Cela signifie que vous devez fournir des informations significatives aux personnes sur les raisons pour lesquelles vous collectez les informations et expliquer clairement comment vous prévoyez de les utiliser. Ces informations doivent être fournies au moment où les personnes donnent leur consentement.
  • Le consentement doit être spécifique : Cela signifie qu'il convient d'obtenir un consentement distinct pour les différentes activités de traitement et qu'il ne faut pas essayer de regrouper différentes finalités dans un seul consentement.
  • Le consentement doit être donné librement : Cela signifie que les individus doivent avoir un véritable choix lorsqu'ils donnent leur consentement et que celui-ci ne doit pas être conditionné à la réception d'un produit ou d'un service.
  • Le consentement doit être démontrable : N'oubliez pas que vous devez être en mesure de prouver que vous avez obtenu le consentement, notamment en indiquant qui a consenti, quand et quelles informations ont été fournies à la personne à ce moment-là.

  Enfin, n'oubliez pas que certains pays exigent le consentement de "double opt-in" pour effectuer du marketing par courrier électronique. Le double opt-in implique une étape de confirmation supplémentaire qui vérifie chaque adresse électronique. Bien que cela ne soit pas exigé par le GDPR, ni par tous les États membres de l'UE, nous vous recommandons d'activer le double opt-in lorsque vous envoyez des communications marketing électroniques à des personnes de l'UE.

• Le GDPR dit-il quelque chose sur les transferts de données transfrontaliers ?

  Oui, le GDPR contient des dispositions relatives au transfert de données personnelles des États membres de l'UE vers des pays tiers, tels que les États-Unis. Le GDPR ne contient aucune exigence spécifique selon laquelle les données personnelles des individus de l'UE doivent être stockées uniquement dans les États membres de l'UE. Le GDPR exige plutôt que certaines conditions soient remplies avant que les données personnelles ne soient transférées en dehors de l'UE, en identifiant un certain nombre de mécanismes différents que les organisations peuvent utiliser pour effectuer des transferts de données transfrontaliers : décisions d'adéquation, clauses contractuelles types, règles d'entreprise contraignantes, mécanismes de certification et codes de conduite. L'objectif principal de ces mécanismes est de garantir que lorsque les données personnelles des Européens sont transférées à l'étranger, la protection voyage avec les données.

  Une décision d'adéquation est une décision de la Commission européenne selon laquelle le pays ou territoire où les données à caractère personnel sont transférées fournit un niveau de protection adéquat. Avant la décision de 2020 invalidant les cadres de protection des données UE-États-Unis et Suisse-États-Unis, le cadre de protection des données UE-États-Unis était l'un de ces exemples de décision d'adéquation.

  Le 10 juillet 2023, la Commission européenne a adopté un nouveau cadre de protection des données (DPF) UE-États-Unis, accordant le statut d'adéquation aux États-Unis. Les parties précédemment certifiées au titre du cadre du bouclier de protection de la vie privée UE-États-Unis et qui se sont engagées à respecter les principes du DPF peuvent désormais s'appuyer sur cette décision d'adéquation pour transférer des données de l'UE vers les États-Unis. Mailchimp est l'une de ces entreprises et continuera à protéger les données de l'EEE, du Royaume-Uni et de la Suisse conformément à ses obligations de certification.

  En outre, Mailchimp s'engage à transférer et traiter toutes les données de ses utilisateurs dans l'UE, en Suisse et au Royaume-Uni conformément aux clauses contractuelles types de l'UE, qui demeurent un mécanisme d'exportation des données valide et qui s'appliquent automatiquement, conformément à l'Addendum relatif au traitement des données de Mailchimp. Vous pouvez en savoir plus sur notre certification DPF ici.

  Si vous transférez des données à caractère personnel à d'autres organisations situées en dehors de l'UE, vous devez vous assurer que vous disposez d'un motif approprié pour effectuer le transfert transfrontalier de données, tel qu'une décision d'adéquation ou des clauses contractuelles types approuvées par la Commission européenne.

• Le GDPR s'applique-t-il toujours au Royaume-Uni après le Brexit ?

  Le GDPR est un règlement de l'UE qui ne s'applique plus au Royaume-Uni. Cependant, toute entreprise qui opère au Royaume-Uni doit se conformer à la loi britannique sur la protection des données. Le GDPR a été incorporé dans la loi britannique sur la protection des données en tant que GDPR britannique. En pratique, il y a donc peu de changements par rapport aux principes, droits et obligations de base en matière de protection des données qui figurent dans le GDPR britannique.

  N'oubliez pas non plus que si vous êtes basé au Royaume-Uni mais que vous ciblez ou surveillez des personnes de l'UE, vous serez toujours soumis au GDPR, même après la fin de la période de transition.

• Que se passe-t-il si vous ne vous conformez pas au GDPR ?

  La non-conformité au GDPR peut entraîner d'importantes sanctions financières. Les sanctions pour non-conformité peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

• Pourquoi la protection des données est-elle importante ?

  Outre le fait que vous pouvez être tenu de respecter certaines lois sur la protection des données en fonction des activités de votre entreprise, la protection des données offre plusieurs avantages. Le respect des meilleures pratiques en matière de protection des données est particulièrement important si votre entreprise traite des données personnelles de vos clients.

  Un engagement à protéger les données des clients permet d'instaurer un climat de confiance avec ces derniers, ce qui vous aide à les fidéliser et à réduire les coûts d'acquisition de nouveaux clients.

  La protection des données est également importante parce qu'elle peut vous aider à changer la façon dont vous gérez vos données et à vous assurer qu'elles sont sécurisées mais toujours disponibles. La collecte et la gestion correctes des données sont les pierres angulaires de la protection des données. La protection de vos données et la mise en œuvre de mesures telles que le consentement GDPR peuvent donc vous aider à améliorer votre gestion des données dans son ensemble. Cela signifie que les données sont toujours disponibles lorsque vous ou vos clients en avez besoin, de sorte que les activités de l'entreprise ne sont pas interrompues.

• Quels sont les avantages du consentement GDPR ?

  Tout d'abord, il est essentiel que vous respectiez le GDPR si vous êtes tenu de le faire en fonction des données que vous collectez. Si votre entreprise collecte des données à caractère personnel auprès de toute personne résidant dans l'UE, le consentement GDPR peut être un élément important pour vous assurer que vous collectez ces données en toute légalité.

  L'amélioration de la gestion des données est un avantage de la conformité au GDPR. Lorsque vous utilisez le consentement GDPR et collectez des données conformément au GDPR, vous avez également la possibilité d'adopter les meilleures pratiques de gestion des données que vous n'avez peut-être pas utilisées auparavant. Et comme la conformité au GDPR vous oblige à collecter, stocker et gérer les données d'une manière particulière, elle contribue à améliorer votre gestion des données par défaut. Si vous êtes déjà en train de réviser vos processus de collecte et de gestion des données, vous pouvez en profiter pour vous assurer que vous êtes également en conformité avec le GDPR.

• Dois-je, en tant qu'individu, me conformer au GDPR ?

  En tant qu'individu, vous êtes tenu de maintenir la conformité au GDPR tant que vous répondez aux critères. Dès lors que vous recueillez des données à caractère personnel auprès de personnes résidant dans l'UE, vous êtes tenu de respecter le GDPR en ce qui concerne la collecte, le stockage et la gestion de ces données à caractère personnel. Cela dit, dans certains cas, une personne n'est pas tenue de se conformer au GDPR, même si elle collecte des données auprès de personnes résidant dans l'UE.

  L'une des choses les plus importantes à garder à l'esprit est que certains types de collecte de données sont exemptés du GDPR. Pour l'essentiel, vous n'êtes tenu de suivre les lignes directrices du GDPR que si vous recueillez des informations personnelles auprès de personnes situées dans l'UE à des fins professionnelles. D'autres types de collecte de données ne sont pas soumis aux lignes directrices du GDPR. Cela inclut la collecte de données personnelles, telles que des listes de numéros de téléphone, d'adresses et d'autres informations destinées à un usage personnel ou domestique. Cela dit, il est toujours bon de se conformer au GDPR si vous collectez des données auprès de résidents de l'UE. À tout le moins, le maintien de la conformité au GDPR vous aidera à vous assurer que vos systèmes de protection et de gestion des données sont à jour.

  Si vous êtes un particulier, mais que vous ne collectez pas de données auprès de personnes résidant dans l'UE, vous n'avez pas à vous préoccuper de la conformité au GDPR. Cependant, le respect des lignes directrices du GDPR en matière de marketing et de protection des données peut vous aider à vous assurer que vous protégez les données privées des clients, ce qui contribue grandement à fidéliser ces derniers et à renforcer la réputation de votre marque.

  Même en tant qu'individu, il est important de comprendre si vous êtes tenu ou non de maintenir la conformité au GDPR. Vous pensez peut-être que vous collectez une petite quantité de données qui n'ont pas de valeur particulière, mais la protection des données est cruciale lorsque vous traitez tout type de données personnelles.

• Existe-t-il d'autres réglementations en matière de protection des données que le GDPR que je dois respecter ?

  Le GDPR n'est peut-être qu'une des lois que vous devrez comprendre pour votre entreprise, en particulier si vous traitez les données personnelles d'individus en dehors de l'UE. Les lois varient d'un État à l'autre, d'une province à l'autre et d'un pays à l'autre. Les réglementations que vous devez respecter varient donc en fonction des activités de votre entreprise et du type et de la nature des données que vous traitez.

  Par exemple, la Californie dispose de la loi sur la protection desdonnées la plus connue des États-Unis, la California Consumer Privacy Act(CCPA). Plusieurs États autres que la Californie disposent également de lois sur la protection des données dont le modèle est similaire à celui de la CCPA ou du GDPR. Bien entendu, vous pouvez toujours être tenu de maintenir la conformité au GDPR et de suivre d'autres réglementations si vous opérez en dehors des États-Unis, mais la collecte de données auprès de clients dans certains États imposera des exigences supplémentaires par rapport à celles du GDPR.

  Il existe également une loi canadienne relative à la protection des données, appelée Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Cette loi est souvent considérée comme l'équivalent canadien du GDPR, de sorte que le maintien de la conformité à la LPRPDE est également important pour de nombreuses entreprises. À l'instar de la conformité au GDPR, vous êtes tenu de maintenir la conformité à la LPRPDE si vous recueillez, utilisez ou communiquez les informations personnelles de citoyens canadiens à des fins professionnelles. Comme aux États-Unis, il existe également au Canada des lois provinciales sur la protection des données qui peuvent avoir une incidence sur l'activité de votre entreprise

  Enfin, il existe d'innombrables réglementations relatives à la gestion d'une entreprise, qu'il s'agisse d'une entreprise en ligne ou non. Par exemple, si vous menez une campagne de marketing par courrier électronique aux États-Unis, vous devez respecter la loi CAN-SPAM de 2003, et il existe des lois équivalentes dans de nombreux autres pays. . Si vous faites beaucoup d'affaires au niveau international, il vaut la peine de consulter un expert pour savoir quelles lois vous devez respecter pour protéger les données de vos clients.