RGPD : comprendre le consentement et les autres bases légales de traitement

Note Importante : Ce document est un document de sensibilisation et de vulgarisation, destiné à fournir un premier niveau d’information. Il ne peut en aucun cas se substituer aux conseils d’un professionnel du droit, que nous vous invitons à consulter en tout état de cause en complément de ce document, afin de vous assurer de la conformité de votre activité à la réglementation à venir.

Le RGPD n’est pas une révolution mais juste une évolution de la législation qui nous oblige à être plus rigoureux avec les données personnelles que nous avons dans nos bases de données. Il est maintenant nécessaire d’identifier les différents traitements que nous réalisons sur les données et dans quels cadres légaux ceux-ci sont réalisés.

Les traitements de données personnelles

Mais qu’est-ce qu’une donnée personnelle ?

Réponse courte : Ce qui identifie une personne Commençons par les données personnelles, car le RGPD ne couvre que celles-ci : les données non personnelles ne sont pas concernées. Une donnée personnelle est une donnée qui permet d’identifier un individu, directement ou indirectement :

• Nom et Prénom
• Numéro de téléphone
• Adresse email
• Adresse postale (même sans le nom)
• Numéro de client
• Un cookie de tracking
• Adresse IP
• etc.

Votre customer family dans SPREAD est donc pleine de données personnelles, et entre pleinement dans le cadre du RGPD.

Mais qu’est-ce qu’un traitement de données personnelles ?Réponse courte : TOUT ce qui touche une donnée personnelle !

Toutes actions que vous pouvez faire sur ces données personnelles sont des traitements. Le premier traitement est le stockage : le fait de posséder une donnée personnelle est un traitement et nécessite une base légale. Quelques autres exemples de traitement :

• Envoi d’un email de confirmation
• Profilage, personnalisation et recommandation
• Gestion d’un programme de fidélité
• Recueil de la satisfaction
• Envoi d’une newsletter
• Facturation
• Géolocalisation
• Toutes sortes d’inspiration

Mais je ne vais plus rien pouvoir faire ?

Réponse courte : Pas du tout, vous pourrez évidemment continuer à travailler !

La loi n’a pas du tout pour objectif de vous empêcher de travailler, mais de vous pousser à travailler mieux, en apportant plus d’information à vos prospects et à vos clients. Le RGPD a prévu plusieurs cadres légaux pour utiliser les données personnelles, et c’est beaucoup plus clair.

Le premier cadre légal est aussi le plus simple et le plus transparent : le consentement. C’est tout simplement une demande d’autorisation faite à la personne dont les données vont être utilisées. D’autres cadres juridiques encadrent le traitement des données :

l’exécution d’un contrat

par exemple vous êtes obligé d’avoir le nom et l’adresse postale pour traiter une commande.

l’obligation légale

la loi vous oblige à garder certaines informations, par exemple une facture.

la mission de service public

a priori, vos activités n’entrent pas dans ce cadre qui concerne plutôt les services publics.

le maintien des intérêts vitaux de la personne

a priori, vos activités n’entrent pas dans ce cadre qui concerne plutôt les services d’urgence médicale.

Un dernier cadre légal est disponible : l’intérêt légitime de l’entreprise. Cette base légale est un peu à part car c’est un régime un peu « exceptionnel ». Par exemple, actuellement, certains considèrent que l’envoi d’emails de prospection en B2B sans consentement préalable entre dans ce cadre.

Pour tous vos traitements vous allez devoir définir clairement des fondements juridiques.

Les bases juridiques

Quand utiliser le consentement ?

Réponse courte : Le plus souvent possible Le consentement est le fondement juridique à privilégier

• Il est incontestable car tracé,
• Offre une excellente transparence
• Renforce la confiance

Avec un consentement valide, vous pouvez réaliser pratiquement tous les traitements que vous souhaitez. Pour qu’il soit validé, vous avez quelques règles à respecter :

• demandez le consentement séparément (pas d’inclusion dans l’acceptation des CGV)
• n’obligez pas au consentement, la personne doit avoir le choix (pas de case pré-cochée par exemple)
• informez votre client de façon claire et concise (pas comme avec des CGV par exemple)

Les informations que vous devez donner au client lors de la collecte du consentement :

• quelle utilisation allez-vous faire de ses données (la finalité du traitement)
• qui vous êtes et comment vous contacter
• la durée de conservation des données
• un rappel des différents droits (accès, effacement, portabilité)
• comment retirer leur consentement

Les consentements configurés dans SPREAD respectent automatiquement ces règles, mais vous devez quand même ajouter les informations nécessaires quand vous allez le configurer.

Comment communiquer avec ses clients sans consentement ?

Réponse courte : Demandez à un avocatHors consentement, vous pouvez utiliser un des fondements juridiques de traitement prévu dans le RGPD :

L’exécution d’un contrat

L’obligation légale

L’intérêt légitime de l’entreprise

Mais nous vous conseillons de valider ses bases légales avec un conseil juridique car elles sont beaucoup plus risquées et contestables que le consentement. De plus, il est impossible de généraliser le cadre juridique d’une entreprise à l’autre, particulièrement concernant l’intérêt légitime.

Dans tous les cas, utilisez ces autres possibilités pour obtenir un consentement dès que vous en avez l’occasion.

‍

‍

Dans SPREAD, vous pourrez configurer les intérêts légitimes dans le menu RGPD, au même endroit que les consentements. Mais le fonctionnement des autres bases légales est un peu différent :

• si la personne fait opposition à la base légale, c’est définitif (contrairement au consentement, qui pourra être re-demandé)
• l’import de personnes sur une autre base légale ne nécessite pas de traces de consentement,
• un blocage de l’envoi de messages sur cette base est automatique dès que certains seuils de qualités sont franchis (nombre de désinscription, nombre de déclaration en SPAM, nombre de fausse adresse email)
• ‍