Un fichier client est capital pour toute entreprise. Il permet de connaître la nature de ses clients et de mettre en place des actions de fidélisation. Cependant, il doit respecter le RGPD, règlement Européen en vigueur depuis mai 2018.
Celui-ci s’applique à toutes les structures collectant les données personnelles des résidents de l’Union européenne. Sont donc concernées les entreprises, mais aussi les associations, collectivités….
Quelles sont les obligations du RGPD ?
Tout fichier clients comporte des données personnelles telles que l’adresse mail, le nom, le prénom ou le téléphone. Pour qu’elles puissent être utilisées, ces informations doivent être collectées en respectant 6 principes définis dans le cadre du RGPD.
- Principe de licéité, loyauté, transparence : les clients doivent être informés de la collecte de leurs données
- Principe de limitation des finalités : Les données sont collectées avec une finalité définie (emailing par ex) et ne peuvent être utilisées que pour celle-ci.
- Principe de minimisation des données : Seules les données nécessaires à la finalité sont collectées
- Principe d’exactitude : les données doivent être exactes et, si nécessaire, tenues à jour
- Principe de limitation de la conservation : les données ne doivent pas être conservées plus que nécessaire
- Principe d’intégrité et confidentialité : Les données doivent être sécurisées aussi bien en termes d’accès extérieur qu’en termes de sauvegarde.
Pour synthétiser ces principes, lors de la collecte de ses informations, le « client » doit :
- Donner son consentement
- Être informé des éléments suivants :
- Qui collecte et traite les données ;
- Quelles sont les données collectées ;
- Dans quels buts elles sont collectées
- À qui elles sont, éventuellement, communiquées (autres entreprises par ex.)
- Combien de temps elles sont conservées ;
- Comment elles sont sécurisées.
Comment faire en sorte que son fichier soit « RGPD compatible »
Nous venons de le voir, la conformité, et donc la légalité d’un fichier, repose sur deux aspects que sont le consentement et l’information.
Le consentement
Pour réaliser de la prospection commerciale, le consentement du client est obligatoire. Celui-ci doit, là encore, répondre à certaines obligations :
- Il doit être « libre », c’est-à-dire que l’accord du client ne peut pas être lié à la réalisation d’une prestation de service. Un refus ne doit pas avoir de conséquence sur l’exécution d’un contrat.
Par exemple, un prestataire de location souhaite recueillir le mail de ses clients afin de faire de l’emailing. Un refus ne doit pas empêcher le contrat de location d’être mis en place
- Il doit être « spécifique ». Nous avons vu que le RGPD était basé sur le principe de limitation des finalités. C’est lui qui s’applique ici. Un consentement est donné pour un seul traitement. Si vous avez plusieurs objectifs, ils doivent faire l’objet de plusieurs acceptations.
Par exemple, un site d’e-commerce souhaite recueillir le consentement de ses clients pour deux finalités : la conservation de leurs coordonnées de paiement (carte bancaire) afin de faciliter leurs prochains achats ; la collecte de leur adresse électronique pour faire de l’emailing. Pour que le consentement soit valide, les clients doivent pouvoir consentir librement et séparément pour chacun de ces deux traitements : la conservation des coordonnées bancaires et l’utilisation de leur adresse électronique.
- Il doit être « univoque » : le consentement doit être donné par une déclaration ou tout autre acte clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.
Cela passe généralement, sur un site web, par une case à cocher. Il s’agit obligatoirement d’opt-in (le client coche la case) et non d’opt-out (la case est pré-cochée).
- Il doit être « éclairé » : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente. Nous allons y revenir juste après.
Le RGPD n’a que peu modifié la notion de consentement, il a juste rajouté la notion de « retrait du consentement » (possibilité de revenir sur un consentement donné) et de « preuve de consentement » (le responsable du traitement doit être en mesure de démontrer à tout moment que la personne a bien consenti).
L’information
Nous l’avons vu, le consentement éclairé nécessite la fourniture d’informations avant l’acceptation par le client.
Sur un site web, ces informations doivent figurer sur le site internet dans l’onglet « Mentions légales » ou « Politique de confidentialité ».
L’obligation de « Mentions Légales » existaient avant la rentrée en vigueur du RGPD mais souvent peu respecté. Elles doivent, à minima, contenir les coordonnées de l’éditeur du site (la structure qui en est propriétaire) et celles de l’hébergeur. Elles peuvent aussi regrouper les informations liées au RGPD, si celles-ci ne sont pas dans une page dédiée, la page « Politique de Confidentialité ».
Les informations à communiquer au client avant son acceptation sont celles citées plus haut. On retrouve de façon schématique :
- Quelles sont les données collectées
- Pour quelle(s) finalité(s)
- Qui va les utiliser
- Combien de temps elles vont être conservées
- Comment faire pour demander une modification ou une suppression
Ces informations doivent être accessibles avant toute collecte. En règle générale, sur un site web, le page « Politique de confidentialité », qui les contient, est mise en lien en bas du formulaire, à côté de la case à cocher d’acceptation. On retrouve une présentation de ce type :
□ J’accepte que l’entreprise….. collecte mes données dans le respect de sa Politique de Confidentialité
Une fois ces règles mises en place, votre fichier client sera à même d’être utilisé pour vos actions de promotions commerciales, notamment l’emailing. Il ne vous reste plus qu’à réaliser des contenus pertinents et efficaces.
–
Crédit photo : Photo de Maksym Kaharlytskyi sur Unsplash
