Gestion des données clients, comment respecter le RGPD ?

Finances/Juridique / Par /
Système de gestion des données clients en conformité avec le RGPD
Table des matières
  1. Faire appel à un DPO
  2. La collecte et l’utilisation consentie des données clients
  3. Tenir un registre des activités de traitement des données personnelles
  4. Foire aux questions

Pour mener à bien votre activité, il peut s’avérer nécessaire que vous collectiez et que vous sauvegardiez les données personnelles de vos clients. Si cette pratique est désormais une tendance dans le domaine du marketing, elle doit néanmoins respecter certaines règles imposées par le RGPD (Règlement Général sur la Protection des Données). Dès lors, une interrogation subsiste : comment se conformer au RGPD lors de la collecte et du traitement des données clients ?

Faire appel à un DPO

Pour gérer les données de vos clients conformément aux exigences du RGPD, vous aurez besoin des conseils d’un DPO externe ou externalisé. Encore appelé Data Protection Officer, le DPO (ou délégué à la protection des données) est un professionnel intervenant au sein des organismes privés et publiques. Son rôle est de veiller à ce que la collecte et le traitement des données à caractère personnel respectent les exigences du RGPD.

La désignation d’un DPO est une obligation pour toutes les administrations publiques, à l’exception des cours et des tribunaux. Avoir un délégué à la protection des données est également obligatoire pour les entreprises et organismes privés qui dans le cadre de leurs activités, sont amenés à :

  • Suivre de façon régulière un grand nombre de personnes par le biais d’outils technologiques ;
  • Récolter et conserver des données sensibles de leurs clients ;
  • Utiliser de façon régulière et à grande échelle les informations collectées.

Bien qu’il soit possible de désigner un Data Protection Officer interne, le choix d’un DPO externalisé peut être plus avantageux pour votre société. Moins coûteux que le premier, le second fait le même travail. Cette solution avantage particulièrement les PME et les jeunes sociétés qui ont un budget limité.

La collecte et l’utilisation consentie des données clients

Homme en train de virtuellement utiliser avec consentement les données des clients

Le RGPD interdit d’utiliser les données personnelles de vos clients et de vos prospects à leur insu. Avant de collecter et d’utiliser de telles informations, vous devez d’abord demander l’accord de leurs propriétaires. Même si certains sites et annuaires en ligne donnent librement accès à des données personnelles, utiliser ces dernières n’est pas pour autant légal.

Les sites, qui mettent en vente des fichiers de données clients, collectent souvent ces informations sans demander l’accord de leurs propriétaires. En achetant et en utilisant ces données, vous enfreindriez la loi. Et les personnes concernées pourraient vous dénoncer à la CNIL (Commission Nationale de l’Informatique et des Libertés). En guise d’indemnisation, cet organisme pourrait exiger que vous leur versiez de lourdes compensations financières. Au passage, cela dégraderait l’image de votre société.

Dans le domaine commercial, il existe différentes méthodes pour collecter des informations personnelles de vos clients et prospects en toute légalité. Une technique se base sur le contrat. Une autre méthode consiste à disposer d’un site internet ou d’une boutique en ligne utilisant des cookies.

Le contrat comme moyen de collecte de données clients

Vous pouvez vous passer du consentement lorsque vos clients vous confient eux-mêmes leurs informations personnelles, dans le cadre d’un contrat. Cependant, vous ne pouvez pas les utiliser pour d’autres motifs que celui pour lequel vous les avez obtenus.

Par exemple, un client achète des produits sur votre site e-commerce et il souhaite être livré à son domicile. Il devra vous transmettre les informations liées à son identité et son adresse. Il est également possible que vous obteniez ses coordonnées bancaires s’il décide de payer ses achats par carte. Mais l’usage que vous pouvez faire de ces informations ne peut pas sortir du cadre du marché conclu, qui dans le cas présent est la vente.

Disposer d’un site internet employant la politique des cookies comme méthode de collecte

Les cookies sont des fichiers qu’un site internet peut déposer sur le navigateur d’un internaute lorsque celui-ci navigue sur le site en question. Ils peuvent être répartis en deux catégories :

  • Pouvant être qualifiés d’essentiels, ceux de la première catégorie ont pour fonction d’améliorer la navigation des internautes sur le site qui les enregistre. Quant aux cookies de la seconde catégorie, leur rôle principal est de recueillir les informations de navigation de l’internaute pour lui adresser des publicités ciblées. Encore appelés des cookies de ciblage.

L’utilisation des cookies vous permet de faire d’une pierre deux coups : collecter de façon consentie des informations sur l’identité de vos prospects tout en vous renseignant sur leurs préférences. Cela vous permet de tailler des offres sur mesure et d’optimiser vos chances de conversion en peaufinant votre argumentaire de vente. Toutes les données ainsi collectées font partie des ressources immatérielles de l’entreprise. Néanmoins, cette collecte peut se faire à l’unique condition que les intéressés donnent leur consentement. 

Tenir un registre des activités de traitement des données personnelles

Personne en train d'utiliser un registre de traitements des données clients

Pour éviter tout débordement de la part de votre personnel dans le traitement des données à caractère personnel de vos clients, vous devez disposer d’un registre spécial. Prévu à l’article 30 du RGPD, le registre de traitement des données personnelles est un document dans lequel vous devez consigner toutes les opérations liées aux données personnelles de vos clients.

Ce document doit renseigner sur les personnes habilitées à connaître ces informations et celles qui ont l’autorisation de les manipuler. Vous devez y mentionner les catégories de données traitées et les usages auxquels elles sont destinées.

Le registre des activités de traitement de votre entreprise doit indiquer la durée de conservation des données personnelles de vos clients. Au cas où vous les conservez indéfiniment, vous devez mentionner la raison pour laquelle vous les sauvegardez. Doit également figurer dans ce registre des activités de traitement la façon dont vous sécurisez les données personnelles de vos clients.

L’obligation de disposer d’un registre des activités a plusieurs objectifs. D’une part, ce document atteste de votre conformité au RGPD. D’autre part, il permet à l’État de vérifier la façon dont vous traitez les données personnelles de vos clients. 

Le registre de traitement est obligatoire pour tous les organismes (privés et publics), peu importe leur taille. Ils doivent s’y conformer une fois que, dans le cadre de leurs activités, ils sont amenés à utiliser des données à caractère personnel.

Le RGPD est particulièrement strict envers les grandes entreprises (comptant plus de 250 employés) et les services de l’État. Mais, il offre quelques flexibilités aux sociétés qui emploient moins de 250 salariés.

Foire aux questions

Dessin d'un point d'interrogation pour représenter la foire aux questions

À quelles conditions le consentement de l’internaute est-il valable en matière de collecte d’informations ?

Pour être valable, le consentement de l’internaute doit être libre et éclairé. Le fait que le consentement soit libre sous-entend que vous ne devez pas forcer la main aux clients et aux prospects qui se rendent sur votre site internet. Ils doivent eux-mêmes cocher les cookies auxquels ils consentent. De même, ils doivent être en mesure de renoncer à la réception de cookies à tout moment.

Le consentement de l’internaute est dit éclairé lorsque vous prenez le soin de lui expliquer la finalité des cookies qu’il peut accepter ou décliner. Il est également important qu’il soit informé de la destination des données collectées par l’intermédiaire de ces derniers et de ce que vous comptez en faire.

Dans ce cas, on parle aussi de devoir d’information, lequel ne doit afficher aucune ambiguïté. La loi interdit d’user de tromperies pour faire en sorte qu’une personne donne son accord alors qu’il se serait opposé à la proposition s’il avait eu connaissance de ses réelles implications.

Avant de déposer des cookies sur le navigateur d’un visiteur, vous devez vous assurer que son consentement est univoque1. En d’autres termes, l’intéressé doit poser un acte clair, qui dans le présent cas consiste à cliquer sur un bouton ou à cocher une case « Accepter ».

À chaque type de cookie que vous souhaitez installer sur le navigateur de vos visiteurs doit correspondre un consentement spécifique. Pour recueillir le consentement de vos prospects, la CNIL recommande de concevoir une bannière de cookies qui s’affichera chaque fois que quelqu’un accède à votre site. Celle-ci doit présenter les cookies de façon distincte tout en expliquant la finalité de chacune d’eux.

Note de bas de page

  1. Univoque : qui ne peut être interprété que d’une seule façon. C’est une caractéristique d’une idée, d’une expression ou d’une situation qui est claire, précise et sans ambiguïté, laissant place à aucun doute ou à aucune compréhension multiple. ↩︎
Articles dans la même thématique
Virement sur un compte clôturé : que faire ?
Virement sur un compte clôturé : que faire pour récupérer mon argent ?
Comptable au travail
Guide pratique des obligations comptables pour les entrepreneurs
Homme en train de signer un contrat de vente à réméré
La vente à réméré pour les professionnels et les chefs d’entreprise
Homme d'affaires choisissant l'intégration fiscale
Quelles sont les conditions légales pour mettre en place l’intégration fiscale ?
Deux prix magiques affichés et l'un est barré
Le prix magique ou prix en trompe-l’œil : qu’est-ce que c’est
Placement et investissement risqué dans des valeurs fluctuantes
Quels sont les placements et les investissements les plus rentables à court terme ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *