formulaires RGPD

formulaires RGPD

Le 25 mais 2018 va entrer en vigueur la nouvelle loi européenne : le Règlement Général sur la Protection des Données personnelles (RGPD). Il est donc nécessaire d’être prêt à cette date sous peine de fortes pénalités prévues par cette loi. Pour répondre à notre devoir de conseil, nous proposons donc une série d’articles à ce sujet. Ils sont destinés à vous aider à vous mettre en conformité. Aujourd’hui, nous allons parler de la conformité de vos formulaires optin (ou d’inscription).

Nous allons voir ensemble les 4 grandes étapes nécessaires à une bonne conformité de vos formulaires :

  • Recueillir le consentement de la personne
  • Conserver la preuve du consentement
  • Informer la personne concernée de ses droits
  • Sécuriser le transfert des données personnelles

En résumé, il doit y avoir :

# La présence de deux phrases légales sur tous vos formulaires.
# La présence d’un lien de désinscription conforme dans chaque email envoyé.
# La possibilité pour votre contact d’accéder à tout moment à la « preuve de consentement ».
# Un certificat de sécurité SSL sur votre site web (pour que vos formulaires soient soumis en https).

Continuons la lecture et voyons maintenant cela en détails…

1 Recueillir le consentement de la personne
Article 6 :
Le traitement n’est licite que si la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.

Tout traitement de données personnelles nécessite un consentement de la personne concerné afin de pouvoir les utiliser. Une personne qui fournit ses coordonnées (prénom, email, etc) sur un formulaire doit donc exprimer son consentement.

Cela signifie que pour vous, en tant que « responsable de traitement », vous devez recueillir le consentement.  Quel que soit le formulaire (formulaire de contact, de téléchargement de livres blancs, de demande de devis, d’inscription à un évènement, etc.)

Article 4 Alinea 11 :
Est considéré comme « consentement » de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Un grand changement intervient dans le sens ou remplir et soumettre un formulaire ne suffit plus ! Cela n’est pas considéré comme un consentement explicite. En effet, le consentement nécessite un acte positif clair de l’internaute.

Pour respecter cela, vous pouvez faire figurer sur votre formulaires la phrase suivante :

« En soumettant ce formulaire, j’accepte que mes informations soient utilisées exclusivement dans le cadre de ma demande et de la relation commerciale éthique et personnalisée qui pourrait en découler si je le souhaite. »

Même en cas de double Optin, cette phrase permet de préciser la finalité et le traitement spécifique appliqué. Et de montrer que vous êtes transparent dès le début.

  • Pour le cas du Double Optin, cette phrase va figurer sur votre formulaire, même si la confirmation d’inscription constitue un acte positif et clair du consentement.
  • Pour le cas du Simple Optin (que nous déconseillons) cette phrase doit être apposée à côté d’une case à cocher obligatoirement. C’est cette case qui, une fois cochée, constitue l’acte positif et clair du consentement. Toutefois, nous verrons que ce choix ne permet pas de garantir la conservation de la preuve de consentement.

Étude de cas avec la page « contactez-vous »

Vous pouvez utiliser un formulaire configuré en tant que formulaire de contact en simple optin (qui inscrit également sur une liste dédiée à cela). Grâce à l’option « notification instantanée d’inscription », vous recevez alors un email immédiatement après la soumission du formulaire. Cet email contiendra les informations de l’internaute et son message.

Dans ce cas, vous devez spécifier dans le traitement que vous supprimez le message de la liste après en avoir eu connaissance (cela représente un traitement particulier que vous devez mentionner dans votre politique de confidentialité).

Pour continuer la relation commerciale, vous pouvez aussi envoyer un email pour remercier la personne de vous avoir laissé un message et en profiter pour lui demander de cliquer sur un lien afin d’obtenir une série de conseils. Ce lien fera office d’inscription automatique dans une autre liste. C’est le principe de la segmentation comportementale. Dans ce cas, vous devrez bien entendu spécifié, de nouveau, la finalité du consentement avec la même phrase que pour un formulaire : En cliquant sur le lien ci-dessus, j’accepte que mes informations soient utilisées exclusivement dans le cadre de ma demande et de la relation commerciale éthique et personnalisée qui pourrait en découler si je le souhaite.

Idéalement donc, tous vos formulaires en ligne qui recueillent des données personnelles doivent comporter ce type de phrase légale avec un principe de « double optin ». Ou la case à cocher « non précochée » pour une liste en simple optin.

Il est important que l’internaute comprenne parfaitement sur quoi porte son consentement. Il est limité à une finalité précise et unique. La demande de consentement ainsi rédigée en des termes clairs et simples et avec toutes les informations nécessaires permet à la personne d’agir en connaissance de cause.

Article 5 Alinea 1 c :
Les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données).

En vertu de cet article, il est fortement recommandé de ne demander que les informations minimales nécessaires pour la finalité du traitement des données. Par exemple, la civilité n’est peut-être pas une information pertinente dans le cadre d’une inscription à la newsletter.

Article 5 Alinea 1 b :
Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités…

Cela veut dire que si la finalité est différente de celle ayant conduit au consentement, le consentement devient obsolète. Cela entraîne que si vous souhaitez utiliser des données pour autre finalité que celle pour laquelle vous les avez obtenues, vous devez à nouveau demander le consentement et spécifiquement pour ce nouveau traitement. A charge pour vous de conserver les preuves des différents consentements.

2️ Conserver la preuve du consentement
Article 7 Alinea 1 :
Le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

Obtenir le consentement éclairé d’un abonné ne suffit pourtant pas. Il vous faut conserver la preuve de ce consentement afin de pouvoir la produire à tout moment. Cela revient à associer à chaque personne enregistrée dans vos bases de données le contenu de son consentement à l’utilisation de ses données personnelles.

Un document de la CNIL (que vous pouvez consulter en cliquant ici) stipule : « La preuve du consentement nécessite trois éléments : ce à quoi la personne a consenti, le moment où elle a consenti, qui a consenti. »

Conserve la preuve de ce consentement (En remettant la phrase légale dans le champ personnalisé n° 16 et en enregistrant la date d’inscription, l’url de la page d’inscription, l’adresse IP et la preuve du double optin).

3️ Informer la personne de ses droits

Le RGPD exige qu’un certain nombre d’informations soient portées à la connaissance de la personne lorsque ses données à caractère personnel sont demandées. Selon l’article 13 du RGPD, voici les informations qui doivent être mentionnées :

  • l’identité du Responsable de Traitement,
  • les coordonnées du Délégué à la Protection des données,
  • la finalité des traitements,
  • les personnes pouvant y accéder,
  • le type de données collectées,
  • leur durée de conservation,
  • l’existence du droit de demander l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci,
  • la procédure pour exercer son droit d’accès, de rectification et d’effacement.

Vous devez donc être en mesure d’indiquer ces informations à la personne sur simple demande, certaines données pouvant être intégrées dans vos mentions légales ou dans votre politique de confidentialité. Chacun de vos prospects et clients peut retrouver la preuve de consentement pour grâce au lien d’accès aux données présent en bas de chaque email.

Sur vos formulaires optin… Vous devez abandonner les phrase du type « Vos données sont 100% confidentielles », ou encore « Vos données sont confidentielles. Aucun spam ne vous sera envoyé », etc. généralement mise en bas du formulaire. Lorsque vous créez un nouveau formulaire, ajoutez par défaut la phrase « Pour connaître et exercer mes droits, et notamment pour annuler mon consentement, je consulte la politique de vie privée en cliquant ici ». Le lien peut renvoyer sur vos « mentions légales » ou votre « politique de confidentialité ».

Article 7 Alinea 3 :
La personne concernée a le droit de retirer son consentement à tout moment. (…)  La personne concernée en est informée avant de donner son consentement.

Cela peut être mis en place par la phrase en fin de votre formulaire (voir nos captures d’écran plus haut). Si vous renvoyez vers votre politique de confidentialité, la possibilité de retirer son consentement (de se désinscrire) doit y être mentionnée.

Comme précisé précédemment, chacun des emails que vous envoyez depuis votre compte contiendra un lien de désabonnement et d’édition/modification des coordonnées de votre abonné.

4️ Sécuriser le transfert des données personnelles
Article 5 Alinea 1 f :
Les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée (…), y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).

Cet effort de protection des données personnelles portent en particulier sur le formulaire en ligne. Lorsque l’internaute saisit ses données personnelles dans le formulaire et le soumet, ces données transitent du navigateur vers la base de données de destination. Il est donc impératif qu’il y ait un chiffrement des données sécurisant ce transfert de données.

Toutes vos pages contenant des formulaires doivent ainsi être en protocole HTTPS, seul à même de garantir un niveau satisfaisant de sécurité du transfert des données.

CONCLUSION

En plus des 4 points étudiés dans cet article, nous terminons cet article par un ensemble de conseils à appliquer concernant vos abonnés.

Simple ou Double Optin ?

Même s’il est possible d’utiliser le Simple optin sous certaines conditions (voir plus haut), nous vous recommandons vivement de mettre tous vos formulaires d’inscriptions en double optin.

Nettoyez correctement vos listes d’abonnés.

# Supprimer automatiquement vos abonnés résiliés ou non confirmés depuis plus de 6 mois.
# Nous vous recommandons de mettre en place des règles pour gérer les « abonnés en sommeil ». C’est à dire ceux qui ne réagissent pas depuis plus de 12 mois. Cette option peut être retirée mais cela sera sous votre seule responsabilité.

Vous pouvez bien entendu réduire vos délais de conservation des données, mais nous vous recommandons de toutes façons de le mentionner dans vos conditions générales ou vos mentions légales.

Recueil et preuve de consentement.

Le contenu de cet article n’engage en aucun cas la responsabilité de son auteur. Pour la mise en conformité de votre entreprise, vous êtes invité à vous entourer d’un conseil juridique compétent et accrédité.

Source : rédigé par Tarik HANNANE