Nous avons déjà répondu à quelques questions générales sur le RGPD dans cet article:
Ci-dessous, nous avons recueilli quelques questions supplémentaires spécifiques aux utilisateurs de la plate-forme Emarsys.
Pour toute autre question concernant la protection des données, veuillez formuler une demande de support afin que nous puissions l'ajouter à notre documentation.
Emarsys n'est pas un cabinet d'avocat spécialisé en réglementation sur la sécurité des données, et nous n'offrons aucun conseil juridique. Nous voulons vous aider à comprendre comment cette réglementation peut vous affecter en tant que client Emarsys et cet article suppose que vous utilisez la Plateforme Marketing Emarsys correctement, selon notre documentation.
Vous devriez toujours consulter une source juridique qualifiée quand il s'agit de vérifier si vous êtes ou non en conformité dans n'importe quelle situation.
Général
- Fournissez-vous une recommandation ou un modèle pour les contenus nécessaires (consentement, peut être annulé à tout moment, utilisation de données, etc.) pour les abonnements à une newsletter?
- Offrez-vous un modèle pour un document de Contrat de Traitement des Données?
- Quelle est la base juridique à laquelle je devrais me référer en ce qui concerne le traitement des données personnelles pour la newsletter?
- Est-ce que le RGPD affecte la portée de l’article 7 par. 3 de la Loi contre la Concurrence Déloyale (LCD) (publicité auprès de clients existants sans consentement)?
- La politique de confidentialité doit-elle être traduite dans toutes les langues du public ciblé?
Consentement
- Les anciens consentements doivent-ils être renouvelés, c'est-à-dire doivent-ils être obtenus à nouveau?
- Comment puis-je documenter les circonstances dans lesquelles le consentement a été donné afin de pouvoir fournir une preuve d'acceptation à un moment donné?
- Les informations telles que la "source de données", etc., doivent-elles également être collectées de manière rétroactive?
- En ce qui concerne la procédure de double opt-in, est-il permis de renvoyer un email de confirmation si la confirmation n'a pas été fournie?
- Le double opt-in hors ligne est-il obligatoire? Par exemple, pour un flyer dans un magasin - dans ce type de situation, le consentement est automatiquement sous-entendu lors de la soumission de l'adresse e-mail. Ces clients ont-ils besoin de recevoir un email de confirmation?
- Le suivi du taux d'ouvertures et de clics nécessite-t-il un consentement séparé?
- De quelle manière, précisément, le processus d'acceptation du consentement doit-il être documenté?
- Un abonnement à la newsletter doit-il demander la date de naissance du souscripteur afin de s'assurer que l'abonné a plus de 16 ans?
- Le consentement des abonnés âgés de moins de 16 ans existants doit-il être mis à jour?
- Si j'exécute une campagne de réautorisation pour récupérer le consentement, puis-je le faire avec une demande de consentement collectif, par exemple un consentement pour Web Extend, Predict et email en un seul clic?
Bureau de protection des données et autorité de surveillance
- Pour qui est-il nécessaire d'avoir un responsable de la protection des données?
- Quelles sont les fonctions d'un responsable de la protection des données?
- Qui est l'autorité de surveillance principale?
- Comment contacter l’autorité de surveillance?
Emplacement géographique
- En tant qu'entreprise basée en suisse, devons-nous nous conformer aux nouvelles exigences?
- Le RGPD est-il appliqué uniformément dans tous les pays de l'UE ou existe-t-il des différences au niveau national?
- Où sont situés les serveurs Emarsys?
Réaction et suivi du comportement
- Le consentement sera-t-il requis pour le suivi Web Extend?
- Le suivi du taux d'ouvertures et de clics nécessite-t-il un consentement séparé?
- Pendant combien de temps les données du taux de réaction seront-elles conservées?
- Quelles sont les données qui peuvent être transférées à la Plateforme Emarsys et sous quelle forme?
Couplage
- Les bons peuvent-ils être annoncés dans l'email de confirmation (par exemple "Confirmez maintenant et recevez un bon pour XYZ")?
- L’incitatif offert pour s'inscrire à un bulletin constitue-t-il un «couplage»?
- Qu'est-ce que l'interdiction de couplage couvrira exactement? Qu’est-ce qui va continuer à être autorisé?
Gestion de données
- Si le stockage d'adresses IP n'est pas autorisé, comment peuvent-elles être documentées dans le but de fournir une preuve du consentement?
- L'information qui n'est pas nécessairement requise pour le marketing par email, comme le genre ou le titre, peut-elle être utilisée?
- Le client doit-il avoir la possibilité de supprimer toutes les données personnelles stockées sur différents systèmes «en un seul clic»?
- Suis-je autorisé à continuer de recueillir des données pseudonymisées (suivi) afin de continuer à comprendre comment mon site web est utilisé?
- Puis-je utiliser les données en back-end des clients pour l'analyse, par exemple pour déterminer la qualité d'un segment de clientèle, si je contacte alors uniquement les clients ayant opté pour la personnalisation?
- Un client demande des informations sur ses données stockées. Quel est le moyen le plus simple de transmettre ces informations au client et quelle forme doit prendre l'information?
Fournissez-vous une recommandation ou un modèle pour les contenus nécessaires (consentement, peut être annulé à tout moment, utilisation de données, etc.) pour les abonnements à une newsletter?
Le consentement doit toujours être spécifique, informé et non ambigu dans tous les cas. La copie opt-in doit donc être limitée à l'envoi de publicité et ne peut contenir aucune autre information ou instruction. Quelque chose comme "adresse e-mail pour la newsletter et les notifications de prix" ne suffit pas.
De même, la personne concernée doit être capable de comprendre clairement la portée du consentement, c'est-à-dire quelle entreprise fait de la publicité, et pour quels produits ou services.
Enfin, avant de soumettre son consentement, l'intéressé doit être informé de son droit de révoquer ce consentement à tout moment. Une notification indiquant que l'utilisateur peut se désabonner à tout moment et quelles méthodes sont disponibles à cette fin peut être mentionnée immédiatement ou expliquée dans la politique de confidentialité, au minimum le lien de désabonnement et l'adresse électronique doivent être fournis.
La politique de confidentialité devrait inclure, entre autres, les bases légales, une note sur la newsletter (expéditeur, type d'emails, droit de désabonnement à tout moment, méthodes de désabonnement, et dans le cas de l'opt-out des publicités aux clients existants - en Allemagne en accord avec le paragraphe 7. conformément au paragraphe 3 de la LCD (loi contre la concurrence déloyale) - un passage expliquant qu'aucun frais de désinscription ne sera encouru, autres que les frais de transmission conformément au tarif de base, ainsi que des informations sur le traitement des données (quelles données sont collectées, comment les données sont traitées, comment elles sont utilisées et pour combien de temps elles sont sauvegardées, tout tiers doit être spécifiquement nommé).
Nous avons fourni quelques exemples de textes à utiliser dans cet article: Meilleures pratiques pour l'opt-in.
Offrez-vous un modèle pour un document de Contrat de Traitement des Données?
Non, si vous souhaitez consulter notre accord sur le traitement des données, veuillez contacter votre Client Success Manager.
Quelle est la base juridique à laquelle je devrais me référer en ce qui concerne le traitement des données personnelles pour la newsletter?
La base juridique pour le traitement des informations personnelles après l'inscription à la newsletter est le consentement reçu conformément à l'art. 6 (1) (a) RGPD, ou dans le cas d'une adresse email obtenue dans le cadre de la vente de biens ou de services (en Allemagne), 7 par. 3 LCD (Loi contre la Concurrence Déloyale).
La base légale pour l'enregistrement du comportement de l'utilisateur et le processus d'inscription pourrait être un intérêt légitime conformément à l'art. 6 (1) (f) RGPD. Dans ce cas, l'intérêt légitime est une offre de newsletter à la fois de haute qualité et techniquement sûre.
Est-ce que le RGPD affecte la portée de l’article 7 par. 3 de la Loi contre la Concurrence Déloyale (LCD) (publicité auprès de clients existants sans consentement)?
L’article 7 par. 3 LCD (Loi contre la Concurrence Déloyale) est basé sur la Directive sur la confidentialité électronique. Par conséquent, il existe des réglementations comparables au sein de l'UE. Il continuera à s’appliquer. Le principe d'un système juridique uniforme s'applique.
Si les exigences de l’article 7 par. 3 LCD sont remplies, le traitement des données qui y est lié sera également autorisé dans le cadre du RGPD. Ceci est une réglementation spéciale conformément à l'art. 95 RGPD. Cependant, une ingérence future et une décision juridique en résultant ne peuvent ne sont pas à exclure. Attendons et voyons dans quelle direction le règlement sur la protection de la vie privée ira éventuellement. Le projet contient une clause relative à cette question.
La politique de confidentialité doit-elle être traduite dans toutes les langues du public ciblé?
Si le site web est spécifiquement adapté à un pays ou une région (par exemple il utilise le domaine ".de"), alors oui. Une page web est par ailleurs globalement accessible et une traduction dans toutes les langues du monde serait complètement exagérée.
Les anciens consentements doivent-ils être renouvelés, c'est-à-dire doivent-ils être obtenus à nouveau?
Tout consentement qui a été obtenu légalement jusque-là restera valide. Ou, du moins, le consentement obtenu conformément aux lois allemande et autrichienne étant donné que les règlements régissant le consentement dans ces pays étaient déjà pratiquement conformes au RGPD.
Les mineurs, en particulier, peuvent constituer une pierre d'achoppement à cet égard; à l'avenir, le consentement parental sera requis pour les enfants de moins de 16 ans. Toutefois, cet âge peut également être réduit par les États membres, comme en Autriche (14 ans) et au Royaume-Uni (13 ans). Cela s'applique également aux données existantes.
En outre, l'interdiction du couplage doit être prise en compte. Bien que les nouveaux règlements soient quelque peu ambigus, les exigences deviendront plus rigoureuses que par le passé. Des versions populaires telles que «donnez-moi votre permission et vous serez inscrit à ce concours» devraient peut-être être convertie en «tous les abonnés à notre newsletter seront automatiquement inscrits à un concours».
Le résultat sera similaire du point de vue de l'annonceur, mais le phrasé présente moins de risques d'un point de vue juridique.
Comment puis-je documenter les circonstances dans lesquelles le consentement a été donné afin de pouvoir fournir une preuve d'acceptation à un moment donné?
D'un point de vue technique, des informations telles que l'emplacement, l'adresse IP et l'horodatage requis dans le cadre de la démonstration du consentement peuvent être facilement documentées par l'inclusion d'un double opt-in.
Cependant, l'archivage des politiques de confidentialité et des accords de consentement devrait être effectué séparément. Par exemple, lorsque vous effectuez des modifications, vous devez conserver les versions antérieures de vos pages web concernées (par exemple, en tant que captures d'écran enregistrées au format PDF ou images) pour suivre les modifications.
En outre, vous pouvez envoyer une copie de chaque email de confirmation envoyé dans le cadre du double opt-in à une archive de courrier électronique interne à l'aide de la fonction CCI.
Les informations telles que la "source de données", etc., doivent-elles également être collectées de manière rétroactive?
Oui. Il incombe au responsable du traitement de s'acquitter de son obligation de divulgation, que les documents aient été recueillis avant ou après l'entrée en vigueur du RGPD. Cependant, conformément à l'art. 15 (1) (g) RGPD, les informations sur la source des données ne doivent être fournies que dans les cas où les données personnelles ne sont pas collectées auprès de la personne concernée.
En ce qui concerne la procédure de double opt-in, est-il permis de renvoyer un email de confirmation si la confirmation n'a pas été fournie?
Non. En termes de RGPD, rien n'a changé à cet égard.
Le double opt-in hors ligne est-il obligatoire? Par exemple, pour un flyer dans un magasin - dans ce type de situation, le consentement est automatiquement sous-entendu lors de la soumission de l'adresse e-mail. Ces clients ont-ils besoin de recevoir un email de confirmation?
Un double opt-in n'est pas explicitement requis par le RGPD. Cependant, il doit être possible de fournir la preuve que la personne à qui appartient l'adresse email, c'est-à-dire la personne autorisée à utiliser cette adresse email, est bien la personne qui s'est inscrite et non quelqu'un d'autre.
Le double opt-in fournit le seul moyen possible et "étanche" de recueillir ces preuves.
À cet égard, le hors ligne n'est pas différent du en ligne. L'alternative serait d'archiver chaque flyer ou chaque signature. De plus, lors de la numérisation, des erreurs d'adresses email manuscrites apparaissent souvent sans une double confirmation du consentement, le spam est inévitable. Nous vous recommandons donc fortement, lorsque des adresses email ont été reçues via une source hors ligne, que ces dernières soient rapidement suivies d’un email de confirmation.
Le suivi du taux d'ouvertures et de clics nécessite-t-il un consentement séparé?
Non, voir la réponse précédente. La politique de confidentialité devrait indiquer que vous vous connectez si un email a été ouvert, comment vous suivez cela, et quels liens ont été cliqués. Les données sont collectées à des fins d'analyse et pour adapter le contenu des e-mails aux préférences individuelles des lecteurs.
De quelle manière, précisément, le processus d'acceptation du consentement doit-il être documenté?
Les données d'enregistrement à stocker sont l'adresse IP, l'horodatage, une URL / capture d'écran du formulaire d'inscription et dans le cas d'un double opt-in l'email de confirmation exact reçu. La façon dont les documents sont conservés peut être choisie individuellement, mais en cas de plainte, les dossiers complets doivent être facilement disponibles pour être présentés en temps opportun.
Un abonnement à la newsletter doit-il demander la date de naissance du souscripteur afin de s'assurer que l'abonné a plus de 16 ans?
Il devrait être suffisant de le signaler au cours du processus d'inscription en ajoutant une note indiquant que les abonnés doivent avoir plus de 16 ans. . En s'inscrivant, l'abonné confirme alors qu'il ou elle a au moins 16 ans.
Mais cela peut ne pas être le cas si une offre est destinée aux enfants. Dans ce cas, il peut être nécessaire d'obtenir une vérification ainsi que le consentement d'un parent ou d'un tuteur. Reste à voir comment cela peut être réalisé sans outrepasser de limite et tout en remplissant l’objectif, (comme par exemple demander une copie d'un document d'identité par email).
Le consentement des abonnés âgés de moins de 16 ans existants doit-il être mis à jour?
Oui. À partir du 25 mai 2018, les conditions de base du RGPD devront être remplies. Si le consentement d'un mineur a été fourni sans le consentement de son tuteur légal, les conditions du RGPD n'ont pas été remplies. En d'autres termes, cela signifie que le consentement ne sera plus valide à compter de la date d'entrée en vigueur (le 25 mai) et devra ensuite être corrigé.
Si j'exécute une campagne de réautorisation pour récupérer le consentement, puis-je le faire avec une demande de consentement collectif, par exemple un consentement pour Web Extend, Predict et email en un seul clic?
Un consentement séparé et explicite n'est pas requis pour Web Extend et Predict. Pour votre campagne de réautorisation, vous pouvez créer un lien vers un formulaire dans lequel l'acceptation de la newsletter et le consentement en termes de protection des données sont demandés séparément, c'est-à-dire au moyen de deux cases séparées.
Pour qui est-il nécessaire d'avoir un responsable de la protection des données?
Voir l’Art. 37 (1) GDPR: « Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données dans tous les cas où:
- le traitement est effectué par une autorité ou un organisme public, à l'exception des tribunaux agissant en leur capacité judiciaire;
- les principales activités du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, en raison de leur nature, de leur portée et / ou de leurs finalités, nécessitent un contrôle régulier et systématique des personnes concernées à grande échelle; ou
- les principales activités du responsable du traitement ou du sous-traitant consistent à traiter sur une grande échelle des catégories particulières de données conformément à l'article 9 ou des données à caractère personnel relatives à des condamnations pénales et des infractions mentionnées dans l'article 10. »
Les paragraphes 2 et 3 sont les plus susceptibles de s'appliquer. En cas de doute, un délégué à la protection des données doit être nommé.
Quelles sont les fonctions d'un responsable de la protection des données?
Voir l’Art. 39 (1) GDPR: « Le délégué à la protection des données doit accomplir au moins les tâches suivantes:
- informer et conseiller le responsable du traitement ou le sous-traitant et les employés qui effectuent le traitement de leurs obligations en vertu du présent Règlement et des autres dispositions de l'Union ou des États Membres en matière de protection des données;
- surveiller le respect du présent Règlement, des autres dispositions de l'Union ou des États Membres en matière de protection des données et des politiques du responsable du traitement, ou du traitement concernant la protection des données personnelles, notamment la répartition des responsabilités, la sensibilisation et la formation du personnel concerné par les opérations et les audits connexes;
- fournir des conseils, en cas de besoin, au sujet de l'évaluation de l'impact de la protection des données ainsi que contrôler ses performances conformément à l'article 35;
- coopérer avec l'autorité de surveillance;
- servir de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable mentionnée dans l'article 36, et la consulter, le cas échéant, sur toute autre question. »
Qui est l'autorité de surveillance principale?
Conformément à l'art. 56 (1) RGPD, l'autorité de surveillance de la succursale principale ou des succursales individuelles du responsable du traitement ou du sous-traitant est l'autorité responsable.
Cependant, conformément à l'art. 56 (2) GDPR, les autorités des autres États Membres de l'UE peuvent également agir lorsqu'elles reçoivent une plainte ou en prennent connaissance et que l'objet ne concerne qu'une succursale située dans leur État Membre ou n'affecte que de manière significative les personnes concernées dans leur État Membre.
Comment contacter l’autorité de surveillance?
Il n'y a pas de procédure formelle pour contacter une autorité de surveillance et cela peut se faire via les options de contact spécifiées par l'autorité de surveillance (voir par exemple leurs sites web).
En tant qu'entreprise basée en suisse, devons-nous nous conformer aux nouvelles exigences?
Oui, car le traitement des données par Emarsys a lieu dans l'UE et le RGPD est donc applicable. En outre, pratiquement aucun site internet suisse n'offre des services exclusivement à des clients basés en Suisse et non à des clients basés dans les pays voisins, ce qui, conformément à l'art. 3 (2) (a) RGPD, signifie que le Règlement général sur la protection des données s'appliquerait de toute façon.
Le RGPD est-il appliqué uniformément dans tous les pays de l'UE ou existe-t-il des différences au niveau national?
En substance, un ensemble unique de règles s'appliquera à tous les États membres de l'UE. Cependant, certains États membres auront besoin de lois nationales supplémentaires. Même l'Allemagne a une nouvelle loi fédérale sur la protection des données qui élargit la politique dans une certaine mesure. Ceci est moins basé sur le marketing et plus sur la vidéosurveillance, la notation et les contrôles de crédit ou le traitement des données personnelles.
Dans l'ensemble, il existe de nombreuses clauses dites de flexibilité dans le RGPD qui offrent un certain niveau de manoeuvrabilité à la législature nationale.
Où sont situés les serveurs Emarsys?
Tous les serveurs Emarsys gérant le traitement des données clients sont situés dans l'UE. Pour plus d'informations sur la façon dont Emarsys gère les données, voir: Sécurité des données dans Emarsys.
Le consentement sera-t-il requis pour le suivi Web Extend?
Bien que le RGPD en soi ne l’exige, il doit toujours être mentionné dans la politique de confidentialité et le client doit avoir accepté les conditions énoncées dans la politique de confidentialité (par exemple lors de l'inscription à la newsletter ou lors de la première visite sur le site avec l’apparition de la fenêtre de dialogue concernant les cookies). Cela pourrait toutefois changer avec le futur Règlement de l'UE sur la protection de la vie privée. Nous ne savons pas encore si, quand et sous quelle forme cette politique sera mise en œuvre.
Pendant combien de temps les données du taux de réaction seront-elles conservées?
Il n'y a pas de limite fixe, mais vous avez l'obligation de fournir des informations sur la durée de conservation des données. En règle générale, cette notification sera incluse dans la politique de confidentialité.
Dans le même temps, vous devez configurer des processus pour vous assurer que les données qui ne sont plus nécessaires ou pour lesquelles il n'y a plus d'utilisation légitime sont supprimées correctement et en temps voulu.
Quelles sont les données qui peuvent être transférées à la Plateforme Emarsys et sous quelle forme?
L'onboarding de données permet d'utiliser la plateforme sous toutes ses facettes. Répondons à cette question d'un point de vue différent : quelles sont les restrictions en matière de transfert de données?
Les catégories spéciales de données à caractère personnel exigent des mesures extraordinaires, conformément à l'art. 9 RGPD. La forme de transmission est sans importance d'un point de vue juridique, mais a généralement lieu par voie électronique.
Dans la plateforme Emarsys, Emarsys ne prend pas en charge l'utilisation de données personnelles sensibles et n'inclut pas de mesures techniques qui prennent en charge le traitement de catégories spéciales de données personnelles. Les données personnelles sensibles sont des informations sur l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance syndicale, la santé ou la vie sexuelle, les condamnations pénales ou les infractions, les données relatives aux comptes bancaires et aux cartes de crédit, les données génétiques et les données biométriques dans le but d'identifier une personne physique de manière unique.
Les bons peuvent-ils être annoncés dans l'email de confirmation (par exemple "Confirmez maintenant et recevez un bon pour XYZ")?
Non, car cela signifie que l'email de confirmation lui-même devient une publicité et la publicité ne peut être envoyée qu'après la confirmation de l'enregistrement.
L’incitatif offert pour s'inscrire à un bulletin constitue-t-il un «couplage»?
Strictement parlant, oui. Après tout, cela incite l'utilisateur à accorder son consentement.
Mais tout le monde le fait et cette règle ne devrait probablement pas être appliquée d'une manière irréaliste et stricte ici.
Le fait que cet avantage ne soit pas offert à ceux qui refusent de participer ne constitue pas un désavantage si important que cela aurait une incidence sur le caractère volontaire de leur consentement. Il est cependant important de ne pas dépasser la limite. L'inscription à la newsletter doit rester au centre.
Qu'est-ce que l'interdiction de couplage couvrira exactement? Qu’est-ce qui va continuer à être autorisé?
On ne peut répondre à cette question en termes généraux. Cela dépendra toujours des circonstances uniques de chaque cas individuel.
Le couplage de l'inscription avec une participation au concours peut être autorisé s'il existe d'autres moyens d'entrer, c'est-à-dire si le participant a la possibilité de participer au concours par courrier, par exemple, ou autrement que par email. Si cette option n'est pas disponible, le couplage n'est pas autorisé.
L'alternative doit également être clairement indiquée sur le formulaire. S'il n'y a pas d'alternative, le couplage ne peut avoir lieu, et une case à cocher séparée doit être fournie pour l'abonnement à la newsletter.
En général, ceci s'applique: plus on offre "en échange" de l'enregistrement, plus il est probable qu'il ne sera pas permis.
Si le stockage d'adresses IP n'est pas autorisé, comment peuvent-elles être documentées dans le but de fournir une preuve du consentement?
Il n'est pas catégoriquement vrai que les adresses IP ne peuvent pas être stockées. Bien que cela soit en effet considéré comme une information personnelle au sens du RGPD, l'intérêt du contrôleur pour le traitement de l'adresse IP (par exemple pour la preuve du consentement) l'emportera conformément à l'art. 6 (1) (f) RGPD.
L'information qui n'est pas nécessairement requise pour le marketing par email, comme le genre ou le titre, peut-elle être utilisée?
C'est aussi un problème complexe. Si le responsable du traitement a un intérêt légitime (pour le distributeur, par exemple, en meilleure adéquation avec les intérêts du client) et les intérêts de la personne concernée (le client) ne l'emportent pas, cela peut continuer à être autorisé conformément à l’art. 6 (1) (f) RGPD.
Le client doit-il avoir la possibilité de supprimer toutes les données personnelles stockées sur différents systèmes «en un seul clic»?
Non. Après réception d'une demande, le responsable du traitement doit supprimer les données dans un délai de 30 jours et envoyer une confirmation à la personne concernée.
Suis-je autorisé à continuer de recueillir des données pseudonymisées (suivi) afin de continuer à comprendre comment mon site web est utilisé?
Oui, voir ci-dessus.
Puis-je utiliser les données en back-end des clients pour l'analyse, par exemple pour déterminer la qualité d'un segment de clientèle, si je contacte alors uniquement les clients ayant opté pour la personnalisation?
Oui. Si le client a été correctement informé à ce sujet (par exemple dans la politique de confidentialité) et a consenti à cela, alors cela est admissible.
Un client demande des informations sur ses données stockées. Quel est le moyen le plus simple de transmettre ces informations au client et quelle forme doit prendre l'information?
Il n'y a pas de formulaire légal. L’art. 15 (3) phrase 3 du RGPD exige uniquement que:
« Lorsque la personne concernée en fait la demande par voie électronique, et sauf demande contraire de la personne concernée, les informations doivent être fournies sous une forme électronique communément utilisée. »
La façon la plus simple de le faire serait par email, peut-être en y joignant un tableau Excel.