Nous avons déjà répondu à quelques questions générales sur le RGPD dans cet article:
Ci-dessous, nous avons recueilli quelques questions supplémentaires spécifiques aux utilisateurs de la plate-forme marketing Emarsys.
Pour toute autre question concernant la protection des données, veuillez formuler une demande de support afin que nous puissions l'ajouter à notre documentation.
Emarsys n'est pas un cabinet d'avocats spécialisé dans la législation sur la sécurité des données. Nous voulons vous aider à comprendre cette législation, mais nous n'offrons pas de conseils juridiques.
Vous devriez toujours vous référer à une source légale qualifiée quand il s'agit de vérifier si vous êtes en conformité dans une situation donnée.
Général
- Fournissez-vous une recommandation ou un modèle pour les contenus nécessaires (consentement, peut être annulé à tout moment, utilisation de données, etc.) pour les abonnements à une newsletter?
- Offrez-vous un modèle pour un document de Contrat de Traitement des Données?
- Quelle est la base juridique à laquelle je devrais me référer en ce qui concerne le traitement des données personnelles pour la newsletter?
- Est-ce que le RGPD affecte la portée de l’article 7 par. 3 de la Loi contre la Concurrence Déloyale (LCD) (publicité auprès de clients existants sans consentement)?
- La politique de confidentialité doit-elle être traduite dans toutes les langues du public ciblé?
Consentement
- Les anciens consentements doivent-ils être renouvelés, c'est-à-dire doivent-ils être obtenus à nouveau?
- Comment puis-je documenter les circonstances dans lesquelles le consentement a été donné afin de pouvoir fournir une preuve d'acceptation à un moment donné?
- Les informations telles que la "source de données", etc., doivent-elles également être collectées de manière rétroactive?
- En ce qui concerne la procédure de double opt-in, est-il permis de renvoyer un email de confirmation si la confirmation n'a pas été fournie?
- Le double opt-in hors ligne est-il obligatoire? Par exemple, pour un flyer dans un magasin - dans ce type de situation, le consentement est automatiquement sous-entendu lors de la soumission de l'adresse e-mail. Ces clients ont-ils besoin de recevoir un email de confirmation?
- Le suivi du taux d'ouvertures et de clics nécessite-t-il un consentement séparé?
- De quelle manière, précisément, le processus d'acceptation du consentement doit-il être documenté?
- Un abonnement à la newsletter doit-il demander la date de naissance du souscripteur afin de s'assurer que l'abonné a plus de 16 ans?
- Le consentement des abonnés âgés de moins de 16 ans existants doit-il être mis à jour?
- Si j'exécute une campagne de réautorisation pour récupérer le consentement, puis-je le faire avec une demande de consentement collectif, par exemple un consentement pour Web Extend, Predict et email en un seul clic?
Bureau de protection des données et autorité de surveillance
- Pour qui est-il nécessaire d'avoir un responsable de la protection des données?
- Quelles sont les fonctions d'un responsable de la protection des données?
- Qui est l'autorité de surveillance principale?
- Comment contacter l’autorité de surveillance?
Emplacement géographique
- En tant qu'entreprise basée en suisse, devons-nous nous conformer aux nouvelles exigences?
- Le RGPD est-il appliqué uniformément dans tous les pays de l'UE ou existe-t-il des différences au niveau national?
- Où sont situés les serveurs Emarsys?
Réaction et suivi du comportement
- Le consentement sera-t-il requis pour le suivi Web Extend?
- Le suivi du taux d'ouvertures et de clics nécessite-t-il un consentement séparé?
- Pendant combien de temps les données du taux de réaction seront-elles conservées?
- Quelles sont les données qui peuvent être transférées à la Plateforme Marketing Emarsys et sous quelle forme?
Couplage
- Les bons peuvent-ils être annoncés dans l'email de confirmation (par exemple "Confirmez maintenant et recevez un bon pour XYZ")?
- L’incitatif offert pour s'inscrire à un bulletin constitue-t-il un «couplage»?
- Qu'est-ce que l'interdiction de couplage couvrira exactement? Qu’est-ce qui va continuer à être autorisé?
Gestion de données
- Si le stockage d'adresses IP n'est pas autorisé, comment peuvent-elles être documentées dans le but de fournir une preuve du consentement?
- L'information qui n'est pas nécessairement requise pour le marketing par email, comme le genre ou le titre, peut-elle être utilisée?
- Le client doit-il avoir la possibilité de supprimer toutes les données personnelles stockées sur différents systèmes «en un seul clic»?
- Suis-je autorisé à continuer de recueillir des données pseudonymisées (suivi) afin de continuer à comprendre comment mon site web est utilisé?
- Puis-je utiliser les données en back-end des clients pour l'analyse, par exemple pour déterminer la qualité d'un segment de clientèle, si je contacte alors uniquement les clients ayant opté pour la personnalisation?
- Un client demande des informations sur ses données stockées. Quel est le moyen le plus simple de transmettre ces informations au client et quelle forme doit prendre l'information?
Offrez-vous un modèle pour un document de Contrat de Traitement des Données?
Non, mais n'hésitez pas à jeter un coup d’œil à notre propre document pour vous en inspirer: Accord de Gestion de Données Emarsys.
Est-ce que le RGPD affecte la portée de l’article 7 par. 3 de la Loi contre la Concurrence Déloyale (LCD) (publicité auprès de clients existants sans consentement)?
L’article 7 par. 3 LCD (Loi contre la Concurrence Déloyale) est basé sur la Directive sur la confidentialité électronique. Par conséquent, il existe des réglementations comparables au sein de l'UE. Il continuera à s’appliquer. Le principe d'un système juridique uniforme s'applique.
Si les exigences de l’article 7 par. 3 LCD sont remplies, le traitement des données qui y est lié sera également autorisé dans le cadre du RGPD. Ceci est une réglementation spéciale conformément à l'art. 95 RGPD. Cependant, une ingérence future et une décision juridique en résultant ne peuvent ne sont pas à exclure. Attendons et voyons dans quelle direction le règlement sur la protection de la vie privée ira éventuellement. Le projet contient une clause relative à cette question.
La politique de confidentialité doit-elle être traduite dans toutes les langues du public ciblé?
Si le site web est spécifiquement adapté à un pays (par exemple en utilisant le domaine ".de"), alors oui. Une page web est par ailleurs globalement accessible et une traduction dans toutes les langues du monde serait complètement exagérée.
Les anciens consentements doivent-ils être renouvelés, c'est-à-dire doivent-ils être obtenus à nouveau?
Tout consentement qui a été obtenu légalement jusque-là restera valide. Ou, du moins, le consentement obtenu conformément aux lois allemande et autrichienne étant donné que les règlements régissant le consentement dans ces pays étaient déjà pratiquement conformes au RGPD.
Les mineurs, en particulier, peuvent constituer une pierre d'achoppement à cet égard; à l'avenir, le consentement parental sera requis pour les enfants de moins de 16 ans. Toutefois, cet âge peut également être réduit par les États membres, comme en Autriche (14 ans) et au Royaume-Uni (13 ans). Cela s'applique également aux données existantes.
En outre, l'interdiction du couplage doit être prise en compte. Bien que les nouveaux règlements soient quelque peu ambigus, les exigences deviendront plus rigoureuses que par le passé. Des versions populaires telles que «donnez-moi votre permission et vous serez inscrit à ce concours» devraient peut-être être convertie en «tous les abonnés à notre newsletter seront automatiquement inscrits à un concours».
Le résultat sera similaire du point de vue de l'annonceur, mais le phrasé présente moins de risques d'un point de vue juridique.
Comment puis-je documenter les circonstances dans lesquelles le consentement a été donné afin de pouvoir fournir une preuve d'acceptation à un moment donné?
D'un point de vue technique, des informations telles que l'emplacement, l'adresse IP et l'horodatage requis dans le cadre de la démonstration du consentement peuvent être facilement documentées par l'inclusion d'un double opt-in.
Cependant, l'archivage des politiques de confidentialité et des accords de consentement devrait être effectué séparément. Par exemple, lorsque vous effectuez des modifications, vous devez conserver les versions antérieures de vos pages web concernées (par exemple, en tant que captures d'écran enregistrées au format PDF ou images) pour suivre les modifications.
En outre, vous pouvez envoyer une copie de chaque email de confirmation envoyé dans le cadre du double opt-in à une archive de courrier électronique interne à l'aide de la fonction CCI.
Les informations telles que la "source de données", etc., doivent-elles également être collectées de manière rétroactive?
Oui. Il incombe au responsable du traitement de s'acquitter de son obligation de divulgation, que les documents aient été recueillis avant ou après l'entrée en vigueur du RGPD. Cependant, conformément à l'art. 15 (1) (g) RGPD, les informations sur la source des données ne doivent être fournies que dans les cas où les données personnelles ne sont pas collectées auprès de la personne concernée.
En ce qui concerne la procédure de double opt-in, est-il permis de renvoyer un email de confirmation si la confirmation n'a pas été fournie?
Non. En termes de RGPD, rien n'a changé à cet égard.
Le double opt-in hors ligne est-il obligatoire? Par exemple, pour un flyer dans un magasin - dans ce type de situation, le consentement est automatiquement sous-entendu lors de la soumission de l'adresse e-mail. Ces clients ont-ils besoin de recevoir un email de confirmation?
Un double opt-in n'est pas explicitement requis par le RGPD. Cependant, il doit être possible de fournir la preuve que la personne à qui appartient l'adresse email, c'est-à-dire la personne autorisée à utiliser cette adresse email, est bien la personne qui s'est inscrite et non quelqu'un d'autre.
Le double opt-in fournit le seul moyen possible et "étanche" de recueillir ces preuves.
À cet égard, le hors ligne n'est pas différent du en ligne. L'alternative serait d'archiver chaque flyer ou chaque signature. De plus, lors de la numérisation, des erreurs d'adresses email manuscrites apparaissent souvent sans une double confirmation du consentement, le spam est inévitable. Nous vous recommandons donc fortement, lorsque des adresses email ont été reçues via une source hors ligne, que ces dernières soient rapidement suivies d’un email de confirmation.
Le suivi du taux d’ouvertures et de clics nécessite-t-il un consentement séparé?
Non, voir la réponse précédente. La politique de confidentialité devrait indiquer que vous vous connectez si un email a été ouvert, comment vous suivez cela, et quels liens ont été cliqués. Les données sont collectées à des fins d'analyse et pour adapter le contenu des e-mails aux préférences individuelles des lecteurs.
De quelle manière, précisément, le processus d'acceptation du consentement doit-il être documenté?
Les données d'enregistrement à stocker sont l'adresse IP, l'horodatage, une URL / capture d'écran du formulaire d'inscription et dans le cas d'un double opt-in l'email de confirmation exact reçu. La façon dont les documents sont conservés peut être choisie individuellement, mais en cas de plainte, les dossiers complets doivent être facilement disponibles pour être présentés en temps opportun.
Le consentement des abonnés âgés de moins de 16 ans existants doit-il être mis à jour?
Oui. À partir du 25 mai 2018, les conditions de base du RGPD devront être remplies. Si le consentement d'un mineur a été fourni sans le consentement de son tuteur légal, les conditions du RGPD n'ont pas été remplies. En d'autres termes, cela signifie que le consentement ne sera plus valide à compter de la date d'entrée en vigueur (le 25 mai) et devra ensuite être corrigé.
Si j'exécute une campagne de réautorisation pour récupérer le consentement, puis-je le faire avec une demande de consentement collectif, par exemple un consentement pour Web Extend, Predict et email en un seul clic?
Un consentement séparé et explicite n'est pas requis pour Web Extend et Predict. Pour votre campagne de réautorisation, vous pouvez créer un lien vers un formulaire dans lequel l'acceptation de la newsletter et le consentement en termes de protection des données sont demandés séparément, c'est-à-dire au moyen de deux cases séparées.
Pour qui est-il nécessaire d'avoir un responsable de la protection des données?
Voir l’Art. 37 (1) GDPR: « Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données dans tous les cas où:
- le traitement est effectué par une autorité ou un organisme public, à l'exception des tribunaux agissant en leur capacité judiciaire;
- les principales activités du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, en raison de leur nature, de leur portée et / ou de leurs finalités, nécessitent un contrôle régulier et systématique des personnes concernées à grande échelle; ou
- les principales activités du responsable du traitement ou du sous-traitant consistent à traiter sur une grande échelle des catégories particulières de données conformément à l'article 9 ou des données à caractère personnel relatives à des condamnations pénales et des infractions mentionnées dans l'article 10. »
Les paragraphes 2 et 3 sont les plus susceptibles de s'appliquer. En cas de doute, un délégué à la protection des données doit être nommé.
Quelles sont les fonctions d'un responsable de la protection des données?
Voir l’Art. 39 (1) GDPR: « Le délégué à la protection des données doit accomplir au moins les tâches suivantes:
- informer et conseiller le responsable du traitement ou le sous-traitant et les employés qui effectuent le traitement de leurs obligations en vertu du présent Règlement et des autres dispositions de l'Union ou des États Membres en matière de protection des données;
- surveiller le respect du présent Règlement, des autres dispositions de l'Union ou des États Membres en matière de protection des données et des politiques du responsable du traitement, ou du traitement concernant la protection des données personnelles, notamment la répartition des responsabilités, la sensibilisation et la formation du personnel concerné par les opérations et les audits connexes;
- fournir des conseils, en cas de besoin, au sujet de l'évaluation de l'impact de la protection des données ainsi que contrôler ses performances conformément à l'article 35;
- coopérer avec l'autorité de surveillance;
- servir de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable mentionnée dans l'article 36, et la consulter, le cas échéant, sur toute autre question. »
En tant qu'entreprise basée en suisse, devons-nous nous conformer aux nouvelles exigences?
Oui, car le traitement des données par Emarsys a lieu dans l'UE et le RGPD est donc applicable. En outre, pratiquement aucun site internet suisse n'offre des services exclusivement à des clients basés en Suisse et non à des clients basés dans les pays voisins, ce qui, conformément à l'art. 3 (2) (a) RGPD, signifie que le Règlement général sur la protection des données s'appliquerait de toute façon.
Le RGPD est-il appliqué uniformément dans tous les pays de l'UE ou existe-t-il des différences au niveau national?
En substance, un ensemble unique de règles s'appliquera à tous les États membres de l'UE. Cependant, certains États membres auront besoin de lois nationales supplémentaires. Même l'Allemagne a une nouvelle loi fédérale sur la protection des données qui élargit la politique dans une certaine mesure. Ceci est moins basé sur le marketing et plus sur la vidéosurveillance, la notation et les contrôles de crédit ou le traitement des données personnelles.
Dans l'ensemble, il existe de nombreuses clauses dites de flexibilité dans le RGPD qui offrent un certain niveau de manoeuvrabilité à la législature nationale.
Où sont situés les serveurs Emarsys?
Tous les serveurs Emarsys gérant le traitement des données clients sont situés dans l'UE. Pour plus d'informations sur la façon dont Emarsys gère les données, voir: Sécurité des données dans l’application Emarsys.
Le consentement sera-t-il requis pour le suivi Web Extend?
Bien que le RGPD en soi ne l’exige, il doit toujours être mentionné dans la politique de confidentialité et le client doit avoir accepté les conditions énoncées dans la politique de confidentialité (par exemple lors de l'inscription à la newsletter ou lors de la première visite sur le site avec l’apparition de la fenêtre de dialogue concernant les cookies). Cela pourrait toutefois changer avec le futur Règlement de l'UE sur la protection de la vie privée. Nous ne savons pas encore si, quand et sous quelle forme cette politique sera mise en œuvre.
Pendant combien de temps les données du taux de réaction seront-elles conservées?
Il n'y a pas de limite fixe, mais vous avez l'obligation de fournir des informations sur la durée de conservation des données. En règle générale, cette notification sera incluse dans la politique de confidentialité.
Dans le même temps, vous devez configurer des processus pour vous assurer que les données qui ne sont plus nécessaires ou pour lesquelles il n'y a plus d'utilisation légitime sont supprimées correctement et en temps voulu.
Quelles sont les données qui peuvent être transférées à la Plateforme Marketing Emarsys et sous quelle forme?
L'intégration de données permet d'utiliser la plateforme sous toutes ses facettes. Mais répondons à cette question d'un point de vue différent: quelles sont les restrictions en matière de transfert de données?
Les catégories spéciales de données à caractère personnel exigent des mesures extraordinaires, conformément à l'art. 9 RGPD. Les catégories spéciales comprennent, par exemple, des données sur les opinions politiques ou religieuses ou des données concernant la santé, l’orientation sexuelle ou l'origine ethnique. Toutes les autres données peuvent être traitées sans aucun problème, à condition que les conditions générales, telles que le consentement de la personne concernée (personne concernée), aient été respectées.
La forme de transmission est sans importance d'un point de vue juridique, mais a généralement lieu par voie électronique.
Les bons peuvent-ils être annoncés dans l'email de confirmation (par exemple "Confirmez maintenant et recevez un bon pour XYZ")?
Non, car cela signifie que l'email de confirmation lui-même devient une publicité et la publicité ne peut être envoyée qu'après la confirmation de l'enregistrement.
Qu'est-ce que l'interdiction de couplage couvrira exactement? Qu’est-ce qui va continuer à être autorisé?
On ne peut répondre à cette question en termes généraux. Cela dépendra toujours des circonstances uniques de chaque cas individuel.
Le couplage de l'inscription avec une participation au concours peut être autorisé s'il existe d'autres moyens d'entrer, c'est-à-dire si le participant a la possibilité de participer au concours par courrier, par exemple, ou autrement que par email. Si cette option n'est pas disponible, le couplage n'est pas autorisé.
L'alternative doit également être clairement indiquée sur le formulaire. S'il n'y a pas d'alternative, le couplage ne peut avoir lieu, et une case à cocher séparée doit être fournie pour l'abonnement à la newsletter.
En général, ceci s'applique: plus on offre "en échange" de l'enregistrement, plus il est probable qu'il ne sera pas permis.
Si le stockage d'adresses IP n'est pas autorisé, comment peuvent-elles être documentées dans le but de fournir une preuve du consentement?
Il n'est pas catégoriquement vrai que les adresses IP ne peuvent pas être stockées. Bien que cela soit en effet considéré comme une information personnelle au sens du RGPD, l'intérêt du contrôleur pour le traitement de l'adresse IP (par exemple pour la preuve du consentement) l'emportera conformément à l'art. 6 (1) (f) RGPD.
L'information qui n'est pas nécessairement requise pour le marketing par email, comme le genre ou le titre, peut-elle être utilisée?
C'est aussi un problème complexe. Si le responsable du traitement a un intérêt légitime (pour le distributeur, par exemple, en meilleure adéquation avec les intérêts du client) et les intérêts de la personne concernée (le client) ne l'emportent pas, cela peut continuer à être autorisé conformément à l’art. 6 (1) (f) RGPD.
Le client doit-il avoir la possibilité de supprimer toutes les données personnelles stockées sur différents systèmes «en un seul clic»?
Non. Après réception d'une demande, le responsable du traitement doit supprimer les données dans un délai de 30 jours et envoyer une confirmation à la personne concernée.
Un client demande des informations sur ses données stockées. Quel est le moyen le plus simple de transmettre ces informations au client et quelle forme doit prendre l'information?
Oui, voir ci-dessus.
Puis-je utiliser les données en back-end des clients pour l'analyse, par exemple pour déterminer la qualité d'un segment de clientèle, si je contacte alors uniquement les clients ayant opté pour la personnalisation?
Oui. Si le client a été correctement informé à ce sujet (par exemple dans la politique de confidentialité) et a consenti à cela, alors cela est admissible.
Un client demande des informations sur ses données stockées. Quel est le moyen le plus simple de transmettre ces informations au client et quelle forme doit prendre l'information?
Il n'y a pas de formulaire légal. L’art. 15 (3) phrase 3 du RGPD exige uniquement que:
« Lorsque la personne concernée en fait la demande par voie électronique, et sauf demande contraire de la personne concernée, les informations doivent être fournies sous une forme électronique communément utilisée. »
La façon la plus simple de le faire serait par email, peut-être en y joignant un tableau Excel.