Dans cet article, nous résumons de la manière et des circonstances dans lesquelles la RGPD affecte les utilisateurs de la Plateforme Marketing Emarsys et ses produits constituants.
Table des matières
Emarsys n'est pas un cabinet d'avocats spécialisé dans la législation sur la sécurité des données. Nous voulons vous aider à comprendre cette législation, mais nous n'offrons pas de conseils juridiques.
Vous devez systématiquement solliciter un avis juridique qualifié au moment de vérifier si vous êtes en conformité ou non dans telle ou telle situation.
La RGPD et la Plateforme Emarsys
Les aspects les plus importants de la RGPD vous affectant en tant qu'utilisateur Emarsys sont décrits ici :
Pour résumer, c'est à vous de vous assurer que :
- Vous avez mis en place des méthodes robustes et conformes de collecte et de conservation d'autorisations d'envoyer du contenu publicitaire et de tracer et collecter les données de réponse et de comportement.
- Votre Politique de confidentialité est à jour, couvrant toutes vos méthodes de collecte et d'utilisation de données, ainsi que de livraison de messages, tout en étant facilement accessible et visible au point d'inscription des nouveaux contact.
- Vos méthodes de désabonnement sont aussi simples que vos méthodes d'abonnement.
- Vous pouvez recueillir et traiter les demandes de récupération ou de suppression de données client.
Si vous utilisez Web Extend pour tracer les visiteurs sur votre site Web, vous devez aussi :
- Expliquer dans votre Politique de confidentialité que vous utilisez à la fois des données personnelles et l'historique de comportement Web pour offrir à vos clients un contenu personnalisé.
- Décrire comment un client peut choisir que ses données ne soient pas utilisées de cette manière.
Il est important de réaliser que la RGPD a finalement changé peu de choses à cet égard. Les réglementations sont seulement exprimées plus clairement, leur application devrait être plus strict, et les amendes potentielles augmenter considérablement.
Si vous étiez déjà complètement en conformité avec nos bonnes pratiques d'opt-in , nous estimons que vous deviez déjà être en conformité avec l'essentiel de la RGPD avant qu'elle ne s'applique.
Puisqu'il nous est impossible de fournir un conseil (ou même des lignes directrices) s'appliquant à tous les cas particuliers, nous vous recommandons de solliciter un conseil juridique indépendant si vous vous préoccupez de l'impact que la RGPD pourrait avoir par ailleurs sur votre entreprise, par exemple concernant l'opt-in de contacts mineurs de moins de 16 ans.
La RGPD et Predict
Predict base toutes ses fonctionnalités sur les données que lui fournissent les scripts de collecte de données Web Extend, qui sont entièrement expliqués dans l'article :
Toutes les méthodes de production de recommandations personnalisées sont couvertes par les lignes directrices générales sur La RGPD et la Plateforme Emarsys décrites ci-dessus.
RGPD et Smart Insight
Smart Insight base sa fonctionnalité sur les données de ventes que vous téléverser dans Emarsys. Vous devez affirmer clairement dans votre Politique de confidentialité que vous partagez ces données de manières sécurisée avec un fournisseur de service tiers, afin de pouvoir offrir un meilleur service à vos clients par un contenu personnalisé.
Tous les autres aspects de la gestion de données par Smart Insight, y compris la création de segments qui peuvent être utiliser pour personnaliser du contenu sur les canaux de messagerie Emarsys, sont couverts par les lignes directrices générales pour La RGPD et la Plateforme Emarsys décrites ci-dessus.
Dans le cas des données que lui fournissent les scripts de collecte de données Web Extend, ceci est entièrement expliqué dans l'article :
La RGPD et le canal Web
Le canal Web base toutes ses fonctionnalités sur les données que lui fournissent les scripts de collecte de données Web Extend, qui sont entièrement expliqués dans l'article :
La RGPD et Digital Ads
Le seul moment où Digital Ads transmet des données d'Emarsys à un tiers est lorsque nous envoyons une liste d'identifiants de contact hachés (actuellement des adresses email ou des numéros de téléphone mobile) aux réseaux pour qu'ils puissent rechercher des correspondances parmi leurs propres profils d'utilisateur.
Ces adresses email sont envoyées sous la forme de hachages cryptographiques. Non seulement elles sont sécurisées pendant le transfert, mais le réseau qui les reçoit ne peut les utiliser que pour identifier des profils d'utilisateur pour lesquels ces données existent déjà. Si ces données n'existent pas (c'est-à-dire que l'adresse email pour le numéro de téléphone mobile n'ont pas été donné pour un profil), elles ne peuvent être dévoilées.
Les profils utilisateur reconnus sont ensuite rassemblés en un public personnalisé par le réseau.
En d'autres termes, aucune donnée personnelle (PII) n'est transmise à un tiers.
C'est pour cette raison qu'il n'y a aucune obligation légale d'obtenir un opt-in explicite d'un contact pour utiliser leurs données de cette manière. Vous devez toutefois clairement spécifier dans votre Politique de confidentialité que vous envoyez des adresses email hachées aux réseaux, de sorte à ce qu'ils puissent construire des publics personnalisés à partir de vos contacts, et que vous puissiez ensuite cibler ces derniers avec des publicités. En dehors de cela, aucune donnée personnelle n'est transmise. Les utilisateurs du réseau peuvent gérer leurs propres paramètres de confidentialité sur le réseau.
Voir aussi : Digital Ads - FAQ.
Termes et conditions du réseau
En tant que publicitaire, vous avez garanti au réseau que vous obteniez les identifiants de contact utilisés dans les données hachées de manière légale, au moment où vous avez adhéré à leurs termes et conditions. En même temps, le réseau se porte garant que son traitement de ces données n'enfreint pas la loi.
Par exemple, Facebook déclare :
- "Vous déclarez et garantissez que, sans limiter la portée d'aucune disposition des présentes, vous possédez tous les droits et autorisations nécessaires, ainsi qu'une base juridique, pour révéler et utiliser les Données Hachées en conformité avec toutes les lois, réglementations et lignes directrices sectorielles applicables". "
et
- "Vous demandez à Facebook d'utiliser les Données Hachées dans le processus de jumelage. Facebook ne partagera pas les Données Hachées avec des tiers ou d'autres publicitaires et supprimera les Données Hachées rapidement après l'achèvement du processus de jumelage. "
Références :
- https://www.facebook.com/legal/terms/customaudience
- https://support.google.com/adwordspolicy/answer/6299717?hl=en
En tant qu'utilisateur du réseau, vos contacts ont aussi consenti aux termes et conditions qui couvrent l'usage des publicités affichées. Il revient au réseau d'informer les utilisateurs sur la manière dont ils peuvent modifier leurs paramètres de confidentialité.
Références :
Au-delà de ça, nous n'avons actuellement (juin 2018) aucune raison de croire que l'usage d'Emarsys Digital Ads soit interdit par la RGPD.
La RGPD et SMS
La grande particularité de SMS en tant que canal est que nous utilisons un réseau de porteurs global pour envoyer les messages textes. A cette fin, nous leur envoyons les numéros de téléphone mobile des contacts en même temps que le message.
Puisque ces numéros de téléphone mobile sont essentiels pour la livraison du message, et que vous devez avoir obtenu le consentement explicite à recevoir des messages textes de tous vos contacts, SMS est couvert par les lignes directrices générales sur La RGPD et la Plateforme Emarsys décrites ci-dessus.
La RGPD et Mobile Engage
C'est à vous d'assurer que la procédure d'inscription pour le téléchargement et l'installation de votre appli couvre l'opt-in pour recevoir des messages et fournit un lien vers votre Politique de confidentialité.
Vous devez aussi utiliser des données pseudonymisées pour identifier les contacts, tel que décrit dans :
Puisque Mobile Engage ne transmet du contenu que depuis Emarsys vers votre appli, il est par ailleurs couvert par les lignes directrices générales sur La RGPD et la Plateforme Emarsys décrites ci-dessus.
RGPD et Emails de réponse
Lorsqu'un contact répond à l'une de vos campagnes email en utilisant l'adresse email de réponse, leur réponse contient aussi des données personnelles et est par conséquent couverte par la RGPD.
Récupération de données
Si vous voulez trouver un email de réponse d'un contact spécifique vous pouvez rechercher manuellement dans votre boîte de réception d'email de réponse ou la filtrer par date. Une fois que vous avez trouvé un email, vous pouvez l'ouvrir et en copier les contenus.
Toutefois, la seule manière dont vous pouvez exporter tous les emails de réponse d'un contact unique, ou vérifier combien il y en a (par exemple si votre boîte de réception est simplement trop grosse pour que vous puissiez l'explorer) est via une demande de support à Emarsys.
Suppression de données
Les emails de réponse Emarsys sont automatiquement supprimés après 30 jours, qui correspondent à le fenêtre autorisée par la RGPD pour supprimer les données personnelles. Vous n'avez donc pas besoin d'engager d'action pour de telles demandes, en dehors de confirmer qu'elle aura lieu.
RGPD et Emails
Quand un contact ouvre un email incluant des images, l'image téléchargée contient un pixel de traçage, qui aide à collecter des données sur le contact. Ces informations spécifiques à l'utilisateur sont les suivantes :
- Adresse IP
- Information d'agent utilisateur (Navigateur, Mobile, etc.)