RGPD : Comment mettre sa base de données abonnés en conformité avec la loi sur la protection des données individuelles ?

RGPD : comment mettre sa base de données abonnés en conformité ? | AboMarque

RGPD : Comment mettre sa base de données abonnés en conformité avec la loi sur la protection des données individuelles ? | AboMarque Depuis le 25 Mai 2018, une nouvelle loi européenne est entrée en vigueur. Le RGPD (Règlement Général pour la  Protection des Données) vise à protéger les données personnelles des internautes. Toute entreprise doit se mettre en conformité avec cette loi sous peine de se voir sanctionner d’une forte amende.

 

En tant qu’éditeur de presse, vous vous demandez certainement comment faire pour mettre en conformité avec le RGPD votre base de données abonnés.

Nous allons vous donner quelques méthodes à mettre en pratique pour y arriver.
Mais d’abord, il faut bien comprendre de quoi il s’agit.

Qu’est-ce qu’une donnée personnelle ? | AboMarque

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement.

Il s’agit par exemple des : nom, prénom, adresse, date de naissance, email, numéro de téléphone, coordonnées bancaires … Mais aussi des données plus sensibles comme les idées politiques ou la confession religieuse.

Quelles sont les conséquences de cette nouvelle loi ?

Vous ne pouvez plus utiliser les données personnelles de vos clients et prospects sans leur consentement explicite afin de leur proposer des offres commerciales ou de diffuser leurs données à une tierce personne. Sachez qu’à tout moment, une personne qui a donné son consentement peut le retirer.

Que faut-il faire ?

1. La politique de confidentialité

La politique de confidentialité : un élément indispensable pour le RGPD | AboMarque Rédigez une politique de confidentialité en indiquant comment vous récoltez les données, dans quel but elles sont utilisées, quel moyens sont mis en oeuvre pour garantir leur sécurité et combien de temps vous les conservez.

Si une personne ne veut plus que ses données personnelles soient utilisées par vos soins, alors indiquez dans votre politique de confidentialité la démarche à suivre pour vous signaler un retrait de consentement. En général, un simple email suffit. Veillez à ce que l’adresse email pour vous contacter soit bien visible des internautes.

2. Le registre des activités

Rédigez un registre de vos activités. Ce registre doit faire état de toutes vos activités et, dans chacune d’entres elles, il doit être mentionné : la personne responsable ; pour quelles raisons les données sont utilisées ; qui est susceptible d’avoir accès aux données (employés, sous-traitants, partenaires…) ; quel sont les moyens mis en place pour garantir la sécurité de vos données (exemple : mots de passe sécurisé changés régulièrement).

3. Votre dossier RGPD

Collectez les politiques de confidentialité de vos partenaires et sous-traitants afin de constituer un dossier qui prouvera votre volonté de vous conformer à la loi et pourra vous servir de preuve en cas de contrôle de la CNIL.

4. La procédure en cas de fuite

Mettez en place une procédure en cas de fuite de données | AboMarque Mettez en place une procédure en cas de fuite de données. Nul n’étant à l’abri d’un piratage informatique ou d’un vol interne, il est important de savoir comment réagir si cela venait à se produire. Sachez qu’il faut impérativement signaler une fuite de données à la CNIL dans les 72h sous peine de sanction. Pour cela, rédigez un email à la personne victime de cette fuite ainsi qu’un email à la CNIL.

Cet email doit :

  1. décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;
  2. communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  3. décrire les conséquences probables de la violation de données à caractère personnel;
  4. décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Pour en savoir plus consultez les informations fournies par la CNIL.

L'organisme de référence en France pour le RGPD : la CNIL | AboMarque

5. La demande de consentement

La demande de consentement : un must en termes de RGPD | AboMarque A présent, vous devez faire en sorte de recueillir le consentement de vos futurs abonnés. En ajoutant par exemple une ou deux cases à cocher lors d’un achat en ligne sur votre site internet :

– Oui, j’accepte de recevoir les offres de (nom de votre magazine)

– Oui, j’accepte de recevoir les offres des partenaires de (nom de votre magazine)

Comme cela, vous pourrez désormais savoir si votre abonné accepte que ses données personnelles soient utilisées par vous et/ou accepte qu’elles soient diffusées. Même chose sur vos lettres de relances et vos bulletins d’abonnement papier.

6. La réunion d’équipe

Sensibilisez vos équipes aux termes du RGPD | AboMarque

Enfin, pensez à sensibiliser votre équipe à cette nouvelle loi, à ce que cela implique dans leur quotidien et quelles sont les procédures à mettre en place et à respecter.

Vous voilà à présent un peu plus armé pour vous mettre en conformité avec le RGPD mais pensez toutefois à faire des updates réguliers sur les procédures à suivre.

Vous pouvez également faire appel à un DPO externalisé (Data Protection Officer ou Délégué à la protection des données) si vous collectez des données à grande échelle ou des données dites sensibles.