» » RGPD : Comment mettre sa base de données abonnés en conformité avec la loi sur la protection des données individuelles ?
RGPD : Comment mettre sa base de données abonnés en conformité avec la loi sur la protection des données individuelles ?

RGPD : Comment mettre sa base de données abonnés en conformité avec la loi sur la protection des données individuelles ?

 

 

Depuis le 25 Mai 2018, une nouvelle loi européenne est entrée en vigueur. Le RGPD (Règlement Général pour la  Protection des Données) vise à protéger les données personnelles des internautes. Toutes entreprises doit se mettre dès maintenant en conformité avec cette loi sous peine de se voir sanctionner d’une forte amende si cela n’est pas fait d’ici la fin de l’année.

 

En tant qu’éditeur de presse, vous vous demandez certainement comment faire pour mettre en conformité au RGPD votre base de données abonnés.

Nous allons vous donner quelques méthodes à mettre en pratique pour y arriver.

Mais d’abord, il faut bien comprendre de quoi il s’agit.

 

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement.

Il s’agit par exemple des : nom, prénom, adresse, date de naissance, email, numéro de téléphone, coordonnées bancaires … Mais aussi des données plus sensibles comme les idées politiques ou la confession religieuse.


 

Quelles sont les conséquences de cette nouvelle loi ?

Vous ne pouvez plus utiliser les données personnelles de vos clients et prospects sans leur consentement explicite afin de leur faire des offres commerciales ou de diffuser leurs données à une tierce personne. Sachez qu’à tout moment, une personne qui a donné son consentement, peut également le retirer.

Que faut-il faire ?

1. La politique de confidentialité

Rédigez une politique de confidentialité en indiquant comment vous récolter les données, dans quel but elles sont utilisées, quel moyens sont mis en oeuvre pour garantir leur sécurité et combien de temps vous les conservez.

 

Si une personne ne veut plus que ses données personnelles soient utilisés par vous, alors indiquez dans votre politique de confidentialité la démarche à suivre pour vous signaler un retrait de consentement. En général, un simple email suffit. Veillez à ce que l’adresse email pour vous contacter soit bien visible des internautes.

 

2. Le registre des activités

Rédigez un registre de vos activités. Ce registre doit faire état de toutes vos activités et dans chacune d’entres elles, il doit être mentionné : la personne responsable ; pour quelles raisons les données sont utilisées ; qui est susceptible d’avoir accès aux données (employés, sous-traitants, partenaires…) ; quel sont les moyens mis en place pour garantir la sécurité de vos données (exemple : mots de passe sécurisé changés régulièrement).

 

3. Votre dossier RGPD

Collectez les politiques de confidentialité de vos partenaires et sous-traitants afin de vous constituer un dossier qui prouvera votre bonne volonté à vous mettre conforme à la loi et pourra vous servir de preuve en cas de contrôle de la CNIL.

 

4. La procédure en cas de fuite

Mettez en place une procédure en cas de fuite de données. Nul n’étant à l’abris d’un piratage informatique ou d’un vol interne, il est important de savoir comment réagir si cela venait à se produire. Sachez qu’il faut impérativement signaler une fuite de données à la CNIL dans les 72h sous peine de sanction. Pour cela, rédigez un email à la personne victime de cette fuite ainsi qu’un email à la CNIL. Cet email doit contenir :

 

a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;

b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c) décrire les conséquences probables de la violation de données à caractère personnel;

d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

 

Pour en savoir plus cliquez ici.

 

 

5. La demande de consentement

A présent, vous devez faire en sorte de recueillir le consentement de vos futurs abonnés. En mettant par exemple une ou deux cases à cocher lors d’un achat en ligne sur votre site internet :

 

- Oui, j’accepte de recevoir les offres de (nom de votre magazine)

- Oui, j’accepte de recevoir les offres des partenaires de (nom de votre magazine)

 

Comme cela, vous pourrez désormais savoir si votre abonné accepte que ses données personnelles soient utilisées par vous et/ou accepte qu’elles soient diffusées. Même chose sur vos lettres de relances et vos bulletins d’abonnement papier.

 

6. La réunion d’équipe

Enfin, pensez à sensibiliser votre équipe à cette nouvelle loi, à ce que cela implique dans leur quotidien et quelles sont les procédures à mettre en place et à respecter.

 

Vous voilà à présent un peu plus armé pour vous mettre en conformité avec le RGPD mais pensez toutefois à faire des updates réguliers sur les procédures à suivre.

 

Vous pouvez également faire appel à un DPO externalisé (Data Protection Officer ou Délégué à la protection des données) si vous collectez des données à grande échelle ou des données dites sensibles.

 

 

Laisser un commentaire
L’administrateur du site est actuellement en ligne! Discuter - posez vos questions à l’administrateur du site