Influenceurs : le marketing d’influence et les données personnelles (2/2)

Retrouvez ici la suite (et fin) de notre étude consacrée au marketing d'influence et les données personnelles. 

Vous avez manqué la première partie ? Retrouver-la ici. 

Dans cette seconde partie, nous vous donnons quelques astuces pour vous mettre en conformité : information des personnes concernées, recueil du consentement, durées de conservation, sous-traitance, transferts de données, exercice des droits, mesures de sécurité, etc.  

L’information des personnes concernées : place à la transparence !

Les visiteurs de votre site, blog, doivent être informés des traitements de données personnels réalisés à leur égard. Le moyen le plus simple d'y parvenir reste la diffusion  d’une politique de confidentialité.

Quelques conseils pour la rédiger : 

- Une politique de confidentialité doit être complète et exhaustive : afin de vous éviter le recours à une multitude de mentions d’information, il est préférable que celle-ci reprenne l'ensemble des traitements de données à caractère personnel que vous réalisez vis-à-vis du public auquel vous la destinez.

Par exemple : les traitements de données via les liens d'affiliation sont des traitements de données à caractère personnel et doivent être mentionnés ! 

- Une politique de confidentialité doit être personnalisée : la tentation peut être grande de piocher parmi d'autres politiques de confidentialité et de réaliser des politiques de confidentialité "maison" ou, pire encore, copier-coller des politiques de confidentialité existantes. Si cette pratique est constitutive d'une faute [1], elle est également source d'insécurité juridique dans la mesure où les mentions d'information doivent être adaptées à votre activité, aux outils que vous utilisez et à votre mode opératoire. 

Enfin, il est préférable de mettre un lien renvoyant vers cette dernière sur vos comptes de réseaux sociaux afin d’informer les abonnés des traitements les concernant.

Mise en place d’un Bandeau Cookie ;

L’information relative aux cookies est due au titre du RGPD mais également au titre d’un autre texte, actuellement en cours de révision : la « directive e-privacy ».

Cette information doit être claire et transparente. C’est-à-dire que l’utilisateur, doit être informé, avant même la navigation sur le site, des Cookies susceptibles d’être déposés sur son terminal. 

La manière la plus simple d’y parvenir est de mettre en place un bandeau Cookies. Ces bandeaux doivent reprendre l’information sur les catégories de Cookies et offrir le choix d’accepter, ou non, les cookies par type et par catégories.

Un travail de recensement préalable des cookies est alors nécessaire, il convient de distinguer les cookies techniques, nécessaires au fonctionnement du site et à sa sécurité, de ceux destinés à améliorer le contenu ou à proposer de la publicité ciblée…

L’utilisateur doit pouvoir refuser le dépôt de cookies marketing et ce refus ne doit pas empêcher l’utilisation normale du site.

Faire preuve de créativité tout en respectant les droits des personnes:

Enfin, le design des modalités d’acceptation ou de refus ne doivent pas inciter l’utilisateur à faire un choix (par exemple : couleur vive pour accepter et couleur terne pour refuser).

A ce sujet, la CNIL a créé un site dédié à la communauté des designers afin de les aider dans la mise en place de leurs outils. Design CNIL permet d'aider les designers à adopter les bonnes pratiques, notamment en matière de consentement. 

Le consentement : quand est-il nécessaire ?

Contrairement aux idées reçues, le recueil du consentement n'est pas requis dans tous les cas. Il ne constitue, en effet, que l'une des six bases légales du traitement de données personnelles. 

En fonction des caractéristiques du traitement, le recueil du consentement de la personne concernée peut-être nécessaire. Il est donc particulièrement important de déterminer les hypothèses où il doit être recueilli : 

Par exemple :

- Il est nécessaire avant la première prise de contact avec une personne pour l’envoi d’une newsletter ;

- Il n’est pas requis dans le cas où cette personne est déjà un visiteur régulier ou en cas d’envoi de newsletter à une adresse professionnelle en lien avec son activité ;

- Il est nécessaire pour le dépôt de cookies qui ne sont pas fonctionnels/ essentiels.

Le consentement, lorsqu'il est requis, doit être recueilli de manière spécifique (pour chaque finalité de traitement), formulé en des termes clairs et simples. Par exemple, le scroll (le fait de poursuivre la navigation sur un site) ne saurait être analysé comme un recueil de consentement valable.

Fixer des durées de conservation des données :

Lorsque vous collectez des données personnelles via les outils indiqués ci-dessus, une durée de conservation doit-être définie. 

Pour chacune des données collectées, vous devrez définir des durées de conservation adaptées aux finalités poursuivies. Autrement dit, une donnée ne peut être conservée que le temps nécessaire pour atteindre les objectifs du traitement (sous réserve de l’exercice des droits des personnes).

Par exemple, il est possible de garder les coordonnées de vos abonnées pendant la durée de l'abonnement et ce, jusqu'au désabonnement de la newsletter. 

Pour y voir plus clair, n’hésitez pas à jeter un coup d’œil à notre article sur les durées de conservation.

Permettre l’exercice des droits des personnes

Le RGPD a renforcé les droits des personnes. Les personnes concernées doivent pouvoir exercer leurs droits d’accès, de rectification, de suppression, de portabilité (le cas échéant), etc. des données les concernant.

Afin d’y voir plus clair, un travail préalable de recensement et de localisation des données est nécessaire afin de déterminer les actions à accomplir ainsi que les conditions de recevabilité des demandes.

Par exemple, en cas d’exercice du droit à l’oubli, il convient de déterminer les données devant être supprimées de celles pouvant être conservées (obligation légale, gestion de la preuve, etc.).

Il convient de mettre en place une adresse e-mail de type « droits RGPD » afin de regrouper toutes les demandes des droits des personnes et pouvoir gérer la réception et le bon traitement des demandes en temps et en heure… Soyez vigilants, vous disposez d’1 mois pour répondre au demandeur (et jusqu’à 3 mois en cas de cas complexes) !

Sous-traitants : à qui transmettez-vous vos données personnelles? 

Ce point-ci est souvent méconnu et sujet à de nombreuses incompréhensions. Qu'est-ce qu'un sous-traitant ?

Le sous-traitant est défini comme étant "la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement". 

Concrètement, qui sont-ils ? 

- Prestataires informatiques (hébergeur de données, hébergement de site internet, service cloud) ; 

- Logiciels (toutes les applications logicielles auxquels vous transférez des données).

Attention, en tant que responsable de traitement, vous êtes responsable de la sécurité des données que vous transmettez. Il est donc préférable de prendre connaissance des conditions générales d’utilisation et/ou de la politique de confidentialité des outils auxquels vous recourrez, notamment sur les outils en mode SaaS (dématérialisé), afin de connaître vos responsabilités respectives quant au traitement des données personnelles.

Par exemple, un administrateur d’une page fan Facebook a été reconnu comme co-responsable du traitement par la Cour de justice de l’Union européenne dans un arrêt du 5 juin 2018 pour le placement de Cookies sur sa page [2].

Transferts en dehors de l’UE 

Les transferts en dehors de l’Union européenne constituent un risque pour la protection des données personnelles et sont prohibés en l’absence de mise en œuvre de garanties appropriées.

Ces garanties appropriées peuvent-être le transfert vers un pays pour lequel a été rendu une décision d’adéquation, l’adoption de clauses contractuelles types, la mise en place de règles d’entreprises contraignantes (aussi appelées « BCR ») pour les groupes internationaux, ou encore par des mécanismes régionaux de protection des données comme le « Privacy Shield » avec les Etats Unis.

Votre sous-traitant est situé en dehors de l’UE ? Pensez à vérifier que ces transferts sont garantis par des mesures appropriées !

Sécurité des données

Enfin, les données personnelles que vous recueillez doivent être protégées par des mesures techniques et organisationnelles de nature à assurer leur sécurité et leur confidentialité.

Ces mesures doivent être adaptées en fonction de la sensibilité des finalités poursuivies et des données collectées.

Prévoir un protocole HTTPS pour son site internet, sécuriser l’accès à sa messagerie et à sa base de données par un mot de passe fort constituent des mesures de protection des données.

Et voilà, vous êtes désormais incollables sur vos obligations !

[1] Cour d’appel de Rennes, ch. commerciale 03, 11 septembre 2018, n° 15/09630.

[2] https://www.legalis.net/jurisprudences/cour-de-justice-de-lunion-europeenne-grande-chambre-arret-du-5-juin-2018/