Le RGPD et les partenaires

Quelles sont mes obligations en matière de confidentialité des données lorsque je participe au programme de OneAffiniti ?

Les partenaires ont quatre obligations principales lorsqu’ils utilisent les services de OneAffiniti pour envoyer des supports marketing à leurs abonnés :

  1. Établir la base légale sur laquelle les informations personnelles contenues dans les listes d’abonnés peuvent être traitées.
    Cela signifie que vous :

    • avez obtenu le consentement exprès du destinataire individuel figurant sur votre liste d’abonnés à recevoir des supports marketing de votre part, par le biais d’une action affirmative, claire, libre et pleinement informée.
    • des intérêts légitimes constituent la base légale de votre démarche visant à utiliser les adresses de courriel figurant dans votre liste d’abonnés afin d’envoyer des supports marketing, après avoir effectué une évaluation documentée des intérêts légitimes (c’est-à-dire que le destinataire s’attend raisonnablement à recevoir des supports marketing du fait d’une relation commerciale existante et que l’impact sur la confidentialité a été évalué comme faible).

    Veuillez consulter Comment puis-je m’assurer que ma liste d’abonnés est conforme au RGPD ? pour plus d’informations.

  2. Les Politiques de confidentialité doivent donner des informations complètes sur le traitement des données personnelles.
    En tant que contrôleur de votre liste d’abonnés, votre politique de confidentialité doit être conforme aux exigences d’équité et de transparence prévues par le RGPD et stipuler :

    • La base légale sur laquelle se fondent la collecte et le traitement des informations personnelles, y compris le traitement des adresses de courriel à des fins de marketing direct. Dans la plupart des cas, la base légale invoquée sera soit le consentement, soit les intérêts légitimes. Vous pouvez également invoquer d’autres motifs, tels que l’exécution d’un contrat ou une obligation légale lorsque vous traitez des informations personnelles dans le cadre de vos activités commerciales (des informations de contact pour fournir des produits ou des services à un client particulier, par exemple).
    • Les informations personnelles que vous partagez avec OneAffiniti (elles devraient inclure une notification indiquant que les adresses de courriel des clients et les copies des factures/reçus seront partagées afin d’administrer et de valider les campagnes).
    • Les personnes avec lesquelles vous partagez des informations personnelles et une liste de processeurs tiers, dont OneAffiniti.
  3. Des mesures techniques et organisationnelles appropriées doivent être mises en place Vos systèmes doivent être sécurisés. Cela implique de disposer de protections informatiques et de cybersécurité adéquates, de contrôles efficaces en interne, de bonnes politiques et de bonnes directives concernant la collecte, l’utilisation, le partage et le traitement des informations personnelles.
  4. Soyez le partenaire de OneAffiniti en matière de confidentialité. Nous devons travailler ensemble pour nous assurer que nous adhérons aux normes appropriées en matière de protection de la confidentialité et que nous faisons de notre mieux pour protéger les informations personnelles que nous recueillons et traitons dans le cadre de l’envoi des supports marketing. Nous devons nous entraider pour répondre à toute question, plainte ou demande relative à la protection de la confidentialité, réagir à une éventuelle brèche des données et mener des enquêtes ou des évaluations sur la protection de la confidentialité :
    • en cas de brèche potentielle ou réelle des données
    • si vous recevez une demande d’accès de la part des personnes concernées
    • si vous recevez des plaintes ou des réclamations de la part d’un abonné ou d’un régulateur concernant la confidentialité ou les informations personnelles
    • si vous avez des questions ou des préoccupations concernant la confidentialité en général.

Comment puis-je m’assurer que ma liste d’abonnés est conforme au RGPD ?

Les partenaires doivent auditer leur liste d’abonnés et tester la conformité au RGPD lors de leur première adhésion au programme et renouveler régulièrement cette opération par la suite. Même si vous n’êtes pas soumis au RGPD, les Conditions générales de OneAffiniti exigent que vous disposiez d’une base légale pour traiter les listes d’abonnés et pour que OneAffiniti puisse fournir des services de marketing.

L’audit de votre liste de clients consiste à évaluer les adresses de courriel et autres informations que vous avez collectées et à vérifier que vous disposez bien d’une base légale pour traiter ces informations. Si vous ne disposez pas d’une base légale pour la collecte des informations, l’adresse de courriel ne doit pas être incluse dans votre liste d’abonnés.

Bien qu’il existe six bases légales pour le traitement des données en vertu du RGPD, les bases les plus susceptibles de s’appliquer pour la collecte et l’utilisation d’une adresse électronique à des fins de marketing direct sont les suivantes :

  • le consentement ; ou
  • l’intérêt légitime.

Il vous incombe d’analyser vos activités de traitement des données et de choisir la base légale adéquate. Si vous n’êtes pas sûr des motifs légitimes énumérés dans le RGPD qui s’appliquent à vous, veuillez consulter vos conseillers juridiques pour vous assurer que vos activités de traitement des données sont correctement justifiées. Il ne faut pas oublier que le principe de la “responsabilité” est au cœur du RGPD, ce qui signifie que vous devez être en mesure de démontrer la conformité. Il est donc essentiel de tenir des registres de façon adéquate pour se conformer à ce principe.

Le Bureau du Commissaire à l’Information peut également fournir des informations supplémentaires sur la base légale, ainsi qu’un outil d’aide interactif sur la base légale pour vous aider à déterminer la base légale à appliquer.

Consentement

Le consentement signifie que la personne concernée a librement donné son accord clair et explicite pour le traitement de ses données personnelles dans un but précis.

Lors de l’examen de votre liste d’abonnés, posez-vous la question de savoir si un consentement exprès a été donné et s’il est toujours valable. Pour être valide dans le cadre du RGPD, le consentement :

  • doit être donné librement ; c’est-à-dire que les personnes doivent pouvoir choisir et contrôler en permanence la façon dont vous utilisez leurs données ;
  • doit être évident et requiert une action positive pour s’inscrire. Les demandes de consentement doivent être bien visibles, dissociées des autres Conditions générales, concises et faciles à comprendre, conviviales et fondées sur un consentement positif, par opposition à une case pré-cochée ou à une action nécessitant de désactiver l’accord ;
  • doit contenir précisément le nom du responsable du traitement, les finalités du traitement et les types d’activité inhérents au traitement.

Veillez à conserver des documents prouvant le consentement : qui a donné son consentement, quand, comment les personnes concernées ont été informées.

Voici quelques exemples de consentement exprès :

  • Engagement via un formulaire Web ou en ligne, à condition que la case correspondant à ce choix ne soit pas présélectionnée par défaut.
  • Un formulaire hors ligne est rempli et indique clairement que la personne peut être ajoutée à votre liste d’abonnés aux supports marketing par courriel et qu’elle a expressément indiqué sa volonté de recevoir ces courriels.
  • La personne concernée vous a remis sa carte de visite, à condition que 1) vous ayez explicitement indiqué qu’en vous donnant sa carte de visite, cette personne accepte d’être ajoutée à votre liste d’abonnés au marketing par courriel ; ou 2) la personne concernée a ajouté sa carte de visite à un conteneur ou à une pile qui indiquait clairement qu’en ajoutant cette carte de visite, elle acceptait d’être ajoutée à votre liste d’abonnés aux supports marketing par courriel. Dans tous les cas, vous devez expliquer la base de votre traitement de manière transparente en communiquant votre politique de confidentialité.
  • La personne concernée vous a fourni une autre autorisation écrite expresse pour être ajoutée à votre liste d’abonnés aux supports marketing par courriel, avant que vous ne la contactiez par courriel.

Vous trouverez de plus amples informations sur le consentement sur le site Web du Bureau du Commissaire à l’Information : BCI : Consentement et Guide relatif au consentement

Intérêt légitime

Dans certains cas, il est possible de s’appuyer sur vos intérêts légitimes auprès des abonnés et d’obtenir un « soft opt-in ».

L’intérêt légitime peut être invoqué si le marketing à effectuer est dans l’intérêt légitime de votre propre entreprise ou d’un tiers, ce qui pourrait inclure les fournisseurs de logiciels, lorsqu’il existe des motifs raisonnables pour que la personne s’attende au traitement de ses données et que l’impact sur la confidentialité soit évalué comme minimal. La Commission européenne a confirmé que le traitement des données personnelles à des fins de marketing direct peut être considéré comme étant effectué pour un intérêt légitime, à condition que tous les critères nécessaires soient réunis.

Pour invoquer l’intérêt légitime comme motif de traitement licite, vous devrez procéder à une évaluation de votre intérêt légitime et en conserver une trace. Le site Web du Bureau du Commissaire à l’Information propose un modèle d’évaluation de l’intérêt légitime que vous pouvez utiliser comme guide.

Une fois que vous avez établi et enregistré votre justification de l’intérêt légitime comme motif de traitement licite, vous pouvez examiner votre liste d’abonnés pour déterminer si l’une des adresses de courriel répond aux critères du soft opt-in.

Le soft opt-in ne s’applique qu’aux clients existants (pas aux clients potentiels). Pour pouvoir être incluse dans le cadre du soft opt-in, l’adresse de courriel doit avoir été obtenue dans le cadre de la vente d’un produit ou d’un service à cette personne.

Aucune limite de temps légale n’est imposée en matière de soft opt-in, mais à titre indicatif, les achats effectués dans les six à vingt-quatre mois suivant la date de l’examen peuvent être considérés comme un délai raisonnable. N’oubliez pas qu’il doit exister une attente raisonnable à ce que l’abonné consente à recevoir les courriels de marketing.

De plus amples informations sur l’intérêt légitime sont disponibles sur le site Web du Bureau du Commissaire à l’Information : BCI : Intérêts Légitimes et Guide relatif aux Intérêts Légitimes.

FAQ en bref

Mon entreprise n’est pas située dans l’UE. Dois-je me conformer au RGPD malgré tout ?

Cela peut être le cas. Le RGPD s’applique dans la mesure où vous :

  • vous êtes une entreprise établie dans l’UE
  • proposez des biens ou des services à des personnes situées dans l’UE ou observez le comportement de personnes situées dans l’UE
  • traitez les informations personnelles de personnes situées dans l’UE.

Même si le RGPD ne s’applique pas à votre entreprise, vous avez malgré tout l’obligation de vous conformer aux lois locales sur la protection de la confidentialité et de vous assurer que vous obtenez les consentements nécessaires de vos abonnés en ce qui concerne les informations personnelles que vous collectez.

Vous avez également l’obligation, en vertu des Conditions Générales de Service de OneAffiniti, de respecter certaines exigences en matière de confidentialité des données (voir Quelles sont mes obligations en matière de confidentialité des données lorsque je participe au programme de OneAffiniti ?)

Informations ou ressources supplémentaires sur vos obligations locales en matière de protection de la confidentialité :

Puis-je utiliser des listes de tiers ou des listes que j’ai achetées ?

À moins que vous ne puissiez garantir à 100 % qu’une liste que vous avez achetée est composée uniquement de personnes ayant donné leur consentement en vertu du RGPD, nous ne soutenons pas les partenaires qui utilisent des listes achetées. Les partenaires ne doivent jamais utiliser d’adresses de courriel copiées ou extraites d’Internet ou de groupes de discussion, de listes achetées, prêtées ou louées, ou d’autres adresses de courriel obtenues sans (a) l’acceptation expresse et le consentement du destinataire du courriel ou (b) une autre base légale pour la collecte, telle que l’intérêt légitime.

L’utilisation de listes tierces qui ne répondent pas aux conditions légales de collecte des données du RGPD ou aux exigences de consentement des lois locales sur la protection de la confidentialité constitue une violation des Conditions Générales de OneAffiniti.

Je veux participer au programme, mais le RGPD me préoccupe.

Le RGPD est une avancée positive en ce qui concerne la protection des données. Elle n’a pas pour objectif d’empêcher les entreprises à poursuivre leurs intérêts commerciaux. Nous travaillons dur pour nous assurer que nous soutenons nos partenaires en matière de conformité au RGPD (voir RGPD et OneAffiniti) et, en tant que contrôleur et responsable du traitement de vos données et de celles de vos abonnés, nous sommes là pour vous aider. Bien que nous fassions de notre mieux pour nous assurer que notre service est fourni en conformité avec le RGPD, c’est vous qui êtes en possession de votre liste d’abonnés et qui la contrôlez. Cela signifie qu’en tant que contrôleur de données, vous devez vous assurer que :

  • vos listes d’abonnés comprennent des personnes pour lesquelles il existe une base légale de collecte.
  • vous avez fourni les informations adéquates dans votre politique de confidentialité
  • vous savez quoi faire si vous recevez une demande ou une plainte concernant la protection de la confidentialité
  • Vous avez mis en place des mesures techniques et organisationnelles appropriées.

Voir les obligations des partenaires pour plus de détails.

Quelle est la différence entre un contrôleur de données et un responsable du traitement des données et lequel de ces termes s’applique à moi ?

Le responsable du traitement des données est la partie qui détermine les finalités, les conditions et les moyens du traitement des données à caractère personnel, tandis que le sous-traitant est la partie qui traite les données à caractère personnel pour le compte du responsable du traitement. Les partenaires sont les contrôleurs des informations personnelles de leurs clients (y compris votre liste d’abonnés). Compte tenu de la nature des services de marketing numérique multifournisseurs fournis directement par OneAffiniti, nous sommes également considérés comme un contrôleur en vertu du RGPD.

Que dois-je faire si je reçois une plainte ou une demande concernant la protection de la confidentialité ?

Lorsque la plainte ou la demande concerne des données personnelles dont OneAffiniti est le contrôleur, vous devez immédiatement en informer OneAffiniti en envoyant un courriel à notre responsable de la protection de la conformité à l’adresse suivante privacy@oneaffiniti.com. Vous devrez examiner séparément vos autres obligations concernant cette plainte ou cette demande et envisager de demander un avis juridique sur les mesures à prendre.

Partagez-vous ma liste d’abonnés avec des sponsors ?

Non. Votre liste vous appartient et nous ne la partagerons pas avec des sponsors sans votre autorisation expresse. Afin de fournir nos services à vos abonnés, nous obtiendrons une licence d’accès et d’utilisation de votre liste.

Quelles informations partagez-vous avec des sponsors ?

Données statistiques, comportementales et de performance sous forme agrégée et dépersonnalisée.  Nous pouvons également partager les détails des ventes et des transactions que vous nous soumettez via les reçus et/ou factures, afin de valider l’efficacité des campagnes de marketing. Nous vous demanderons votre consentement avant de partager des données sur les prospects avec des sponsors. Veuillez consulter nos conditions de service et notre politique de confidentialité pour plus d’informations.

Quelles informations partagez-vous avec des tiers ?

Nous pouvons partager des informations personnelles (y compris votre liste d’abonnés) avec des tiers, mais uniquement dans le but de fournir ou d’optimiser les services tels qu’ils sont décrits en détail dans la politique de confidentialité de notre site Web.  Une liste complète des fournisseurs de services ou des responsables du traitement des données tiers de OneAffiniti peut être consultée ici.

Avis : Voici un guide général sur certaines exigences du RGPD. Ce guide ne constitue pas un avis juridique ni un exposé des mesures que vous devez prendre pour assurer votre propre conformité et vous acceptez de ne pas vous fier aux informations qu’il contient pour votre propre conformité. Pour des informations consultatives complètes, veuillez consulter le site Web du Bureau du Commissaire à l’Information du Royaume-Uni – Guide du RGPD. Pour toutes autres questions, nous vous encourageons à demander l’avis d’un professionnel du droit ou de la confidentialité.

Veuillez noter qu’en vertu de votre contrat de service avec OneAffiniti, vous êtes entièrement responsable de fournir et de certifier la légalité des adresses de courriel de vos clients.