Le RGPD et les partenaires
Quelles sont mes obligations en matière de confidentialité des données lorsque je participe au programme de OneAffiniti ?
Les partenaires ont quatre obligations principales lorsqu’ils utilisent les services de OneAffiniti pour envoyer des supports marketing à leurs abonnés :
- Établir la base légale sur laquelle les informations personnelles contenues dans les listes d’abonnés peuvent être traitées.
Cela signifie que vous :- avez obtenu le consentement exprès du destinataire individuel figurant sur votre liste d’abonnés à recevoir des supports marketing de votre part, par le biais d’une action affirmative, claire, libre et pleinement informée.
- des intérêts légitimes constituent la base légale de votre démarche visant à utiliser les adresses de courriel figurant dans votre liste d’abonnés afin d’envoyer des supports marketing, après avoir effectué une évaluation documentée des intérêts légitimes (c’est-à-dire que le destinataire s’attend raisonnablement à recevoir des supports marketing du fait d’une relation commerciale existante et que l’impact sur la confidentialité a été évalué comme faible).
Veuillez consulter Comment puis-je m’assurer que ma liste d’abonnés est conforme au RGPD ? pour plus d’informations.
- Les Politiques de confidentialité doivent donner des informations complètes sur le traitement des données personnelles.
En tant que contrôleur de votre liste d’abonnés, votre politique de confidentialité doit être conforme aux exigences d’équité et de transparence prévues par le RGPD et stipuler :- La base légale sur laquelle se fondent la collecte et le traitement des informations personnelles, y compris le traitement des adresses de courriel à des fins de marketing direct. Dans la plupart des cas, la base légale invoquée sera soit le consentement, soit les intérêts légitimes. Vous pouvez également invoquer d’autres motifs, tels que l’exécution d’un contrat ou une obligation légale lorsque vous traitez des informations personnelles dans le cadre de vos activités commerciales (des informations de contact pour fournir des produits ou des services à un client particulier, par exemple).
- Les informations personnelles que vous partagez avec OneAffiniti (elles devraient inclure une notification indiquant que les adresses de courriel des clients et les copies des factures/reçus seront partagées afin d’administrer et de valider les campagnes).
- Les personnes avec lesquelles vous partagez des informations personnelles et une liste de processeurs tiers, dont OneAffiniti.
- Des mesures techniques et organisationnelles appropriées doivent être mises en place Vos systèmes doivent être sécurisés. Cela implique de disposer de protections informatiques et de cybersécurité adéquates, de contrôles efficaces en interne, de bonnes politiques et de bonnes directives concernant la collecte, l’utilisation, le partage et le traitement des informations personnelles.
- Soyez le partenaire de OneAffiniti en matière de confidentialité. Nous devons travailler ensemble pour nous assurer que nous adhérons aux normes appropriées en matière de protection de la confidentialité et que nous faisons de notre mieux pour protéger les informations personnelles que nous recueillons et traitons dans le cadre de l’envoi des supports marketing. Nous devons nous entraider pour répondre à toute question, plainte ou demande relative à la protection de la confidentialité, réagir à une éventuelle brèche des données et mener des enquêtes ou des évaluations sur la protection de la confidentialité :
- en cas de brèche potentielle ou réelle des données
- si vous recevez une demande d’accès de la part des personnes concernées
- si vous recevez des plaintes ou des réclamations de la part d’un abonné ou d’un régulateur concernant la confidentialité ou les informations personnelles
- si vous avez des questions ou des préoccupations concernant la confidentialité en général.
Comment puis-je m’assurer que ma liste d’abonnés est conforme au RGPD ?
Les partenaires doivent auditer leur liste d’abonnés et tester la conformité au RGPD lors de leur première adhésion au programme et renouveler régulièrement cette opération par la suite. Même si vous n’êtes pas soumis au RGPD, les Conditions générales de OneAffiniti exigent que vous disposiez d’une base légale pour traiter les listes d’abonnés et pour que OneAffiniti puisse fournir des services de marketing.
L’audit de votre liste de clients consiste à évaluer les adresses de courriel et autres informations que vous avez collectées et à vérifier que vous disposez bien d’une base légale pour traiter ces informations. Si vous ne disposez pas d’une base légale pour la collecte des informations, l’adresse de courriel ne doit pas être incluse dans votre liste d’abonnés.
Bien qu’il existe six bases légales pour le traitement des données en vertu du RGPD, les bases les plus susceptibles de s’appliquer pour la collecte et l’utilisation d’une adresse électronique à des fins de marketing direct sont les suivantes :
- le consentement ; ou
- l’intérêt légitime.
Il vous incombe d’analyser vos activités de traitement des données et de choisir la base légale adéquate. Si vous n’êtes pas sûr des motifs légitimes énumérés dans le RGPD qui s’appliquent à vous, veuillez consulter vos conseillers juridiques pour vous assurer que vos activités de traitement des données sont correctement justifiées. Il ne faut pas oublier que le principe de la “responsabilité” est au cœur du RGPD, ce qui signifie que vous devez être en mesure de démontrer la conformité. Il est donc essentiel de tenir des registres de façon adéquate pour se conformer à ce principe.
Le Bureau du Commissaire à l’Information peut également fournir des informations supplémentaires sur la base légale, ainsi qu’un outil d’aide interactif sur la base légale pour vous aider à déterminer la base légale à appliquer.
Consentement
Le consentement signifie que la personne concernée a librement donné son accord clair et explicite pour le traitement de ses données personnelles dans un but précis.
Lors de l’examen de votre liste d’abonnés, posez-vous la question de savoir si un consentement exprès a été donné et s’il est toujours valable. Pour être valide dans le cadre du RGPD, le consentement :
- doit être donné librement ; c’est-à-dire que les personnes doivent pouvoir choisir et contrôler en permanence la façon dont vous utilisez leurs données ;
- doit être évident et requiert une action positive pour s’inscrire. Les demandes de consentement doivent être bien visibles, dissociées des autres Conditions générales, concises et faciles à comprendre, conviviales et fondées sur un consentement positif, par opposition à une case pré-cochée ou à une action nécessitant de désactiver l’accord ;
- doit contenir précisément le nom du responsable du traitement, les finalités du traitement et les types d’activité inhérents au traitement.
Veillez à conserver des documents prouvant le consentement : qui a donné son consentement, quand, comment les personnes concernées ont été informées.
Voici quelques exemples de consentement exprès :
- Engagement via un formulaire Web ou en ligne, à condition que la case correspondant à ce choix ne soit pas présélectionnée par défaut.
- Un formulaire hors ligne est rempli et indique clairement que la personne peut être ajoutée à votre liste d’abonnés aux supports marketing par courriel et qu’elle a expressément indiqué sa volonté de recevoir ces courriels.
- La personne concernée vous a remis sa carte de visite, à condition que 1) vous ayez explicitement indiqué qu’en vous donnant sa carte de visite, cette personne accepte d’être ajoutée à votre liste d’abonnés au marketing par courriel ; ou 2) la personne concernée a ajouté sa carte de visite à un conteneur ou à une pile qui indiquait clairement qu’en ajoutant cette carte de visite, elle acceptait d’être ajoutée à votre liste d’abonnés aux supports marketing par courriel. Dans tous les cas, vous devez expliquer la base de votre traitement de manière transparente en communiquant votre politique de confidentialité.
- La personne concernée vous a fourni une autre autorisation écrite expresse pour être ajoutée à votre liste d’abonnés aux supports marketing par courriel, avant que vous ne la contactiez par courriel.
Vous trouverez de plus amples informations sur le consentement sur le site Web du Bureau du Commissaire à l’Information : BCI : Consentement et Guide relatif au consentement
Intérêt légitime
Dans certains cas, il est possible de s’appuyer sur vos intérêts légitimes auprès des abonnés et d’obtenir un « soft opt-in ».
L’intérêt légitime peut être invoqué si le marketing à effectuer est dans l’intérêt légitime de votre propre entreprise ou d’un tiers, ce qui pourrait inclure les fournisseurs de logiciels, lorsqu’il existe des motifs raisonnables pour que la personne s’attende au traitement de ses données et que l’impact sur la confidentialité soit évalué comme minimal. La Commission européenne a confirmé que le traitement des données personnelles à des fins de marketing direct peut être considéré comme étant effectué pour un intérêt légitime, à condition que tous les critères nécessaires soient réunis.
Pour invoquer l’intérêt légitime comme motif de traitement licite, vous devrez procéder à une évaluation de votre intérêt légitime et en conserver une trace. Le site Web du Bureau du Commissaire à l’Information propose un modèle d’évaluation de l’intérêt légitime que vous pouvez utiliser comme guide.
Une fois que vous avez établi et enregistré votre justification de l’intérêt légitime comme motif de traitement licite, vous pouvez examiner votre liste d’abonnés pour déterminer si l’une des adresses de courriel répond aux critères du soft opt-in.
Le soft opt-in ne s’applique qu’aux clients existants (pas aux clients potentiels). Pour pouvoir être incluse dans le cadre du soft opt-in, l’adresse de courriel doit avoir été obtenue dans le cadre de la vente d’un produit ou d’un service à cette personne.
Aucune limite de temps légale n’est imposée en matière de soft opt-in, mais à titre indicatif, les achats effectués dans les six à vingt-quatre mois suivant la date de l’examen peuvent être considérés comme un délai raisonnable. N’oubliez pas qu’il doit exister une attente raisonnable à ce que l’abonné consente à recevoir les courriels de marketing.
De plus amples informations sur l’intérêt légitime sont disponibles sur le site Web du Bureau du Commissaire à l’Information : BCI : Intérêts Légitimes et Guide relatif aux Intérêts Légitimes.
FAQ en bref
Mon entreprise n’est pas située dans l’UE. Dois-je me conformer au RGPD malgré tout ?
- vous êtes une entreprise établie dans l’UE
- proposez des biens ou des services à des personnes situées dans l’UE ou observez le comportement de personnes situées dans l’UE
- traitez les informations personnelles de personnes situées dans l’UE.
Même si le RGPD ne s’applique pas à votre entreprise, vous avez malgré tout l’obligation de vous conformer aux lois locales sur la protection de la confidentialité et de vous assurer que vous obtenez les consentements nécessaires de vos abonnés en ce qui concerne les informations personnelles que vous collectez.
Vous avez également l’obligation, en vertu des Conditions Générales de Service de OneAffiniti, de respecter certaines exigences en matière de confidentialité des données (voir Quelles sont mes obligations en matière de confidentialité des données lorsque je participe au programme de OneAffiniti ?)
Informations ou ressources supplémentaires sur vos obligations locales en matière de protection de la confidentialité :
- Ressources australiennes sur la confidentialité : ACMA et OAIC et Guide de l’OAIC relatif au RGPD
- Ressources américaines sur la confidentialité : CAN-SPAM et CCPA
- Ressources canadiennes sur la confidentialité : CASL et PIPEDA
Puis-je utiliser des listes de tiers ou des listes que j’ai achetées ?
L’utilisation de listes tierces qui ne répondent pas aux conditions légales de collecte des données du RGPD ou aux exigences de consentement des lois locales sur la protection de la confidentialité constitue une violation des Conditions Générales de OneAffiniti.
Je veux participer au programme, mais le RGPD me préoccupe.
- vos listes d’abonnés comprennent des personnes pour lesquelles il existe une base légale de collecte.
- vous avez fourni les informations adéquates dans votre politique de confidentialité
- vous savez quoi faire si vous recevez une demande ou une plainte concernant la protection de la confidentialité
- Vous avez mis en place des mesures techniques et organisationnelles appropriées.
Voir les obligations des partenaires pour plus de détails.
Quelle est la différence entre un contrôleur de données et un responsable du traitement des données et lequel de ces termes s’applique à moi ?
Que dois-je faire si je reçois une plainte ou une demande concernant la protection de la confidentialité ?
Partagez-vous ma liste d’abonnés avec des sponsors ?
Quelles informations partagez-vous avec des sponsors ?
Quelles informations partagez-vous avec des tiers ?
Avis : Voici un guide général sur certaines exigences du RGPD. Ce guide ne constitue pas un avis juridique ni un exposé des mesures que vous devez prendre pour assurer votre propre conformité et vous acceptez de ne pas vous fier aux informations qu’il contient pour votre propre conformité. Pour des informations consultatives complètes, veuillez consulter le site Web du Bureau du Commissaire à l’Information du Royaume-Uni – Guide du RGPD. Pour toutes autres questions, nous vous encourageons à demander l’avis d’un professionnel du droit ou de la confidentialité.
Veuillez noter qu’en vertu de votre contrat de service avec OneAffiniti, vous êtes entièrement responsable de fournir et de certifier la légalité des adresses de courriel de vos clients.