Le RGPD et les Partenaires
Ce que les partenaires doivent savoir sur la conformité au RGPD dans notre Solution Marketing de Canal.
Quelles sont mes obligations en matière de protection des données lorsque je participe au programme Extu ?
Il existe quatre obligations clés que les partenaires doivent respecter lorsqu’ils utilisent les services d’Extu pour envoyer des supports marketing à leurs abonnés :
- Établir le fondement légal du traitement des informations personnelles sur les listes d’abonnés.
Cela signifie que vous :- avez obtenu le consentement explicite de chaque destinataire individuel de votre liste d’abonnés pour recevoir des supports marketing de votre part, par le biais d’une action claire, librement donnée, pleinement informée et affirmative.
- vous basez sur des intérêts légitimes comme fondement légal pour utiliser l’adresse e-mail de votre liste d’abonnés afin d’envoyer des supports marketing, après avoir réalisé une évaluation documentée des intérêts légitimes (c’est-à-dire qu’il existe une attente raisonnable de la part du destinataire de recevoir des supports marketing en raison d’une relation commerciale existante, et l’impact sur la vie privée a été évalué comme faible). Veuillez consulter Comment m’assurer que ma liste d’abonnés est conforme au RGPD ? pour plus d’informations.
- 2. Les avis de confidentialité doivent fournir des informations complètes sur le traitement des données personnelles.
En tant que responsable de votre liste d’abonnés, votre avis de confidentialité doit être conforme aux exigences de transparence et d’équité du RGPD, et divulguer :- Le fondement légal sur lequel repose la collecte et le traitement des informations personnelles, y compris le traitement des adresses e-mail à des fins de marketing direct. Dans la plupart des cas, le fondement légal utilisé sera soit le consentement, soit les intérêts légitimes. Vous pouvez également vous appuyer sur d’autres motifs tels que l’exécution d’un contrat ou une obligation légale lorsque vous traitez des informations personnelles dans le cadre de vos activités commerciales (par exemple, les informations de contact pour fournir des produits ou services à un client particulier).
- Quelles informations personnelles vous partagez avec Extu (cela doit inclure une notification que les adresses e-mail des clients et des copies de factures/reçus seront partagées pour administrer et valider les campagnes).
- Avec qui vous partagez des informations personnelles et une liste de sous-traitants tiers, qui inclut Extu.
- Des mesures techniques et organisationnelles appropriées doivent être mises en place. Vos systèmes doivent être sécurisés, ce qui inclut des protections informatiques et de cybersécurité adéquates, ainsi que de bonnes contraintes internes, politiques et directives concernant la collecte, l’utilisation, le partage et la manipulation des informations personnelles.
- Be Extu’s partner in privacy. We need to work together to ensure we adhere to appropriate privacy standards and do our best to protect the personal information we collect and process in the course of sending marketing materials. We need to help each other address any privacy questions, complaints or requests, respond to a potential data breach and conduct privacy investigations or assessments. We are here to support you and you must immediately notify us:
- en cas de violation de données potentielle ou réelle
- si vous recevez une demande d’accès des personnes concernées
- si vous recevez des plaintes ou des réclamations d’un abonné ou d’un régulateur concernant la confidentialité ou les informations personnelles
- si vous avez des questions ou des préoccupations concernant la confidentialité en général.
Comment garantir que ma liste d’abonnés est conforme au RGPD ?
Les partenaires devraient auditer leur liste d’abonnés et tester sa conformité au RGPD dès leur adhésion au programme, puis régulièrement par la suite. Même si vous n’êtes pas soumis au RGPD, les termes et conditions d’Extu exigent que vous ayez un fondement légal pour le traitement des listes d’abonnés et pour qu’Extu fournisse les services marketing.
L’audit de votre liste de clients implique d’évaluer les adresses e-mail et autres informations que vous avez collectées, et de vérifier si vous avez un fondement légal pour ce traitement. Si vous n’avez pas de fondement légal pour la collecte, alors l’adresse e-mail ne doit pas figurer dans votre liste d’abonnés.
Bien qu’il existe six fondements légaux pour le traitement selon le RGPD, les fondements les plus susceptibles de s’appliquer pour la collecte et l’utilisation d’une adresse e-mail à des fins de marketing direct sont :
- le consentement ; ou
- l’intérêt légitime.
Il est de votre responsabilité d’analyser vos activités de traitement des données et de choisir le bon fondement. Si vous n’êtes pas sûr(e) des fondements légaux énumérés dans le RGPD qui s’appliquent à vous, veuillez consulter vos conseillers juridiques pour vous assurer que les activités de traitement sont correctement justifiées. Il est important de se rappeler que le RGPD consacre le principe de la « responsabilité », ce qui signifie que vous devez être en mesure de démontrer votre conformité, donc une tenue de registres diligente est essentielle pour soutenir ces justifications.
L’Information Commissioner’s Office propose également des informations supplémentaires sur les fondements légaux, ainsi qu’un outil interactif de guidance sur les fondements légaux pour vous aider à déterminer quel fondement s’applique.
Consentement
Le consentement signifie que la personne concernée a donné librement son consentement clair et explicite au traitement de ses données personnelles à des fins spécifiques.
Lorsque vous examinez votre liste d’abonnés, vous devez vérifier si un consentement explicite a été donné et s’il est toujours valide. Un consentement valide selon le RGPD :
- doit être donné librement ; cela signifie offrir aux personnes un véritable choix continu et un contrôle sur la manière dont vous utilisez leurs données
- doit être évident et nécessiter une action positive pour opter pour l’inscription. Les demandes de consentement doivent être visibles, dissociées des autres termes et conditions, concises et faciles à comprendre, conviviales et basées sur un « opter pour ou consentir » positif plutôt que sur une case précochée ou un « refus de participer ou exclusion volontaire ».
- doit détailler spécifiquement le nom du responsable du traitement, les finalités du traitement et les types d’activités de traitement.
Assurez-vous de conserver des enregistrements pour prouver le consentement – qui a consenti, quand, comment et ce qui leur a été dit.
Des exemples de consentement explicite incluent :
- L’opt-in via un formulaire web ou en ligne, à condition que la case d’opt-in ne soit pas pré-sélectionnée par défaut.
- La complétion d’un formulaire hors ligne qui indique clairement que la personne peut être ajoutée à votre liste de diffusion marketing par e-mail et qu’elle a expressément indiqué sa volonté de recevoir de tels e-mails.
- Vous donnant leur carte de visite ; à condition que 1) vous ayez explicitement indiqué qu’en vous donnant leur carte de visite, ils acceptent d’être ajoutés à votre liste de diffusion marketing par e-mail ; ou 2) ils ont ajouté leur carte de visite à un conteneur ou une pile qui indique clairement qu’en ajoutant une telle carte de visite, ils acceptent d’être ajoutés à votre liste de diffusion marketing par e-mail. Dans les deux cas, vous devez communiquer de manière transparente la base de votre traitement via la communication de votre avis de confidentialité.
- Vous fournir une autre autorisation écrite explicite pour être ajouté à votre liste de diffusion marketing par e-mail avant que vous ne les contactiez par e-mail.
Vous pouvez trouver plus d’informations sur l’intérêt légitime sur le site web du Commissariat à l’information : ICO : Intérêts légitimes et Guide sur les intérêts légitimes.
Intérêt légitime
Il peut y avoir des cas où vous pouvez vous appuyer sur vos intérêts légitimes avec les abonnés et établir une « opt-in souple« .
Vous pouvez vous appuyer sur l’intérêt légitime si le marketing à réaliser est dans l’intérêt légitime de votre entreprise ou d’un tiers, ce qui pourrait inclure des fournisseurs de logiciels, lorsqu’il existe des motifs raisonnables de penser que l’individu s’attendrait au traitement et qu’il y aurait peu d’impact sur la vie privée. La Commission européenne a confirmé que le traitement des données personnelles à des fins de marketing direct peut être considéré comme étant réalisé dans l’intérêt légitime à condition que tous les critères nécessaires soient remplis.
Pour vous appuyer sur l’intérêt légitime comme fondement de traitement légal, vous devrez réaliser et conserver un enregistrement de votre évaluation de l’intérêt légitime. Le site web de l’Information Commissioner’s Office propose un modèle d’évaluation de l’intérêt légitime que vous pouvez utiliser comme guide.
Une fois que vous avez établi et enregistré votre justification de l’intérêt légitime comme fondement de traitement légal, vous pouvez examiner votre liste d’abonnés pour déterminer si certaines adresses e-mail répondent aux critères de l’opt-in souple.
L’opt-in souple s’applique uniquement aux clients existants (pas aux clients potentiels). Pour être éligible à l’inclusion sous l’opt-in souple, l’adresse e-mail doit avoir été obtenue dans le cadre de la vente d’un produit ou d’un service à cette personne.
Il n’y a pas de limites de temps légales imposées concernant l’opt-in souple, mais en guise de référence, les achats réalisés dans un délai de six à 24 mois à partir de la date de l’examen pourraient être considérés comme une période raisonnable. N’oubliez pas qu’il doit y avoir une attente raisonnable de la part de l’abonné quant au consentement à recevoir les e-mails marketing.
Des informations supplémentaires sur l’intérêt légitime peuvent être trouvées sur le site web de l’Information Commissioner’s Office : ICO: Legitimate Interests and Guidance on Legitimate Interests.
FAQ rapide
Vous pouvez trouver plus d’informations sur l’intérêt légitime sur le site web du Commissariat à l’information :
Potentiellement. Le RGPD s’applique dans la mesure où vous :
- êtes une entreprise établie dans l’UE
- proposez des biens ou services à des personnes de l’UE ou surveillez le comportement de personnes de l’UE
- traitez les informations personnelles de personnes de l’UE.
Même si le RGPD ne s’applique pas à votre entreprise, vous avez toujours l’obligation de respecter les lois locales sur la confidentialité et de veiller à obtenir les consentements nécessaires de vos abonnés concernant les informations personnelles que vous collectez.
Vous avez également une obligation en vertu des Conditions Générales de Service d’Extu de respecter certaines exigences en matière de confidentialité des données (voir Quelles sont mes obligations en matière de protection des données lorsque je participe au programme Extu ?)
Informations supplémentaires ou ressources sur vos obligations locales en matière de confidentialité :
- Ressources sur la confidentialité en Australie : ACMA et OAIC et OAIC RGPD Guidance
- Ressource sur la confidentialité aux États-Unis : CAN-SPAM et CCPA
- Ressource sur la confidentialité au Canada : CASL et PIPEDA
Sauf si vous pouvez garantir à 100 % qu’une liste que vous avez achetée est composée uniquement d’individus ayant donné leur consentement conformément au RGPD, nous ne soutenons pas l’utilisation de partenaires de listes achetées. Les partenaires ne doivent jamais utiliser des adresses e-mail copiées ou extraites d’Internet ou de groupes de discussion, à partir de listes achetées, prêtées ou louées, ou d’autres adresses e-mail obtenues sans soit (a) consentement explicite et opt-in de la part du destinataire de l’e-mail, soit (b) une autre base légale de collecte telle que l’intérêt légitime.
Il est contraire aux conditions générales d’Extu d’utiliser des listes tierces qui ne répondent pas aux exigences de collecte fondées sur la loi du RGPD ou aux exigences de consentement des lois locales sur la confidentialité.
Le RGPD est une avancée positive en matière de protection des données. Il ne s’agit pas d’empêcher les entreprises de poursuivre leurs intérêts commerciaux. Extu a travaillé dur pour garantir que nous soutenons nos partenaires dans le respect du RGPD (voir RGPD et Extu) et, en tant que responsable et sous-traitant de vos données et de celles de vos abonnés, nous sommes là pour vous aider. Bien que nous fassions de notre mieux pour garantir que notre service est conforme au RGPD, vous êtes propriétaire et contrôleur de votre liste d’abonnés. Cela signifie qu’en tant que responsable des données, vous devez vous assurer que :
- votre liste d’abonnés comprend des individus pour lesquels il existe un fondement légal de collecte
- vous avez les divulgations adéquates dans votre avis de confidentialité
- vous savez quoi faire en cas de demande ou de plainte concernant la confidentialité
- vous disposez de mesures techniques et organisationnelles appropriées en place.
Consultez les obligations des partenaires pour plus de détails.
Un contrôleur est la partie qui détermine les finalités, les conditions et les moyens de traitement des données personnelles, tandis que le processeur est la partie qui traite les données personnelles pour le compte du contrôleur. Les partenaires sont des contrôleurs des informations personnelles de leurs clients (y compris votre liste d’abonnés). Étant donné la nature des services de marketing numérique multi-fournisseurs fournis directement par Extu, nous sommes également considérés comme un contrôleur en vertu du RGPD.
Lorsque la plainte ou la demande concerne des données personnelles sur lesquelles Extu agit en tant que contrôleur, vous devez immédiatement informer Extu en envoyant un e-mail à notre responsable de la confidentialité à l’adresse confidentialite@extu.com. Vous devrez également prendre en compte vos autres obligations concernant cette plainte ou cette demande et envisager de demander des conseils juridiques sur les mesures à prendre.
Non. Vous êtes propriétaire de votre liste et nous ne la partagerons pas avec des sponsors sans votre autorisation expresse. Afin de fournir nos services à vos abonnés, nous obtiendrons une licence pour accéder et utiliser votre liste.
Données statistiques, comportementales et basées sur la performance sous forme agrégée et dépersonnalisée. Nous pouvons également partager les détails des ventes et des transactions que vous nous soumettez via des reçus/factures afin de valider l’efficacité des campagnes marketing. Nous solliciterons votre consentement avant de partager toute donnée de prospect avec des sponsors. Veuillez consulter nos conditions d’utilisation et notre avis de confidentialité pour plus d’informations.
Nous pouvons partager des informations personnelles (y compris votre liste d’abonnés) avec des tiers, mais uniquement dans le but de fournir ou d’optimiser les services, comme cela est plus particulièrement détaillé dans notre Avis de confidentialité sur le site web. complète des prestataires de services tiers ou des processeurs d’Extu peut être consultée ici.
Avis de non-responsabilité : Ceci est un guide général sur certains des requis du RGPD. Ce guide ne constitue pas un conseil juridique ou une déclaration des mesures que vous devriez prendre pour garantir votre propre conformité, et vous acceptez de ne pas vous appuyer sur les informations fournies ici pour votre propre conformité. Pour des informations consultatives complètes, veuillez consulter le site web du Bureau du Commissaire à l’Information du Royaume-Uni – Guide sur le RGPD. Si vous avez des questions supplémentaires, nous vous encourageons à consulter un professionnel juridique ou de la confidentialité.
Veuillez noter qu’en vertu de votre accord de service avec Extu, vous êtes entièrement responsable de fournir et de certifier la légalité des adresses e-mail de vos clients.