2. 2
LES AUTEURS :
SOCIALSHAKER, solution de marke-
ting interactif cross canal, a produit ce
guide en complétant son expertise sur
les campagnes marketing et la collecte
de data par celle du Cabinet d’avocats
Branquart & Toussaint, sur le RGPD.
Nous vous offrons ainsi un condensé
opérationnel de la réglementation ap-
plicable à vos traitements de données
personnelles.
✱ un recueil généraliste de préceptes sur le RGPD
✱ un texte alarmant qui se concentre sur le 25 mai
et qui périme le 26
✱ un livret à lire d’un trait et à laisser de côté
✱ une consultation juridique qui vous dispense du
recours à un avocat pour votre mise en conformité.
Ce qu’il n’est pas :
Ce qu’est ce guide :
✱ un outil pratique facile à prendre en main
✱ pour calibrer vos actions marketing & digitales
OPÉRATIONNELLEMENT
✱ à l’usage de vos équipes et de vos nouvelles
recrues dans la durée.
Ce guide est émis avant l’entrée en vigueur du Règlement et se fonde donc uniquement sur les
recommandations émises par la CNIL et le G29 à la date de sa rédaction. Il devra être complété des
recommandations à jour et des décisions de la CNIL survenues à compter de l’entrée en vigueur
du texte.
3. 3
Présentation
ASSEZ DES CONSEILS GÉNÉRALISTES SUR LE RGPD ?
LE GUIDE CONCRET POUR VOS CAMPAGNES MARKETING
L
’entrée en vigueur, le
25 mai 2018, du Rè-
glement européen sur
la protection des don-
nées personnelles (“RGPD”)
impacte le travail des profes-
sionnels du marketing, la data
se trouvant au cœur des stra-
tégies de communication, d’ac-
quisition, d’engagement et de
conversion de leurs audiences.
Pour rappel, le RGPD vise un double
objectif :
› assurer la protection des libertés
et droits fondamentaux des
personnes physiques dont les
données sont collectées ;
› garantir la bonne circulation
des données au sein de l’Union
Européenne.
Testez vos connaissances et découvrez votre profil
en participant au quiz : “Êtes vous prêt pour le RGPD?”
Lorsque vous proposez à vos com-
munautés de participer à des cam-
pagnes, vous collectez certaines
données à caractère personnel, pour
la réalisation de l’opération, sa diffu-
sion, la gestion de votre CRM, l’envoi
de newsletters, le transfert de ces
données à vos partenaires ou clients,
etc. Vous collectez également des
données de navigation, notamment
lorsqu’ils visitent votre site web.
4. 4
THE COMMUNITY GAME
CHANGER
NOS MISSIONSFACILITER la création puis la
gestion de vos campagnes via
notre plateforme prête à l’emploi
AUTONOMIE
ACCOMPAGNER et CRÉER POUR
VOUS des opérations clé-en-main,
du design au paramétrage
CONFORT
SIMPLIFIER & ACCÉLERER
la création de campagnes
marketing interactives
OPTIMISER vos coûts
et le temps de vos équipes
5. 5
Socialshaker
Animation d’affiliés
Fidélisation client
Animation interne
Animations écoles
Focus group virtuel
Test produit
FIDÉLISER
ses communautés
Constitution de BBD
Qualification de BBD
Trafic generation
Drive to store
Conversion web
Recrutement d’audiences
RECRUTER
des audiences
COLLECTER DES DONNÉES
ATTIRER
via l’image
Visibilité salon & PLV
Co-branding
Sondage
Notoriété
Sensibilisation
Store Locator
LA SOLUTION POUR RÉPONDRE À VOS OBJECTIFS STRATÉGIQUES
6. C’EST PARTI, ON VOUS GUIDE
AU TRAVERS DE 12 POINTS CLÉS !
Répartis en 4 thématiques, ils suivent le processus logique des
données personnelles loars d’une opération marketing : leur
collecte, la diffusion de l’opération, l’utilisation des données post
campagne, et enfin le suivi de ces données au quotidien.
7. 7
Sommaire Derrière les concepts, des définitions-clés
I Collecter des données lors de vos opérations marketing
1- La nécessaire politique de confidentialité
2- La récolte des consentements grâce à vos campagnes
3- Exemple de formulaire de collecte
II. Diffuser vos opérations
4- Le consentement, indispensable pour promouvoir vos campagnes
5- Qualifier vos opt-ins… un jeu d’enfant !
6- E-mailing : 5 préceptes principaux
III Utiliser les DP collectées, post-campagne
7- Des durées de conservation variées
8- Focus sur vos sous-traitants
9- Cookies et Profilage : remis en question par le RGPD ?
IV. Gérer les DP au quotidien
10- Gérer les droits de vos audiences
11- Gérer les consentements de vos communautés
12- Maintenir la conformité des traitements
TAKE-AWAY : La checklist des informations à mentionner par support sur vos interfaces
Le RGPD, un catalyseur de qualité finalement précieux pour les pros du marketing?
8. 8
DERRIÈRE LES CONCEPTS, DES DÉFINITIONS-CLÉS
Lorsque vous menez une campagne (marketing, communication, interne), vous COLLECTEZ et TRAITEZ
certaines DONNÉES PERSONNELLES et agissez en tant que RESPONSABLE DE TRAITEMENT.
Vos prestataires traitant également ces données vous accompagnent en tant que SOUS-TRAITANTS.
DONNÉE PERSONNELLE :
toute information relative
à une personne physique
identifiée ou identifiable
directement ou indirecte-
ment : nom, prénom, âge,
sexe, email et tél, pseudo,
adresse IP, situation
familiale, données ban-
caires, géolocalisation,
données de connexion
et de navigation, etc.
ATTENTION : Une adresse
email professionnelle est
une donnée personnelle.
COLLECTE DE DONNÉES
PERSONNELLES :
action de recueillir,
d’obtenir communication
de données personnelles,
quels qu’en soient le
moyen, l’objectif et la
personne auprès de
laquelle elles sont
recueillies.
ATTENTION : L’achat de
base de données est une
collecte de données persos.
DonnéepersonelleDonnéesensibleSous-traitant
Responsable
Traitement
Collecte
9. TRAITEMENT DE DONNÉES
PERSONNELLES : toute
opération, ou ensemble
d’opérations, portant sur de
telles données, quel que soit
le procédé utilisé, tels que :
collecte, enregistrement,
organisation, conservation,
transmission, adaptation,
modification, extraction,
consultation, effacement,
destruction etc.
ATTENTION : La simple
conservation de données
personnelles est une
opération de traitement.
DONNÉE SENSIBLE :
donnée personnelle qui révèle
l’origine raciale ou ethnique,
les opinions politiques,
les convictions religieuses
ou philosophiques,
l’appartenance syndicale,
les données génétiques,
les données biométriques,
les données concernant la
santé ou la vie et l’orientation
sexuelle.
ATTENTION : La collecte et le
traitement de données sen-
sibles sont interdits sauf dis-
positions légales expresses.
RESPONSABLE
DE TRAITEMENT :
celui qui détermine les
finalités (pourquoi?)
et les moyens (comment?)
du traitement des données
personnelles.
SOUS-TRAITANT :
celui qui traite des
données à caractère
personnel pour le compte
et sur instructions du
responsable de traitement.
Peut aussi être responsable
de traitement, et vice-versa.
9
DÉFINITIONS-MOTSCLÉS
12. 12
Collecter des données lors de vos opérations marketing
La nécessaire politique de confidentialité
Votre devoir d’information étant renforcé auprès de vos audiences avec le RGPD, il est
indispensable d’insérer une (ou modifier votre) « Politique de Confidentialité » sur vos
interfaces en ligne et physiques.
1
POINT
I
13. 13
CHAPITREI-POINT1
Il s’agira de fournir notamment aux participants les informations suivantes :
› le responsable de traitement (Qui?)
› l’identité du DPO le cas échéant
› les finalités du traitement de leurs données (Pourquoi ?)
› les destinataires des données (A qui les transmettez-vous?)
› les transferts de données hors Union européenne
› la durée du traitement (Pour quelle durée de conservation?)
› les droits dont ils disposent sur leurs données (droits d’accès, de
rectification, d’effacement, de limitation, d’opposition, de portabilité, de retrait
de consentement) et la personne auprès de laquelle ils peuvent les exercer
› leurs recours possibles auprès d’une autorité de contrôle
› le caractère obligatoire ou facultatif des réponses
› le recours au profiling le cas échéant.
ATTENTION : Ces
informations doivent être
fournies au moment où les
données sont obtenues,
de façon compréhensible
et aisément accessible,
en des termes clairs et
simples dans :
◗ une politique de
confidentialité distincte
ET
◗ le formulaire de collecte
lui-même.
➜ « Politique de confidentialité »,
➜ « Charte de confidentialité »,
➜ « Charte de vie privée »,
➜ « Privacy Policy »
sont autant d’expressions
différentes pour le même document.
Vous pouvez en créer
une propre à une
campagne ou bien
renvoyer à une
unique pour tous vos
traitements &
opérations.
TIP
14. 14
La récolte des consentements grâce à vos
campagnes
Les campagnes marketing vous permettent de collecter, via les formulaires, le consen-
tement de vos cibles à recevoir certaines communications, à accepter votre politique de
confidentialité, ou encore à accepter des conditions de participation.
Le consentement des individus concernant leurs DP
notamment est l’un des principes phares du RGPD.
Il doit être positif, clair, explicite.
ATTENTION :
❱ Le procédé de collecte doit faire l’objet d’une
expression séparée des autres conditions de
participation à la campagne ou au jeu concours.
❱ Un silence, une case pré-cochée ou l’inactivité
de l’individu ne sont pas recevables comme des
consentements !
2
POINT
I
15. 15
CHAPITREI-POINT2
Le formulaire de collecte de votre campagne comprendra :
❱ une mention d’information précise
❱ plusieurs cases à valider obligatoirement :
• le consentement à la collecte et de l’utilisation des DP de l’individu
(autant de cases à cocher que de finalités : une case pour l’envoi
d’e-mailings d’information, une case à cocher, pour le profiling etc.)
• l’acceptation du règlement du jeu ou de l’opération
• l’acceptation de la politique de confidentialité.
Vous devez informer le
participant sur la nouvelle
finalité et recueillir son
consentement spécifique.
ATTENTION :
au moment de person-
naliser votre formulaire,
veillez à ne collecter que
les données adéquates,
pertinentes et limitées à ce
qui est nécessaire au vu
des finalités poursuivies.
En amont du 25 mai puis régulièrement à l’avenir, posez à plat :
❱ toutes les catégories de communications que vous réalisez auprès
de vos cibles (marketing, prospection), et
❱ les utilisations (traitements) que vous faites de leurs données.
Puis faites un choix équilibré entre insérer dans vos campagnes, votre
site, votre formulaire d’inscription, etc. :
❱ un grand nombre de consentements (lourds à récolter mais permet
des communications efficaces et une répartition du risque de
pertes), ou bien
❱ très peu d’opt-ins au contraire (risque de ne pas être conforme ;
de perdre un contact pour de bon ; pertinent si peu de finalités ; facile
à mettre en œuvre et à suivre).
TIP
FAUX
FAUX
Vous pouvez réutiliser librement
les données collectées lors d’une
campagne pour une autre finalité.
VRAI
16. 16
3
POINT
I
Exemple de formulaire de collecte
Afin d’illustrer les deux points-clés précédents, nous vous proposons ici un exemple de
formulaire RGPD-friendly.
Vos formulaires (en ligne comme papier) seront à adapter, notamment selon les données que vous souhaitez
collecter, et selon les finalités et supports de communication que vous souhaitez mettre en avant pour vos
consentements.
Une fois les données recueillies grâce à votre formulaire, il faudra :
❱ Assurer leur exactitude et leur mise à jour. Les données inexactes
doivent être supprimées.
❱ Les traiter de manière à garantir une sécurité et une confidentialité
appropriées (contre le traitement non autorisé ou illicite, contre la
perte, la destruction ou les accidents).
❱ Limiter leur durée de conservation au strict minimum.
ATTENTION :
le Responsable de traitement doit
être en mesure de démontrer que
ces principes sont respectés.
20. 20
Gardez à l’esprit que l’utilisateur peut, à tout moment retirer son consentement, sans toutefois que cela ne re-
mette en question la légalité des traitements réalisés antérieurement à ce retrait.
Vous devez être capable de rapporter la preuve du consentement de vos utilisateurs ! *
❱ la date et l’heure du consentement
❱ l’identité de l’individu
❱ le mode de collecte du consentement
❱ l’information fournie à l’utilisateur lors de l expression de son consentement.
Diffuser vos opérations
Le consentement, indispensable
pour promouvoir vos campagnes
Nous avons vu comment récolter les consentements dans vos campagnes, posons-nous à présent sur
les contacts qui vous ont déjà donné leur opt-in conforme pour recevoir vos communications,
et auxquels vous transmettez vos campagnes.
4
POINT
II
(*) Si vous créez des campagnes avec Socialshaker par exemple, vous avez la possibilité de récupérer la liste des opt-ins dans un document .csv en toute autono-
mie dans votre back-office sur la plateforme.
21. 21
CHAPITREII-POINT4
Soyez vigilant en cas de collecte de données de mineurs
de moins de 16 ans (le consentement doit être donné ou
autorisé par le titulaire de la responsabilité parentale),
et de collecte de données sensibles (dont le traitement
est strictement encadré) !
En plus des informations obligatoires pour le consentement,
vous y retrouverez :
• les champs utilisés dans votre formulaire
• les consentements positifs ou négatifs pour chacune
des cases à cocher que vous aurez intégrées
•le connecteur utilisé pour accéder au formulaire
(e-mail, réseau social, connecteur propre à votre société).
TIP
Si la qualité aux dépens de la quan-
tité ne vous effraie pas, et que vous n’avez
pas encore opté pour, le double opt-in
vous tend les bras pour des consente-
ments RGPD-friendly ! En ligne puis via
un lien envoyé sur son adresse mail ou
par SMS sur son téléphone, l‘internaute
confirme qu’il consent aux finalités que
vous envisagez pour ses données.
Pensez bien à l’annoncer clairement lors
de l’inscription en ligne, afin de limiter la
déperdition.
Le gros + : l’engagement de vos audiences
et la qualité de votre base de contacts.
Le léger - : le plus faible nombre de
consentements et donc de contacts ac-
tivables.
22. 22
5
POINT
II
Qualifier vos opt-ins… un jeu d’enfant !
Le RGPD s’applique aux données collectées après le 25 mai, mais aussi à toutes celles
récoltées avant cette date ! Vous allez donc devoir qualifier vos opt-ins existants en les
transformant, si besoin, en consentements valides, et ne plus contacter ceux qui n’auraient
pas valablement accepté au 25 mai 2018.
Voici nos conseils pour ne rien laisser de côté dans la qualification de vos opt-ins existants :
1 Listez vos opt-ins existants (infos produit, infos d’actualité, contenus riches de type livres-blancs,
prospection, offres commerciales, etc.).
2 Triez-les : pour quels opt-ins disposez-vous des
4 informations-clés ? (voir Point n°4)
3 Pour les contacts avec des opt-ins valides, mettez en
place la durée de conservation automatisée (ré-activation
avant l’échéance, puis suppression automatique si le
contact ne renouvelle pas son consentement).
4 Pour les opt-ins non valides (cases pré-cochées,
informations incomplètes, etc.) : profitez des semaines
avant fin mai pour lancer des campagnes destinées à
récolter leurs consentements conformes. Ceux non
valides au 25 mai devront être anonymisés ou retirés
de vos listes de diffusion.
23. 23
CHAPITREII-POINT5
Que ce soit pour qualifier vos opt-ins existants non conformes, ou pour alléger le process du consentement
de vos audiences à l’avenir, pensez LUDIQUE ! Les campagnes de marketing interactif vous permettent
de collecter des opt-ins tout en répondant à vos stratégies (acquisition, engagement de communautés,
qualification de BDD).
TIP
inspirations de concepts
sur lesquels baser vos
campagnes :
❱ les temps forts saisonniers
❱ des partenariats avec des marques ou
distributeurs avec des cibles proches
❱ des partenariats avec des sorties de films
(secteurs et valeurs proches)**.
3
87%
des pros du marketing pensent que les
contenus interactifs attirent plus l’attention
des lecteurs que les contenus statiques. *
EFFICACITÉ DES TYPES DE CONTENUS
DE MARKETING INTERACTIFS*
(en % de professionnels du marketing les désignant comme très
performants dans l’atteinte de leurs objectifs de content marketing;
extrait des résultats) :
CONCOURS
1er
contenu
le plus efficace
65%
JEUX
49%
QUIZ
58%
(*) : Source : Avril 2017, Etude : THE SYMPHONY OF CONNECTED INTERACTIVE CONTENT MARKETING, par le Content Marketing Institute.
(**) Contactez-nous pour une mise en relation avec notre partenaire.
24. 24
6
POINT
II
E-mailing : 5préceptes principaux
Si vous envoyez de la prospection commerciale par voie électronique , pour promouvoir vos
campagnes marketing par exemple, vous devrez vous montrer vigilant.
Au-delà des obligations de conformité des consentements des individus que vous contactez,
voici 5 préceptes à avoir en tête :
1 Si vous faites des campagnes emailing à partir de bases de fichiers achetés, vous devrez vérifier que le
vendeur vous garantit avoir valablement informé et obtenu le consentement des personnes concernées.
ACHAT DE BDD
POUR VOS EMAILINGS
Chez Socialshaker, nous ne recomman-
dons pas cette pratique globalement, pour
la qualité de votre stratégie marketing et
de l’engagement de vos audiences. Et si
vous investissiez plutôt sur la conversion
sur votre site ou en point de vente via
des contenus riches voire du marketing
interactif ?
25. 25
CHAPITREII-POINT6
2 Si vous faites des campagnes emailing à partir
de fichiers obtenus via vos interfaces en ligne
comme hors ligne, vous devez avoir valablement
informé et obtenu le consentement des personnes
concernées.
3 Dans tous les cas, pensez bien à insérer un lien
de désabonnement dans vos prospections qu’elles
soient par email ou sms.
4 Veillez aussi à fournir un contactpour l’exercice des
droits des individus à qui vous envoyez
des emails.
Idéalement, vous pouvez donner à vos cibles la
possibilité de se désabonner soit d’une
communication en particulier, soit de toutes,
par un simple lien.
5 Les adresses mail professionnelles
doivent être traitée de la même manière qu’une
adresse mail personnelle ou toute autre DP.
Pour aller plus loin
28. 28
Vous devez veiller à définir comme durée de conservation des données
la durée nécessaire à l’accomplissement de l’objectif poursuivi par la
collecte.
Les données qui ne présentent plus d’intérêt pour la finalité
qu’elles poursuivaient doivent donc être supprimées.
Quelques cas d’application du RGPD :
❱ si vous récoltez les coordonnées de la carte bancaire de vos clients à
l’occasion de leur participation au jeu concours, vous ne conserverez
ces données que le temps de la réalisation de l’opération de paiement
❱ les coordonnées d’un prospect ou client qui ne répond à aucune
sollicitation de votre part pendant 3 ans doivent être supprimées
❱ les données de navigation (issues de cookies, tags) doivent être
supprimées au bout de 13 mois à compter du dépôt du cookie sur le
terminal de l’utilisateur suivant le consentement.
Utiliser les DP collectées, post-campagne
Des durées de conservation variées
Le RGPD protège également les DP des individus en limitant leur validité dans le temps.
7
POINT
III
29. 29
CHAPITREIII-POINT7
Pensez à automatiser la réacti-
vation de vos audiences avant la
date d’échéance d’inactivité, ainsi qu’à
mettre en place une politique de suppres-
sion de leurs données personnelles si ces
contacts ne sont pas actifs.
En revanche, vous devez archiver les données
nécessaires au respect de vos obligations légales
et réglementaires.
Par exemple :
❱ les données à archiver pour faire valoir un droit
en justice doivent être conservées jusqu’à la date
de prescription de l’action en justice
❱ les données des personnes qui ont fait valoir
leur droit à l’oubli (afin de ne plus les recontacter)
❱ les données prouvant la licéité des consente-
ments, mais seulement le temps du traitement,
pas plus.
TIP
30. 30
8
POINT
III
Focus sur vos sous-traitants
Certains de vos sous-traitants sont amenés à traiter les DP que vous collectez auprès de vos
utilisateurs.
Le RGPD responsabilise pour la 1re
fois
les sous-traitants, en mettant à leur charge
de nouvelles obligations :
❱ Un sous-traitant ne peut recruter un autre sous-traitant
sans l’autorisation écrite préalable du responsable
de traitement.
❱ Un traitement effectué par un sous-traitant doit
obligatoirement être régi par un contrat.
❱ Le sous-traitant doit présenter des garanties suffisantes
pour que le traitement soit conforme au règlement et
doit assurer la sécurité et la confidentialité des données.
❱ Le sous-traitant est tenu de maintenir un registre et de
nommer un DPO comme son responsable de traitement.
À compter du 25 mai 2018, vos sous-traitants doivent mettre à votre disposition toutes les informations
nécessaires afin de démontrer le respect des obligations qui leur incombent et permettre la réalisation d’audits.
31. 31
CHAPITREIII-POINT8
Conseils pour la mise en conformité
❱ Avant mai, envoyez un courrier avec AR à tous vos sous-traitants
“outils” en leur réclamant les mesures techniques et organisation-
nelles qu’ils ont mises en oeuvres pour assurer leur conformité
au RGPD.
❱ D’ici au 25 mai 2018, amendez vos contrats de sous-traitance
existants et soyez vigilants dans la rédaction des nouveaux !
Si l’un de mes sous-traitants gère
certaines données personnelles de mes
audiences depuis l’étranger hors UE, il
n’a pas à appliquer le RGPD sur ces DP
et leurs détenteurs.
Le RGPD est applicable pour toutes
les données personnelles appartenant
à des citoyens européens, même si
leur traitement a lieu en dehors de l’UE.
FAUX
FAUX
VRAI
32. 32
9
POINT
III
Cookies et Profilage : remis en question
par le RGPD ?
Dans vos opérations en ligne, vous récoltez, au-delà des formulaires, des données de navigation.
Le RGPD précise qu’un cookie, même pseudo-
nymisé, qui permet indirectement et/ou com-
biné avec d’autres informations reçues par les
serveurs, d’identifier une personne physique,
est une donnée personnelle.
❱ La plupart des cookies sont concernés : cookies
analytiques, de publicité, mais aussi de services fonc-
tionnels tels que sondages et messageries instanta-
nées, etc.
4 points-clés à retenir :
❱ Le consentement implicite n’est plus
suffisant. Il doit être donné via une action
positive.
❱ Il doit être aussi facile de retirer son
consentement que de le donner.
❱ L’alerte sur votre site doit contenir toutes
les informations relatives aux cookies
en tant que DP.
❱ Il faut fournir une option de désinscription.
33. 33
CHAPITREIII-POINT9
ATTENTION : malgré plusieurs interpréta-
tions individuelles dans le sens de l’acceptation
du soft opt-in, au moment de la publication de
ce guide, aucun cookie ne peut être placé sur le
terminal de l’utilisateur avant un geste actif de
l’utilisateur valant consentement.
QUID DU PROFILAGE ?
Il est autorisé par le RGPD à condition de :
❱ informer la personne concernée et lui donner la possibilité de
s’y opposer
❱ ne pas baser dessus des décisions ou conditions discrimi-
nantes pour les individus, ou des décisions issues de traite-
ments automatisés
❱ ne pas cibler les mineurs.
Par exemple : vous ne pouvez pas conditionner le prix d’un pro-
duit ou service prix à l’appartenance d’un individu à un profil issu
du profilage.
Exception pour le recueil de consentement :
si les cookies sont indispensables à la fourniture d’un service
demandé explicitement par l’utilisateur.
36. 36
Gérer les dP au quotidien
Gérer les droits de vos audiences
Le RGPD affirme de nouveaux droits des individus concernant leurs données personnelles, et en
conforte certains pré-existants. Leur multiplicité implique une gestion au cordeau qui peut-être rendue
très simple grâce à quelques pratiques à automatiser.
10
POINT
IV
Quels sont ces droits ?
❱ Droit d’accès : permet à tout individu de savoir quelles informations votre entreprise
détient sur lui dans ses fichiers.
❱ Droit à la portabilité : impose à votre société de fournir les données personnelles du
demandeur dans un format « structuré, couramment utilisé et lisible par machine » qui
permette leur réutilisation par lui ou par d’autres entités.
❱ Droit à l’oubli (ou déréférencement) : consiste à demander à votre structure l’effa-
cement de ses données personnelles, dû dans les meilleurs délais. Ce droit s’applique
à tous les traitements et moyens de contact que votre entreprise possède à son égard.
❱ Droit d’opposition : permet à chacun de ne plus être sollicité par une société ni par ses
partenaires commerciaux, et plus largement de s’opposer au traitement de ses données.
Ces suppressions
ne sont dues qu’à
des individus.
TIP
Vous n’avez pas à
supprimer ces don-
nées avant le terme
normalement prévu
pour leur traitement.
TIP
37. 37
CHAPITREIV-POINT10
Comment les gérer ?
1 Définir les procédures techniques pour répondre aux demandes liées à
ces droits, dont l’authentification de l’identité des requérants lors de leur
demande (pensez à demander leur nationalité : UE or not UE ?), la
conservation des données de contact des individus requérant le droit
à l’oubli, afin de ne pas les recontacter, ou encore la possibilité de se
désabonner ou désinscrire facilement pour s’opposer à vos communi-
cations (par canal SMS, tél., e-mail).
2 Adapter votre interface pour faciliter l’exercice des droits et la trans-
parence : communiquer sur votre site (pop up, chat, pied de page, res-
sources, mentions légales), et dans l’espace connecté de vos clients.
3 Désigner une personne en interne ou un service pour réceptionner les
demandes liées aux droits de vos audiences sur leurs DP.
4 Lui attribuer un email, un formulaire de demande en ligne et/ou un
numéro de téléphone dédié (moyens digitaux obligatoires si collecte
digitale).
5 Communiquer partout (sur votre site, dans vos CGU, CGV, vos mentions
légales ou vos règlements de jeu) sur les moyens pour vos audiences
de contacter votre entreprise afin d’exercer leurs droits sur leurs DP.
6 Traiter les réclamations reçues dans des délais aussi courts que
possible.
.
38. 38
11
POINT
IV
Gérer les consentements de vos communautés
Nous avons déjà vu comment collecter les consentements, les qualifier pour le RGPD,
et comment garantir leur conformité. Chez Socialshaker, nous pensons qu’avec le Règle-
ment, leur gestion au quotidien présente de nouvelles opportunités.
Comment capitaliser
sur vos consentements
au quotidien ?
Profitez de l’engagement suscité par vos opt-ins
qualitatifs issus d’un choix explicite de vos au-
diences, et communiquez avec elles en créant un
parcours d’accueil valorisant et engageant (ou en
adaptant l’existant) qui serve votre image dès ce
début de relation (transparence, justesse des mes-
sages, personnalisation, qualité plutôt que volume
dans vos communications, etc.).
39. 39
CHAPITREIV-POINT11
Comment poursuivre la récolte
de consentements sur la durée ?
Sur Socialshaker, de nombreux types de campagnes marketing interactives
cross canal (jeux, formulaires d’enquête, quiz, etc.) vous permettent d’engager
vos communautés tout en récoltant leurs précieuses DP et leurs consente-
ments, avec un lancement en quelques clics et un suivi transparent pour des
consentements aux normes ! *
Pour que vos actions de marketing interactif soient couronnées de succès pour
vos objectifs quels qu’ils soient, intégrez-les dans un dispositif de marque, d’ac-
quisition ou d’engagement qui réponde à votre stratégie et qui délivre le bon
message à chaque audience.
Les supports pour utiliser les campagnes marketing interactives sont mul-
tiples, nos marques clientes les plébiscitent pour de nombreux cas d’usage
dont : l’animation de leur stand sur salon ou in-store via des tablettes ou écrans
tactiles géant, l’acquisition de trafic web ou de drive-to-store, le renforcement
des liens avec un réseau de franchisés, la réalisation de focus groups virtuels,
la fidélisation de leurs clients, la promotion d’une culture d’entreprise et/ou
l’animation d’événements internes.*
Best practice : certaines marques optent pour une stratégie d’animation et
thde collecte de données en fil rouge sur l’année, afin de qualifier leurs contacts
en continu.
(*) : Pour aller plus loin, les options pour nous contacter (pigeon, parchemin, fumée) sont à la fin de ce guide ;).
TIP
Opérations Caudalie avec Socialshaker sur
salon, avec jeu sur tablette (en haut), et
interaction sur smartphone géant (en bas).
40. 40
12
POINT
IV
Maintenir la conformité des traitements
Un dernier point nous semble clé pour votre conformité avec le RGPD : il s’agit du maintien de cette
dernière sur la durée, et de la préparation aux possibles contrôles.
Avec le RGPD, les déclarations
préalables auprès de la CNIL
disparaissent.
ATTENTION : Toutefois, pour tout traitement sus-
ceptible d’engendrer un risque élevé pour les droits et
libertés des personnes, le responsable devra conduire
une étude d’impact faisant apparaître les caractéris-
tiques du traitement, les risques et les mesures adop-
tées. Si l’analyse d’impact révèle que le traitement
présente un risque élevé qui ne peut être atténué par le
responsable, l’autorité de contrôle devra être consul-
tée préalablement à la mise en oeuvre du traitement.
41. 41
CHAPITREIV-POINT12
CHECKLIST pour vous préparer à un contrôle
En cas de contrôle, vous (ou votre DPO) devrez être en mesure
de prouver la conformité de vos traitements avec le RGPD, et
notamment :
❱ la bonne tenue de vos registres de traitements
❱ l’exhaustivité des informations fournies à vos audiences
❱ la preuve du consentement libre, éclairé et explicite
de vos audiences
❱ le respect des durées de conservation des DP
❱ la mise en place de mesures de sécurité des DP
❱ le respect effectif du droit des personnes (mise en place d’un
contact à qui s’adresser, respect des délais de traitement des
demandes)
❱ la réalisation d’analyses d’impact pour les traitements sus-
ceptibles d’engendrer des risques élevés pour les droits et liber-
tés des personnes concernées (ex : en cas d’évaluation/scoring,
collecte à large échelle, utilisation d’une nouvelle technologie etc.).
réflexes essentiels à adopter (pour
maintenir la conformité dans la durée)* :
● Tenez à jour vos registres de traitement
(nouveau formulaire de contact, nouvelle
communication, etc.).
● Pour chaque nouveau traitement, pensez
à obtenir le consentement informé, éclairé
et explicite de la personne concernée
et à en conserver la preuve.
● Pensez à supprimer les données personnelles
dont le délai de conservation a expiré.
● Veillez à ce que les contrats avec vos
sous-traitants soient conformes au RGPDpp.
● Veillez avec votre équipe technique ou SI
à l’effectivité des mesures de sécurité.
(*) Liste non exhaustive
5
Organisez des points trimestriels avec
votre DPO pour être pro-actifs sur les
nouvelles actions ou stratégies marke-
ting que vous souhaitez déployer.
TIP
42. 42
Le RGPD, un catalyseur de qualité finalement précieux pour
les pros du marketing ?
fin du mass
marketing
quantitatif
Chez Socialshaker,
on pense que le
RGPD est porteur
d’opportunités
pour les marques
dans leurs
stratégies et
leurs performances
marketing et
digitales.
fin des emailings
généralistes
fin des
gaspillages
communications
affinées
cibles plus
engagées
communautés
engagées
content
marketing
fin des
pratiques
de marketing
sauvage
43. 43
CONCLUSION
« La course à la plus grosse base
va enfin pouvoir cesser ! »
Paul Chopin de Janvry, GROUPON FRANCE
choix éclairés
et actifs
impact des
messages accrû
climat
de confiance
audiences
moins
sollicitées,
plus
réceptives
Et si vous tiriez profit de ces nouvelles règles pour généraliser
les bonnes pratiques dans votre entreprise et aller encore plus loin
dans la qualité délivrée à vos cibles ?
On parie que l’engagement de vos communautés
(taux d’ouverture des mailings, d’interaction sur les contenus, etc.)
va grimper ?
Testez vos connaissances avec notre Quiz, et repérez les points
à approfondir selon vos résultats.
44. 44
Support
Informations
à communiquer
Charte de
confidentialité
(Privacy Policy)
Formulaire
de collecte
Type de données collectées
Finalités des données
collectées et destinataires
Durée de conservation
des données collectées
Lien de désabonnement
Contact pour faire valoir les droits
des utilisateurs sur leurs DP
Données relatives à
des mineurs
Recours au profilage
Garanties en termes de
sécurité et de confidentialité
TAKEAWAY
45. 45
TAKEAWAY
Emailings Charte de gestion
des cookies
(Cookie Policy)
(*) Liste non exhaustive
Synthèse des informations à
communiquer à vos audiences
(clients, prospects, visiteurs web,
utilisateurs) dans chaque
support*
46. 46
TROIS MARQUES TÉMOIGNENT
S
ujet pris en compte en amont,
nous voyons le RGPD comme un
enjeu de marque et de réassurance
pour nos clients et prospects que nous
plaçons ainsi encore plus au centre de nos
attentions. Notre politique stricte sur le
sujet peut allonger nos procédures, mais
les bénéfices sont immenses : catalyseur
de best practices, il accélère aussi nos
chantiers en cours. Nos solutions sont
nombreuses : guides pratiques et
événements pour notre réseau, BDD
alimentée en temps réel ou encore
sécurisation des flux.
Paul CHOPIN de JANVRY
Directeur Communication
& Business Development,
GROUPON FRANCE
(fév. 2018)
Laurent LE FERS
Head of Digital,
RENAULT FRANCE
(mars 2018)
47. 47
Témoignages
B
ESTSECRET étant allemand,
nos consentements sont déjà
conformes et paramétrables
(fréquence, type de news) et notre
modèle de club sur invitation permet
une acquisition opt-in et engagée.
Nous déroulons une ré-opt-inisation
soft à base de marketing interactif
servant aussi à l’animation de la
communauté. Grâce au RGPD, nos
membres recevront les news qu’ils
veulent VRAIMENT et seront plus
réactifs. En parallèle, les pros du
marketing devront enfin appliquer
les best practices du CRM/PRM.
L
e RGPD, avec nos 17M de membres
en France, fait écho au cœur de
notre métier. Il constitue des
opportunités indéniables, comme la
réduction des gaspillages marketing, ou
le fait de pouvoir encore mieux proposer
nos offres aux membres et internautes.
C’est dans le sens de l’histoire : la norme
va consister à parler de visiteurs uniques
et actifs, c’est un grand progrès. La ques-
tion de l’accompagnement est
essentielle. Certains sous-traitants
comme Socialshaker, associés à des
avocats, jouent ainsi un rôle-clé de
«concrétisation» du RGPD.
Mathilde CHENEL
Directrice e-commerce France,
BEST SECRET
(fév. 2018)
48. 48
POUR ALLER PLUS LOIN…
Le site de la CNIL propose des conseils ciblés détaillés sur le RGPD pour l’ensemble de vos activités :
https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
Sensibilisée aux enjeux de la réglementation en matière de données
personnelles, l’équipe de SOCIALSHAKER vous accompagne dans
l’élaboration de vos campagnes RGPD compliant !
Par Chat sur
socialshaker.com
Du lundi au vendredi
de 9h30 à 19h
Par email sur
contact@socialshaker.com
Notre cabinet partenaire pour ce guide,
spécialisé en droit du numérique et sur le
RGPD, peut par ailleurs vous guider tout au
long du processus.
http://www.branquart-toussaint.com
Louise Branquart - Avocate associée /
louise@branquart-toussaint.com
50. Nous sommes à votre disposition !
Par Chat sur
socialshaker.com
Du lundi au vendredi
de 9h30 à 19h
Par email sur
contact@socialshaker.com
L’ensembleducontenudecedocumentestprotégéparledroitd’auteuretestlapropriétéexclusivedeSocialShaker.Toutereproductioninterdite.
CréditsPhotos:AdibeStock,-DR-DirectionArtitsique:LewitPhilippe