- Speaker #0
Bonjour et bienvenue dans ce nouveau Ristretto, le podcast de l'agence Adverti. Tous les 15 jours, notre équipe vous propose une table ronde avec un concentré d'infos qui stimule votre créativité et offre une bonne dose d'astuces à actionner. Stratégie, réseaux sociaux, référencement, marketplace, analytics, tous nos sujets de prédilection sont passés au crible sous forme de retours d'expériences, de conseils et d'analyses des tendances. N'hésitez pas à vous abonner. Pour ma part, je m'appelle Emeline Foissey et je suis la cofondatrice de l'agence Adverti. une agence de communication spécialisée dans le web basée dans la jolie ville de Troyes. Mon équipe et moi-même accompagnons des PME, des grands groupes, des institutionnels, des e-commerçants et des start-up dans leur stratégie de communication digitale. N'hésitez pas à vous renseigner sur notre site web agence-adverti.fr ou encore à nous envoyer un email sur ristretto-adverti.fr Bonne écoute ! Bonjour à toutes et à tous et bienvenue dans ce nouvel épisode du Restretto. Aujourd'hui, nous allons nous plonger dans un sujet incontournable pour toute entreprise, le RGPD. L'angle que nous avons choisi pour ce sujet qui peut paraître ennuyeux, on va pas se mentir, c'est bien évidemment celui de la communication du webmarketing. Quels sont les impacts du règlement général sur la protection des données sur les communicants et les webmarketeurs ? Pour en parler, fanchons que vous connaissez toutes et tous, et moi-même, avons le plaisir d'accueillir William Longin, consultant RGPD et fondateur de la société WeCheck. Il va nous partager son expertise et nous donner de nombreux conseils pratiques. On ne va pas se mentir, on a des questions ultra pratico-pratiques à lui poser. On va parler formulaire de contact, mention légale, cookie, newsletter, consentement, WhatsApp et bien d'autres choses. Bref, j'ai hâte, alors je vous propose de commencer. William, tout d'abord, je suis vraiment ravie de t'avoir sur Estretto. Je sais que ce n'est pas un exercice facile pour toi, alors rien que pour ça, je te remercie pour ta présence aujourd'hui. Dans un premier temps, est-ce que tu peux tout simplement te présenter à nos auditeurs et nos auditrices ?
- Speaker #1
D'accord. Alors en quelques mots, William Longin, j'ai créé la société WeCheck en début d'année, spécialisée dans le RGPD et j'apporte mon expertise aux entreprises dans leurs problématiques de mise en conformité, d'audit, voire de sensibilisation à ce sujet qui peut paraître un petit peu obscur. Avant, j'ai fait 20 ans de marketing et de communication dans différents domaines, dont l'informatique, ce qui m'apporte, je pense, un petit plus sur la compréhension des problématiques des entreprises concernant... l'expérience client et comment mettre en place une RGPD efficace sans dénaturer cette expérience client qui est importante aujourd'hui.
- Speaker #0
Le profil était super intéressant. Ton profil était super intéressant pour intervenir sur le Restrito, je trouve. Bon, du coup, commençons avec des trucs pratico-pratiques. Bon, bannière de cookies. Commençons par ça. OK, tout le monde doit la voir, surtout si tu utilises Google Analytics 4, etc. C'est OK. Mais par contre, moi, perso, j'en ai marre de voir des gros sites me proposer de m'abonner pour 2 euros par mois si je refuse les cookies. Ça, est-ce que c'est légal ? Est-ce qu'ils ont le droit ?
- Speaker #1
Alors oui, étrangement, ils ont le droit. Il faut définir un peu ce que c'est qu'un consentement d'un point de vue RGPD. Un consentement est une manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte par une déclaration ou un acte positif clair que des données à caractère personnel la concernent face à l'objet d'un traitement. Donc effectivement, lorsque vous acceptez... d'aller sur ce site, vous acceptez de donner vos données personnelles et d'être traqué par des cookies. Et c'est là qu'il y a un peu bizarre, parce qu'effectivement, le fait de devoir soit payer, soit ne pas y aller, c'est contre cette liberté que le RGPD demande. Mais la CNIL, à la base, n'était pas spécialement en faveur de ce type de site, mais il y a eu une décision de justice qui a été prononcée par le Conseil d'État. en 2020 et qui dit qu'on doit, qu'on ne peut pas interdire aux sites de gagner de l'argent sous contrainte du RGPD. Je la fais courte. Par contre, les sites doivent trouver des alternatives satisfaisantes et réelles en cas de refus d'accepter ces cookies-là. Parce qu'effectivement, ces sites-là, malheureusement, ne vivent qu'à travers les recettes générées par les trackers et les cookies et ensuite la vente de ces données personnelles.
- Speaker #0
Moi, j'ai en tête Marmiton, j'ai en tête Allociné, je crois. Là, on est d'accord qu'au final, c'est plus... Moi, je m'étais dit, c'est parce que s'ils ne sont pas au courant de l'entièreté du trafic qu'il y a sur leur site, ils ne peuvent pas aussi bien vendre les pubs derrière.
- Speaker #1
Effectivement, si vous voulez, les revenus principaux générés par ces trackers sont importants pour leur faire vivre et de faire ensuite un contenu gratuit. Mais si c'est gratuit, c'est que c'est vous le produit, c'est une presse qu'on connaît bien dans le marketing. Et vu que LinkedIn oblige effectivement de donner cette possibilité de soit de refuser, soit d'accepter des cookies, la plupart des gens vont refuser. Donc c'est fortement une perte énorme d'argent pour ces sites-là. Donc ils ont trouvé cette alternative de, si vous refusez les cookies, vous prenez un abonnement. Donc comme ça, ils continuent à générer de l'argent. Par contre, si vous acceptez, vous acceptez à la fois ces cookies. Ce qui va donc à l'encontre de ce fameux consentement libre. que désire la CNIL. C'est pour ça que la CNIL, au début, n'était pas en faveur, mais il y a une décision de justice, enfin, il y a une décision du Conseil d'État qui dit que tout le monde fait cette alternative, on doit l'accepter aujourd'hui. Par contre, ce qu'il faut savoir, c'est que, vu qu'il y a une sorte de désaccord, il y a un futur règlement qui sera en cours d'élaboration au niveau européen, donc on attend de voir un peu comment ça va se passer, parce qu'effectivement... Il y a quelque chose d'un petit peu particulier. Ok, on est libre de refuser, mais on doit payer. Ce qui va un peu à l'encontre du principe, à mon sens du moins, du RGPD et de ce que veut cette réglementation. D'ailleurs, petite parenthèse, un des grands principes du RGPD restera quand même le consentement. C'est quelque chose dont on va certainement parler beaucoup. Donc, on doit bien avoir cette notion et c'est quelque chose qu'on doit vraiment bien inclure dans une stratégie de marketing. Le consentement des utilisateurs ou des salariés, c'est quelque chose d'important. Comment le mettre en place et comment vérifier de l'avoir à chaque instant ?
- Speaker #0
Ok. Et du coup, un peu dans la même veine que ces sites-là, quand on arrive, on ne peut pas parcourir le site sans accepter les cookies ou payer. C'est ce qu'on appelle le consent wall. Il y a plein de sites qui, aujourd'hui, fonctionnent avec ça. Est-ce que c'est autorisé ?
- Speaker #1
Ou légal, plutôt. Ou légal. Oui et non. C'est compliqué. Je ne peux pas faire une réponse à mon sens tranchée. Est-ce que conditionner l'accès à un contenu et demander un paiement de données, est-ce légal ? Alors... Entre les directives européennes et le RGPD, il y a des choses qui sont un petit peu contradictoires, encore une fois. Le RGPD, les directives européennes, le principe de paiement avec des données personnelles est donc légal tant qu'il respecte d'autres dispositions de l'Union européenne. C'est ce qu'on peut résumer des textes de loi que j'ai pu lire à travers ça, les différents articles que j'ai trouvés à ce sujet. Mais bon, l'article 7 du RGPD concernait... Encore une fois, au consentement, il dit plutôt qu'on ne peut pas avoir un consentement libre si on est obligé de payer avec quelque chose en échange.
- Speaker #0
Même pas forcément payer, je parle vraiment de la bannière de cookies qui arrive, qui bloque l'accès au site et tu dois accepter. En général, tu ne sais même pas refuser l'autre bouton, c'est tout paramétré.
- Speaker #1
Oui, c'est une forme de paiement. Quand on accepte, on accepte l'ensemble des cookies, les cookies utiles au bon fonctionnement du site. Donc ça, pour le coup... Il y a un véritable intérêt légitime pour l'entreprise d'accepter ces cookies. Et ça n'a pas vraiment d'impact sur l'utilisateur. Par contre, ceux qui sont des trackers publicitaires, qui vont pouvoir collecter vos données, ensuite pouvoir les revendre à des personnes tierces, et même hors de l'Union européenne, ça commence à devenir compliqué, tout ça. Là, effectivement, c'est une sorte de paiement, finalement. On accepte de vendre ces données, qui vont rapporter de l'argent à l'entreprise, pour pouvoir accéder à un site. Et là, c'est un petit peu compliqué. C'est comme je disais... Tout à l'heure, par rapport à ces fameux abonnements, là c'est clair et net, là c'est clairement annoncé, donc entre guillemets c'est plus proche de ce que veut la réglementation RGPD, c'est-à-dire qu'on informe bien l'utilisateur de ce qu'on va faire à ces données, pourquoi il y a ça, etc. Le fait par contre d'accepter ou juste refuser, et si on refuse on n'accède pas au site, là pour le coup on n'y rend pas du tout conformité RGPD, d'après ce que je comprends de ton exemple. Donc effectivement il faut donner la possibilité aux personnes d'accepter ou refuser et trouver une alternative.
- Speaker #0
Ok. Si on est toujours focalisé sur la partie site web, du coup, est-ce que sur les formulaires de contact qu'on a, typiquement sur un site web, est-ce qu'on est obligé de mettre la case vos données seront utilisées afin d'être recontactées à la fin du formulaire ? Alors,
- Speaker #1
je vais encore faire ma fameuse réponse du normand oui et non Alors, pourquoi ? Comme je vous l'ai dit, ce fameux consentement, je vais le répéter souvent, mais comme ça, ça sera bien ancré pour tout le monde, donc doit être libre, spécifique, éclairé et univoque. Ça veut dire qu'on doit toujours vraiment éclairer les gens sur ce qu'on va faire des données. L'ACNIL dit effectivement, d'après le Considérant 32, que le consommant devrait être donné par un axe clair et positif. Et cela pourrait être, notamment en cochant une case lors de la consultation d'un site internet. Donc pourrait être. À partir de là, il n'y a pas d'obligation d'avoir une case, mais vu qu'on n'a pas trouvé mieux. pour avoir le consentement, autant utiliser cette technique-là. Ok. Voilà, donc c'est pour ça, c'est un mythe, comme d'autres mythes qui pèrent autour du GPD, la case n'est pas obligatoire, mais avec l'encul, je vois difficilement comment on peut faire autrement. Donc moi, ce que je conseille, effectivement, c'est ne vous embêtez pas, mettez une case, avec, encore une fois, après des mentions d'informations, car oui, une chose très importante dans le RGPD, comme encore une fois, le consentement doit être éclairé, donc l'ensemble des informations concernant le traitement de vos données doit être... Vous devez savoir à quoi vont servir vos données.
- Speaker #0
Ok. Et d'ailleurs, dans la même veine, la politique de confidentialité, je dois en avoir une sur un site web vitrine, genre dans mon bad page sur mon site web. Parce qu'aujourd'hui, on a tendance à retrouver les mentions légales. Est-ce que je dois vraiment avoir une page aussi pour, oui, politique de confidentialité ?
- Speaker #1
Alors, moi, je le recommande aussi énormément. Même si vous n'avez pas de formule de contact, je conseille fortement d'avoir une politique de données parce que toute entité, quelle qu'elle soit, D'ailleurs, administration, entreprise, association, doivent être conformes au RGPD. Donc à partir de là, si vous devez être en conformité, vous devez avoir des registres de traitement, vous devez savoir ce que vous faites de vos traitements, la manière dont vous traitez vos données, et à un moment ou à un autre, informer les utilisateurs, les personnes pour qui vous collectez ou traitez de la donnée. Si vous êtes une association, vous récupérez forcément de la donnée personnelle sur vos membres, donc ces membres-là doivent être au courant de ce que vous allez faire de leurs données. Donc une politique de données. Une politique de consignité de données doit être forcément écrite ou rédigée à un moment pour informer les gens de ce que vous allez faire de ces données. Et pour qu'elle soit accessible, le site internet est un très bon moyen. Comme ça, ça vous permet de rediriger les utilisateurs, vos salariés même, pourquoi pas. Parce qu'effectivement, vous récupérez en tant qu'entreprise énormément de données sur vos salariés, d'un point de vue légal, ce que vous avez besoin de données juste pour faire un contrat de travail, une fiche de paie. Autant, pourquoi pas, ne mettre l'ensemble de ces informations sur une politique de données sur un site internet. C'est une manière de faire. Ok,
- Speaker #0
très bien. Donc, j'indique le traitement. Est-ce qu'il y a d'autres choses que je dois indiquer dans cette page-là ?
- Speaker #1
Les informations, effectivement, les mentions légales qui doivent être indiquées sur ce type de document. Donc, l'identité et les coordonnées de l'entité, c'est la base, c'est normal. Les détails concernant le responsable de traitement et le cas échéant, si vous avez l'obligation ou si vous souhaitez en avoir un. les données du DPO, du délégué à la protection des données. Comme ça, ça permet aux gens de pouvoir l'interpeller en cas de soucis, questions, etc. C'est beaucoup plus simple. Les finalités poursuivies par le traitement, à quoi vont servir les données ? Encore une fois, et ça c'est très important, quand vous collectez une donnée, vous devez dire à quoi elle va servir et elle doit servir uniquement à ça. Si vous vendez des chouquettes, vous récoltez des données pour vendre des chouquettes, vous ne pouvez vendre que des chouquettes. Vous n'avez pas le droit de vendre des pullovers ou quoi que ce soit à côté. Je schématise, mais c'est un peu l'idée. lorsque vous collectez une donnée, vous dites à quoi elle va servir. C'est obligatoire, c'est très fortement recommandé. La base légale qui vous permet de le faire, parce qu'il y a différentes bases légales qui vous disent moi j'ai besoin de récupérer des données parce que c'est la loi qui m'oblige de le faire. Quand je veux faire un contrat de travail, j'ai besoin d'avoir des informations. Légalement, je suis obligé de récupérer vos données. Donc il faut juste le préciser. Dans un but contractuel, pour pouvoir finaliser une vente, j'ai besoin de faire un contrat. faire une facture, donc j'ai besoin d'en récupérer vos données. Donc là, c'est plutôt logique. Après, il y a d'autres types de bases légales. Ça va être le consentement. Vous acceptez de donner vos données, par exemple, dans le cadre d'un recrutement, vous donnez votre CV. Dans ces cas-là, vous acceptez donc, à la base légale, c'est le consentement de la personne. C'est l'intérêt légitime de l'entreprise, elle a besoin, pour son bon fonctionnement, de récupérer de la donnée. Ça peut être après soumis à l'interprétation, mais après, il y en a des autres aussi, l'intérêt... de la personne, l'intérêt vital de la personne, les données de santé, ça peut être ce genre de choses, ou dans le cadre de données archéologiques, donc il y a une autre base légale par rapport à tout ça. Voilà. Donc, bien préciser, dans votre politique, pour quelle raison, pour quelle finalité, et qu'est-ce qui vous permet, entre guillemets, de le faire ? Qu'est-ce qui est la base légale qui vous permet de le faire ? Les caractères obligatoires facultatifs, qu'est-ce qui va se passer s'ils refusent de donner les données ? Ça peut être aussi intéressant de l'indiquer. Les destinataires des données personnelles, à qui sont destinées ces données-là ? Savoir si effectivement c'est en interne, à quel service. Lorsque vous faites une demande de contact avec des demandes d'information, dire que ces données-là vont être transmises au service commercial et uniquement au service commercial. Parce qu'encore une fois, dans le RGPD, quand on récupère une donnée, elle doit servir uniquement à une chose, à une finalité. Et donc, seules les personnes autorisées doivent y avoir accès. Si vous récupérez des données de santé, alors, j'ai rien contre les... Les secrétaires, mais la secrétaire n'a rien à faire, ne doit pas accéder à ces informations-là, sauf si on estime que dans le traitement de son activité, elle a besoin. Mais ça, ça doit être précisé, spécifié et indiqué à la personne. Encore une fois, toujours indiqué, informé, c'est vraiment un leitmotiv du RGPD, c'est plutôt une bonne chose. On doit savoir à quoi servent nos données. C'est vraiment très important. La durée de conservation aussi, c'est-à-dire combien de temps la donnée va être gardée, parce qu'aujourd'hui, ce que j'entends souvent, je la garde au cas où. Le au cas où n'est pas un argument. On doit spécifier une donnée de conservation, parfois elles sont même déjà prédéfinies par la loi. Et une fois que la donnée est périmée, elle doit être soit mise à jour, soit détruite. On ne peut pas garder une donnée qui n'est pas conforme, qui n'est pas la réalité. Parce que ça peut être dangereux, garder des informations périmées sur une personne n'est pas acceptable. Donc l'entreprise, l'association, l'entité qui récupère la donnée doit faire en sorte de mettre à jour sa donnée ou la supprimer. Par exemple, vous récupérez un CV. Au bout de six mois, si vous n'avez pas donné de suite, vous supprimez le CV parce que vous n'avez plus l'intérêt. On peut imaginer plein de choses. La personne a trouvé un nouveau poste, évolué, une nouvelle compétence. Donc, le CV n'est plus à jour. Donc, ça ne sert à rien de le garder. Ça permet de faire du vide aussi. Ça peut être le moyen de faire tous les six mois l'entreprise, la journée. Je nettoie la base de données. Je vois d'un point de vue marketing. C'est très intéressant aussi cette fameuse épuration de données parce que ça permet d'être encore plus efficace. On fait du marketing, de l'emailing. La donnée, la source, c'est vraiment quelque chose d'important, c'est vital. Et si une donnée est erronée ou de mauvaise qualité, ça va nuire sur vos statistiques, sur vos performances, sur l'expérience client. Donc, assurez-vous que la donnée soit toujours juste. Autre chose très importante aussi, ce qui a amené le RGPD, c'est les droits de l'internaute. Surtout aujourd'hui, nous avons chaque utilisateur, chaque personne qui donne de la donnée a des droits. Salariés, clients, prospects, tout. personne aujourd'hui de droit très important sur sa donnée et à droit elle doit les exercer donc Quand vous faites une politique, vous devez dire les droits qu'ont les utilisateurs. Les fameux droits d'opposition, les droits de regard, de rectification, les droits d'oubli, les droits de portabilité, et j'en passe. Vous avez plusieurs droits qui vous permettent de savoir à quoi sert la donnée, qu'est-ce qu'on a sur vous, comment elle est traitée, etc. Et surtout, si vous ne voulez plus qu'elle soit utilisée, le dire. Et généralement, vous avez gain de cause. Pas toujours, parce qu'effectivement, dans certains cas, on peut vous dire je suis obligé de garder votre donnée parce que c'est dans votre intérêt vital, données de santé par exemple Mais généralement, quand vous êtes un salarié, vous n'allez pas demander à votre patron de défacer toutes les données que vous pensez avoir. C'est un peu dédicat pour faire la fiche de paie à la fin du mois. Mais d'une manière générale, vous pouvez effectivement demander pour un newsletter non, j'arrête, je ne veux plus recevoir un newsletter, donc vous m'en retirez
- Speaker #0
Ok. Est-ce qu'il y a encore d'autres choses à ajouter ?
- Speaker #1
Deux petits points, effectivement. Pour préciser que l'internaute peut appeler l'ACNI en cas de problématique, lui rappeler ça. Effectivement, l'ACNI étant l'autorité qui permet de gérer toutes ces problématiques et un GPD, si on n'est pas d'accord, on a le droit d'aller les consulter, porter plainte, faire une réclamation et l'ACNI le tranchera. Après, au besoin, il a vraiment des cas très particuliers. J'avoue que c'est un point que je n'ai pas encore eu l'habitude de traiter, mais tout ce qui va concerner. le transfert de données personnelles vers un pays qui n'appartient pas à l'Union européenne. Là, c'est un petit peu plus compliqué parce qu'effectivement, en fonction des pays, les lois ne sont pas les mêmes, la manière de traiter les données ne sont pas les mêmes. Aux Etats-Unis, par exemple, il y a des choses qui sont complètement différentes. Et qu'est-ce qui se passe lorsque vous donnez un site français, mais celle-ci va travailler avec des entreprises américaines ? Il faut le préciser, informer les gens, et puis les gens, en fonction de ça, une fois qu'ils ont un jugement éclairé, ont le droit d'accès. accepté, de refusé, de demandé un changement, etc. Voilà, donc c'est assez complet.
- Speaker #0
En effet, ça fait une sacrée page.
- Speaker #1
Oui, oui, oui. Effectivement, après, vous avez des modèles qui apprennent. Et puis, généralement, en fonction d'un site à un autre, les traitements peuvent être assez similaires d'une entreprise à une autre. On va dire, voilà, ça va être un traitement donné pour une visée commerciale, pour la newsletter, pour la communication, pour le marketing. C'est généralement des processus assez similaires. Donc, on peut retrouver après des traitements et voir comment les mettre en forme.
- Speaker #0
Ok, top. Tu parlais justement à l'instant de tout ce qui était newsletter et tout. J'ai deux questions à ce sujet. Déjà, est-ce qu'un e-commerçant peut envoyer des newsletters sur sa base de clients sans que les clients aient donné leur accord explicite pour recevoir la newsletter ?
- Speaker #1
Alors, encore une fois, oui et non. En principe, non. On ne peut pas envoyer une newsletter si on n'a pas eu le consentement. Encore une fois, le consentement est hyper important dans tout ce qui concerne le RGPD. Vous l'avez compris, c'est vraiment quelque chose de fondamental. C'est comme ça que je le perçois. C'est vraiment quelque chose qui est très important. C'est le consentement de la personne et informer les gens. Donc, si personne n'a pas donné son consentement pour recevoir la newsletter, vous ne devez pas lui envoyer. Vous n'êtes pas en conformité. Toutefois, il peut y avoir des exceptions concernant les clients existants ayant déjà acheté des produits chez vous. Les anciens clients, ça fait des années que vous travaillez avec eux. Si vous voulez envoyer une information sur le nouveau produit, la nouvelle version du produit qu'il a déjà acheté, pour l'informer qu'il y a une version 6, 7, 16, 22, je ne sais pas quoi, vous pouvez, mais effectivement, il faut que le message concerne des produits similaires à ce qu'il a déjà acheté. Et bien sûr, il y a la possibilité ensuite de refuser ce type de communication lors de l'achat, toujours avoir un droit de se désabonner, et ensuite respecter ce droit. Bien sûr, c'est très important. donc effacer sa base de données ou indiquer que la personne ne veut plus recevoir d'informations, et que le client puisse facilement se désinscrire. Toujours avoir cette possibilité de se désabonner, de se désinscrire de ces newsletters. Pour résumer, non, vous ne pourrez rien envoyer à vos clients si vous n'avez pas le consentement, sauf si c'est des clients existants et que vous leur envoyez des informations concernant déjà les produits que vous leur avez déjà vendus.
- Speaker #0
Ok, tu me tends la perche pour mon autre question. Combien de fois on reçoit des newsletters ? On se désabonne et on sait qu'on se désabonne et on continue de les recevoir.
- Speaker #1
Ça, ça arrive souvent. Ça, c'est pas bien.
- Speaker #0
Voilà.
- Speaker #1
Il y a des fois, on désabonne.
- Speaker #0
En tant qu'internaute, qu'est-ce qu'on peut faire ? Et ensuite, on est quand même bien d'accord que cette entreprise-là, elle est dans le tort. Alors,
- Speaker #1
logiquement, elle est dans le tort, effectivement. Donc, c'est classe qu'elle ne respecte pas votre volonté de se désabonner et donc votre droit à se rétracter d'un traitement. Les recours que vous avez, c'est déjà de lui envoyer un message, de lui contacter son DPO et de lui dire Vous ne respectez pas mon droit, faites quelque chose. C'est la première chose, c'est une solution à la miale pour lui rappeler que vous avez choisi que vos données ne soient plus utilisées pour ce type de traitement, donc elle doit s'engager à le faire. Et vous donner une réponse. Si elle ne vous donne pas de réponse, ce qui peut arriver, votre message n'est pas traité, dans ces cas-là, vous avez la possibilité de faire intervenir l'autorité compétente qui est donc la CNIL et de porter une réclamation et de dire qu'effectivement l'entreprise continue à vous envoyer des newsletters ou de l'information ou des messages à caractère publicitaire sans votre accord ou du moins en ayant demandé à ne plus se désabonner et que ça n'a pas été respecté. Donc dans ces cas-là, la CNIL... si elle a le temps, pourra mettre en place des actions de vérification, de contrôle, et après entamer une procédure qui peut être plus ou moins laborieuse pour l'entreprise en question.
- Speaker #0
D'ailleurs, est-ce que une entreprise de type est tout de suite sanctionnée ?
- Speaker #1
Non.
- Speaker #0
Genre, il y a des mises en garde avant ? Alors,
- Speaker #1
ça ne m'est jamais arrivé, donc je n'ai pas le... Je n'ai pas le vécu par rapport à ça, mais dès ce qui est indiqué sur le site de la CNIL, les sanctions vont dépendre de la gravité de la non-conformité, de la nature des données traitées, la coopération d'entreprise lors de l'audit. Je conseille même aux entreprises d'être proactifs lorsqu'elles sentent qu'il y a un problème, d'aller même en amont de la CNIL. D'ailleurs, je conseille à mes clients de tenir un registre des violations et en fonction de la gravité de la violation, prévenir en amont la CNIL. En gros... On peut comparer l'acnil à un gendarme, clairement. Si vous vous faites choper avec l'oreillette et que vous commencez à nier, dire non, j'ai rien fait, etc. alors que vous avez l'oreillette qui est pendue pendant que vous vous conduisez, évidemment que le gendarme ne va être pas très clément. Si effectivement, vous acceptez vos torts et que vous faites en sorte de faire les choses bien, peut-être que le gendarme sera plus clément et acceptera de traiter votre dossier un petit peu différemment. C'est comme ça que je le conçois. Encore une fois, l'acnil est là pour faire respecter quelque chose. Il allait aussi à rôle de conseil. Donc, elle peut effectivement demander soit des suspensions de traitement, si effectivement elle estime que le traitement n'est pas conforme, donc elle peut demander à l'entreprise d'arrêter de faire un type de traitement, ce qui peut être compliqué pour une entreprise, arrêter de faire de la communication. Interdire de traiter certaines données, elle peut faire des mises en demeure, donc demander effectivement de vous conformer dans un délai imparti. Et si ça a à vous de le faire rapidement et de rectifier vos problématiques, vous pouvez faire appel à un consultant, par exemple, pour vous aider. Mais voilà, vous avez toujours un laps de temps. Et effectivement, si rien de tout ça n'est fait, il peut y avoir des amendes qui peuvent être très lourdes, ce qui va aller jusqu'à 20 millions d'euros, 4% du chiffre d'affaires. Donc, ça fait très mal. D'ailleurs, en ce moment, je vois beaucoup d'amendes tomber dans le milieu médical. Les médecins, effectivement, qui ne respectent pas les principes de sécurité, qui mettent à disposition sur des serveurs les données des patients. Donc là, la clinique a commencé à taper fort pour dire attention. C'est de la donnée sensible, faites gaffe. Et vu que ce n'est pas fait, on est obligé de sanctionner d'une manière ou d'une autre. Je n'ai encore jamais vécu ça, mais par chance, je dois le voir, mes clients font très attention, sont très bien. Mais en cas de souci, soyez proactifs, renseignez les pertes d'intégrité ou de violation. Une perte d'ordinateur, c'est peut-être tout simple, mais il peut y avoir de la donnée dedans. Donc, si vous n'avez pas sécurisé, s'il y a des données importantes, prévenez la CNIL et voyez ce qu'on peut faire avec. Si vous savez qu'il n'y a pas de souci, renseignez-le et montrez bien que vous avez trouvé qu'il y a un souci et que vous avez trouvé une solution.
- Speaker #0
On fait un petit zoom plutôt sur la partie commerce, des personnes qui ont un commerce physique. Comment est-ce qu'elles peuvent s'assurer d'être conformes au RGPD au moment de la récupération des données de leurs clients ? Si par exemple, elles veulent envoyer des newsletters, etc. Là, il n'y a pas cette fameuse notion du oui, je veux recevoir la newsletter, je code Comment est-ce que ça se passe ?
- Speaker #1
Alors, effectivement, ça, c'est une partie assez complexe de récupération de consentement sans altérer l'expérience utilisateur. Parce que, bon, je me doute bien que ce n'est pas toujours évident pour un commerce de demander ça. Alors, j'ai envie de dire, la réinterprétation du moins ou l'expérience de ma part dans le milieu du marketing, il faudrait essayer d'avoir une tablette, pourquoi pas, au moment d'un achat et de faire signer la personne pour récupérer le consentement, même temps que l'adresse mène, etc. Ok. ou un formulaire papier, et le mettre discrètement à la fin d'une demande, dire est-ce que vous pouvez vous accepter d'avoir une newsletter, j'ai juste un petit papier de consentement, etc. C'est le genre de choses qu'il faut essayer de mettre en place.
- Speaker #0
Une trace.
- Speaker #1
C'est quand même recommandé, c'est nettement mieux, parce qu'encore une fois, au moins, en cas de contrôle de la CNIL, vous avez les preuves de consentement, et vous pourrez envoyer des informations. Et si une personne vous dit, avant, je n'ai jamais rassigné, vous pourrez leur sortir, si elle date, vous m'avez autorisé à vous envoyer des newsletters. Je sais que c'est compliqué dans un commerce de tous les jours, en plus, on imagine que vous avez une file d'attente, les gens attendent pour payer, vous leur demandez en plus ça. Mais si, alors, trois villes de magasins d'usines, je pense qu'on y va de temps en temps, et c'est quand même maintenant assez commun d'avoir une tablette en face de soi et on vous demande effectivement ce que vous acceptez, rentrez votre adresse mail, vous cliquez sur le bouton, je ne suis pas sûr que tout le monde lise ce qui se passe, etc. Logiquement, il y aurait un travail d'information pour dire à quoi va servir la donnée. Mais quand vous avez plein de monde, généralement, on le fait, etc. Donc, récupérer le consentement d'une manière ou d'une autre, un formulaire, une tablette, ça serait quand même pas mal.
- Speaker #0
Ça arrive aussi de plus en plus qu'avec les tickets dématérialisés, qu'on vous demande si vous voulez le ticket par mail et en même temps, on te demande si tu veux t'abonner à la newsletter.
- Speaker #1
Oui, ça peut être un moyen.
- Speaker #0
C'est souvent comme ça. En tout cas, moi, quand je lis personnellement,
- Speaker #1
pour aller dans certaines boutiques,
- Speaker #0
c'est ça.
- Speaker #1
Est-ce que tu veux recevoir ton ticket par mail plutôt que l'avoir par papier ? Bah oui.
- Speaker #0
Et à ce moment-là, on me pose la question. Est-ce que vous voulez en profiter pour vous abonner à la newsletter ?
- Speaker #1
Ben oui, non. Très bien, effectivement, ça c'est une bonne façon, ça permet de passer l'acte de vente des langues moins désagréables. Ensuite, il n'y a plus de temps, vous allez me poser, vous avez votre ticket, vous avez cette question. Là, l'expérience utilisateur est contente. Elle n'est pas entachée, et je dirais même, elle est presque améliorée dans le sens où on se fait dire, tiens, l'entreprise prend soin de mes données personnelles. Voilà, je pense que c'est plutôt une bonne chose. D'ailleurs, c'est vrai que le RGPD est souvent vu comme une petite aparté, mais... je me rends compte que les RGPD sont vus comme une contrainte, quelque chose de désagréable, de chronophage, de négatif, d'enquiquinant, clairement.
- Speaker #0
Mon introduction ! Oui,
- Speaker #1
mais totalement. Mais il y a des moyens, je crois, j'ai l'impression, de le rendre plus séduisant. Je sais qu'on vend des paillettes en marketing, mais voilà. Ça peut être un moyen de dire à vos clients, moi j'ai fait cette conformité, je respecte votre consentement, je fais attention à tout ça, je suis en mesure de vous assurer que vos données seront traitées d'une manière... conforme au RGPD et ça peut devenir presque un argument différenciant finalement. Mais pour ça, ça demande effectivement une mise en conformité et un changement des process, un changement de certaines habitudes qui au final peuvent être différenciants et y a un plus.
- Speaker #0
Merci, j'ai une dernière question. On parlait d'expérience client. Au final, la dernière fois j'ai fait un achat qui était ponctuel sur un site, je savais que je n'allais jamais racheter dessus. Et après avoir acheté, quelques jours plus tard, j'en sois le produit. Quelques jours plus tard, je reçois un message directement sur mon WhatsApp perso. Je sais que je n'ai pas coché la case newsletter et tout. Je ne rachèterai jamais sur ce site. C'était vraiment hyper ponctuel. Est-ce qu'ils ont le droit de m'envoyer ce message ?
- Speaker #1
Alors, ça peut être toléré, mais c'est quand même très limite. Pourquoi ? Sans parler du problème éthique WhatsApp, entreprises américaines, traitement des données, amende, etc.
- Speaker #0
Alors en plus, c'est une entreprise française par contre.
- Speaker #1
Oui, mais voilà. On ne va pas parler effectivement de tout ce qui concerne WhatsApp, parce que là, on va rentrer dans un débat en transfert de données, etc. Mais juste sur le fait que tu as reçu une... C'était vraiment une demande d'avis ?
- Speaker #0
C'était la fondatrice de la boîte qui m'envoyait un message. C'était automatisé, je ne me fais pas d'illusion. Mais elle indiquait qu'as-tu pensé de tes premiers jours avec le produit ? Est-ce que tu es satisfaite ? J'adore avoir des retours, etc.
- Speaker #1
Effectivement, au moment de l'achat, tu as dû communiquer des informations, tu as dû faire des informations. pour que la vente se réalise et tu as dû accepter effectivement que ces données soient servies dans le cadre du bon fonctionnement du service, à savoir pour la facturation, l'expérience utilisateur, les services après-vente, etc. À partir du moment où ce message n'a pas de caractère de vente, que ce soit un suivi client ou un suivi d'après-vente,
- Speaker #0
Il y a une forme de tolérance par rapport à ça. Ok. Voilà. Mais si le message a eu des fins promotionnelles pour te vendre quelque chose d'autre, là, pour le coup, tu aurais dû avoir un consentement qui aurait dû être demandé. Ok. Voilà. Donc, il y a encore une fois quelque chose d'un peu flou, un peu comme le consentement. Il y a des choses qui sont un petit peu floues par rapport à ça. Donc, à mon sens, il n'y a pas eu quelque chose d'illégal vis-à-vis du RGPD, dans le sens où elle te demandait juste comment ça se passait. une conversation amicale entre deux personnes. Voilà,
- Speaker #1
je sens ça comme ça.
- Speaker #0
Donc, pour moi, de mon sens, c'est ma compréhension du RGPD. Elle n'a pas d'affaire en frein à la loi. Ce n'est pas quelque chose qui n'est pas conforme. D'ailleurs, tu as donné ton consentement à ça, dans le sens où tu as acheté le produit et tu as accepté, effectivement, d'avoir une sorte de suivi client, finalement. C'est certainement quelque chose que tu as dû consentir, peut-être sans autant en rendre compte.
- Speaker #1
J'ai cogé la case de mes comptes sur Général. En les lisant.
- Speaker #0
comme tout le monde donc à ce moment-là pour moi il n'y a pas de problématique même si effectivement c'est assez limite je te l'accorde mais tant que ce n'est pas des fins promotionnelles ou des fins commerciales on ne peut pas lui reprocher ça par contre si effectivement elle se sert de ces données que tu as consenti à donner pour du suivi client ou la réalisation de la vente et qu'elle s'en sert pour un acte promotionnel une autre finalité comme je disais tout à l'heure ben là pour le coup ce n'est pas bon elle ne peut pas s'en servir pour te rendre pour Je ne sais pas ce que tu as acheté, mais si tu as acheté... Je vais prendre un exemple. Accor, le grand groupe, si je me souviens bien, avant, récupère des données pour contractualiser, donc faire de l'allocation de chambres. Il me semble, je dis ça, j'ai plus l'exemple expression en tête, mais ils ont été condamnés parce qu'ils se sont servis de ces données pour vendre d'autres types de prestations, types de spas, qui ne rentraient pas dans l'affinité indiquée. Donc là, effectivement, encore une fois, vous avez donné votre consentement pour une finalité. Donc c'est ça. donc c'était un choix éclairé consenti, univoque, etc parce qu'on vous a dit que les données allaient servir à ça et puis on vous envoie des informations pour autre chose ben non, ça ne marche plus donc là dans ce cadre-là dans le cadre WhatsApp pour moi c'est quelque chose de toléré qui peut être un peu limite mais toléré
- Speaker #2
Ben disons que c'est c'est pas habituel parce que ça passe par WhatsApp c'est vrai que les demandes d'avis généralement tu les reçois mais tu les reçois par email tout ce qui est avis vérifié trust pilot ces logiques-là ça part
- Speaker #1
toujours par mail c'est vrai que par WhatsApp du coup ça peut perturber et c'est vachement plus intrusif parce que c'est ton téléphone c'est vraiment une donnée qui est plus personnelle genre je me suis dit parce qu'en plus le message était vraiment bien tourné c'était vraiment en mode elle voulait juste savoir vraiment comment ça se passait et pour le coup j'ai pas répondu et j'avoue que j'ai apprécié le message quand même et que j'ai apprécié ne pas avoir eu la relance qui va avec parce que tu vois il n'y a plus 3 jours plus tard n'ayant pas eu de réponse m'envoyait un message en mode, du coup, je me permets de te relancer. Qu'est-ce que tu as pensé du produit ? Pas du tout. Et en fait, au final, j'ai trouvé ça assez soft. Et je pense que le message était vraiment très bien tourné. Et oui, je me suis sentie un peu valorisée, je ne sais pas comment dire, à la fin de cet achat. Donc, si tu veux, ça a bien clôturé la prestation. Oui, comme on disait tout à l'heure,
- Speaker #2
ça peut être aussi positif finalement.
- Speaker #1
Voilà, mais malgré tout, je me suis dit, est-ce qu'elle a quand même le droit ? Parce que je sais, je le savais pour sûr que j'avais coché non.
- Speaker #2
Donc voilà, c'est une demande d'avis. C'est ça qui est différent.
- Speaker #0
C'est une demande d'avis, d'un point de vue marketing et communication, je trouve ça effectivement très intéressant, même s'il y a le côté intrusif de WhatsApp. Je suis tout à fait d'accord, moi je l'aurais peut-être assez mal pris, parce que ça dépend aussi de l'utilisation qu'on fait de WhatsApp. C'est ça,
- Speaker #2
c'est subjectif. En tout cas en France, c'est vrai que ce n'est pas courant que commercialement on s'adresse à toi par le SMS. De plus en plus, on commence à recevoir des offres, tout ça, mais des demandes d'avis, moi, c'est la première fois que j'entends ça, clairement.
- Speaker #1
C'est la première fois que ça m'arrive. Et la dernière, d'ailleurs, que c'est ma...
- Speaker #0
Mais je trouve ça bien joué, effectivement. Après, ça pourrait l'amener, dans un second temps, à changer ton consentement et à recevoir des informations promotionnelles. Ça peut être une manière d'être en train de le faire. Tout à fait. Mais encore une fois, penser, RGPD, consentement, c'est vraiment quelque chose de très important. Informer les gens de ce que vous faites des données. Pour le coup, tu n'avais pas dû faire attention que cette donnée pouvait être utilisée. pour des demandes d'avis, ce genre de choses. Ce n'est pas improbable. Tout à fait.
- Speaker #1
Superbe. Un grand merci, William, pour ces éclairages précieux sur le RGPD. En vrai, au fil des échanges, on s'aperçoit qu'intégrer cette réglementation dans une stratégie de communication et de marketing, ce n'est pas seulement une obligation légale, c'est aussi une opportunité, au final, de renforcer la confiance avec ses clients. Donc, c'est chouette. Merci beaucoup de t'être prêté au jeu du podcast. Si vous souhaitez en savoir plus, chers auditeurs et chères auditrices, n'hésitez pas. à contacter William sur LinkedIn William Longin ou encore à vous rendre sur son site wecheck.fr W-I-C-H-E-C-K.fr et de notre côté on vous retrouve très vite pour un nouvel épisode à bientôt au revoir au revoir voilà notre podcast est terminé Si celui-ci vous a plu, n'hésitez pas à nous laisser 5 étoiles sur votre plateforme d'écoute préférée. Cela nous sera d'une grande aide pour faire connaître ce podcast à un maximum de monde. Vous avez des questions ou souhaitez échanger avec nous sur le contenu de ce podcast ou toute autre chose ? N'hésitez pas à nous contacter via nos réseaux sociaux ou sur restretto.fr. A très vite !
