GDPR arrive : l'impact sur la collecte de commentaires numériques 21 mars 2018

Publié: 2018-03-21

Vous perdez le sommeil la nuit en pensant à l'arrivée du RGPD ? Si oui, vous n'êtes pas seul. Il existe encore de nombreuses organisations (petites et grandes) qui ne savent pas exactement comment se préparer aux changements à venir dans la réglementation sur la collecte de données, en particulier en ce qui concerne la rétroaction numérique. Mais ne vous inquiétez pas, il n'est pas trop tard pour commencer !

Cet article vous guide à travers les bases du GDPR (par exemple, qu'est-ce que c'est et qui sera concerné), les changements les plus critiques à connaître en termes de collecte de commentaires numériques , pourquoi il est important de se conformer à ces réglementations, les conséquences si vous choisissez à ne pas faire et ce que nous faisons ici chez Mopinion pour nous préparer, nous et nos clients, à la nouvelle législation.

Commençons par les bases.

Qu'est-ce que le RGPD ?

Le règlement général sur la protection des données (communément appelé RGPD ) est un nouveau règlement européen sur la protection de la vie privée qui entrera en vigueur le 25 mai 2018. Ce règlement sera mis en œuvre dans toutes les lois locales sur la protection de la vie privée dans la région de l'UE et de l'EEE et s'appliquera à tous. les entreprises qui vendent ou stockent des données personnelles sur les citoyens de l'UE et de l'EEE. En d'autres termes, cela changera de façon permanente la façon dont les entreprises collectent, stockent et utilisent les données clients. En retour, les citoyens de l'UE et de l'EEE auront plus de contrôle sur leurs données personnelles et sur ce qui en est fait.

Mopinion : Le RGPD arrive : L'impact sur la collecte de feedback numérique - RGPD

Qu'entend-on par "données personnelles" ?

Tel que défini dans la directive RGPD,

"Les données personnelles sont toutes les informations relatives à une personne telles qu'un nom, une photo, une adresse e-mail, des coordonnées bancaires, des mises à jour sur les sites de réseaux sociaux, des détails de localisation, des informations médicales ou une adresse IP d'ordinateur."

Qui sera affecté par le RGPD ?

Pour simplifier un peu, ce sont principalement les « contrôleurs » et les « sous-traitants » (de données) qui seront directement concernés par le RGPD.

Les contrôleurs (par exemple, les clients de Mopinion) sont toute entreprise ou entité gouvernementale qui détermine comment les données sont traitées et pourquoi.

Les sous-traitants (par exemple Mopinion ) sont des entreprises qui effectuent le traitement (technique) des données pour le compte du responsable du traitement.

Ce qu'il est important de reconnaître, c'est que, selon la nouvelle réglementation, peu importe où dans le monde les contrôleurs/sous-traitants sont situés ou opèrent. S'ils font des affaires avec des entreprises de l'UE ou collectent des données auprès de citoyens de l'UE, ils sont tout aussi tenus de respecter le RGPD que ceux opérant dans les régions de l'UE / EEE.

Livre blanc gratuit : L'avenir du feedback client en ligne

Découvrez comment tirer parti de la puissance des commentaires des clients en ligne pour optimiser les sites Web et les applications.

Télécharger le papier

Remarque : bien que cet article se concentre uniquement sur la collecte de commentaires numériques, il est important de reconnaître qu'il y a également une discussion sur ce que cela signifiera pour les outils de relecture et d'enregistrement de session, d'autant plus que ces types d'outils - ces derniers temps - ont fréquenté l'actualité. à la suite d'une « collecte involontaire de mots de passe ». Pour en savoir plus sur ces outils et sur les lacunes en matière de confidentialité une fois le RGPD en place, n'oubliez pas de consulter cet article.

Que signifie le RGPD pour la collecte de données de rétroaction ?

La question à un million de dollars pour les entreprises axées sur le numérique… Comment cette nouvelle réglementation affectera-t-elle la façon dont nous collectons actuellement les données de rétroaction en ligne ? La façon la plus simple de présenter cela est d'aborder les sujets / questions les plus critiques et les plus discutés.

1. Consentement des données / Traitement légal. C'est peut-être l'un des plus grands changements à venir. Le RGPD stipule que le consentement à la collecte de données personnelles (ainsi que la finalité du traitement des données) doit être fourni sous une forme facilement accessible pour vos clients. Attention : le consentement doit être aussi facile à retirer qu'à donner.

Bon à savoir : le RGPD étant imminent, les signatures électroniques sur les PDF sont essentielles s'il n'y a pas de copie électronique. Vous pouvez apprendre à ajouter une signature à un fichier PDF et bien d'autres trucs et astuces PDF à partir de ce guide Comment éditer un PDF.

Étant donné que les commentaires des clients relèvent du traitement des données, ils doivent également être traités de manière licite. Cela signifie (comme indiqué ci-dessus) que vous ne pouvez recueillir les commentaires d'un visiteur que s'il donne son consentement. Vous pouvez toutefois faire valoir que la collecte de commentaires est dans votre intérêt légitime , auquel cas le consentement n'est pas requis.

Remarque : le RGPD est très explicite sur l'interdiction aux organisations d'utiliser la clause « intérêts légitimes » comme excuse pour les activités de marketing, il est donc important de les séparer ! Lorsque vous envisagez d'utiliser des données à des fins telles que des campagnes de marketing, vous devez en informer vos clients. De plus, si vous souhaitez partager des données client, les clients doivent d'abord indiquer s'ils souhaitent participer.

En résumé :

Vous traitez des données sensibles ?
 Ensuite, vous aurez besoin d'un consentement explicite pour recueillir des commentaires.

Si ce n'est pas le cas, le traitement est dans votre « intérêt légitime ».

Source : CustomerSure

2. Droit d'accès. La personne dont vous collectez les données a parfaitement le droit de confirmer ce qui est fait de ses données personnelles. Attention : ces informations doivent être délivrées gratuitement au particulier.

3. Droit d'être oublié. Les personnes peuvent demander aux responsables du traitement de supprimer leurs données personnelles du système ainsi que de mettre un terme au traitement par des tiers. Le responsable du traitement ne peut protester que si la disponibilité des données est d'intérêt public.

4. Confidentialité dès la conception. Cela englobe la nécessité de promouvoir dès le départ le respect de la vie privée et de la protection des données. Cela inclut les contrôleurs de données prenant des mesures techniques et organisationnelles pour se conformer aux réglementations. Par exemple, traiter uniquement les données nécessaires aux opérations.

Mopinion : Le RGPD arrive : L'impact sur la collecte de feedback numérique - Privacy by design

5. DPD. Aussi appelés délégués à la protection des données, des DPO doivent être nommés. Remarque : il existe quelques exceptions à ce cas. Le rôle du DPD est de "se tenir au courant des lois et des pratiques en matière de protection des données, de mener des évaluations de la confidentialité en interne et de s'assurer que toutes les autres questions de conformité relatives aux données sont à jour".

Remarque : cela s'applique à toute organisation qui traite ou stocke de grandes quantités de données personnelles, c'est-à-dire à la fois les sous-traitants et les responsables du traitement - SAUF si le responsable du traitement "remplit les critères de désignation obligatoire", auquel cas il n'est pas nécessaire que le sous-traitant nomme un DPD.

Mopinion : Le RGPD arrive : L'impact sur la collecte de feedback digital - DPO
Source : Computing.co.uk

6. Portabilité des données. Cela fait référence au droit dont disposent les individus pour transférer leurs données d'un contrôleur à l'autre, ce qui signifie que les entreprises doivent être en mesure de fournir les données des clients dans un format approprié et lisible par machine (par exemple, des fichiers CSV). Le responsable du traitement doit répondre à cette demande dans un délai d'un mois.

7. Violation des données. Si vous subissez une violation de données, une notification DOIT être envoyée à l'ICO (Information Commissioner's Office) dans les 72 heures (une fois conscient de la violation, c'est-à-dire) et les personnes concernées par la violation doivent être informées. Dans la notification à l'ICO, il est important de décrire les éléments suivants : la nature des données qui ont été violées, le nombre de personnes qui seront touchées, les types de conséquences que la violation aura sur les personnes touchées et les actions que vous prendre en réponse à la violation.

Une bonne façon de s'y préparer consiste à effectuer une cartographie approfondie des données. Cela signifie que les contrôleurs et les processeurs de données de rétroaction savent quelles données ils collectent, où elles sont stockées, d'où elles proviennent, qui peut y accéder et quels risques sont impliqués.

Pour consulter la procédure de Mopinion en cas de violation de données, cliquez ici.

Mopinion : Le RGPD arrive : L'impact sur la collecte de feedback numérique - Data Breach

Conseil : s'abstenir de collecter des données personnelles dans les réponses aux commentaires
Il est très possible que vos utilisateurs soumettent des données personnelles dans la section des commentaires ouverts de votre formulaire de commentaires. Heureusement, il existe plusieurs façons d'éviter que cela ne se produise. L'une d'elles consiste à rediriger les utilisateurs vers votre page de support client via un lien direct dans le formulaire. Alternativement, vous pouvez incorporer une info-bulle dans vos formulaires de commentaires qui rappelle à l'utilisateur de ne pas inclure de données personnelles. Par exemple, "Veuillez ne pas inclure vos coordonnées dans ce champ de texte".

Pourquoi se conformer à ces réglementations strictes ?

Il existe plusieurs raisons pour lesquelles la conformité au RGPD en ce qui concerne la collecte de données de retour d'information est si importante. Pour commencer, il existe diverses amendes auxquelles on peut être soumis en cas de non-respect. Les sources disent :

Votre autorité de protection des données pourrait imposer une sanction pouvant aller jusqu'à 20 millions d'euros ou 4 % de votre chiffre d'affaires annuel mondial, selon le montant le plus élevé.

Mopinion : Le RGPD arrive : L'impact sur la collecte de feedback numérique - Amendes

De plus, cela peut être très préjudiciable à la réputation de votre marque. Si, par exemple, votre entreprise doit être condamnée à une amende pour non-respect de la réglementation, vos clients penseront que vous n'avez pas à cœur leurs intérêts et que vous ne tenez pas à leur vie privée.

Une autre raison de se conformer est le fait que des réglementations simplifiées en matière de protection des données réduiront le nombre d'erreurs commises. En d'autres termes, la peur d'une mauvaise manipulation des données se traduira par un stockage et un traitement des données plus structurés et organisés.

Remarque : l'article 5 du RGPD stipule : "le responsable du traitement est responsable et peut démontrer le respect des principes". Cela signifie que non seulement les entreprises doivent se conformer à la réglementation, mais elles doivent également démontrer qu'elles s'y conforment. Beaucoup conseillent que pour ce faire, vous devez conserver des enregistrements de toutes les décisions de traitement des données.

Quelles sont les conséquences?

Comme mentionné précédemment, les conséquences de la violation de toute clause du RGPD peuvent être préjudiciables à la fois à la réputation d'une entreprise et financièrement. Les détails de ce que seront les conséquences varient en fonction de plusieurs facteurs, notamment :

  • Durée de l'infraction
  • Combien de personnes ont été touchées
  • Le niveau global d'impact de l'infraction

Remarque : les responsables du traitement et les sous-traitants peuvent être soumis à des conséquences.

Que fait Mopinion pour se préparer au RGPD ?

Mopinion a activement pris des mesures pour se préparer au RGPD. En étroite collaboration avec notre équipe juridique, nous prévoyons de publier un addendum à notre déclaration de confidentialité indiquant les détails de la manière dont Mopinion traitera les données. Celui-ci sera disponible début avril.

En tant que sous-traitant, nous assurerons/fournirons ce qui suit :

  • Notre politique de confidentialité et nos conditions existantes seront accompagnées d'un nouvel addendum qui fournira des informations détaillées sur les modifications apportées à la politique, conformément au RGPD.
  • En termes de conservation des données , nous stockons les données tant que notre client est sous contrat. Pour les entreprises clientes, nous adhérons à des accords de traitement de données (DPA) sur mesure basés sur leur politique de sécurité, dans lesquels les données peuvent être supprimées automatiquement en fonction d'intervalles de temps personnalisés. Nous fournirons également des DPA aux clients. Cela se fait à l'aide de notre propre modèle qui est disponible sur demande via notre équipe de réussite client.
  • Toutes les données sensibles à la vie privée (par exemple, les coordonnées dans les formulaires de commentaires, y compris les numéros de téléphone, les adresses e-mail et les noms) seront cryptées . De plus, toutes les données capturées dans le champ de saisie à l'aide de notre fonction de retour visuel seront automatiquement floutées (ou masquées) une fois la capture d'écran rendue.
  • Pour les clients européens : nous conservons toutes vos données personnelles en Irlande.
  • Nous organiserons une évaluation de sécurité supplémentaire et professionnelle pour garantir que toutes les données personnelles sont sécurisées à 100 %.
  • Une cartographie interne de toutes les données traitées, dans laquelle nous documentons le respect des principes ci-dessus et apportons les modifications nécessaires.

Chez Mopinion, nous prenons la confidentialité très au sérieux. Nous avons travaillé côte à côte avec un cabinet d'avocats pour nous assurer que tout est en place avant que le RGPD ne frappe à notre porte. Aujourd'hui, à moins de deux mois de l'entrée en vigueur de cette nouvelle réglementation, l'équipe Mopinion reste très confiante dans les mesures de confidentialité et de sécurité que nous avons mises en place pour protéger les données de nos clients. Cela a certainement été un défi, mais nous étions prêts à le relever pour des raisons de confidentialité sur Internet.

Kees Wolters, co-fondateur/chef du marketing, Mopinion

Mopinion : Le RGPD arrive : l'impact sur la collecte de commentaires numériques - Politiques

Points clés à retenir pour les entreprises utilisant les commentaires des clients

Recueillez-vous les commentaires des clients sur votre site Web ou votre application mobile ? Voici les points les plus importants de cet article :

  • Le paysage de la confidentialité évolue rapidement, alors ne tardez pas à prendre des mesures pour protéger la confidentialité des utilisateurs et répondre aux exigences du RGPD.
  • Nommez un DPO pour gérer toutes les questions de conformité.
  • Assurez-vous que vos documents de politique de confidentialité et de conditions générales indiquent clairement comment vous utilisez votre outil de rétroaction sur votre ou vos sites Web ou vos applications mobiles.
  • Traiter les données uniquement dans votre « intérêt légitime ». En d'autres termes, essayez de ne pas collecter de données dont vous n'avez pas besoin et n'utilisez pas les données collectées à des fins de marketing (sauf si vous avez le consentement)
  • Assurez-vous que vous (le sous-traitant) ET votre fournisseur de logiciel de rétroaction (le contrôleur) êtes en conformité avec le RGPD.

Vous vous sentez toujours pédant à propos de la nouvelle réglementation ?

Assurez-vous de consulter le Règlement général sur la protection des données officiel.