Le Délégué à la Protection des Données (DPD, ou DPO) de ZEROSIX répond à 6 questions sur les commerçants et le RGPD (Règlement Général sur la Protection des Données), dans le cadre d’un programme de fidélité.
Lorsqu’il met en œuvre un programme de fidélité, le commerçant a pour objectif de satisfaire ses clients pour les fidéliser sur le long terme.
Cet objectif ne peut être atteint que si le commerçant développe une véritable stratégie de connaissance de ses clients, laquelle passe par la collecte et le traitement de leurs données personnelles.
Ce n’est qu’en disposant de ces informations qu’il pourra leur proposer des offres personnalisées et cohérentes avec leur profil et leur comportement d’achat.
Au regard du RGPD, en décidant de collecter et d'utiliser les données personnelles de ses clients, le commerçant prend alors la qualité de responsable de traitement, ce qui le contraint au respect de plusieurs obligations légales.
Le commerçant doit adopter une attitude responsable et transparente lors de la collecte et du traitement des données personnelles de ses clients. Il doit se comporter avec leurs données comme il souhaiterait que l’on se comporte avec ses propres données personnelles.
En premier lieu, le commerçant doit demander l’accord explicite et non équivoque de la personne lorsqu’il collecte des données la concernant. Tel est le cas s’il l’informe des finalités qu’il poursuit en recueillant ces informations. Il devra solliciter à nouveau son consentement et lui réexpliquer le nouvel usage de ses données, s’il envisage de les réutiliser pour d’autres objectifs.
Le commerçant doit absolument garder la trace de ce consentement et des finalités poursuivies par le traitement, car il doit pouvoir en justifier à tout moment, notamment en cas de contrôle de la CNIL.
En second lieu, le commerçant ne doit collecter que les données strictement nécessaires à la mise en œuvre du programme de fidélité et ne pas solliciter des informations qui ne lui sont d’aucune utilité.
En troisième lieu, le commerçant doit s’organiser pour répondre au client qui lui réclamerait un historique du traitement de ses données au sein du programme, un effacement total ou partiel de ses données (droit à l’oubli) ou encore leur restitution dans un format standard et lisible (afin éventuellement de changer de prestataire) (droit à la portabilité).
A cet effet, le commerçant doit être attentif à sécuriser les données utilisées dans son programme de fidélité (lors de leur transfert, leur stockage, leur accès, leur archivage) afin qu’elles ne soient ni volées ni utilisées à des fins autres que celles pour lesquelles il les a collectées.
Pour finir, je recommande au commerçant de veiller à recourir à des applications qui intègrent toutes ces obligations dans les formulaires d’inscription au programme de fidélité et aussi dans les courriels/sms en relation avec la mise en œuvre du programme.
Dans ce cadre-là, les mentions d’informations du client (durée de conservation des données, finalité exacte de la collecte, droit de rectification de ses informations personnelles…) doivent être adaptées aux nouvelles mesures du RGPD, et un mécanisme de recueil explicite du consentement ("checkbox") doit être prévu, sauf si la collecte des données se fonde sur une base légale (par exemple en exécution d’un contrat, d’une législation, etc.).
Pour s’assurer que tout cela se passe dans les meilleures conditions, le commerçant doit :
• vis-à-vis de l’autorité de contrôle (CNIL) : disposer en interne de toute la documentation de conformité qui décrit ses processus de collecte et de traitement de données, documenter ses mesures de sécurité, même de manière simple. L’important est de montrer qu’il sait exactement où se trouvent les données personnelles de ses clients, dans quelles conditions et pour quels usages ;
• vis-à-vis de ses clients adhérents au programme de fidélité : mettre ses sites web, applications mobiles et tout autre moyen de communication traitant des données de ses clients en conformité avec le RGPD (bandeau cookies, formulaires, mentions obligatoires…) ;
• vis-à-vis de ses sous-traitants (fournisseurs, partenaires) : leur demander officiellement leur plan de mise en conformité et s’assurer que ces derniers sont en règle, car, en cas de sanction par la CNIL, le principe de coresponsabilité s’appliquera.
• vis-à-vis de ses salariés : les informer et les former au RGPD en instaurant, par exemple, un code de bonne conduite (ils doivent savoir que ce nouveau règlement existe et ses implications pour eux et l’entreprise). Le commerçant peut charger une personne qui comprend le règlement de l’expliquer (elle n’a pas obligation d’être à temps plein, ni d’être salariée de l’entreprise).
Au sens du RGPD, chaque donnée permettant d’identifier directement ou indirectement une personne physique constitue une « donnée personnelle ».
Dans le cadre d’un programme de fidélité, le commerçant gère essentiellement les données personnelles comme les nom, prénom, date de naissance, adresse, courriel et numéro de téléphone de ses clients.
D’autres données peuvent être collectées à partir du moment où elles présentent un intérêt pour la mise en œuvre du programme (par exemple, une offre promotionnelle à la seule destination des parents nécessite de savoir si le client a ou non des enfants).
En revanche, ne seront pas pertinentes les données portant sur un lieu de naissance, une nationalité, une opinion politique ou religieuse, un numéro de carte bancaire, etc.
Le règlement ouvre la voie à des actions au civil pour les particuliers : le niveau de sanction sera proportionnel au niveau de conformité déjà établi par le commerçant.
Le règlement prévoit également 2 amendes administratives :
• 2% du CA (ou 10M€) pour une entreprise qui n’aurait pas du tout mis en place les éléments organisationnels et fonctionnels pour respecter le règlement ;
• 4% du CA (ou 20M€) dans le cas d’une entreprise qui aurait sciemment fait usage de données personnelles en dehors du cadre évoqué par ce règlement (revente à des tiers, absence de consentement, collecte de données sans rapport avec le traitement prévu).
Le règlement délègue le pouvoir d’enquête aux autorités locales (en France, la CNIL) à qui le commerçant devra prouver qu’il s’est conformé aux exigences du règlement.
Pour un commerçant responsable du traitement ou sous-traitant, le DPD n’est obligatoire que si ses activités de base consistent en des opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées OU si ses activités de base consistent en un traitement à grande échelle de données sensibles (comme des données de santé, biométriques, opinions politiques etc.) ou relatives à des infractions et condamnations pénales.
En dehors de ces hypothèses, le commerçant n’a pas à nommer un DPD, même si celui-ci peut s'avérer utile grâce à ses compétences techniques et juridiques avancées.
Lorsque la nomination d’un DPD n’est pas obligatoire, je recommande au commerçant de désigner un responsable de mise en conformité pour piloter le projet en interne et mettre en place les procédures. Il sensibilisera également les collaborateurs aux enjeux du RGPD et aux bonnes pratiques en matière de confidentialité des données.