Le RGPD s’attache à protéger les données des individus. Côté entreprise, les données sont principalement concentrées dans leurs bases de données.
Comment faire en sorte d’optimiser les performances de sa stratégie email tout en respectant la vie privée de son audience ?
Retour sur 5 exigences du RGPD et comment les appliquer pour optimiser votre base de données.
1. Collecter les données en respectant le RGPD
Vous ne pouvez collecter des données qu’en respectant le principe du consentement libre et éclairé.
Qu’est ce qu’un consentement libre et éclairé?
Au moment de l’inscription, vos contacts doivent être informés de plusieurs paramètres pour leur permettre de de choisir de communiquer (ou non) leurs informations et notamment:
- Quelle est la finalité de la collecte de leurs données?
- Quelle est l’identité du responsable de traitement?,
- Quelle est la durée de conservation des données?,
- Leur droit de retirer leur consentement plus tard.
Ces informations doivent être communiquées à la personne avant qu’elle ne consente à s’inscrire.
En complément de ces obligations légales, pensez à partager des informations complémentaires pour renforcer la confiance en votre marque et augmenter les résultats de vos campagnes emails :
- Quels types de communications vont-ils recevoir (publicité, messages transactionnels, informationnels…),
- Quelle fréquence d’envoi de messages,
- Quels thèmes sont abordés.
Il est avant tout nécessaire que ces informations soient indiquées de manière claire, lisible et sans équivoque.
Mettez en place ces règles pour votre base de données afin de respecter le RGPD mais aussi pour construire une relation de confiance avec votre audience.
| Les utilisateurs de Mindbaz peuvent mettre en place une pop-up d’inscription à leur newsletter pour s’assurer de la conformité de leur collecte. Demandez des informations pour l’intégrer sur votre site web. |
2. Mettre en place un plan pour respecter le droit de retrait
La seconde: le droit d’accès, de rectification et d’effacement.
Concernant le traitement de leur data, les utilisateurs ont le droit
- d’accéder à leurs données
- de les rectifier
- de les faire effacer sous certaines conditions
Qu’est ce que ce droit implique pour les marques ?
Si vous gérez une ou plusieurs bases de données, vous devez mettre en place des procédures facilitant l’exercice de ces droits.
Vous devez par exemple pouvoir fournir les informations de collecte sur simple demande :
- Date de la collecte
- Heure de la collecte
- IP de collecte
Vous pouvez également aller plus loin en fournissant la preuve de prise en compte de retrait d’abonnement à l’aide des date et heure remontées par votre routeur.
3. Arrêter de collecter des informations inutiles
Les données permettent de mieux cibler vos destinataires et de personnaliser efficacement vos campagnes.
Mais le RGPD stipule que les données collectées doivent être pertinentes, limitées et en adéquation avec leurs finalités d’utilisation.
Concrètement, vous ne pouvez pas :
- Collecter l’adresse postale complète de vos destinataires si vous n’utilisez que la ville dans les ciblages de vos campagnes emails
- Collecter une information géographique si vous n’envoyez ni courriers postaux, ni campagnes email géolocalisées
- Collecter des informations sans être capable de justifier de leur utilisation
Cette règle fait partie du principe de minimisation des données, un principe clé de la protection de la data.
C’est la finalité de traitement qui va vous permettre de justifier de sa collecte.
4. Prévenir toute faille dans la sécurité des données
Limiter les risques de fuite de données
Afin d’éviter le piratage ou l’utilisation frauduleuse des données, il est nécessaire que le ou les responsables de traitement mettent en œuvre des mesures techniques.
Cela implique la mise en place de moyens afin de lutter contre la perte, la destruction, la divulgation ou l’accès non autorisé aux données personnelles en votre possession.
Concrètement, il s’agit d’éviter le piratage provenant de cyberattaques, mais aussi le vol de données en interne.
Pour vous prémunir au maximum de ce type de risque, voici plusieurs mesures à mettre en place:
- Chiffrement des données,
- Politique de mots de passe robustes,
- Sensibilisation des collaborateurs,
- Limitations des accès aux données aux seules personnes dûment habilitées…
Il est cependant également nécessaire de préparer un plan de gestion des violations de données personnelles, qu’on appelle aussi « data breach« .
8 actions à anticiper dans le cadre d’une fuite de données
- Identifier la violation de données
Comprendre la nature, l’étendue, le contexte et les conséquences possibles de la violation. - Contenir la violation
Prendre des mesures immédiates pour limiter les dommages, comme la correction de la faille de sécurité ou la récupération des données. - Évaluer les risques
Évaluer les risques pour les personnes concernées et déterminer si la violation doit être notifiée à la CNIL et aux personnes concernées. - Notifier la violation
Si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, elle doit être notifiée à la CNIL dans les 72 heures et aux personnes concernées dans les meilleurs délais. - Documenter la violation
Documenter toutes les actions prises en réponse à la violation, ainsi que ses effets. - Prendre des mesures préventives
Après la gestion de la violation, il est important de prendre des mesures pour prévenir de futures violations, comme la mise à jour des systèmes de sécurité ou la formation du personnel. - Coopérer avec la CNIL
En cas de contrôle ou de demande d’information de la CNIL, l’entreprise doit coopérer et fournir toutes les informations nécessaires. - Informer et communiquer
Informer les personnes concernées des mesures prises pour protéger leurs données et les rassurer sur la gestion de la situation.
5. Conserver les données dans un temps limité
Les données doivent être conservées jusqu’à 3 ans après le dernier contact actif, maximum.
3 ans, c’est la durée requise par le RGPD pour respect du droit à l’oubli.
Focus inactifsAvant d’atteindre ces 3 ans, identifiez et sollicitez de manière spécifique vos inactifs. Listez les informations clés :
✅Réactiver des données coûte bien moins cher que d’en acquérir de nouvelles. |
Que fait votre routeur d’emails pour vous aider à respecter le RGPD ?
Pour veiller à votre obligation légale, Mindbaz a développé un service de purge des inactifs de l’ensemble de vos bases depuis 3 ans.
Au-delà de vos obligations légales, cette purge va contribuer à améliorer votre délivrabilité email.
Supprimer les inactifs dans vos bases de données n’a que des avantages :
- Amélioration de votre réputation expéditrice
- Optimisation des performances de vos campagnes
- Éviter un blacklistage de vos ips et de votre domaine d’envoi
Et peut même vous éviter des problèmes beaucoup plus décisifs :
Parmi ces inactifs figurent beaucoup de hardbounces et sans aucun doute également des spamtraps.
Les conséquences sont alors bien plus impactantes une fois que vous êtes listés auprès de Spamcop, Abusix ou SpamHaus qui blacklistent les expéditeurs qui ne suivent pas les bonnes pratiques.