Le RGPD vient renforcer la loi informatique et libertés. L’autorisation préalable de la CNIL en matière de collecte ne sera plus obligatoire, au profit du principe de responsabilité.

Sur le site web

Vous devez informer les individus en leur expliquant dans quel but vous leur demandez leurs données et leur expliquer ce que vous allez en faire. Le consentement doit être clair, y compris pour les cookies téléchargés sur l’ordinateur de l’internaute.

Ainsi, si un individu rempli un formulaire pour avoir accès à votre brochure, il faut lui préciser de manière claire ce que vous ferez ensuite avec ses coordonnées et lui permettre de refuser leur utilisation dans un autre but que la réception de ladite brochure.

De même au niveau des emailings, il est toujours important de proposer un lien permettant le désabonnement. Il en va de même pour les SMS qui doivent intégrer une fonctionnalité similaire.

Les impacts du règlement sur la segmentation

Le RGPD n’interdit en rien la segmentation et le profilage des individus. Les règles usuelles de protection des données personnelles s’appliquent : les individus doivent donc être informés si un tel profilage est effectué.

La difficulté pour l’organisme collecteur réside dans le fait que les données utilisées doivent être exactes et à jour. Le responsable de la protection des données doit donc mettre en place des outils qui vont lui permettre de s’en assurer.

Si le profilage va très loin dans la connaissance des personnes, il pourra être considéré comme comportant un risque élevé pour la vie privée des personnes.
Dans ce cas le RGPD va imposer une étude d’impact préalable (voir 3.4.).

Comment gérer les abonnés inactifs ?

Dans la plupart des bases de données commerciales, des contacts sont inactifs. Ces derniers peuvent être conservés tant que la finalité déterminée n’a pas été atteinte. La CNIL continue toutefois de recommander de garder ces données dans une limite de 3 ans suivant le dernier contact émanant de l’individu (formulaire en ligne, clic sur un lien … l’ouverture d’un email n’étant pas considérée comme un contact).

Si on le souhaite, il reste possible de relancer la personne avant l’expiration de ce délai afin de solliciter un nouveau consentement.