Afin de mettre les activités de marketing direct de votre ASBL en conformité avec le RGPD, il y a plusieurs mesures de contrôle ou d'adaptation à prendre au niveau éditorial et technique.
Le nouveau règlement général sur la protection des données (RGPD) ne s’applique pas seulement aux données collectées après son entrée en vigueur (25 mai 2018), mais également à celles collectées antérieurement.
1. Rassemblez vos données
Votre ASBL communique régulièrement via l'envoi d'e-mails, de newsletters ou de SMS, pour promouvoir ses activités, services et événements, lancer des appels aux dons, etc. ; votre ASBL diffuse une brochure ou un magazine (gratuit ou sur abonnement) ; votre ASBL utilise ses bases de données pour prospecter sur les réseaux sociaux ; etc.
Vous êtes concernés par la mise en place d'un registre de données.
Dans un premier temps, faites un inventaire complet des données personnelles détenues par l'ASBL et utilisées à des fins administratives et fiscales ou marketing et commerciales. Classez-les en fonction de leur usage ou canal d'utilisation (abonnés à la newsletter, liste d'envois des vœux annuels, etc.).
Pour la mise en place de votre registre,vous pouvez utiliser le modèle proposé par la Commission de la protection de la vie privée (CPVP). Il pourra servir de base pour la mise en place d'une procédure interne de gestion des données.
Cet audit de vos données doit vous amener à vous poser plusieurs questions :
- Comment et pourquoi ces contacts se retrouvent-ils dans vos données ?
- Avez-vous une trace de leur provenance ?
- Pouvez-vous localiser géographiquement l'ensemble de vos contacts ?
- Demandez-vous systématiquement l’autorisation avant de collecter et d'utiliser des données à caractère personnel ?
- Avez-vous gardé des preuves attestant du consentement de ces contacts par rapport à l'usage qui est fait de leurs données ?
- Ces éléments sont-ils suffisants pour déterminer le consentement et son contexte ?
- Avez-vous déjà mis en place une procédure de double opt-in ? Si oui, depuis quand ?
- Les activités de marketing direct de l'ASBL et l'utilisation des données sont-elles transparentes et faciles à comprendre pour l'ensemble de vos contacts ?
- Avez-vous une politique de confidentialité (présentée dans un document) qui détaille comment ces données sont collectées, stockées et utilisées ?
À ce stade, vous pouvez faire le tri entre les données à conserver et celles à supprimer (informations inexploitées ou illégitimes).
2. Déterminez la base légale qui s'applique
Au cas par cas, ou par catégorie d'utilisateurs, demandez-vous si vous pouvez invoquer l’intérêt légitime de l'ASBL à utiliser les données ou si vous devez solliciter le consentement explicite de la personne. Si vous privilégiez le consentement, cela implique de mettre en place un système de gestion des opt-out et opt-ins.
Lire aussi : Les règles du RGPD en matière de marketing direct
3. Demandez le consentement plutôt deux fois qu'une
Si, pour certains contacts, la source et l'usage des données sont flous, n'hésitez pas à les contacter pour leur demander de renouveler leur consentement, en vue de futures campagnes d'e-mailing ou autres.
Dans vos listes d'envoi, distinguer les contacts en attente de consentement des autres.
4. Informez continuellement vos publics cibles (bénéficiaires, membres, clients, etc.)
Peu importe la base légale choisie, l'ASBL doit informer les utilisateurs à propos de :
- la base légale sur laquelle elle s’appuie pour les contacter et l'intention de la prise de contact ;
- leurs droits (droit d'opposition, droit d'accès aux données, droit à la portabilité des données – transfert des données vers une autre entreprise, droit à l'oubli – effacement des données).
En plus de vos conditions générales, vous devez rendre accessibles les conditions d’utilisation des données.
Vos différents canaux de communication doivent intégrer une notification visible et explicite (lien, bouton, encart) expliquant comment accéder aux données personnelles, les modifier ou les supprimer à tout moment.
Lire aussi : RGPD : des modèles de messages à publier sur le site de votre ASBL
5. Adaptez vos messages en fonction du canal/support de communication
La façon de communiquer ces informations doit être adaptée en fonction au canal ou support de diffusion. L'ASBL est libre de choisir sa formulation et sa présentation à condition que les informations soient claires et visibles :
- sur votre site web, en pied de page par exemple ou dans une fenêtre pop-up, précisez en quelques lignes l'utilisation des données personnelles et les clauses de respect de la vie privée, avec un lien vers une page ou un document détaillé ;
- sur la version mobile ou dans vos applications, ajoutez une phrase et un lien vers cette page ou ce document ;
- dans tous vos formulaires d'inscription ou de téléchargement, sous les champs à remplir, précisez les conditions d'utilisation des données, en incluant une case à cocher pour marquer le consentement ;
- sur vos formulaires ou brochures papier, prévoir un encadré en début ou fin de document (page d'information, table des matières), en ajoutant les coordonnées utiles.
En outre, pour chaque canal et support, définissez et décrivez la marche à suivre pour modifier ces données et leur traitement (bouton ou lien de désinscription, modification du profil utilisateur via un formulaire en ligne, demande par téléphone ou par e-mail).
6. Utlisez systématiquement le double opt-in pour les inscriptions
Pour la collecte des données numériques (inscription de nouveaux contacts), dans tous les cas, mettez en place un système de double opt-in (à voir avec votre développeur web ou la plateforme sur laquelle vous gérez vos campagnes d'e-mailing).
Ainsi, chaque internaute qui a rempli un formulaire sur votre site web (contenant éventuellement une ou plusieurs cases à cocher) reçoit automatiquement une demande de validation par e-mail.
Il doit alors cliquer sur un lien ou taper un code dans un champ (reçu par SMS, par exemple) dans cet e-mail de confirmation. Vous avez ainsi une preuve de consentement.
Pour rappel, aucun formulaire ne peut contenir de case précochée. Vous ne pouvez pas non plus imposer à l'utilisateur de cocher une case pour marquer son opposition. Le consentement doit être actif, pas passif.
7. Réagissez sans délai
Dès qu'une personne s’oppose à l'utilisation de ses données, totale ou spécifique (désinscription d'une newsletter, par exemple), l'ASBL doit en tenir compte immédiatement. Pensez à l'informer dès que la mise à jour est effective.
Lire aussi : Bien se préparer au RGPD en 13 étapes