Objectif de cet article
Découvrez les questions fréquemment posées concernant le RGPD pour vous aider à vous mettre en conformité.
RGPD est l’abréviation de « règlement général sur la protection des données ». Il s’agit d’un règlement adopté par la Commission européenne en 2016 qui est entré en vigueur le 25 mai 2018. Il vise à protéger la vie privée de tous les citoyens de l’Union européenne, y compris dans le cadre de leurs interactions avec des entreprises situées en dehors de l’UE, en définissant des règles concernant les données à caractère personnel. Pour plus d’informations sur le RGPD, consultez notre blog (en anglais).
Cet article est à but purement informatif. Il n’a pas vocation à fournir des conseils juridiques. Klaviyo encourage tous ses clients et toutes les entreprises disposant d’une boutique d’e-commerce à s’adresser à des professionnels du droit pour se mettre en conformité avec le RGPD.
Ai-je le droit de confier les données de mes clients européens à Klaviyo ?
Oui. Le RGPD reconnaît un certain nombre de mécanismes juridiques permettant le transfert de données hors de l’UE. Suite à l’invalidation du cadre de protection de la vie privée entre l’UE et les États-Unis, Klaviyo a incorporé les clauses contractuelles types de la Commission européenne à un addendum sur la protection des données, qui fait partie intégrante de nos conditions d’utilisation. Nous vous recommandons de consulter votre équipe juridique pour déterminer le mécanisme approprié pour tout transfert de données que votre organisation pourrait effectuer.
S’il n’est pas possible de prouver que d’anciens profils ont bien donné leur consentement explicite, existe-t-il un moyen de confirmer ce consentement par e-mail ?S’il n’est pas possible de prouver que d’anciens profils ont bien donné leur consentement explicite, existe-t-il un moyen de confirmer ce consentement par e-mail ?
Avant l’entrée en vigueur du RGPD (le 25 mai 2018), nous recommandions d’envoyer une campagne à tous vos abonnés dans l’UE afin qu’ils confirment leur consentement à recevoir votre communication marketing. Cependant, maintenant que le RGPD est appliqué, cette pratique ne fait plus partie de nos recommandations. Avant de contacter l’un de vos clients ou abonnés existants pour lesquels vous ne pouvez pas prouver qu’un consentement explicite a été donné, veuillez consulter votre équipe juridique.
Comment prouver que le consentement a bien été accordé ainsi que le jour où l’abonné s’est inscrit ?Comment prouver que le consentement a bien été accordé ainsi que le jour où l’abonné s’est inscrit ?
Outre l’utilisation du double opt-in, vous avez l’obligation de garder une trace du texte affiché au contact dans le formulaire, la page web ou l’e-mail utilisé pour recueillir son consentement. Vous devez donc être en mesure de produire deux éléments : d’une part, la date et l’heure auxquelles le consentement a été donné, et d’autre part, les termes exacts du consentement accordé.
Pour nos champs d’adresse e-mail sur nos sites web, devons-nous ajouter plus de cases à cocher pour que les clients puissent préciser leurs choix avant de valider leur envoi ?Pour nos champs d’adresse e-mail sur nos sites web, devons-nous ajouter plus de cases à cocher pour que les clients puissent préciser leurs choix avant de valider leur envoi ?
Klaviyo propose des formulaires conformes au RGPD. Ils comportent plusieurs cases à cocher, ce qui permet de préciser les choix en matière de consentement (par exemple, les contacts peuvent accepter de recevoir du contenu marketing par e-mail, mais refuser le traitement de leurs données pour Facebook).
Vous devrez sélectionner des formulaires identifiés comme étant conformes au RGPD, puis les personnaliser en fonction de votre stratégie marketing. Si vous recueillez des données personnelles sur des contacts situés dans l’UE par l’intermédiaire d’autres plateformes, vous devrez également apporter des modifications sur ces plateformes.
Quels types de données personnelles traitez-vous, où sont-elles hébergées, avec qui sont-elles partagées et combien de temps sont-elles conservées ?Quels types de données personnelles traitez-vous, où sont-elles hébergées, avec qui sont-elles partagées et combien de temps sont-elles conservées ?
Pour en savoir plus sur les données que nous traitons et les mesures que nous prenons pour les protéger, consultez notre addendum sur le traitement des données. Nos protocoles de sécurité sont décrits dans l’annexe 2 de ce document. Vous pouvez également consulter l’intégralité de nos conditions d’utilisation.
Devons-nous mettre à jour les mentions légales utilisées sur les supports qui nous permettent de récupérer des adresses e-mail de sorte à informer les clients des conditions de stockage de leurs données dans Klaviyo ?Devons-nous mettre à jour les mentions légales utilisées sur les supports qui nous permettent de récupérer des adresses e-mail de sorte à informer les clients des conditions de stockage de leurs données dans Klaviyo ?
Oui, vos mentions légales doivent être mises à jour. Appliquez les conseils suivants pour vos clients actuels et potentiels situés dans l’UE :
- Utilisez des formulations et des termes clairs et simples.
- Précisez pourquoi vous souhaitez collecter des données et ce que vous allez en faire.
- Indiquez le nom de votre organisation et de toute organisation tierce appelée à traiter ces données.
- Informez les contacts qu’ils peuvent retirer leur consentement à tout moment.
Pour être en conformité avec le RGPD, mes e-mails d’opt-in doivent-ils être traduits dans la langue locale ?
Pas obligatoirement. La législation pouvant varier d’un pays à l’autre, nous vous recommandons de consulter votre équipe juridique pour connaître les exigences spécifiques à chaque pays, mais Klaviyo propose un texte standard d’opt-in dans plusieurs langues.
Ai-je l’obligation d’avoir le consentement explicite pour la collecte et le traitement de toutes les données personnelles de mes clients ?Ai-je l’obligation d’avoir le consentement explicite pour la collecte et le traitement de toutes les données personnelles de mes clients ?
Votre seule option pour disposer d’une base légale pour la collecte ou le traitement de données sensibles est le consentement explicite. Pour d’autres données à caractère personnel, des alternatives existent, mais la plupart du temps, c’est bien le consentement explicite que les organisations utilisent.
Voici quelques exemples d’autres bases légales utilisables :
- Le traitement est nécessaire à l’exécution d’un contrat ou pour prendre des mesures à la demande de la personne concernée avant de conclure un contrat.
- Le traitement est nécessaire au respect d’une obligation légale.
- Le traitement est nécessaire à la protection des intérêts vitaux de la personne concernée ou d’une autre personne.
- Le traitement est nécessaire aux fins des intérêts légitimes de l’entreprise, et ces intérêts ne sont pas en contradiction avec les intérêts ou les droits fondamentaux de la personne concernée.
- Le traitement est nécessaire à l’exécution d’une tâche d’intérêt public ou à l’exercice des responsabilités d’un agent public.
Nous vous recommandons de consulter votre équipe juridique pour déterminer la base légale appropriée pour le traitement des données par votre organisation.
Pouvez-vous anonymiser mes données afin que je puisse consulter un profil sans pouvoir identifier la personne correspondante ?Pouvez-vous anonymiser mes données afin que je puisse consulter un profil sans pouvoir identifier la personne correspondante ?
Actuellement, il n’est pas possible d’anonymiser un profil, mais les données anonymisées associées aux profils restent stockées dans le compte (par exemple, les événements Placed Order) afin d’assurer l’exactitude des indicateurs de performance. Les données peuvent être anonymisées lorsqu’elles sont extraites du système, mais dans Klaviyo, vous avez une visibilité totale sur les données associées à un profil.
Dans le même ordre d’idées, il est possible de supprimer des contacts tout en conservant une trace anonyme pour prouver que vous êtes en conformité, ainsi que d’exporter toutes les données d’un profil afin de répondre aux demandes de vos contacts.
Les e-mails de panier abandonné sont-ils conformes au RGPD ?Les e-mails de panier abandonné sont-ils conformes au RGPD ?
Il existe un flou juridique autour de cette question. Cependant, de nombreuses organisations considèrent que, sur la base de l’intérêt légitime, vous pouvez toujours envoyer des e-mails de panier abandonné sans que vos contacts aient donné leur consentement explicite pour recevoir des messages à caractère marketing. Il est possible de considérer qu’un e-mail de panier abandonné est un message lié à l’intention explicite d’effectuer une transaction avec votre entreprise. En revanche, d’autres e-mails basés sur des déclencheurs, comme l’abandon de navigation et les flux de reconquête, ne peuvent sans doute pas jouir de la même base légale, à moins que les clients n’aient préalablement consenti à recevoir des e-mails à caractère marketing de votre part (toujours dans le respect du RGPD).
Cela dit, les modalités d’application de l’intérêt légitime ou de toute autre base légale dépendront des circonstances précises, y compris le nombre et la fréquence des e-mails, mais aussi le temps écoulé depuis l’abandon du panier. Nous vous recommandons vivement de consulter votre équipe juridique au sujet de vos campagnes par e-mail afin de vous assurer qu’elles sont conformes à la législation en vigueur.
L’utilisation de Google Fonts est-elle conforme au RGPD ?L’utilisation de Google Fonts est-elle conforme au RGPD ?
L’utilisation de Google Fonts peut poser des problèmes de conformité au RGPD, car le serveur de Google a besoin de l’adresse IP du destinataire pour afficher les polices. Selon le RGPD, une adresse IP est une donnée personnelle qui, de plus, permet d’identifier l’utilisateur. Notez qu’en ajoutant Google Fonts à votre bibliothèque de polices, vous êtes réputé utiliser ce service.
Pour remplacer Google Fonts, Klaviyo propose une sélection de polices hébergées par nos soins. Vous pouvez les utiliser dans vos formulaires d’inscription, sur vos pages de consentement et dans vos e-mails. Ce service n’utilise pas l’adresse IP du destinataire.
Consultez la liste des polices hébergées par Klaviyo et lisez notre article pour en savoir plus sur Google Fonts (en anglais).