Guide des mauvaises pratiques RGPD

La RGPD est au cœur de toutes les conversations sur Internet et plus particulièrement sur Facebook. Chacun y va de son commentaire, et une chose est certaine : il est très peu probable que les petites entreprises enfreignent la loi. En fait, il est assez difficile d’être arrêté pour non-conformité à la RGPD : nous vous le prouvons avec ce petit guide des mauvaises pratiques RGPD.  

Comment recevoir une amende pour non-conformité à la RGPD ?

1. La première chose à faire est d’agacer vos contacts. En achetant des listes ou en spammant continuellement vos listes déjà établies avec du contenu qui ne les intéresse pas, vous pouvez être certain d’y arriver plutôt facilement.
2. Assurez-vous qu’ils ne pourront pas se désinscrire de votre liste de diffusion. Attention, certains prestataires d’envoi de mailings ne vous laisseront tout bonnement pas supprimer le lien « se désinscrire », et avec ce lien, vos contacts pourront arrêter de recevoir vos emails quand bon leur semble.
3. Ne prévoyez pas de politique de confidentialité sur votre site, ou tout autre moyen permettant à vos contacts de vous faire savoir qu’ils ne veulent plus recevoir vos spams.
4. Une fois que vos contacts sont agacés par vos emails, vous avez déjà marqué un bon point pour ne pas vous mettre en conformité avec la RGPD. A ce stade-là, vos contacts essayeront de se débarrasser de vos emails par tous les moyens, en vous demandant directement d’arrêter les envois ou de leur dire quelles données vous détenez les concernant.
5. Ignorez-les pendant au moins 30 jours.
6. Ils risquent alors d’être encore plus agacés : c’est à ce moment-là qu’ils déposeront leur plainte au Bureau du Commissaire à l’Information (ICO). Pour les inciter à sauter le pas et remplir les formulaires adéquats, continuez à leur envoyer du spam !
7. Le Bureau du Commissaire à l’Information étant plutôt réticent à l’idée de s’occuper des PME quand il y a tant à faire du côté des entreprises qui manipulent énormément de données, vous devrez patienter avant que la plainte soit examinée. Vous recevrez ensuite une notification : ignorez-la.
8. Continuez à ignorer tout rappel à l’ordre et incitations à vous mettre en conformité avec la RGPD. Si vous lâchez prise à ce moment-là, vous risquez d’être bien vite pardonné et de ne jamais recevoir d’amende !
9. Continuez à attendre. Tant que votre contact agacé n’a pas décidé qu’il avait mieux à faire et maintient sa plainte, vous êtes en bonne voie de recevoir une amende. Le processus peut prendre plusieurs mois, soyez patient !
10. Et enfin, au bout de plusieurs mois, vous recevrez enfin l’amende pour non-conformité à la RGPD.

Comme vous pouvez le voir, ne pas être conforme à la RGPD est plus difficile qu’être conforme. Si vous faites partie des petites entreprises qui ne désirent en aucun cas se faire arrêter pour non-conformité à la RGPD, voici les cinq principales précautions à prendre pour être assurés de ne pas enfreindre la loi.

Cinq conseils pour vous mettre en conformité avec la RGPD

• Inutile d’envoyer des emails à tous vos contacts en leur disant de renouveler leur abonnement à vos emails : la plupart des mails avec les mots « RGPD » ou « réinscription » en objets de mail partent de toute façon directement à la corbeille. Vous n’avez pas forcément besoin de renouveler votre liste de contacts si vous l’aviez déjà au départ obtenu par des moyens légaux.
• Intégrez à votre site une politique de confidentialité (ou mettez-la à jour si vous en avez déjà une), et mettez un lien vers cette page dans vos emails, soit dans le corps du texte, soit dans le footer. Cette politique de confidentialité doit informer vos contacts que vous utilisez leurs données personnelles à des visées d’analyse, de profilage ou de ciblage publicitaire sur les réseaux sociaux (ou toute autre utilisation que vous en faites). Elle doit également leur indiquer la procédure à faire pour demander une copie ou une suppression de leurs données. Enfin, elle doit être transparente, lisible, et même s’il n’est pas nécessaire d’entrer dans les détails, elle doit au moins pouvoir vous prémunir de toute demande de précisions.
• Sachez aussi que la politique en matière de gestion des cookies, ces codes de tracking utilisés par Google ou Facebook par exemple, ne relève pas de la RGPD mais d’une réglementation antérieure. Normalement, vous devriez déjà avoir mentionné quelque part sur votre site que vous utilisez des cookies. Si ce n’est pas le cas, il est temps de le faire ! Les fenêtres pop-up ne sont pas obligatoires et d’ailleurs pas très appréciées des internautes. Cette mise en garde peut prendre la forme d’une bannière discrète ou d’un paragraphe dans votre politique de confidentialité.
• Vérifiez que vos bases de données aient été constituées sur un socle légal. Vous devriez avoir obtenu le consentement de vos contacts ou a minima leur intérêt légitime (si par exemple, ils ont déjà acheté des produits chez vous), ce qui suffit pour les petites entreprises. Ainsi, vous n’aurez pas à redemander à tous vos contacts de se réabonner.
• Si l’on vous demande quelles sont les données que vous collectez, vous devriez pouvoir retourner une réponse complète dans un délai de 30 jours. Si l’un de vos contacts vous demande de supprimer ses données, alors vous devez le faire immédiatement et l’informer lorsque cela a été fait. Idem si quelqu’un souhaite se désinscrire de votre liste de contacts.

Et bien sûr, chaque entreprise aura un fonctionnement différent dans l’installation de toutes ces bonnes pratiques. L’essentiel est de les suivre ! Ainsi, vous serez protégés de tout risque d’amende pour non-conformité à la RGPD.