1. Que faire des photos prises lors d'un event ?

A l'occasion des 10 ans de votre société, vous organisez un petit drink avec vos clients. Pouvez-vous poster les photos prises à cette occasion sur le site internet ou la page Facebook de l'entreprise ? " A partir du moment où les photos sont rendues publiques, il faut obtenir le consentement des personnes photographiées ", pointe Pascale Lambert, juriste à l'UCM. Pour éviter de faire signer un document à chaque participant au drink, une solution peut être de briefer préalablement le photographe, afin que celui-ci explique clairement aux personnes photographiées quel usage sera fait des clichés. Cela permet d'identifier facilement les participants (généralement peu nombreux) qui ne souhaitent pas figurer sur l'album en ligne.
...

A l'occasion des 10 ans de votre société, vous organisez un petit drink avec vos clients. Pouvez-vous poster les photos prises à cette occasion sur le site internet ou la page Facebook de l'entreprise ? " A partir du moment où les photos sont rendues publiques, il faut obtenir le consentement des personnes photographiées ", pointe Pascale Lambert, juriste à l'UCM. Pour éviter de faire signer un document à chaque participant au drink, une solution peut être de briefer préalablement le photographe, afin que celui-ci explique clairement aux personnes photographiées quel usage sera fait des clichés. Cela permet d'identifier facilement les participants (généralement peu nombreux) qui ne souhaitent pas figurer sur l'album en ligne. Lorsque vous sollicitez des clients, des prospects ou toute autre personne figurant dans vos bases de données, une question essentielle se pose : ont-ils fourni leur accord à cette sollicitation ? Certaines entreprises considèrent que ce consentement, enregistré parfois il y a plusieurs années, n'a pas été obtenu correctement, ou plus simplement qu'il est difficile à démontrer (faute d'écrit en attestant). C'est la raison pour laquelle nous recevons actuellement de nombreux mails nous proposant d'accepter (ou de refuser) de continuer à figurer dans tel ou tel listing. Le problème, c'est que les bases de données des PME et TPE sont un outil de travail qui représente parfois une valeur inestimable. C'est le cas pour une société de recrutement (qui préfère rester anonyme) employant 15 personnes et qui a rassemblé au fil du temps 30.000 C.V. dans sa base de données. " Si nous faisons un mass mailing, nous devons nous attendre à un taux de réponse très faible, de l'ordre de 7 %, avance le data protection officer de la société. Mais nous ne pouvons pas supprimer 93 % des candidats de notre base de données. Ce serait du suicide économique ! " La solution de la PME est de faire signer un document de consentement pour les nouveaux candidats, mais de conserver la base de données existante. Chez Lexgo, plateforme en ligne qui recense des offres d'emploi dans le secteur juridique, on estime que le consentement des 7.000 membres de la newsletter est en ordre " à 95 % ". La TPE ne compte pas redemander l'accord de ses membres. Mais elle va écrémer sa base de données en supprimant les adresses erronées et automatiser sa procédure de désabonnement : " Comme nous évoluons dans le milieu juridique, nous allons également communiquer un texte explicatif pour préciser notre politique en matière de données, réagit Hugo De Maertelaere, partenaire chez Lexgo. Mais nous devons pouvoir faire tourner notre business et pour cela, nous avons besoin d'un minimum de données : noms, prénoms et adresses mails. Nous allons nous adapter au RGPD mais nous n'allons pas non plus passer une semaine sur ce sujet. Il n'y a pas de raison de paniquer. " Dernier conseil : si vous choisissez de mener une campagne d' emailing pour recueillir des consentements, il peut être intéressant d'adopter une approche plus subtile qu'un simple oui/non. Vous pouvez proposer un certain nombre de choix aux consommateurs, leur permettant de gérer plus finement les communications que vous leur envoyez. Vous pouvez leur proposer de paramétrer la fréquence des sollicitations (une fois par mois, une fois par semaine, etc.) ou encore le type d'e-mails qu'ils acceptent de recevoir (newsletters, promotions, offres de partenaires, etc.). " C'est une approche plus positive qui donne souvent lieu à un plus grand nombre de réponses ", commente Damien Jacob (Retis). La carte de voeux reste une manière sympathique de se rappeler au bon souvenir de ses clients et/ou prospects. Faut-il dorénavant obtenir le consentement de ceux-ci pour leur envoyer un petit bout de carton en début d'année ? Dans la majorité des cas, ce ne sera pas nécessaire. " Si vous écrivez un petit mot personnel, c'est considéré comme une simple correspondance. C'est du bon sens ", pointe le consultant Damien Jacob (Retis). Par contre, si vous utilisez ces cartes de voeux comme support pour une campagne promotionnelle, le consentement sera requis. Mais on s'éloigne alors de l'esprit de Noël... Les membres d'un club, d'un cercle ou d'une chambre de commerce ont souvent accès à l'annuaire des membres. Un filon intéressant pour se connecter avec des clients potentiels. Mais peut-on l'exploiter ? S'il s'agit de contacter occasionnellement un membre, pas de soucis : c'est l'objectif même de l'annuaire. Par contre, intégrer la liste et les coordonnées des membres dans la base de données de votre entreprise ne pourra se faire sans obtenir un consentement de leur part. De même, votre cercle d'affaires ne peut transmettre vos données à un tiers sans obtenir votre consentement. " On ne peut pas transférer ce genre de données de manière irréfléchie, commente Stéphanie De Ridder, avocate chez Reliance. Il arrive parfois que des sociétés vendent leur base de données clients, ou l'échangent contre du sponsoring. Sans consentement, on ne peut pas le faire. " Treizième bouquet gratuit, 20 % sur la sixième coupe de cheveux, dessert offert après 10 achats... Les commerçants sont nombreux à proposer des cartes de fidélité à leurs clients. Mais peuvent-ils à cette occasion récolter librement des données personnelles ? Oui, bien sûr. Mais encore faut-il informer correctement le client sur l'usage qui sera fait de ces données. Par exemple, expliquer qu'une adresse mail servira à envoyer une newsletter. Ou qu'une date d'anniversaire servira à proposer une promotion le jour J. Bien souvent, quelques renseignements suffiront : " Certains commerçants collectent inutilement trop de données, et sont incapables de le justifier. Pourquoi un fleuriste devrait-il avoir mon numéro de portable ? ", illustre Jacques Folon (Edge Consulting). En limitant le nombre de données collectées au strict nécessaire et en étant transparent vis-à-vis de vos clients, vous serez parfaitement en ordre. Les données personnelles traitées par votre entreprise sont parfois manipulées par vos sous-traitants. Votre service de messagerie électronique, votre système de stockage en ligne ou votre agence de communication ont accès à certaines données. Le nouveau règlement vous rend responsable de l'usage qui en est fait par ces sous-traitants. Vous devez en quelque sorte vous porter garant de ces partenaires commerciaux. Faut-il pour autant contacter l'ensemble de vos sous-traitants pour vérifier qu'ils se conforment eux aussi au RGPD ? " Non, il faut faire des choix. Il faut couvrir les risques majeurs et montrer aux autorités que l'on a fait l'essentiel des démarches ", avance Adrien van den Branden, avocat chez CMS. Les gros acteurs sont parfaitement au courant de l'arrivée du RGPD et font généralement eux-mêmes les démarches vis-à-vis de leurs clients pour montrer qu'ils se sont mis en ordre. Cela vous épargnera déjà une bonne partie du travail de vérification. Le RGPD ne s'applique pas qu'aux fichiers électroniques. Les entreprises doivent également prendre des mesures de protection de leurs fichiers papier. Certaines données dites " sensibles " doivent faire l'objet d'une attention particulière. C'est le cas, par exemple, de certains dossiers relatifs au personnel, qui peuvent faire état de leur historique de santé. Ce genre de document ne peut pas traîner dans des lieux de passage ni être stocké dans de simples boîtes en carton. " Le RGPD dit qu'il faut prendre des mesures 'techniques et opérationnelles' pour sécuriser ces données. Cela peut vouloir dire simplement qu'il faut les ranger dans une armoire fermée à clé ", explicite Jacques Folon, spécialiste RGPD chez Edge Consulting. A nouveau, ce type de précaution, somme toute logique, ne concerne que les données les plus critiques. L'échange de cartes de visite à l'occasion d'événements professionnels est un sport très répandu. Mais cela ne s'assimile-t-il pas à une collecte de données personnelles ? Non, bien sûr. Vous êtes évidemment libre de reprendre contact avec la personne rencontrée : c'est l'essence même de ce type d'événement. Si vous intégrez les données de la carte de visite dans votre fichier clients et/ou prospects à des fins de marketing direct, il faudra cependant passer par la case " consentement ". Pour éviter de transporter son PC, une clé USB ou un petit disque externe peut être utile. Mais interrogez-vous quand même sur les fichiers que vous y transférez. S'il s'agit de retravailler à la maison une présentation PowerPoint, rien de grave. Mais s'il s'agit de données personnelles ou sensibles, vous prenez un risque en cas de perte, surtout si la clé n'est pas sécurisée. " Un responsable d'une agence web m'a expliqué qu'il gardait sur sa clé USB tous les logins et mots de passe de ses clients. C'est évidemment très risqué ", avertit Damien Jacob. Certaines entreprises, qui manipulent des données sensibles, ont décidé d'interdire l'usage des clés USB. Il ne sera pas toujours nécessaire d'arriver à une telle extrémité : de simples directives aux membres du personnel sur les données qu'ils peuvent transporter à l'extérieur de l'entreprise peuvent suffire. Certaines pages Facebook professionnelles sont utilisées pour communiquer sur la vie de l'entreprise : nouveaux engagements, nouveaux projets, événements professionnels, conférences, journée du personnel, etc. Autant de publications qui peuvent amener à partager des données privées (nom d'un employé, profil Facebook, photo, âge, etc.). Problème : le réseau social est dans le collimateur des autorités européennes pour la légèreté avec laquelle il traite les données. " Facebook n'offre pas les garanties suffisantes en matière de confidentialité des données. Toutes les données qui concernent le personnel devraient donc être publiées en interne, par exemple sur l'Intranet de l'entreprise ", estime Olivier Rijckaert, avocat spécialisé en droit du travail et fondateur de Sotra. Rien n'empêche cependant de conserver la page Facebook comme vitrine de l'entreprise, où les clients et prospects pourront obtenir toutes les informations nécessaires sur les produits et services qu'elle propose. La " pseudonymisation " est une technique renseignée dans le RGPD pour garantir l'anonymat de certaine personnes et donc, la protection de leurs données personnelles. C'est ce que Gail Bajraktari, consultant chez Dynafin, conseille à certains de ses clients actifs dans le secteur financier. Les courtiers ou les filiales belges de banques étrangères sont en effet en possession de données dites " sensibles " qu'il convient de traiter avec la plus grande prudence. " Concrètement, la pseudonymisation consiste à séparer les données de leurs propriétaires respectifs pour que tout lien avec une identité ne soit possible sans une clé d'identification ", pointe Gail Bajraktari. Empiler les archives, c'est s'exposer au risque de conserver inutilement des données personnelles. Il ne sert cependant à rien d'être parano et de détruire systématiquement tous les documents après utilisation. Tout dépendra du type de données concernées. Une PME active dans le recrutement vient ainsi de commander de nouvelles déchiqueteuses afin d'éviter de laisser traîner des documents contenant des données personnelles. Mais l'entreprise s'interroge encore sur le sort à réserver aux C.V. de personnes non sollicitées pendant plusieurs années : " Nous sommes encore en réflexion à ce sujet, expose le data protection officer de la PME. Certains profils sont peu demandés, puis des années plus tard, une offre surgit. Ce serait dommage de ne plus les avoir en stock parce qu'on aurait décidé de les supprimer après quatre ans, par exemple. " Il peut donc être justifié de conserver, de manière sécurisée, certains documents pendant plusieurs années. Par contre, d'autres devraient être détruits rapidement. C'est le cas, par exemple, des certificats médicaux, qui contiennent des données de santé sensibles que l'employeur n'a aucune utilité à conserver. Le RGPD s'applique à toutes les données personnelles de particuliers basés en Europe. Si vous faites appel à des co-contractants étrangers, vous devez vous assurer que ceux-ci sont en ordre, même s'ils sont situés hors du continent européen. Or, certains d'entre eux ne se sont pas encore mis en conformité. Faut-il pour autant couper les ponts avec, par exemple, un call center situé en Afrique ? " Les grandes entreprises sont en train de se désengager de leurs liens avec certains call centers situés hors Europe parce qu'elles estiment qu'ils ne sont pas en ordre. Nous suggérons aux PME de trouver une solution transitoire via des structures situées sur le continent européen ", avance Anne Mikusinski, chargée de programme RGPD à l'UCM. La même question peut se poser pour des services de stockage de données. Pour éviter des discussions compliquées avec ces opérateurs étrangers, de plus en plus d'entreprises rapatrient leurs données sur des serveurs ou dans des data centers situés en Europe. Mais ce n'est pas une obligation. Un outil comme Facebook Pixel ou le service de remarketing de Google permettent de réinterpeller l'internaute sur les produits qu'il a consultés précédemment sur un site d'e-commerce. A cette occasion, tant Google que Facebook collectent les données des consommateurs qui visitent le site du commerçant. Idéalement, il faudrait donc avertir l'internaute qu'il s'expose à ce marketing redirectionnel. " Souvent, la PME ne sait pas exactement ce que Google récolte comme données. Nous lui conseillons de s'informer au mieux quand elle contracte ce type d'outil ", avance Anne Mikusinski (UCM). Gageons quand même que l'Europe et les autorités de protection des données mettront d'abord au pas les grandes plateformes du Net avant de s'attaquer aux petits commerçants qui sont devenus dépendants d'outils sur lesquels ils n'ont pas de maîtrise. Cette charte compile les règles de l'entreprise relatives à la gestion des données personnelles de ses clients. Publiée notamment sur le site internet, elle est souvent rédigée par un avocat. Et si vous l'écriviez vous-même ? C'est le conseil que donne Damien Jacob, consultant chez Retis : " L'idée du RGPD est justement que ce type de document soit compréhensible pour les particuliers qui le lisent. Si vous l'écrivez avec vos mots, vous éviterez le jargon. De plus, vous vous démarquerez de manière positive dans votre communication. " Rien n'empêche de le faire relire ensuite par un spécialiste, pour être certain de n'avoir rien oublié.