Comment mettre en œuvre sa stratégie de transmission de données personnelles en maîtrisant le risque légal et en respectant l’expérience utilisateur ?
Avant qu’une organisation puisse acquérir une liste de contacts ou une base de données comportant des informations, données personnelles qui sont issues d’une autre entité, celle-ci doit pouvoir prouver que ces données ont bien été obtenues de manière conforme à la réglementation, en particulier au Règlement Général sur la Protection des Données (RGPD).
Cette organisation doit aussi pouvoir prouver qu’elle est bien en mesure d’utiliser ces données pour les finalités envisagées.
Cet article vous présente différents procédés pouvant vous aider dans l’élaboration de votre stratégie opérationnelle de gestion des données personnelles et de gestion du consentement en cas de transfert ou d’acquisition de données personnelles avec des partenaires.
La transmission de données personnelles à un tiers dans le but de la prospection commerciale :
un traitement soumis à une réglementation précise.
Avant d’entrer dans les détails, rappelons la définition d’un traitement.
D’après la CNIL : “un traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement)”.
Dans notre cas de figure, nous envisageons deux traitements :
- la transmission des données personnelles à un tiers,
- la réutilisation de ces données par le tiers à des fins de prospection commerciale.
La prospection commerciale peut être effectuée via différents canaux : par courrier postal et par appel téléphonique (hors automate d’appel), ou sous forme de communication par voie électronique (SMS, e-mail, etc.).
Ces deux modalités ne suivent pas tout à fait les mêmes réglementations. C’est ce que nous allons voir dans le point suivant.
La réglementation autour de la transmission des données personnelles
Un article de vulgarisation des exigences réglementaires autour du sujet à déjà été publié.
Vous pouvez retrouver toutes ces informations dans un contenu exclusif via l’article : “Quelles règles encadrent la transmission de données personnelles à des partenaires ?”.
Nous vous avons créé une infographie synthétique des différentes réglementations.
Téléchargez l’infographie ici !
Un point important à retenir : le consentement explicite de la personne concernée doit être recueilli par au moins l’un des deux acteurs de la transmission de données personnelles.
Démontrer la conformité de votre transmission de données personnelles à un tiers est donc un point essentiel à respecter.
Il existe plusieurs modalités de collecte du consentement dans ce cas de figure. Nous vous proposons un aperçu de ces solutions.
Quels sont les scénarios de collecte du consentement pour le transfert de données à un partenaire (tiers) ?
Il existe trois scénarios différents : la séparation, la délégation et l’intermédiation.
Nous allons vous présenter ces trois systèmes et vous en expliquer les avantages et les inconvénients.
Le scénario 1 : La séparation
Dans ce scénario, chaque responsable de traitement collecte un consentement explicite pour ses propres finalités : transfert de données à un tiers pour la première (A), prospection commerciale par voie électronique pour la deuxième (B).
Les avantages :
-> Il existe une claire définition des responsabilités de chacune des organisations.
-> Le risque légal est sous contrôle.
Les inconvénients :
-> Ce système engendre une mauvaise expérience utilisateur (deux parcours utilisateurs, 2 comptes utilisateurs, 2 authentifications…).
-> Il n’existe aucun lien entre les deux consentements collectés.
-> Le taux d’abandon est élevé.
Ce scénario permet de minimiser les risques légaux mais reste lourd en termes d’expérience utilisateur.
Le scénario 2 : La délégation
Dans ce scénario, un des deux responsables de traitement délègue à l’autre la responsabilité de collecter le consentement pour ses propres finalités de traitement.
Les avantages :
-> L’expérience utilisateur est améliorée. L’utilisateur ne passe que par un seul parcours, celui de l’organisation qui supporte la délégation.
Les inconvénients :
-> Le risque juridique existe pour l’organisation qui a délégué la collecte et ne dispose pas forcément en temps réel des preuves de consentement.
-> La collecte de consentement est elle-même un traitement de données à caractère personnel (DCP).
L’organisation qui collecte devient de fait sous-traitante de l’autre organisation. Apporte-t-elle toutes les garanties appropriées ?
-> Enfin, un flou peut s’installer dans la définition des responsabilités. Existe-il une co-responsabilité de traitement en cas de violation de données par exemple ?
Ce scénario apporte une bonne expérience utilisateur mais présente un risque juridique s’il n’est pas mis en œuvre avec soin.
Comment Right Consents répond à la problématique en tant qu’intermédiaire de confiance ?
Dans ce scénario, la gestion des consentements est confiée à un tiers de confiance commun comme Fair&Smart. Chaque responsable de traitement dispose de sa propre instance pour définir ses finalités de traitement et stocker les consentements correspondants.
Mais la collecte de consentement se fait au sein d’un même formulaire unique exposé à l’utilisateur final. Les réponses sont ensuite réparties dans chaque instance. Les différentes organisations peuvent donc avoir accès aux informations de consentement des utilisateurs mises à jour, à l’instant T.
Les avantages :
-> L’expérience utilisateur est meilleure. La collecte est faite en un unique parcours utilisateur, compte utilisateur et identification commun aux différentes organisations.
-> Le risque légal est ici sous contrôle. Fair&Smart agit en tant que sous-traitant pour chacune des organisations dans un cadre contractuel strict.
-> Les organisations disposent d’un service interopérable et évolutif.
L’inconvénient :
L’identification commune unique des utilisateurs peut exiger d’établir une correspondance avec les systèmes d’identification déjà en place dans chaque SI.
En conclusion, le scénario 3 est le plus avantageux des scénarios envisagés.
Il permet d’allier une bonne expérience utilisateur tout en apportant de solides garanties juridiques pour les parties prenantes.
Ce système est d’autant plus intéressant qu’il peut être mis en œuvre pour une multitude d’organisations, et donc permettre une gestion beaucoup plus fluide des transferts de données personnelles entre tiers ainsi que de la gestion des consentements. Il est parfaitement adapté pour les transferts de données entre entités d’un même groupe qui reposent sur le consentement explicite comme base légale.
Rendez-vous sur la page Right Consents pour en savoir plus !
Vous souhaitez en savoir plus sur la gestion des consentements au sein d’un écosystème de partenaires ?
Rejoignez-vous sur les réseaux sociaux :