Quels sont les grands principes du RGPD et envoi de SMS?
La CNIL structure le Règlement Général sur la Protection des Données (« RGPD ») autour de cinq piliers :
Principe de finalité : les données personnelles doivent être collectées pour un objectif précis, légal et légitime. L’objectif doit être identifié avant la collecte (ex : collecte de données de contact pour envoyer de la prospection commerciale). Pour être légal, le traitement devra être fondé sur l’une des 6 bases légales prévues par le RGPD (ex : consentement).
Attention : les données collectées pour un objectif (ex : prise de rendez-vous téléphonique) ne doivent pas être utilisées pour un autre objectif (ex : réutilisation du numéro de téléphone pour envoyer de la prospection commerciale).
Lorsque vous disposez d’un compte sur l’outil Conexteo, vous êtes en mesure de créer ou télécharger vos fichiers de contact. Vous devez vous assurer que les données ont été collectées pour la finalité identifiée de vos envois de SMS.
Principe de proportionnalité et pertinence : les données personnelles collectées doivent être pertinentes et strictement nécessaires à l’objectif pour lequel elles sont traitées. En pratique, pour les activités proposées par Conexteo, les fichiers de contact ne doivent contenir que des informations nécessaires aux envois prévus de SMS.
Lorsque vous disposez d’un compte sur l’outil Conexteo, vous êtes en mesure de créer ou télécharger vos fichiers de contact. Vous devez vous assurer d’avoir collecter uniquement des données nécessaires à vos envois de SMS.
Principe d’une durée de conservation limitée : les données collectées sur une personne ne peuvent pas être conservées indéfiniment.
Par exemple, si les données collectées reposent sur le consentement de la personne pour l’envoi de SMS promotionnels, celles-ci devraient être conservées pendant la durée du consentement et supprimées au maximum 3 ans après le dernier contact émanant de la personne. Si la personne retire son consentement avant cette durée, ses données ne devraient plus être utilisées et/ou devraient être supprimées.
Lorsque vous disposez d’un compte sur l’outil Conexteo, vous êtes en mesure de créer ou télécharger vos fichiers de contact. Vous devez vous assurer de respecter le principe d’une durée de conservation limitée et ne pas utiliser des données qui auraient dû être supprimées et/ou ne doivent plus être utilisées.
Principe de sécurité et de confidentialité : le responsable de traitement (vous) doit être en mesure de garantir la sécurité et la confidentialité des données qu’il a collectées.
Conexteo met en en œuvre des mesures de sécurité organisationnelles et techniques destinées à garantir la confidentialité et l’intégrité des données à caractère personnel qui lui sont confiées par ses clients pour l’envoi de SMS. A ce titre, ces mesures ont pour objectif de protéger les données personnelles de la perte, du vol, de l’abus d’utilisation, d’un accès non autorisé, de transmission non autorisée, de toute modification ou destruction indue.
Droit des personnes : les droits des personnes doivent être respectés (droit d’information, droit d’accès, d’opposition, de rectification, de suppression, droit à la portabilité, droit de retrait du consentement, etc.).
- Droit à l’information: les personnes doivent être informées de la collecte de leurs données. Cette information doit être complète et conforme aux exigences des articles 13 et/ou 14 du RGPD.
- Droit d’opposition: la personne doit pouvoir s’opposer au traitement de ses données. En matière de prospection commerciale, cette opposition doit se faire à tout moment et facilement.
- Droit de retrait du consentement: lorsque les données sont traitées sur la base d’un consentement donné par une personne, cette dernière doit pouvoir retirer son consentement à tout moment.
- Droit d’accès: les personnes concernées peuvent vous demander de leur communiquer l’ensemble des données personnelles dont vous disposez et les concernant.
En tant que responsable de traitement, vous devez respecter l’ensemble des droits des personnes. Vous devez également être en mesure de répondre à toute demande d’exercice de droit(s) adressée par une personne. La réponse devra être apportée dans les délais légaux (1 mois, sauf prorogation).
Quelles sont les obligations en matière de prospection par SMS ?
Les informations suivantes ne s’appliquent qu’en matière de publicité envoyée par SMS / MMS / RCS et autre messagerie utilisée
Principe : le responsable du traitement doit avoir recueilli le consentement des personnes avant tout envoi de prospection commerciale par SMS/MMS.
En qualité de responsable de la création de vos fichiers de contact et de l’envoi de SMS via l’outil Conexteo, vous devez vous assurer de ne disposer que de contacts « opt-in », c’est-à-dire des contacts qui ont explicitement donné leur consentement pour l’envoi de prospection commerciale par l’émetteur du SMS.
Comment recueillir le consentement des personnes ?
Les informations suivantes ne s’appliquent que lorsque le consentement doit être recueilli.
A quoi sert le consentement des personnes ?
Le consentement permet de renforcer le contrôle des personnes sur leurs données :
- La compréhension du traitement réalisé sur leurs données est améliorée.
- La personne peut choisir, sans contrainte, d’accepter ou non un traitement.
- La personne peut changer d’avis librement.
Quels sont les critères de validité du consentement ?
Le RGPD requiert la réunion de 4 critères cumulatifs pour que le consentement soit valablement recueilli. Le consentement doit être « SEUL » :
- Spécifique: le consentement de la personne ne peut être donné que pour un seul traitement, c’est-à-dire pour un objectif identifié.
- Eclairé: le consentement doit être donné en connaissance de cause, c’est-à-dire que la personne doit disposer ou avoir à sa disposition l’ensemble des informations nécessaires et requises pour le traitement concerné (ex : mention d’information CNIL sur un formulaire de contact, renvoi vers une politique de protection des données, etc.).
- Univoque: le consentement doit être donné par une déclaration ou tout acte positif clairs (ex : case d’opt-in).
- Libre: la personne doit se voir offrir un choix réel sans avoir à subir de conséquences négatives en cas de refus.
Conexteo n’intervient pas dans la collecte des données contenues dans vos fichiers de contact. Il vous appartient de respecter les exigences concernant le recueil du consentement des personnes lorsqu’il fonde la légalité du traitement de données.
Existe-t-il des exceptions au principe du consentement préalable ?
Oui, il existe deux exceptions au principe du consentement préalable en matière de prospection commerciale par SMS / MMS :
- La personne est déjà cliente de l’entreprise émettrice du message et la prospection concerne des produits / services analogues de ceux déjà fournis par l’entreprise.
- La prospection n’est pas de nature commerciale.
Ces deux exceptions peuvent s’appliquer si les conditions suivantes sont réunies :
- L’identité de l’émetteur est précisée.
- L’émetteur propose un moyen simple de s’opposer à la réception de nouvelles sollicitations.
Dans le cadre de votre utilisation de l’outil, il vous sera obligatoire d’identifier l’émetteur du message avant tout envoi de SMS. De plus, Conexteo met à votre disposition un moyen d’opposition à insérer dans tout envoi de SMS.
Conexteo ne contrôle pas vos envois de SMS. Vous devrez analyser la nature du SMS à envoyer et/ou la situation de la personne destinataire du message pour identifier vos obligations légales.
Comment informer les personnes concernées ?
Quand informer les personnes ?
Le moment d’information des personnes dépend de la nature de la collecte :
- Collecte directe(ex : la personne fournit elle-même les données au responsable) : l’information doit être donnée au moment de la collecte.
- Collecte indirecte (ex : les données sont récupérées d’autres organismes) : l’information doit être donnée dès que possible, par exemple au premier contact avec la personne, et au plus tard dans un délai d’un mois, sauf exceptions.
Quelles sont les informations à communiquer ?
Selon la nature de la collecte, les informations à communiquer sont celles des articles 13 (collecte directe) ou 14 (collecte indirecte) du RGPD, et notamment :
- L’identité et coordonnées du responsable
- Les destinataires ou catégories de destinataires des données
- Les finalités / objectifs des traitement
- Les droits des personnes concernées
- La ou les bases légales identifiées
- Le droit des personnes d’introduire une plainte auprès de la CNIL
Conexteo n’intervient ni dans la collecte de données, ni dans la création de fichiers de contact. Il vous appartient de vous assurer que l’ensemble des informations est bien communiqué aux personnes concernées.
Que doit contenir un SMS publicitaire ?
Les informations suivantes ne s’appliquent qu’en matière de publicité envoyée par SMS / MMS.
Dans tous les cas, le SMS devra contenir :
- L’identité de l’émetteur.
- Un moyen simple d’opposition.
Dans le cadre de votre utilisation de l’outil, il vous sera obligatoire d’identifier l’émetteur du message avant tout envoi de SMS. De plus, Conexteo met à votre disposition un moyen d’opposition à insérer dans vos SMS.
Conexteo ne contrôle pas vos envois de SMS. Vous devrez identifier véritablement l’émetteur et inclure un moyen d’opposition simple pour vous conformer à vos obligations légales.
Que faire en cas d'opposition d'une personne à la réception de SMS ?
Les informations suivantes sont données à la lumière des fonctionnalités offertes par l’outil Conexteo.
Si une personne de votre fichier de contact venait à s’opposer à l’envoi futur de SMS :
- Vous devrez l’inscrire et/ou vérifier son inscription dans la liste STOP mise à disposition sur l’outil Conexteo.
- Vous devrez vous assurer que ce contact n’est plus utilisé pour l’envoi futur de SMS, dans le périmètre de l’opposition exprimée par la personne.