Vue d'ensemble des opérations de protection de la confidentialité


Blendee Marketing Automation et RGPD

Nous présentons ci-dessous un aperçu de la manière dont notre entreprise a appliqué le règlement européen 2016/679 (dit règlement général sur la protection des données ou " RGPD ") à son traitement des données personnelles. L'objectif de vos activités marketing, numériques ou non, doit être centré sur vos utilisateurs. Grâce à la segmentation avancée de Blendee, nos clients pourront utiliser les caractéristiques démographiques, comportementales passées et présentes et comprendre l'étape à laquelle se trouvent les utilisateurs dans le cycle de vie du client, en suivant leur comportement en ligne et hors ligne. Ces segments dynamiques, mis à jour en temps réel, vous permettront de mieux connaître vos utilisateurs, en construisant des expériences dédiées pour eux.

Règlement RGPD ➝
Blendee | logiciel d'expérience client

Qu'a fait Adabra pour se conformer au nouveau règlement ?

Depuis sa création, Adabra a toujours prêté une attention particulière à la législation relative à la protection de la confidentialité et à tous les amendements ultérieurs. Opérant dans le domaine du profilage et de la segmentation des données, il était donc nécessaire d'être en phase (voire en avance dans de nombreux cas) avec les obligations légales. Il a donc été relativement facile de s'adapter au RGPD, étant donné qu'une bonne partie des obligations prévues par le nouveau règlement étaient déjà présentes dans le cadre initial de nos systèmes. Mais voyons ensemble en détail quelles sont les nouvelles fonctionnalités offertes par notre plateforme et où elle a été modernisée pour se conformer à la nouvelle réglementation :

Le RGPD confère aux utilisateurs ("personnes concernées"), dont les données sont traitées, certains droits. Parmi ceux-ci, il convient de mentionner le droit à l'oubli, qui, dans le nouveau cadre du RGPD, devient synonyme de droit à l'effacement des données. Cela signifie que les personnes concernées ont le droit de demander l'effacement de leurs données à caractère personnel si celles-ci ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées et traitées ; si elles sont traitées de manière illicite ; et/ou si la personne concernée a retiré son consentement ou s'est opposée au traitement et que le responsable du traitement n'a pas d'autres finalités ni d'autres motifs légaux de traiter les données.

Parmi les autres droits prévus par le RGPD, le droit à la portabilité des données mérite une mention spécifique, qui permet à nos clients et à leurs utilisateurs de demander dans un format structuré, couramment utilisé et lisible électroniquement les données personnelles les concernant et/ou de demander leur transfert à un nouveau fournisseur, si leurs contrats sont transférés à ce dernier. Le droit à la portabilité des données s'applique à tous les traitements de données à caractère personnel : fondés sur le consentement de l'utilisateur ; effectués de manière automatisée. Il convient toutefois de noter que le droit de demander la transmission de données à un autre responsable du traitement n'existe que si l'opération est technologiquement réalisable, ce qui suppose, par exemple, que les deux systèmes concernés, émetteur et récepteur, soient compatibles l'un avec l'autre. La plateforme Blendee permet l'exercice simple et immédiat du droit à la portabilité des données, et donc les clients et leurs utilisateurs pourront facilement obtenir une copie et/ou transférer tous leurs contacts à un autre responsable du traitement, sous la forme qui leur convient le mieux : sous forme de fichier ou via API.

L'article 4 du RGPD définit les données à caractère personnel comme "toute information concernant une personne physique identifiée ou identifiable ("personne concernée")", en précisant qu'"est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, par référence notamment à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale". Cela signifie que même un identifiant en ligne constitue une donnée à caractère personnel. Par ailleurs, les données anonymes sont des informations qui, à l'origine ou à la suite d'un traitement spécifique, ne peuvent être associées à une personne physique identifiée ou identifiable. Si le suivi des utilisateurs s'effectue sur la base de données anonymes, qui ne permettent donc pas de les identifier, même indirectement, le RGPD ne s'applique pas et le client ne doit pas se préoccuper d'obtenir leurs consentements.

Pour utiliser Blendee correctement, il n'est pas nécessaire de modifier les formulaires de collecte de contacts. Il ne sera pas nécessaire d'inclure des demandes de consentement supplémentaires, autres que celles que nos clients utilisent normalement, pour autant qu'ils fournissent les informations aux personnes concernées et qu'ils en acquièrent la preuve.

La plateforme Blendee permettra, conformément aux obligations imposées par le RGPD, de détecter, d'identifier et de stocker la preuve de l'origine des données personnelles ("source des données"), en identifiant où et auprès de qui elles ont été collectées.

Dans le cas de la plateforme Blendee, les données personnelles des utilisateurs sont traitées à des fins de profilage et de marketing avec leur consentement, qui peut être révoqué à tout moment. Le droit de révoquer le consentement au traitement des données d'utilisateur de nos clients s'applique aux données traitées sous forme numérique et papier, ainsi qu'à toutes les sauvegardes de ces données. Afin de rendre ce droit effectif, Blendee a mis en place le bouton de révocation (Opt Out), en adaptant également les périodes standard d'utilisation et de stockage des données. Les clients et/ou leurs utilisateurs peuvent également s'opposer à d'autres communications promotionnelles par courrier électronique en utilisant le lien de désinscription approprié dans chaque courrier électronique promotionnel envoyé.

‍Blendee a mis en place une politique de sécurité des données et des procédures de gestion du système informatique, qui sont toutes documentées et disponibles pour le client. Le traitement des données personnelles par Blendee a fait l'objet d'une évaluation de l'impact sur la confidentialité (AIPD), comme l'exige le RGPD. L'AIPD est également mise à la disposition de nos clients pour leur permettre de remplir leurs obligations de conformité en vertu de l'article 35 du RGPD.

Les données personnelles de nos clients (et les données de leurs utilisateurs) sont traitées et stockées sur le territoire européen. Si les données sont transférées en dehors du territoire européen, conformément au RGPD, Blendee s'assurera que les pays vers lesquels les données sont transférées garantissent un niveau adéquat de protection des données personnelles (et qu'une décision d'adéquation de la Commission européenne est donc en place), ou que des garanties adéquates sont en place par le biais de moyens contractuels tels que les "Clauses contractuelles types" (conformément à l'article 46, paragraphe 2, points c) et d), du RGPD).

Le RGPD souhaite que les principes de privacy by design et de privacy by default soient appliqués dès la conception du traitement des données personnelles. En fin de compte, des mesures techniques et organisationnelles appropriées doivent être mises en place pour appliquer efficacement les principes de protection des données tels que la minimisation et pour intégrer les garanties nécessaires dans le traitement afin de protéger les droits des utilisateurs et de veiller à ce que seules les données nécessaires soient traitées - par défaut.

Les violations du RGPD et du décret législatif 196/2003 (le "code de la confidentialité") sont passibles de lourdes amendes administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires de l'entreprise, le montant le plus élevé étant retenu. Le règlement interne (décret législatif 196/2003) prévoit également des sanctions pénales pour des violations spécifiques et impératives.

Les nouvelles règles en matière de responsabilité visent à garantir que toute personne traitant des données à caractère personnel a adopté des mesures de sécurité organisationnelles et technologiques appropriées au risque posé par les données et est en mesure de démontrer que son traitement est effectué conformément au RGPD.

La traçabilité des données est une déclinaison du principe de responsabilité. En effet, ce n'est qu'en acquérant la traçabilité et la preuve des méthodes de collecte des données, des consentements, des opérations effectuées sur les données et de leur suppression, que le responsable du traitement pourra démontrer qu'il a correctement agi à l'égard des données.

Toute personne traitant des données à caractère personnel doit être prête à détecter et à traiter toute violation de données et à la notifier à l'autorité de protection des données dans les 72 heures suivant le moment où elle en a pris connaissance. Dans les cas où la violation est susceptible de porter gravement atteinte aux droits et libertés des utilisateurs, la violation doit également être communiquée à ces derniers par des moyens appropriés. Il y a violation de données à caractère personnel dans le cas d'une faille de sécurité qui entraîne accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à celles-ci. Pour la notification à l'Autorité de protection des données, il existe une procédure spéciale en ligne disponible sur le site officiel de l'Autorité.

Toute personne traitant des données à caractère personnel doit adopter des mesures de sécurité appropriées au niveau de risque auquel les données sont exposées. Les mesures de sécurité physiques, logiques et organisationnelles doivent garantir la confidentialité, la disponibilité et l'intégrité des données à caractère personnel traitées par le responsable du traitement et le sous-traitant. L'évaluation des risques doit être périodiquement mise à jour, de même que les mesures de sécurité qui servent à atténuer les risques encourus. Ces mesures de sécurité comprennent, entre autres, la pseudonymisation, le cryptage, la capacité à assurer la résilience des données de manière permanente (au moyen de sauvegardes, de plans de reprise après sinistre) et des procédures de test et d'évaluation régulière de l'efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement.

Il est conseillé d'adopter et de documenter une procédure spécifique pour la notification des violations de données et, plus généralement, pour le traitement des incidents informatiques. Cette procédure doit être largement diffusée dans l'environnement professionnel du client. Même si l'incident de sécurité ne nécessite pas de notification à l'Autorité, puisque les conditions préalables à la notification ne sont pas remplies, il doit être consigné dans un registre interne spécialement préparé, afin qu'il reste documenté en cas de contrôle par l'Autorité.

Il est conseillé de prévoir une procédure spécifique pour traiter les demandes d'exercice des droits des utilisateurs, en leur fournissant une documentation spécifique et en préparant des formulaires spécifiques pour faciliter l'exercice des droits. En ce qui concerne les traitements fondés sur le consentement des utilisateurs, il faut notamment garantir à ces derniers la possibilité d'exercer leur droit de retirer leur consentement ou de s'opposer au traitement, aussi facilement qu'il leur a été demandé de l'exprimer.

Parmi les documents requis pour démontrer le respect de la confidentialité par les entreprises, il convient également de mentionner le registre des activités de traitement du responsable du traitement, dans lequel doivent être consignés tous les traitements effectués, les types de données traitées, les catégories de personnes concernées par les données, les finalités du traitement, les catégories de destinataires auxquels les données sont communiquées, le transfert éventuel des données vers des pays non européens et, si possible, les délais d'effacement des données et les mesures de sécurité prises. Lorsque des données à caractère personnel sont également traitées en qualité de responsable du traitement, le registre du responsable du traitement, dans lequel sont consignées toutes les activités exercées pour le compte d'un ou de plusieurs responsables du traitement, doit également être mis en œuvre. Le registre du responsable du traitement contient le nom et les coordonnées du responsable du traitement pour le compte duquel les données sont traitées, les catégories de traitements effectués, le transfert éventuel des données vers un pays hors Europe et, si possible, une description des mesures de sécurité prises.

Pour certaines activités de traitement impliquant l'utilisation de nouvelles technologies et présentant un risque élevé pour les droits et libertés des utilisateurs, il est nécessaire de procéder à une analyse d'impact spécifique du traitement sur la protection des données.
Des mesures spécifiques émises par l'Autorité italienne de protection des données et le Conseil européen de protection des données identifient les traitements devant faire l'objet d'une analyse d'impact. Si, à l'issue de l'analyse d'impact, les risques pour les droits et libertés des personnes concernées restent importants, l'Autorité italienne de protection des données doit être consultée afin qu'elle puisse prendre les mesures appropriées.

Lorsque les principales activités de traitement des données à caractère personnel consistent en un suivi régulier et systématique à grande échelle des personnes concernées ou en un traitement à grande échelle de données appartenant à des catégories particulières, un délégué à la protection des données (DPD) doit être désigné.
Le DPD est désigné sur la base de ses qualités professionnelles et de ses connaissances spécialisées en matière de protection des données et de cybersécurité. Le DPD rend compte à la direction générale des activités menées et surveille la mise en œuvre concrète par le responsable du traitement ou le sous-traitant des mesures prescrites par le RGPD et les règlements internes. Le DPD sert de point de contact pour les demandes des personnes concernées et pour les demandes de l'Autorité de protection des données.

Blendee | Respect de la confidentialité

Modifications contractuelles

Nous nous adressons à nos clients avec la plus grande clarté et transparence, comme nous l'avons toujours fait.
Pour pouvoir utiliser Blendee, vous devez signer le contrat de licence et autoriser le traitement de vos données personnelles par l'entreprise, conformément aux dispositions de ses conditions générales de service (CGS), que nous avons mises à jour pour tout ce qu'implique la mise en œuvre du RGPD.

Voir les conditions générales d'utilisation ➝

Qu'advient-il de la base de données actuelle du client ?

La loi n'est pas rétroactive, c'est-à-dire que l'utilisation de tous les profils comportementaux légalement collectés avant l'entrée en vigueur du RGPD continuera d'être possible.

Le traitement et le profilage ultérieurs des personnes concernées doivent - dorénavant - être autorisés sur la base de nouvelles divulgations conformes au RGPD. ‍

La suppression des données ne sera nécessaire qu'en cas de demande de la part de la personne concernée.

Blendee | marketing automatisation du commerce électronique
Blendee | génération de leads ecommerce

Comment obtenir un consentement valide et vérifiable de la part de l'utilisateur ?

Le consentement est valable s'il est "explicite". Le RGPD a exclu toute forme de consentement implicite ou tacite (le silence n'équivaut pas à un consentement) ou obtenu en proposant une série d'options présélectionnées.
Il doit donc être libre (c'est-à-dire non forcé ou conditionné), formulé sous une forme spécifique (et donc non exprimé en référence à un traitement génériquement identifié, alors que les consentements pour des finalités différentes doivent être distincts les uns des autres),éclairé (c'est-à-dire précédé d'informations pertinentes). Le consentement peut être révoqué à tout moment. La révocation n'affecte pas le traitement licite effectué jusqu'à la révocation.

Localisation géographique

Explication du stockage des donnéesBlendee a choisi de localiser ses serveurs et ses activités de traitement des données personnelles sur le territoire de l'Union européenne, en prenant à cœur les données personnelles des utilisateurs et leurs besoins de protection.

Les serveurs utilisés par Blendee sont situés en Italie et géographiquement redondants au sein de l'Union européenne. De plus, nos fournisseurs appliquent la norme ISO-27001 sur la gestion et la protection de la sécurité de l'information et, même en cas d'intégration avec des plateformes tierces résidant en dehors de l'Union européenne, Blendee applique des garanties adéquates pour le traitement des données, en vérifiant l'existence de décisions d'adéquation de la Commission européenne pour le pays d'importation des données ou en appliquant les "Clauses contractuelles types" (conformément à l'art. 46, par. 2, lett. c) et lett. d), du RGPD).

Blendee | advertising automation

Choisissez le meilleur partenaire pour vous guider vers le succès.

Découvrez Blendee et créez une stratégie gagnante !

Contactez-nous pour une consultation
Contactez-nous pour une consultation

Quelques articles susceptibles de vous intéresser