Fin mai 2018, le nouveau règlement européen sur la protection des données personnelles (RGPD) est entré en vigueur. Ce sont de nouvelles règles qui s’appliquent à toute personne collectant des données personnelles sur le territoire de l’UE, comme par exemple les adresses e-mail, les adresses IP, etc.

Cela signifie-t-il que le RGPD s’applique aussi aux blogueurs ? Oui, sans exception.

« Il paraît que je vais devoir renvoyer un e-mail à tous mes lecteurs pour qu’ils s’inscrivent à nouveau à la newsletter ? Et qu’on ne peut plus du tout collecter de cookies ?! »

Internet regorge de scénarios apocalyptiques de ce genre, alors que le RGPD n’a vraiment rien d’effrayant. Il faut juste prendre le temps de s’y plonger. Nous avons rédigé pour toi un guide expliquant quoi changer sur ton blog pour être en conformité avec le nouveau règlement. On te conseillera aussi sur ce qu’il faut faire avec tes abonnés déjà présents dans tes listes e-mail.

AVERTISSEMENT. Nous ne sommes ni juristes ni experts en protection des données. Tout ce que tu liras ici n’est que notre interprétation du RGPD, du point de vue d’un blogueur. Pour rassembler ces informations, je me suis appuyé sur le règlement lui-même et sur la manière dont d’autres l’ont géré. J’ai examiné plusieurs blogueurs et e-commerçants, grands et petits, et leur façon d’aborder le RGPD. Ne prends pas cet article comme parole d’évangile, mais plutôt comme un fil conducteur pour gérer le RGPD dans ton cas précis. Merci, et c’est parti !

L’objectif du RGPD est de donner au client (dans le cas d’un blogueur, au lecteur) un meilleur contrôle sur ses données. Donc plus tu seras transparent dans le traitement des données et plus tu donneras de contrôle à tes lecteurs, plus tu rempliras facilement toutes les conditions.

Quelles données de nos lecteurs détenons-nous en tant que blogueurs

Par traitement de données, les législateurs de l’UE entendent toutes les données que tu collectes sur les utilisateurs et la manière dont tu les utilises. Les données personnelles sont des données qui permettent d’identifier directement ou indirectement un lecteur. Il s’agit des noms, adresses, numéros de téléphone, e-mails, mais aussi des adresses IP et autres identifiants. Donc, si tu fais ou possèdes sur ton blog l’une des choses suivantes, le RGPD te concerne :

• Tu collectes des e-mails – par exemple tu envoies des newsletters
• Tu as activé les commentaires sous les articles (surtout sur WordPress)
• Tu suis le comportement des utilisateurs, par exemple avec Google Analytics
• Tu as un formulaire de contact sur ton blog
• Tu utilises des plugins qui collectent des données sur les utilisateurs
• Tu organises des concours et des giveaways

#1 Utilise des cases à cocher (ou une autre forme de consentement) chaque fois qu’un lecteur te fournit des données

Chaque fois que tu récupères des données personnelles auprès d’un lecteur, tu dois le faire avec son consentement explicite. Lors de la transmission des données, il doit aussi être clair à quoi tu vas les utiliser. Donc si un lecteur te donne son e-mail pour recevoir des nouveautés, il doit explicitement accepter de recevoir ces nouveautés de ta part.

La solution la plus simple consiste à ajouter une case à cocher par laquelle le lecteur te donne un accord clair. Cette option est un peu basique, mais elle te protège sur tous les fronts. Chez nous, sur Loudavým Krokem, ça ressemble à ça : 

  La deuxième option consiste à intégrer le consentement directement dans le bouton. Par exemple, lors de l’inscription à une formation crypto sur Power of Doing, tu confirmes ton accord en cliquant sur le bouton d’inscription à la formation.

MODÈLE DE TEXTE

Pour te faciliter encore plus la tâche, nous t’avons préparé un modèle de texte. Remplace les points de suspension par la liste de ce que tu vas envoyer à tes lecteurs par e-mail, et fais pointer la dernière phrase vers ta politique de confidentialité. (Tu pourras télécharger le modèle de politique dans un instant.)

MODÈLE DE TEXTE POUR LE CONSENTEMENT : En cliquant sur le bouton « J’accepte… », tu acceptes que nous t’envoyions …………… Si tu ne souhaites plus recevoir d’e-mails, tu peux à tout moment te désabonner et révoquer ce consentement via le lien de désinscription présent dans chaque e-mail. Pour en savoir plus sur notre politique de confidentialité, clique ici.

Si tu utilises les formulaires WordPress classiques pour la collecte, il te suffit d’installer le plugin WP GDPR Compliance. Si tu collectes les e-mails via Mailchimp, ConvertKit ou d’autres services, tu trouveras la solution directement sur leurs plateformes.

Le plan de bataille est simple : pour chaque lecteur, tu dois conserver une trace de comment et quand il t’a donné son consentement pour l’envoi d’e-mails.

#2 Si tu veux être vraiment couvert, utilise le double opt-in, c’est-à-dire une confirmation du consentement

Même si le RGPD ne l’exige pas explicitement, il est conseillé d’avoir un double opt-in. Après que les gens se sont inscrits à la newsletter ou à une formation, nous leur envoyons par e-mail un bouton supplémentaire par lequel ils nous confirment qu’ils souhaitent vraiment recevoir nos messages. S’ils ne confirment pas, nous ne les ajoutons pas à la liste e-mail. À quoi ça sert ?

• Un double consentement à l’envoi de messages
• On est sûrs que le lecteur s’intéresse vraiment à notre contenu
• En cas d’erreur de saisie de l’e-mail, on n’ajoute pas une adresse inutile à la base de données

Voici à quoi ressemble un e-mail de double opt-in : 

Ce n’est qu’après avoir cliqué sur le bouton rouge que l’e-mail est ajouté à la base de données et que la séquence d’e-mails se déclenche.  Les données personnelles des utilisateurs qui ne te donnent pas leur consentement doivent être supprimées de la base de données sans délai inutile.

#3 Prépare une politique de confidentialité conforme au RGPD et publie-la sur ton site

La rédaction d’une politique de confidentialité, c’est ce qui effraie le plus les gens. Mais toi, tu n’as pas à t’en faire, car nous t’avons préparé un modèle dans lequel tu n’as plus qu’à compléter ce qui est nécessaire. Voici à quoi ressemble la nôtre. Tu dois créer une politique de confidentialité pour chaque blog que tu gères et la placer dans le menu, éventuellement dans un menu déroulant. Voici ce qu’on inscrit dans cette politique :

• Qui tu as désigné comme responsable du traitement des données
• Quelles données tu traites et dans quel but
• À qui tu transmets ces données
• Comment tu protèges ces données
• Les droits des lecteurs

Dans le document modèle, nous t’avons indiqué où compléter tes propres informations, et les commentaires expliquent ce qu’il faut écrire. 🙂

#4 Informe tes abonnés actuels que tu es conforme au RGPD, ou demande-leur leur consentement

Et on arrive au moment de vérité. Tu as probablement des dizaines, des centaines, voire des milliers d’e-mails dans ta base de données. Que faire maintenant ? Faut-il renvoyer à tout le monde un formulaire d’inscription pour qu’ils cliquent et te donnent leur accord ? Ou peux-tu laisser les choses telles quelles ? Tout dépend de la qualité avec laquelle tu as collecté tes e-mails jusqu’à présent.

1. Tu as collecté les e-mails dans un but précis et tu respectes ta parole

Si tu as collecté tes e-mails jusqu’à présent comme l’exige le RGPD, tu n’as pas besoin de redemander le consentement. Une collecte conforme au RGPD signifie que tu es capable de prouver quand, comment et dans quel but le lecteur t’a donné son consentement et fourni son e-mail. Dans ce cas, selon nous, il suffit d’informer tes abonnés existants des points suivants : 

• Comment tu as obtenu leurs données (où ils se sont inscrits)
• À quoi tu utilises ces données (ce que tu leur envoies)
• Que désormais tu traites les données conformément au RGPD
• Comment ils peuvent se désabonner

Voici comment nous l’avons fait :

1. Tu as collecté les e-mails via des formulaires universels (ou autrement), ou tu envoies aussi du contenu auquel le lecteur ne s’est pas abonné, ou tu n’as pas respecté d’autres conditions lors de la collecte

Si tu as un peu mauvaise conscience parce que tu n’as pas obtenu les e-mails de ta base avec un consentement explicite, ou parce que tu envoies toutes sortes d’e-mails à toute ta base de données, tu vas devoir obtenir le consentement explicite de chaque lecteur. C’est-à-dire si tu veux continuer.

C’est aussi notre cas : sur Loudavým Krokem, nous collections les e-mails principalement via des concours et des giveaways de voyage, et nous n’avons jamais explicitement informé les lecteurs qu’en participant au concours, ils s’inscrivaient aussi à notre newsletter. Nous leur avons donc demandé leur consentement pour l’envoi de tout ce que nous prévoyons de leur envoyer :

Après avoir cliqué, ils arrivent sur une page où ils doivent cocher qu’ils acceptent explicitement de recevoir nos messages.

#5 Si tu tagues tes lecteurs et collectes des e-mails depuis plusieurs formulaires, réfléchis à la structure

Il n’a pas été simple pour nous d’intégrer le RGPD dans notre structure de formulaires, car nous en utilisons beaucoup. Nous avons plusieurs catégories d’intérêt auxquelles les lecteurs peuvent s’inscrire, et nous taguons progressivement tous nos abonnés (nous les marquons par des étiquettes en fonction desquelles nous leur envoyons ensuite du contenu).

Certains s’intéressent aux cryptomonnaies, d’autres au marketing en ligne ou à l’entrepreneuriat en ligne. Si quelqu’un s’inscrit à notre formation sur les cryptomonnaies, nous ne pouvons pas, selon le RGPD, lui envoyer par exemple un article sur la promotion d’un blog sur Instagram. Il est donc important de suivre qui t’a donné quel consentement. Nous te recommandons de dessiner une carte dans laquelle tu te repères facilement. Voici à quoi ressemble la nôtre :

Comme tu peux le voir, nous avons ajouté des double opt-in RGPD à tous les formulaires d’entrée par lesquels un lecteur peut s’inscrire à notre base de données e-mail.

#6  L’« intérêt légitime » et comment l’utiliser

Dans le cadre du RGPD, on travaille avec la notion d’« intérêt légitime », qui constitue une exception que tu peux invoquer pour l’envoi d’e-mails.

Par exemple, si quelqu’un t’achète une tasse de voyage, tu peux raisonnablement supposer qu’il sera intéressé par les nouveautés de ta boutique, et tu peux donc l’ajouter à ta newsletter. Il s’agit d’un intérêt légitime dans le cas du marketing direct.

Mais sois prudent avec l’intérêt légitime : sa définition est vague et, selon nous, il vaut mieux l’utiliser le moins possible et demander explicitement le consentement à l’envoi.

#7 L’utilisation des cookies et d’outils comme Google Analytics

Si tu utilises des outils d’analyse pour suivre le comportement des visiteurs sur ton blog, comme Google Analytics, le RGPD te concerne également.

Dès qu’un lecteur ouvre ton site pour la première fois, Google Analytics dépose des cookies dans son navigateur, qui aident Google à suivre le comportement de l’utilisateur. Les cookies collectent des données personnelles sous forme d’identifiants qui peuvent potentiellement être utilisés pour une identification indirecte.

Pour cette raison, tu dois informer les visiteurs que tu collectes des cookies. Et pas seulement : ils doivent aussi savoir quelles données tu collectes, à quoi tu les utilises et comment ils peuvent refuser les cookies.

Le moyen le plus simple est d’utiliser un plugin (si tu es sur WordPress) :

• Cookie Law / GDPR Info

Tu dois également mentionner les informations sur les cookies dans ta politique de confidentialité.

#8 Les lecteurs peuvent demander toutes les informations que tu traites à leur sujet

Selon le RGPD, les utilisateurs disposent désormais d’un « droit d’accès » aux informations que tu détiens à leur sujet.

Assure-toi donc d’avoir accès à ces informations. Non seulement tu devras être capable d’exporter les journaux indiquant quand et comment l’utilisateur s’est inscrit et quels e-mails tu lui as envoyés, mais aussi les informations sur son comportement sur le site, par exemple depuis Google Analytics.

Heureusement, Google a mis au point des outils que tu peux utiliser à cette fin, y compris la possibilité de supprimer les données collectées sur n’importe quel utilisateur.

Résumé

Le RGPD n’est pas aussi terrible qu’il en a l’air. Il nous a même aidés à organiser nos bases de données e-mail, à améliorer leur sécurité et à faire le tri parmi les abonnés inactifs. Alors, quelles étapes faut-il entreprendre pour être conforme au RGPD ?

• Rédiger une politique de confidentialité
• Avoir, pour chaque contact, un consentement explicite au traitement des données pour un but précis
• Être capable de prouver quand et comment le lecteur a donné son consentement
• Mentionner dans la politique les informations sur les autres sous-traitants de données personnelles

Notre modèle pour t’aider à créer ton document RGPD

Les informations que nous avons mis de longues heures à rassembler, nous ne voulons pas les garder pour nous. C’est pourquoi nous avons préparé un document détaillé avec un modèle de politique de confidentialité (RGPD) qu’il te suffit de remplir, et le tour est joué. Il est rempli de notes et d’explications, de sorte que même un débutant ne s’y perdra pas. 👇

AVERTISSEMENT. Nous ne sommes ni juristes ni experts en protection des données. Tout ce que tu liras ici n’est que notre interprétation du RGPD, du point de vue d’un blogueur. Pour rassembler ces informations, nous nous sommes appuyés sur le règlement lui-même et sur la manière dont d’autres l’ont géré. Nous avons examiné plusieurs blogueurs et e-commerçants, grands et petits, et leur façon d’aborder le RGPD. Ne prends pas cet article comme parole d’évangile, mais plutôt comme un fil conducteur pour gérer le RGPD dans ton cas précis.