Le Règlement Général sur la Protection des Données Personnelles (RGPD ou GDPR en anglais), est entré en vigueur le 25 mai 2018. Si vous êtes résident européen, quelque soit votre nationalité, et que vous collectez des feedbacks, y compris par internet, qu’il s’agisse de retours d’expérience client, de la mesure de l’engagement des employés ou des données d’études de marché, vous devez vous assurer que vous respectez bien la nouvelle règlementation sous peine de lourdes amendes.
Le consentement explicite
Le GDPR introduit de nouvelles exigences en matière de consentement.
Vous devez obtenir le consentement éclairé de vos clients, employés ou participants à une enquête, en termes clairs, inconditionnels et non ambigus avant de pouvoir collecter leurs données personnelles. A l’appui de cette demande de consentement, vous devez apporter au répondant la garantie d’un traitement équitable et transparent de ses informations, entre autres : la nature des informations collectées, la finalité du traitement, le caractère obligatoire ou facultatif des réponses, l’identité du responsable du traitement, la période de conservation des données, etc. À tout moment, les personnes doivent pouvoir révoquer leur consentement si elles le souhaitent.
Transparence
Les répondants ont un droit d’accès à leurs données, peuvent les rectifier et s’opposer à leur utilisation.
Vous devez être en mesure de fournir à vos clients, employés ou participants à une enquête, une copie de leurs données personnelles lorsque ceux-ci en font la demande.
Droit à l’oubli
Vous devez respecter le droit du client, de l’employé ou du participant à une enquête à être oublié en supprimant des données personnelles lorsqu’elles ne sont plus pertinentes ou lorsque le consentement est retiré.
Confidentialité par défaut
Pour la collecte des feedbacks, vous devez vous assurer que la solution que vous utilisez respecte la confidentialité dès la conception et par défaut. La confidentialité des données ne peut pas être abordée après coup. Tout système traitant des données personnelles ne doit collecter que les données dont il a besoin – et rien de plus. Toutes les fonctionnalités préinstallées doivent être configurées de manière à protéger la confidentialité par défaut.
Notification d’infraction
Vous devez informer les autorités de contrôle dans les 72 heures qui suivent une découverte de violation de données. Vous devez également informer vos clients, vos employés ou les participants à une enquête si la violation est de nature à entraîner un risque élevé pour les personnes.
Le non-respect du RGPD peut entraîner une amende pouvant atteindre 4% du chiffre d’affaires global annuel ou 20 millions d’euros, selon le montant le plus élevé.
Si vous souhaitez conduire une enquêtes, et que vous vous interrogez sur la règlementation, il n’est jamais trop tard pour prendre des mesures pour vous conformer au RGPD, notamment en choisissant vos fournisseurs de solutions de manière sélective. En fait, le RGPD impose ce devoir aux entreprises ! L’article 28 du RGPD stipule que les organisations sont tenues de sélectionner avec diligence les fournisseurs de services, en n’utilisant que ceux qui fournissent des garanties suffisantes pour respecter les exigences du RGPD et en assurant la protection des droits de la personne concernée. Ainsi, en vous associant à des fournisseurs de solutions conformes, votre entreprise peut non seulement garantir la conformité, mais aussi réduire les risques et prendre un peu d’avance sur vos concurrents les plus lents.
S’adapter à toute modification majeure de la législation est un travail difficile. Nous sommes ici pour vous aider à rendre votre transition aussi simple et transparente que possible.
