in ,

RGPD & Feedback : Collecter des données en toute conformité

Souvent, les entreprises agissent de manière égocentrique. Elles ne comprennent donc pas vraiment pourquoi les prospects et les clients coupent les ponts et se dirigent vers des concurrents.

Pour pallier à ça, il est indispensable de prendre l’habitude de collecter des feedbacks.

Les Feedbacks, qu’ils soient digitaux ou partagés en personne, mènent à une conversation à double sens, un dialogue qui vous permet de vous forger, de vous équiper pour répondre au mieux à votre audience et vos prospect dans cette ère de l’Excellence Expérientielle.

Elle implique souvent des informations personnellement identifiables (PII). Et sous l’œil vigilant de la RGPD, les feedbacks clients ne sont-ils pas plus une gêne qu’une aide ?

Les feedbacks client dans l’ère de la RGPD : Est-ce fiable ?

La réponse courte est OUI, heureusement !

En 2018, il a suffi de quatre lettres pour semer la panique au sein des entreprises lorsqu’il s’agit de collecter les feedbacks des clients : RGPD.

En raison du règlement général sur la protection des données (ou RGPD), de plus en plus d’utilisateurs demandent ce qu’ils doivent faire pour être conformes et sûrs lors de la collecte de feedbacks.

Si vous travaillez avec des données personnelles, si vous êtes situé dans l’UE ou si vous avez une activité dans l’UE, vous devez tenir compte d’un certain nombre d’éléments.

Pour voir un cas concret de la gestion des feedbacks et de la sécurité, vous pouvez lire notre PDF. (en Anglais)

Une question qu’il serait bon de se poser avant de commencer :

Vos enquêtes, avis, formulaires sont-ils anonymes ou est-ce qu’ils utilisent de la donnée personnelle ?

  • Si les enquêtes sont complètement anonymes et qu’il n’y aucun traitement ni collecte des données personnelles, alors la RGPD n’entre pas en jeu. Même si cette RGPD a une vision assez large de ce qu’est la donnée personnelle.
  • Alors que si le nom du répondant, l’adresse email ou n’importe quelle autre donnée personnelle est demandée lors de la collecte de feedback, alors ce qui suit dans cet article peut être très intéressant.

Les différents types d’outils de feedback clients qui peuvent être utilisé

Il est important de se rappeler que le feedback client est omniprésent et qu’il peut être « écouté » grâce à beaucoup d’outils différents.

  • Les outils d’écoute de la Voix du Client (VoC) : Les outils de VoC deviennent une priorité absolue pour les entreprises en ligne. Ce qui est principalement dû au fait que ces outils sont devenus un élément essentiel en ce qui concerne l’expérience client.
    Ces solutions de feedback client permettent aux visiteurs de communiquer directement sur leur expérience, sans interrompre le parcours en ligne. Ils sont également parfaits pour rassembler des retours « au moment opportun ».
Questions NPS sur le dashboard Feedier
Dashboard Feedier
  • Les outils de sondages en ligne / enquêtes de satisfaction : Une alternative plutôt traditionnelle pour la collecte de feedbacks clients est celle des Sondages en ligne. Ces outils sont très populaires depuis quelques décennies maintenant, bien que leur avenir ne soit pas si certain. C’est ce que nous expliquons dans cet article. Cependant, aujourd’hui des micro enquêtes de satisfaction sont proposées, sur Feedier par exemple. Ces micro-enquêtes de satisfaction ne se concentrent que sur l’essentiel afin de garder l’attention du répondant jusqu’à la fin (généralement quelques secondes).
what is your age
Source: Feedier
  • Les outils d’avis en ligne : Ces plateformes sont un bon moyen de construire une certaine confiance de la part des visiteurs, tout autour du produit en question. Très souvent utilisés par les pros du Marketing Digital, ils peuvent avoir un effet très positif dans le classement des recherches Google grâce aux étoiles de notation.
  • Les outils de test utilisateur : Ces outils englobent tous les aspects de l’interaction avec un utilisateur, que ce soit avec l’entreprise, le produit ou les services. Ces solutions sont extrêmement utiles lorsqu’une entreprise souhaite améliorer son Expérience Utilisateur (UX), puisque différentes fonctionnalités permettent de voir comment l’utilisateur interagit avec le site par exemple.
  • Les outils de feedbacks visuels : Via les feedbacks visuels, il est possible de mettre en évidence certaines parties d’un site web par exemple, afin de demander du feedback dans le but d’améliorer sa conception, son emplacement ou autre. Cependant, ce type d’outil ne permet pas d’obtenir des informations approfondies sur l’expérience client.
Usersnap
Source: Usersnap

Rester conforme à la RGPD tout en demandant du Feedback client

Traitement légal des données

La RGPD insiste sur le fait de devoir traiter les données de manière légale.

Demander du feedback relève d’un traitement de données, il est donc inévitable que cette demande de feedback soit elle aussi, légale. Mais qu’est-ce que cela signifie ?

La RGPD contient une explication détaillée de ce qu’est le « traitement légal des données » (Article 6, sous-paragraphe 1).

Le traitement de données est légal si :

  1. La personne concernée a donnée son consentement pour le traitement de ses données personnelles.
  2. Le traitement des données personnelles est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf si les intérêts ou les libertés et droits fondamentaux de la personne concernée prévalent sur ces intérêts.

Pour clarifier tout ça, les données d’un tier peuvent être utilisées à la collecte de feedback si :

  • La personne a donné son accord
  • En faisant valoir de manière convaincante que la collecte de feedback est dans l’intérêt légitime du responsable.

Les intérêts légitimes

Auprès de la RGPD, le meilleur atout pour pouvoir demander du feedback est de prouver qu’il est dans votre intérêt et dans celui du client, de le faire. Si cet aspect est démontré, alors la collecte de feedback peut être effectuée à des fins qui ont été définies.

Comment prouver cela ? Avec un « Balancing test ».

Ce test permet de faire la balance entre les « intérêts légitimes » du responsable de l’enquête et les « intérêt, les droits fondamentaux ou les libertés » de la personne concernée par les données.

Toutefois, si vous commencez à agir de façon louche, par exemple en ne répondant pas aux feedbacks, en envoyant des enquêtes annuelles alors que des formulaires de feedbacks transactionnels conviendraient mieux, ou en ne posant pas de questions axées sur le client, vous vous rapprochez de la limite où vous échouerez à ce test. Ne le faites pas !

Usabilla
Source: Usabilla

Le consentement

Le deuxième des deux motifs juridiques potentiels dont vous disposez pour collecter des informations en retour est le « consentement ». N’oubliez pas ces points si vous décidez de suivre la voie du consentement :

  1. Pour les données non sensibles, vous avez besoin d’un consentement « non ambigu et affirmatif », et non d’un consentement « explicite ». Ainsi, plutôt que d’ajouter une case à cocher, vous pouvez vous appuyer sur un avis totalement indubitable du type « en soumettant ce formulaire, vous acceptez que nous traitions vos données conformément à notre politique de confidentialité ».
  2. Une fois que vous vous êtes appuyé sur le consentement, vous ne pouvez pas revenir en arrière et passer à l’une des autres bases du traitement. Ainsi, si quelqu’un dit « non », vous ne pouvez pas décider d’envoyer quand même une enquête en invoquant des « intérêts légitimes ».
  3. La GRPD stipule que « le responsable du traitement doit être en mesure de démontrer que la personne concernée a consenti au traitement de ses données personnelles ». Signification : vous devez conserver des traces de comment et quand le consentement a été donné.
Customer Sure
Source: Customer Sure

Quel que soit la façon que vous utilisez, nous vous recommandons de mettre un énorme pare-feu entre vos processus de feedback et vos activités de marketing.

De cette façon, vos clients ne se retrouvent pas à recevoir des promotions et des emails marketing juste parce qu’ils ont soumis un formulaire de feedback.

Minimisation des données

Le principe de minimisation des données est essentiellement l’idée que, sous réserve d’exceptions limitées, une organisation ne doit traiter que les données (personnelles) dont elle a réellement besoin pour atteindre ses objectifs de traitement.

Quelles sont donc les données minimales nécessaires pour recueillir les retours clients ? Devez-vous collecter tous les détails de l’intitulé de poste, de la taille de l’entreprise, du pays, de l’IP, du navigateur et de l’identifiant de l’appareil, pour obtenir le feedback dont vous avez besoin ?

Non !

Donc concrètement, qui définit les données dont vous avez réellement besoin ?

La GRPD ne définit pas ces termes. Il est clair, cependant, que cela dépendra de votre objectif spécifique de collecte et d’utilisation des données de feedback. Elle peut également différer d’un individu à l’autre.

Ainsi, pour déterminer si vous détenez la quantité adéquate de données personnelles lorsque vous recevez des feedbacks de vos clients, vous devez d’abord savoir clairement pourquoi vous en avez besoin. Vous devrez peut-être examiner cette question séparément pour chaque individu ou pour chaque groupe d’individus partageant des caractéristiques pertinentes.

Ninjaforms
Source: Ninjaforms

Vous devez également réexaminer périodiquement votre traitement pour vérifier que les données personnelles que vous détenez sont toujours pertinentes et adéquates pour votre objectif. Supprimez tout ce dont vous n’avez plus besoin.

Les droits des personnes concernées

Vous avez donc recueilli les retours des clients. Saviez-vous que les clients peuvent en fait vous empêcher de les utiliser aux fins que vous avez définies ? Savez-vous qu’ils peuvent demander à voir quelles données personnelles vous avez conservées avec le retour d’information que vous avez collecté ?

Ainsi, en vertu de la RGPD, les personnes concernées ont des droits et vous devez les respecter.

Zoho
Source: Zoho

Le droit à l’accès

Vous devez être prêt à ce que vos clients puissent demander à voir les données personnelles que vous stockez lorsque vous collectez leur feedback.

Data Subject Access (DSAR) email request
Source: Amit Ashbel

Le droit à l’oubli

Toute personne a le droit de contacter une entreprise qui traite des données à caractère personnel et de demander que les données la concernant soient effacées.

Les données doivent être effacées si :

  • Elles ne sont plus nécessaire à aux objectifs pour lesquels elles ont été collectées.
  • Le traitement est fondé sur le consentement de la personne et celle-ci le retire.
  • Le traitement est effectué à des fins de marketing direct et la personne s’oppose au traitement de ses propres données.
  • Les données personnelles ont été traitées illégalement.
  • L’effacement est nécessaire pour remplir une obligation légale.

Conservation des données

Un principe de longue date du GDPR est que les données doivent être conservées « pas plus longtemps que nécessaire ».

La RGPD ne précise pas les délais exacts de conservation des données. Dans ces conditions, que faites-vous des données relatives aux feedbacks des clients ?

  1. Tout d’abord, reconnaissez que vous avez besoin d’un programme de conservation des données. Pas seulement pour les retours des clients, mais pour les données des clients en général. Certaines entreprises, confrontées à la complexité de la mise en place d’un programme de conservation des données, peuvent choisir d’ignorer ou de reporter le problème. Ce n’est pas une bonne réponse, et conserver vos données indéfiniment est tout à fait indéfendable sur le plan juridique en cas de contestation réglementaire ou légale.

    En outre, si vous êtes confronté à un incident de sécurité des données ou à une demande de droits des personnes concernées (par exemple, une demande d’accès à des données), vous serez assis sur un nombre beaucoup plus important de données concernées – et les risques, les coûts et l’image négative qui en découlent pour répondre à l’incident ou à la demande seront considérablement plus élevés. Il est donc impératif de reconnaître que vous avez besoin d’un programme de conservation des données et de vous mettre au travail dès que possible.
  2. Deuxièmement, si vous devez conserver certaines données de feedback pendant des périodes particulièrement longues (par exemple, pour l’amélioration du produit ou le Machine Learning), envisagez d’abord d’anonymiser les données. N’oubliez pas que les lois sur la protection des données – et donc l’obligation de conserver les données « pas plus longtemps que nécessaire » – ne s’appliquent qu’aux données personnelles. Les données qui ne sont pas personnelles ne relèvent pas de la législation sur la protection des données et peuvent donc, en principe, être conservées indéfiniment. 
  3. Enfin, assurez-vous d’avoir au moins quelques justifications concrètes (voir les intérêts légitimes ci-dessus) pour expliquer pourquoi vous conservez les données pendant les périodes que vous faites, plutôt qu’un vague argument du type « parce que cela pourrait être utile un jour ».

Le respect de la vie privée dès la conception

L’expression « Privacy by Design » (protection de la vie privée dès la conception) a été inventée par l’ancienne commissaire à l’information et à la protection de la vie privée de l’Ontario, Mme Ann Cavoukian, et est résumée dans ses sept principes fondamentaux.

Lorsque vous concevez vos formulaires/sondages pour recevoir les feedbacks des clients, vous devez prendre en compte les 7 principes ci-dessous.

  1. La protection de la vie privée doit être proactive, et non réactive, et doit anticiper les problèmes de confidentialité avant qu’ils n’atteignent l’utilisateur. Le respect de la vie privée doit également être préventif, et non correctif.
  2. Il doit s’agir du paramètre par défaut. L’utilisateur ne doit pas avoir à prendre de mesures pour protéger sa vie privée, et le consentement au partage des données ne doit pas être présumé.
  3. Le respect de la vie privée doit être intégré dans la conception. Elle doit être une fonction essentielle du produit ou du service, et non un ajout.
  4. La vie privée doit être une somme positive et doit éviter les dichotomies. Par exemple, le PbD voit un équilibre réalisable entre la vie privée et la sécurité, et non un jeu à somme nulle entre vie privée et sécurité.
  5. La confidentialité doit offrir une protection de bout en bout du cycle de vie des données des utilisateurs. Cela signifie s’engager dans des processus appropriés de minimisation, de conservation et de suppression des données.
  6. Les normes de confidentialité doivent être visibles, transparentes, ouvertes, documentées et vérifiables de manière indépendante. En d’autres termes, vos processus doivent résister à un examen externe.
  7. La protection de la vie privée doit être centrée sur l’utilisateur. Cela signifie qu’il faut donner aux utilisateurs des options de confidentialité très précises, des valeurs par défaut maximales, des avis détaillés sur la confidentialité, des options intuitives et une notification claire des changements.

Vos processeurs de données et vos fournisseurs sont-ils conformes ?

Supposons que vous fassiez appel à un processeur de données pour concevoir et maintenir votre processus de rétroaction, la RGPD (article 28) le stipule :

Le responsable du traitement ne fait appel qu’à des sous-traitants présentant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de telle sorte que le traitement réponde aux exigences du présent règlement et assure la protection des droits de la personne concernée.

Cela signifie qu’il est de votre propre responsabilité de vous assurer que vos fournisseurs (sous-traitants) opèrent de manière conforme à la RGPD.

Concrètement, vous (ou votre délégué à la protection des données) devez vérifier leurs politiques de confidentialité et de sécurité pour vous assurer qu’elles sont en conformité avec la RGPD. Ce sont les points qui doivent être vérifiés dans les politiques de votre fournisseur :

  1. Ce qu’il collecte et comment : Essayez d’identifier quel type de données personnelles votre fournisseur collecte et comment. S’agit-il de l’adresse électronique, du nom ou de l’adresse IP des participants ? Est-ce simplement en posant des questions, ou collectent-ils des données automatiquement (par exemple la géolocalisation ou l’adresse IP) ?
  2. Pourquoi il collecte des données : Leur politique de confidentialité doit préciser les raisons pour lesquelles ils collectent des données personnelles.
  3. Comment utiliseront-ils les données ? C’est super important de faire savoir à vos clients comment ils vont utiliser leurs données personnelles. Vont-ils les partager avec des tiers ?
  4. Combien de temps conserveront-ils les données ? Il s’agit concrètement du principe de conservation des données.
  5. Le niveau de sécurité des données en leur possession : Leur politique de confidentialité doit également expliquer quelles mesures de sécurité sont appliquées lorsqu’ils collectent, exportent, partagent et stockent des données personnelles.
  6. Clarifier les droits des personnes concernées : La RGPD définit clairement les droits des individus sur leurs propres données. Vos fournisseurs doivent également s’assurer de refléter ces droits dans leur politique de confidentialité.
  7. Qui contacter : Toute organisation qui collecte des données auprès de citoyens européens doit avoir un délégué à la protection des données. Le DPD est une personne au sein de l’organisation qui peut représenter l’organisation en ce qui concerne les questions de données et de vie privée. Il serait bon d’inclure les coordonnées du DPD dans sa politique de confidentialité.
Qualys
Source: Qualys

Mais aussi, l’article 28 couvre également le contenu du contrat avec vos sous-traitants.

Le RGPD contient une liste de conditions que votre contrat doit contenir et, en général, les contrats ne comportent pas une liste de conditions aussi longue.

Pour y remédier, choisissez un fournisseur qui a déjà mis en place un accord de traitement des données (DPA) comprenant des clauses supplémentaires sur la manière dont il va traiter les données personnelles.

Sécurité des données

Dans l’ensemble, la RGPD est très claire sur le fait que la sécurité contre une « violation de données » signifie la sécurité contre le vol et la perte, mais elle n’est pas spécifique sur le type de sécurité que vous devez fournir.

Dans notre conception, la sécurité signifie à la fois le cryptage et les sauvegardes.

Vous devriez donc interroger vos fournisseurs de données sur leur stratégie de sauvegarde et sur la manière dont ils utilisent le cryptage.

N’oubliez pas que, bien que le protocole HTTPS (c’est-à-dire le cadenas dans la barre d’adresse de votre navigateur web) soit important, il ne suffit pas à lui seul.

Le protocole HTTPS protège les données lors de leur transmission, mais pas lorsqu’elles sont stockées. Les données doivent également être cryptées lorsqu’elles sont stockées. Vous devez donc vérifier que votre processeur utilise un cryptage de la base de données ou, mieux encore, un cryptage complet du disque sur ses serveurs.

Que faut-il faire pour profiter et tirer le meilleur parti des feedbacks des clients ?

Pour vous conformer à la réglementation, vous devez suivre une formation et apporter les modifications suivantes à vos systèmes :

  • Concevez vos formulaires de feedback client selon le principe du « Privacy by Design ».
  • Anonymiser les données
  • Choisissez les bons processeurs de données
  • Améliorez la fonctionnalité de gestion interne pour supprimer les données personnelles qui ne sont plus nécessaires.
  • Utilisez un transfert de fichiers sécurisé pour la transmission des données
  • Ajoutez une fonctionnalité pour identifier et supprimer les données personnelles en cas de demande de « droit à l’oubli ».
  • Ajouter des normes, des processus et des procédures
  • Mettez à jour les contrats et les accords pour inclure la protection des données RGPD et les périodes de conservation des données convenues.
  • Mettre à jour les politiques de confidentialité et de protection des données
  • Identifier et supprimer toutes les données qui ne sont plus nécessaires dans le cadre d’un processus continu.
  • Améliorer les politiques pour prévenir une violation des données

Vous en savez maintenant beaucoup plus sur la conformité des données de feedbacks par rapport à la RGPD. Si vous avez des questions à propos de la gestion de ces données chez Feedier, vous pouvez planifier une démo lors de laquelle vous poserez toutes les questions essentielles à votre bonne compréhension de nos processus de gestion des données.

Vous pouvez également télécharger notre PDF (anglais) qui traite de ces informations.