Entré en vigueur en 2018, le RGPD s’applique à toutes les actions entraînant le traitement de données à caractère personnel.
La notion de « traitement » est assez large. Le recueil, l’enregistrement, l’organisation, la conservation, la modification, l’extraction, la diffusion et la consultation de données à caractère personnel entrent dans cette notion.
Les données à caractère personnel concernent toute information permettant d’identifier clairement une personne physique, directement ou indirectement. Cela inclut donc le nom, l’adresse mail, le numéro de téléphone ou encore la date de naissance. Il existe également une catégorie plus délicate de données : les données sensibles. Ces données sensibles sont relatives à l’orientation sexuelle ou encore les données de santé par exemple.
Quelques règles de base sur la protection des données dans le cadre d’une enquête quantitative
Tout d’abord, il faut savoir que toutes les enquêtes ne sont pas concernées RGPD. En effet, dès lors que le sondage ne traite aucune donnée à caractère personnel, cela n’est pas nécessaire.
Par exemple, il peut s’agir de la réalisation d’une enquête en face à face dans la rue si aucune donnée personnelle n’est collectée. L’anonymat est ainsi garanti.
En revanche, dans le cadre d’une enquête téléphonique ou par emailing, un fichier est utilisé, il va falloir être vigilant sur trois points principaux :
– s’assurer que les personnes sollicitées sont bien consentantes. Il est admis qu’un client actif ou un prospect récemment intégré au CRM d’une entreprise peuvent être sollicités pour une enquête réalisée pour le compte de la marque en question. C’est pourquoi, chez Inkidata, nous demandons à nos clients de nous confirmer que leur fichier est bien RGPD. Un fichier est ‘RGPD’ si les informations qui nous sont transmises sont issues de leur propre fichier clients, lui même tenu et constitué dans le respect du RGPD (détails un peu après dans cet article). Une adresse email peut ainsi être utilisée si le client est un client actif, c’est à dire qu’il a réalisé un achat récemment ou un prospect qui a été récemment en contact avec la société. L’antériorité admise en BtoB peut aller jusqu’à 3 ans pour réaliser une enquête et garantir un taux de réponse satisfaisant. Dans le cas d’un fichier loué auprès d’une société spécialisée, il convient de s’assurer auprès de ce fournisseur du respect du RGPD et demander des explications sur la constitution des fichiers et des conditions de recueil des opt-in.
– informer très clairement les personnes sollicitées de l’objet de l’enquête et du commanditaire de l’enquête. Si le commanditaire a fourni le fichier de contacts, il est aussi considéré comme le responsable de traitement. Cela permet aux personnes sollicitées de savoir pourquoi nous les appelons et comment nous avons eu leurs coordonnées.
– donner la possibilité aux répondants de contacter le responsable de traitement pour apporter toute modification à ses données personnelles. Il est donc précisé l’adresse email à laquelle le répondant peut écrire pour être supprimé de la base de données initiale par exemple. En complément, nous ajoutons aussi la possibilité pour le répondant de ne plus être sollicité pour la réalisation de cette enquête.
Alors comment procéder à des enquêtes quantitatives tout en respectant ce règlement ? Focus sur quelques
Quels sont les principes fondamentaux du RGPD qui s’appliquent lors d’une enquête quantitative?
Les notions de consentement et de transparence
Tout organisme de sondage ou d’enquête doit d’abord obtenir le consentement des répondants. Pour ce faire, ces derniers doivent être informés de manière compréhensible et sans équivoque de plusieurs éléments :
- le type de données recueillies ;
- la finalité de l’enquête ;
- le traitement des données (par qui seront-elles traitées ? À qui seront-elles partagées ? Comment seront-elles utilisées ?) ;
- la durée et la méthode de conservation ;
- le possible transfert hors de l’Union européenne.
Ainsi, les répondants peuvent choisir de participer en toute connaissance de cause. Lorsque les enquêtes sont réalisées par téléphone, les fichiers sont fournis par le client ou directement loués. Dans le premier cas, il est demandé au prestataire d’envoyer le contrat des clauses de sous-traitance selon les recommandations de la CNIL.
Dans le second cas, si les personnes contactées désirent ne plus figurer sur le fichier loué, l’information doit alors être remontée à l’organisme le mettant à disposition. Mêmes principes dans le cadre d’une enquête par emailing. un paragraphe informatif et explicatif sur les engagements ainsi que sur les droits des participants doit être prévu. Enfin, les coordonnées de l’entreprise commanditaire de l’enquête et celles de leur DPO (Data Protection Officer) doivent également apparaître.
La minimisation et l’exactitude des données
L’enquête servant un but bien particulier, les données récoltées ne peuvent l’être que si elles ont un rapport direct avec cette finalité. Il n’est pas possible de collecter des informations supplémentaires qui pourraient éventuellement servir plus tard ou dans le cadre d’une finalité qui n’aurait pas été indiquée, au préalable, au répondant. De même, les données doivent être exactes et mises à jour, si besoin (dans le cadre d’une étude récurrente, par exemple).
La conservation et la protection des données
Le RGPD limite également le temps de conservation des informations récoltées et impose une garantie de leur sécurité. En effet, peu importe la méthode choisie, le règlement stipule que le responsable du traitement des données doit prendre les mesures nécessaires pour protéger leur confidentialité. Ainsi, les données ne peuvent pas être altérées, perdues ou faire l’objet d’un traitement non autorisé. Pour cela, il convient de s’assurer de la conformité des logiciels utilisés lors de l’enquête et de son analyse (en particulier si certaines actions sont sous-traitées).
Les droits des participants à l’enquête
Selon la loi « Informatique et libertés » du 6 janvier 1978, les répondants disposent d’un droit d’accès, de rectification et d’effacement de leurs données. Ils peuvent donc, à tout moment, les consulter, les modifier ou les supprimer. Le règlement européen insiste bien sur ce point et oblige les organismes de sondage à indiquer, de manière claire, la procédure à suivre le cas échéant. Il convient alors, comme mentionné plus haut, d’indiquer les coordonnées du Délégué à la Protection des Données (DPD ou Data Protection Officer en anglais).
La conformité de l’enquête
Enfin, pour être en règle vis-à-vis de la CNIL et du DPD, il faut constituer un dossier de conformité. Celui-ci doit contenir :
- le registre des activités de traitement des données (article 30 du RGPD) si les enquêtes sont récurrentes ou portent sur des données sensibles
- tous les documents relatifs à l’information des participants (les mentions qui ont été faites, les modes de recueil du consentement, les procédures permettant l’exercice des droits des répondants, etc.) ;
- les contrats établissant les rôles et les responsabilités de chacun des acteurs impliqués dans l’enquête ;
- si nécessaire, l’encadrement prévu pour le transfert des données hors de l’UE.
Quelles sont les règles spécifiques s’appliquant aux données sensibles RGPD ?
Certaines données sont considérées comme sensibles par le RGPD. Il s’agit d’informations plus délicates comme l’origine ethnique, les opinions politiques et religieuses, les relevés de santé, l’orientation sexuelle, l’appartenance syndicale ou tout ce qui touche à la biométrie et à la génétique.
Le recueil et le traitement de ces données est strictement interdit par le règlement européen, sauf dans certains cas prévus et encadrés par l’article 9. Si le responsable de traitement des données obtient l’autorisation de la CNIL ou le consentement des participants, il est préférable qu’il se rapproche de son DPD pour s’assurer de la conformité de son enquête. En effet, des démarches supplémentaires sont nécessaires. Il peut s’agir de l’anonymisation des données le temps de leur traitement ou encore de la tenue d’un registre précis. Quoi qu’il en soit, la manipulation de ces données dites « à risque » nécessite un encadrement juridique plus poussé et donc, un accompagnement adapté.
Chez Inkidata, nous vous proposons la réalisation d’enquêtes dans le respect du RGPD. Pour cela, nous nous engageons au travers un contrat des clauses de sous-traitance pour chaque étude que nous réalisons pour le compte d’un client reposant sur sa propre base de données clients. Cela permet la traçabilité des données utilisées. Pour plus d’informations, contactez-nous !
