Qu’entend-on par données personnelles RGPD ?
Entré en vigueur en 2018, le RGPD s’applique à toutes les actions entraînant le traitement de données à caractère personnel.
Les données à caractère personnel concernent toute information permettant d’identifier clairement une personne physique, directement ou indirectement. Cela inclut donc le nom, l’adresse mail, le numéro de téléphone ou encore la date de naissance. Il existe également une catégorie plus délicate de données : les données sensibles. Ces données sensibles sont relatives à l’orientation sexuelle ou encore les données de santé par exemple.
La notion de « traitement » est assez large. Le recueil, l’enregistrement, l’organisation, la conservation, la modification, l’extraction, la diffusion et la consultation de données à caractère personnel entrent dans cette notion.
Quelques règles de base sur la protection des données dans le cadre d’une enquête quantitative
Cas des enquêtes ne s’appuyant pas sur les coordonnées des personnes
Tout d’abord, il faut savoir que toutes les enquêtes ne sont pas concernées RGPD. En effet, dès lors que le sondage n’utilise aucune donnée à caractère personnel pour contacter les gens, cela n’est pas nécessaire. Par exemple, dans le cas de la réalisation d’une enquête en face à face dans la rue, si aucune donnée personnelle n’est collectée, l’anonymat est garanti.
Attention toutefois, dans le cas où des questions portent sur le recueil de données à caractères personnel, alors le RGPD s’applique (voir ci-dessous).
Cas des enquêtes s’appuyant sur les coordonnées des personnes
En revanche, dans le cadre d’une enquête téléphonique ou par emailing, si vous contactez des personnes en utilisant leur adresse email ou leur numéro de téléphone, il va falloir être vigilant sur trois points principaux :
– s’assurer que les personnes ont bien donné leur consentement pour l’utilisation de leurs coordonnées pour être contactées. Dans le cadre d’une enquête satisfaction par exemple, il est possible de contacter un client actif ou un prospect récent dans le CRM. C’est pourquoi, chez Inkidata, quand nous menons une enquête pour le compte d’un de nos clients, nous lui demandons de nous confirmer que le fichier est bien RGPD. Un fichier est dit « RGPD » s’il provient de la base clients de l’entreprise, elle-même constituée dans le respect du RGPD (détails après dans cet article). Une adresse email est utilisable pour un client ayant effectué un achat récent, ou pour un prospect entré récemment en contact avec la société. L’antériorité admise en BtoB peut aller jusqu’à 3 ans pour réaliser une enquête. Cela peut contribuer à obtenir un nombre de répondants satisfaisant si le volume de contacts est faible mais dans le cas contraire, on peut réduire cette antériorité à 1 an, cela aura un effet positif sur le taux de retour. Dans le cas d’un fichier loué auprès d’une société spécialisée, il convient de s’assurer auprès de ce fournisseur qu’il respecte bien le RGPD. Il faut donc l’interroger sur les modalités de constitution des fichiers et des conditions de recueil des opt-in.
– informer très clairement les personnes sollicitées de l’objet de l’enquête et du commanditaire de l’enquête. Si le commanditaire a fourni le fichier de contacts, il est alors considéré comme le responsable de traitement. Les personnes contactées savent ainsi pourquoi elles sont appelées et d’où proviennent leurs coordonnées.
– donner la possibilité aux répondants de contacter le responsable de traitement pour apporter toute modification à ses données personnelles. C’est pourquoi, il faut préciser l’adresse email à laquelle le répondant peut écrire pour être supprimé de la base de données initiale par exemple. Le répondant peut également demander à ne plus être contacté dans le cadre de cette enquête.
Quels sont les principes fondamentaux du RGPD qui s’appliquent lors d’une enquête quantitative?
Les notions de consentement et de transparence
Tout organisme de sondage ou d’enquête doit d’abord obtenir le consentement des répondants. Pour ce faire, l’organisme doit clairement les informer des éléments suivants :
- le type de données recueillies ;
- la finalité de l’enquête ;
- le traitement des données (Qui les traitera ? À qui seront-elles partagées ? Comment seront-elles utilisées ?) ;
- la durée et la méthode de conservation ;
- le possible transfert hors de l’Union européenne.
Ainsi, les répondants peuvent choisir de participer en toute connaissance de cause. Lorsque le prestataire réalise les enquêtes par téléphone, les fichiers sont fournis par le client ou directement loués. Dans le premier cas, le prestataire doit envoyer le contrat de sous-traitance conforme aux recommandations de la CNIL.
Dans le second cas, si une personne souhaite être retirée du fichier loué, l’organisme fournisseur doit en être informé. Mêmes principes dans le cadre d’une enquête par emailing. un paragraphe informatif et explicatif sur les engagements ainsi que sur les droits des participants doit être prévu. Enfin, les coordonnées de l’entreprise commanditaire de l’enquête et celles de leur DPO (Data Protection Officer) doivent apparaître.
La minimisation et l’exactitude des données
L’enquête servant un but bien particulier, les données récoltées ne peuvent l’être que si elles ont un rapport direct avec cette finalité. Toute collecte de données doit se limiter à la finalité déclarée au répondant. Il est interdit de recueillir des informations pour un usage futur non précisé. De même, les données doivent être exactes et mises à jour, si besoin (dans le cadre d’une étude récurrente, par exemple).
La conservation et la protection des données
Le RGPD limite également le temps de conservation des informations récoltées et impose une garantie de leur sécurité. Quelle que soit la méthode utilisée, le responsable du traitement doit prendre toutes les mesures nécessaires pour garantir la confidentialité des données. Il doit veiller à ce que les données ne soient pas altérées, perdues ou faire l’objet d’un traitement non autorisé. Les logiciels utilisés pour l’enquête et son analyse doivent être conformes au RGPD, il faut y être particulièrement attentif. Il est recommandé de préparer un contrat des clauses de sous-traitance qui détaille précisément les logiciels utilisés, l’emplacement des lieux de stockage des données (serveurs) et le cadre de l’utilisation des données en rappelant l’objectif de l’enquête notamment.
Les droits des participants à l’enquête
Selon la loi « Informatique et libertés » du 6 janvier 1978, les répondants disposent d’un droit d’accès, de rectification et d’effacement de leurs données. Ils peuvent donc, à tout moment, les consulter, les modifier ou les supprimer. Le règlement européen oblige les organismes de sondage à communiquer clairement la procédure à suivre pour exercer ces droits. Il convient alors, comme mentionné plus haut, d’indiquer les coordonnées du Délégué à la Protection des Données (DPD ou Data Protection Officer en anglais).
La conformité de l’enquête
Enfin, pour être en règle vis-à-vis de la CNIL, il faut constituer un dossier de conformité. Celui-ci doit contenir :
- le registre des activités de traitement des données (article 30 du RGPD) si les enquêtes sont récurrentes ou portent sur des données sensibles
- tous les documents relatifs à l’information des participants (les mentions faites, les modes de recueil du consentement, les procédures permettant l’exercice des droits des répondants, etc.) ;
- les contrats établissant les rôles et les responsabilités de chacun des acteurs impliqués dans l’enquête ;
- si nécessaire, l’encadrement prévu pour le transfert des données hors de l’UE.
Quelles sont les règles spécifiques s’appliquant aux données sensibles RGPD ?
Le RGPD considère certaines données comme étant sensibles. Il s’agit d’informations plus délicates comme l’origine ethnique, les opinions politiques et religieuses, les relevés de santé, l’orientation sexuelle, l’appartenance syndicale ou tout ce qui touche à la biométrie et à la génétique.
Le règlement européen interdit le recueil et le traitement de ces données. Cependant, l’article 9 prévoit et encadre certaines exceptions. Dans le deuxième paragraphe de cet article (point J), il est précisé qu’un recueil de données sensibles peut être réalisé à des fins statistiques mais doit impérativement être proportionnel à l’objectif poursuivi et apporter les éléments explicatifs adaptés aux participants. Il est primordial de s’assurer d’avoir le consentement éclairé des participants à l’enquête. Ces données à risque requièrent dans tous les cas un encadrement juridique renforcé et un accompagnement adapté.
Et l’IA dans tout ça ?
L’IA s’invite de plus en plus dans la chaîne d’une enquête : synthèse de verbatims, analyse automatique des réponses, aide dans la création de rapports… Ces usages sont pratiques, mais attention : on n’injecte pas de données personnelles ou sensibles dans un outil comme ChatGPT sans précaution. Il faut au minimum anonymiser les réponses en amont, ou s’assurer que le prestataire IA a signé un contrat de sous-traitance conforme au RGPD.
Depuis l’été 2024, le RGPD et l’AI Act s’appliquent conjointement. Si un outil d’IA traite des données personnelles issues de votre enquête, vous devez en informer les répondants, documenter cet usage dans votre registre de traitements et prévoir un droit d’opposition, en plus de vérifier que votre prestataire IA héberge les données en Europe. L’usage de l’IA ne s’improvise plus : il se documente et s’encadre au même titre que n’importe quel traitement de données personnelles.
Chez Inkidata, nous vous proposons la réalisation d’enquêtes dans le respect du RGPD. Pour cela, nous nous engageons au travers d’un contrat des clauses de sous-traitance pour chaque étude que nous réalisons pour le compte d’un client reposant sur sa propre base de données clients. Cela permet la traçabilité des données utilisées. Pour plus d’informations, contactez-nous !
Des questions ? Besoin d’une étude ?
Inkidata
171 cours Lafayette, 69006 Lyon
S’informer