Comment choisir un logiciel de newsletter conforme au RGPD?

Lorsque vous choisissez un logiciel de newsletter conforme au RGPD (Règlement général sur la protection des données), il est essentiel de tenir compte de certaines règles pour garantir la conformité et protéger les données personnelles de vos abonnés.

En effet lorsque vous utilisez des logiciels de newsletter votre organisation est "Responsable de Traitement" et l'éditeur du logiciels de newsletter est "sous-traitant" : le logiciel de newsletter traite les données personnelles de vos clients, pour votre compte et selon vos instructions.

Or le RGPD donne des obligations dans cette relation entre responsable de traitements et sous-traitant (pour en savoir plus sur les sous-traitants, consulter notre article).

👉 C'est pourquoi, avant de choisir un logiciel d’emailing, il doit vous fournir des preuves de sa conformité au RGPD.

Voici les principaux points de conformité RGPD à vérifier avant de choisir son logiciel de newsletter :

✅ Les mesures de sécurité technique mises en place : le logiciel doit déclarer dans le détail les mesures de sécurité techniques et organisationnelles adaptées pour se prémunir de toutes violations de données (piratage, divulgation accidentelle des données, suppression accidentelle...). Le logiciel doit avoir au minimum une page dédiée sur son site internet et doit annexer ses engagements à votre bon de commande.

Une certification ISO/IEC 27001 (Management de la sécurité de l'information) ou ISO/IEC 27701 (Protection de la Vie privée) est aussi un bon indice.

(Pour en savoir plus sur la sécurité numérique, cliquez ici)

✅ La désignation d'un DPO - Délégué à la Protection des Données : même si la désignation d'un DPO n'est pas obligatoire pour les éditeurs de ces logiciels, elle est fortement recommandée. La présence d'un DPO est un signe de conformité au RGPD de l'organisation et la preuve que certaines démarches ont été faites pour protéger les données traitées par le logiciel pour le compte de ses clients.

La désignation d'un DPO est une donnée publique consultable sur https://www.data.gouv.fr/fr/datasets/organismes-ayant-designe-un-e-delegue-e-a-la-protection-des-donnees-dpd-dpo/

(Nos articles de blog sur la désignation d'un DPO et sur le DPO externe)

✅ La localisation du siège de l'éditeur du logiciel de newsletter : Si votre organisation est basée dans l’Union Européenne, il est préférable d’opter pour un prestataire aussi basé dans l’UE, ou dont les serveurs sont basés en Europe. Dans le cas contraire, les données de votre newsletter vont faire plusieurs fois le tour du monde. Et s’il existe des transferts de données hors Union européenne, ils doivent respecter des conditions strictes (voir le point suivant).

✅ Les flux de données hors de l'Union européenne : Les transferts de données hors de l’Union européenne sont possibles mais doivent respecter des conditions strictes : les Clauses contractuelles Types. D'autant plus qu'une fois sortie de l'Union européenne, les données peuvent être soumises à des législations étrangères parfois contradictoires avec le RGPD (le Privacy Shield américain est par exemple régulièrement annulé par la CJUE).

✅ La transparence sur la conformité RGPD : La nature des opérations, les finalités des opérations, les catégories de personnes concernées et les type de données sous-traitées... doivent être clairement identifiées dès l'inscription. Et sur le site interne, les mentions légales, la politique de protection des données, la gestion des cookies doivent être accessibles et compréhensibles.

✅ La durée de conservation des données : Quels sont les engagements du logiciel de vos données pendant votre utilisation du logiciel et après une période d’inactivité ? L'usage veut qu'une fois la relation commerciale inactive avec l'éditeur, ce dernier doit supprimer immédiatement les données, éventuellement 1 an, mais en tous cas personne d'autre que votre organisation doit les utiliser ! A vérifier dans les CGV - CGU.

(Pour déterminer vos durées de conservation, notre article !)

✅ Un engagement de confidentialité : vos destinataires ont consenti que vous (et uniquement vous !) puissiez collecter et traiter leurs données personnelles. Vous les confiez à votre sous-traitant mais celui-ci ne doit pas pouvoir les réutilisez pour son propre compte ou les transmettre à d'autres organisations.

✅ Un registre de traitement pour le compte du responsable de traitement : Le sous-traitant doit vous fournir un registre des activités de traitement qu'il met en œuvre pour votre compte. C'est un élément de conformité à prendre en compte.

(Le registre de traitement, un élément essentiel de votre conformité)

Vous n'arrivez pas et vous avez besoin d'accompagnement pour mettre en place votre conformité RGPD : contactez-nous !

xDPO propose aussi une offre de formation au RGPD et en cybersécurité.

Les internautes ont aussi consulté

• Quelle check-list RGPD lors d'une due diligence ?

• Quelles sont les règles d'or du RGPD?

• Comment remplir le registre des traitements ?

• Comment mettre son site internet en conformité avec le RGPD?

Voir aussi : Le guide du sous-traitant de la CNIL