Enquête de satisfaction : quelles sont les obligations liées à la RGPD ?
Lorsque vous menez une enquête de satisfaction client ou récoltez des avis clients, vous créez de facto un fichier de données. Cette pratique est réglementée dans le cadre du RGPD pour garantir la protection des données personnelles des personnes résidant dans l’Union Européenne. Que faut-il faire avant la mise en place de ce fichier ?
1. Déterminer le type de données
Il est primordial de déterminer si les données collectées comportent des informations nominatives (informations personnelles). Comment les reconnaître ? Ces informations permettent d’identifier directement ou indirectement une personne physique. Cela comprend :
- l’identité (nom, prénom, date et lieu de naissance, photo),
- les adresses, mails et numéros de téléphone, n° d’immatriculation,
- les informations bancaires,
- les pseudonymes des personnes déposant un avis…
La suppression du nom de famille ne suffit donc pas. Aujourd’hui, via un moteur de recherche sur le Web, la combinaison de plusieurs données permet parfois de retrouver une personne précise par déduction.
Si vous menez une enquête strictement anonyme, il n’est pas nécessaire de faire une déclaration mais c’est se priver de métadonnées et de data précieuses pour l’analyse de la Voix du Client. Pensez au bénéfice qu’elles apportent, notamment lors d’une enquête à chaud post-achat ou pour recontacter directement un client mécontent afin de lui proposer une solution. Dans ce cas, dans le cadre de la loi le fichier doit être déclaré auprès de la CNIL. (Commission nationale de l’informatique et des libertés)
2. Effectuer une déclaration auprès de la CNIL
Pour les enquêtes de satisfaction et le suivi de la relation client, la CNIL permet de faire une déclaration allégée : la norme simplifiée NS-048. Cette déclaration CNIL peut s’effectuer directement via le site internet. Les entreprises des secteurs de la banque, de l’assurance, de la santé et de l’éducation en sont cependant exclues car les informations dont elles disposent sont parfois très sensibles. Pour ces secteurs, il existe également des procédures en ligne.
3. Collecter les données de manière loyale
Aujourd’hui, la Voix du Client est partout. Vous pouvez la solliciter directement auprès de vos clients mais ces derniers s’expriment également librement sur le Web (via des sites de forums, plateformes d’avis et réseaux sociaux par exemple).
Il est tentant de collecter dans un fichier les feedbacks spontanés mais cette pratique, sans prendre quelques précautions, peut s’avérer périlleuse. Pour que votre entreprise soit en conformité avec le droit européen, un fichier de données doit être constitué de manière loyale. La personne concernée doit être informée de la collecte de ses informations et de la finalité du traitement, ce qui n’est pas possible lorsqu’on « siphonne » des données sur des sites tiers. Il faut donc être très vigilant et s’assurer qu’elles soient strictement anonymes.
Dans les autres cas, le support de l’enquête doit mentionner l’identité du responsable de traitement, sa finalité et ses destinataires, du caractère obligatoire ou facultatif des réponses et des possibilités de rectification ou de suppression, de la transmission des données si besoin et de la durée de leur conservation.
4. Veiller au bon usage du fichier
La déclaration auprès de la CNIL ne fait pas tout. Il faut aussi s’assurer de la bonne utilisation de ces données par la suite.
A. Garantir la sécurité des données
Vos données ne doivent pas être déformées ou consultées par des personnes non autorisées,il faut donc s’assurer de leur sécurité tant au niveau des locaux que du système d’information (grâce à de la vidéosurveillance par exemple).
En 2014, une société française a été sanctionnée par la CNIL à une amende de 50 000 €. En autres : un manque de sécurité sur son site internet lors de la collecte de données et un « contrat signé par la société avec l’un de ses prestataires [qui] ne contenait pas de clause précisant les obligations de ce prestataire en matière de protection de la sécurité et de la confidentialité des données des clients ». Que faire lorsque vous faites appel à un prestataire pour la collecte ou le traitement ? Assurez-vous que le contrat de la mission mentionne cette obligation et que votre prestataire sécurise bien vos données.
C’est pourquoi à la fois la société et le DPO se doivent d’être vigilants* lorsqu’ils déclarent le fichier à la CNIL car la justice peut prendre la décision de sanctionner très fortement, les entreprises* qui ne respectent* pas la charte.
Chez easiware, nous prenons très au sérieux la confidentialité des données, c’est pourquoi nous sécurisons les données confiées par nos clients et empêchons leur accès physique et ou à distance par un tiers non autorisé à les consulter. Leur transmission est notamment chiffrée selon l’état de l’art du marché. Nous nous engageons à respecter les règles édictées par la politique de la CNIL en matière de localisation des données : elles sont physiquement hébergées en France métropolitaine. Pour qu’il n’y ait pas de perte d’information ou de dégradation, nous répliquons les données sur plusieurs serveurs afin d’assurer une redondance en cas de panne matérielle.
B. Respect des objectifs du fichier
Un fichier est construit pour répondre à un objectif bien défini en amont. Les informations collectées doivent être cohérentes avec la finalité de l’exploitation et du traitement du fichier. Elles ne peuvent pas être détournées et utilisées pour un autre objectif que celui déclaré auprès de la CNIL. En ce qui concerne la durée de conservation, il ne faut pas garder les données au-delà du temps nécessaire à la réalisation de l’objectif.