Ces derniers temps, les utilisateurs de Woodpecker nous posent de nombreuses questions sur le GDPR (Règlement général sur la protection des données). Il semble que ce sujet ait encore besoin d’être clarifié. C’est pourquoi nous avons élaboré une FAQ GDPR – une liste de questions fréquemment posées sur le règlement ainsi que nos réponses. Nous espérons que vous trouverez ici des indices utiles et des conseils pratiques sur le traitement des données et la gestion de vos données personnelles. courriel Si vous n’êtes pas sûr de ce qu’est le GDPR, consultez d’abord cet article :
GDPR – General Data Protection Regulation Guide pratique pour les expéditeurs de courriels >>
Avis de non-responsabilité : Ce billet doit être considéré comme un guide qui vous aidera à comprendre le GDPR. Il ne s’agit pas d’un avis juridique. Si vous souhaitez obtenir un avis juridique, contactez un avocat après avoir lu cet article et demandez-lui des conseils et des réponses à des questions spécifiques concernant votre cas.
FAQ GDPR
Télécharger la liste de contrôle de la conformité au GDPR >>
Q1 : Je suis basé aux États-Unis, dois-je être conforme au GDPR ?
Cela dépend. Le GDPR est conçu pour protéger les citoyens de l’UE, et il ne s’agit donc pas vraiment de l’emplacement de votre entreprise. Il s’agit de savoir à qui appartiennent les données à caractère personnel que vous traitez. Si votre entreprise est basée aux États-Unis mais que certains de vos clients, partenaires, abonnés, etc, perspectives sont des citoyens de l’UE, vous devez traiter leurs données d’une manière conforme au GDPR. Si votre entreprise propose un logiciel qui permet à d’autres administrateurs de données de traiter des données, je pense qu’il est raisonnable de supposer qu’au moins une partie de ces données appartiendront à des citoyens de l’UE. Le GDPR définit certaines obligations non seulement pour les administrateurs de données, mais aussi pour les processeurs de données. En bref, s’il y a une chance que votre entreprise basée aux États-Unis soit un administrateur ou un processeur de données personnelles de citoyens de l’UE, vous devez vous conformer au GDPR.
Q2 : J’envoie de nombreuses campagnes de courrier électronique chaque année. Devrais-je cesser de le faire lorsque le GDPR deviendra juridiquement contraignant ?
Non. Tout d’abord, le GDPR n’a pas été conçu pour tuer courriel le marketing ou le froid courriels. Il ne s’agit même pas d’un règlement concernant courrielsou marketing, ou entreprise. Il s’agit de protéger les données à caractère personnel, mais il ne faut pas oublier qu’en envoyant vos données à caractère personnel, vous vous exposez à des risques. courriel campagnes, faire du marketing, gérer une entreprise vous traitez probablement des données à caractère personnel. Si, à un moment ou à un autre, vous traitez des données personnelles de citoyens de l’UE, ce traitement doit être conforme au GDPR, c’est-à-dire qu’il doit respecter certains principes. Pour en savoir plus sur le Principes du GDPR iciDonc, non, vous ne devez pas arrêter votre activité. courriel ou vos campagnes de marketing à froid courriel lorsque le GDPR deviendra contraignant. Vous devez vous assurer que les données utilisées dans ces campagnes sont traitées conformément aux règles du GDPR.
Q3 : Puis-je envoyer des courriels non sollicités à des personnes dans le cadre du GDPR ?
Oui, vous pouvez envoyer du froid courriels aux personnes travaillant dans des entreprises soumises au GDPR. Ces personnes doivent être B2B courriels Tout d’abord, vous ne pouvez pas les envoyer à n’importe qui. Vous devez cibler vos perspectives très soigneusement. Vous devez avoir une bonne raison d’affirmer que l’entreprise pour laquelle la personne travaille peut bénéficier de ce que votre entreprise offre dans le domaine de la santé. courriel. De plus, votre entreprise L’activité doit être logiquement liée à la entreprise l’activité de votre perspective. Il s’agira d’un base juridique pour envoyer à quelqu’un un courriel Deuxièmement, dans chacun de vos messages électroniques, vous devez vous assurer que les données sont exactes et complètes. courriel vous devez informer vos clients de l’existence de ces messages. courriel Les destinataires doivent savoir quelles données personnelles vous traitez, dans quel but, et comment ils peuvent retirer leurs données de votre liste de diffusion ou les modifier. C’est ainsi que vous remplissez la devoir d’information Troisièmement, vous ne devez pas traiter vos données froides. courriel Les données personnelles des destinataires ne sont pas conservées plus longtemps que nécessaire. Le GDPR ne précise pas de durée particulière. Nous vous conseillons de supprimer de vos listes les données de perspectives qui n’ont pas répondu dans les 30 jours suivant l’envoi de votre premier message. C’est ainsi que l’on respecte les données limitation du stockage principe lors de l’envoi courriers électroniques non sollicitésEn pratique, cela signifie la fin de l’approche “spray and pray”.
Q4 : Les courriels de suivi constituent-ils une violation du GDPR ?
L’envoi de messages de suivi n’enfreint pas le GDPR tant qu’il respecte les trois exigences décrites dans la réponse ci-dessus. Le traitement des données en cas d’envoi d’un message de suivi n’est pas très différent du traitement des mêmes données pour l’envoi du premier message. La seule chose qui change est le délai dont vous disposez pour envoyer un suivi aux prospects qui ne répondent pas dans l’UE. Là encore, le GDPR ne définit pas de délai, mais nous vous conseillons de supprimer de vos listes les données des prospects qui n’ont pas répondu dans les 30 jours suivant l’envoi du premier message. courriel que vous leur avez envoyé.
Q5 : Dois-je toujours obtenir le consentement avant d’envoyer un courrier électronique à quelqu’un ?
Vous pouvez envoyer B2B froid courriels sans le consentement préalable de vos destinataires pour traiter leurs données à caractère personnel uniquement si la courriels répondre aux trois exigences décrites en détail dans la réponse à la question 3 ci-dessus :
- une base juridique pour le traitement des données
- accomplissement du devoir d’information
- respect de la limitation du stockage des données
Q6 : Qu’en est-il de ma liste actuelle d’abonnés au courrier électronique ? Dois-je leur rappeler pourquoi ils figurent sur ma liste et leur demander à nouveau l’autorisation de continuer à leur envoyer des courriels ?
Si vous leur avez demandé leur permission au tout début et qu’ils vous ont donné leur accord pour traiter leurs données à des fins spécifiques, vous n’avez pas besoin de leur demander à nouveau leur permission. Toutefois, si la finalité du traitement des données a changé ou si vous prévoyez de la changer bientôt, vous devez les informer de ce changement et leur donner un moyen facile de décider s’ils acceptent la nouvelle finalité du traitement de leurs données.
Ou bien, au moment de leur inscription à votre lettre d’information, ils ont été informés que leurs données seraient traitées pendant une période déterminée, et cette période a déjà pris fin – dans ce cas, vous devez également leur demander s’ils acceptent que leurs données soient traitées ultérieurement à des fins spécifiques.
Q7 : Tous les courriels sortants (ou les courriels en général) doivent-ils comporter un lien de désabonnement, comme l’exige désormais le GDPR ?
La règle de désabonnement du GDPR stipule que tous les courriels: les messages sortants et les courriel Les messages marketing doivent indiquer clairement la manière dont le destinataire peut retirer ses données de votre liste ou les modifier. Le GDPR ne précise pas le moyen, il ne dit donc pas “vous devez utiliser le lien “se désinscrire””, il dit seulement qu’il doit s’agir d’un moyen facile, compréhensible pour chaque personne. Le lien “se désinscrire” est une pratique courante dans les pays suivants courriel nous ajoutons un tel lien à chacun de nos messages marketing. Il n’est ni obligatoire ni très populaire dans les pays froids. courriels. Il existe d’autres moyens d’accorder un droit de retrait à vos clients froids. courriel bénéficiaires. Pour en savoir plus, cliquez ici :
Dois-je donner à mon destinataire d’e-mails froids un moyen de se désabonner ? (Mise à jour) >>
Q8 : Que se passe-t-il si je sous-traite la création de listes ? Je n’ai rien à voir avec la collecte de données personnelles. Dois-je pour autant me préoccuper du GDPR ?
Oui, si vous allez utiliser les données personnelles qu’une autre entreprise a collectées pour vous et si les propriétaires des données sont des citoyens de l’UE. N’oubliez pas que le GDPR ne concerne pas uniquement la collecte ou le stockage des données. Il concerne le traitement des données en général. Selon le règlement :
traitement” : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;
Par conséquent, si à un moment donné vous obtenez les données pour les utiliser, par exemple pour envoyer des courriers électroniques, vous les traiterez également. N’oubliez pas que si vous décidez de la finalité de la collecte et de l’utilisation des données, vous êtes l’administrateur des données. Et en tant qu’administrateur de données, vous devez absolument vous préoccuper du GDPR. Vous devez également vous assurer que l’entreprise à laquelle vous confiez l’élaboration de votre liste collecte les données de manière légale, équitable et transparente. En d’autres termes, vous devez savoir exactement comment elle obtient les données et être en mesure d’expliquer aux propriétaires des données comment et pourquoi vous avez obtenu leurs données.
Q9 : Qu’entend-on par “prise en compte du respect de la vie privée dès la conception” ?
La protection de la vie privée dès la conception signifie que chaque partie de votre solution est développée de manière à garantir le plus haut niveau de protection des données à chaque étape. En d’autres termes, vous devez penser à protéger la vie privée de vos utilisateurs/abonnés/clients tout au long de la planification du traitement de leurs données personnelles.
Q10 : Je ne souhaite pas engager un spécialiste du GDPR. Cela signifie-t-il que je n’aurai aucune chance de me mettre en conformité ?
Le spécialiste de la protection des données ne doit pas nécessairement être une nouvelle personne à embaucher dans votre entreprise. Vous pouvez nommer l’un de vos employés actuels au poste de spécialiste de la protection des données ou le devenir vous-même. Notez que le spécialiste de la protection des données et le délégué à la protection des données sont deux fonctions distinctes, avec des compétences différentes. Si vous dirigez une petite ou moyenne entreprise, que vous ne traitez pas de données sensibles et que le traitement des données dans votre entreprise ne présente pas de risques élevés, vous n’avez pas besoin d’un délégué à la protection des données qualifié. Vous pouvez nommer un spécialiste de la protection des données, qui analysera le traitement des données et préconisera des solutions qui assureront le niveau le plus élevé possible de protection des données à caractère personnel.
Q11 : Où puis-je obtenir un certificat GDPR ?
Il n’existe pas de certificat GDPR officiel, du moins pour l’instant. Diverses certifications de sécurité, comme ISO, visent également à améliorer l’organisation, le traitement et la sécurité des données. L’obtention de ces certifications constituera sans aucun doute un pas vers la conformité au GDPR. Mais vous n’êtes pas obligé d’obtenir une quelconque certification officielle pour être conforme au GDPR. Vous pouvez simplement suivre les principes décrits dans le règlement lui-même. Si vous travaillez encore sur notre conformité au GDPR, télécharger la liste de contrôle de la conformité au GDPR >>
Q12 : J’ai reçu un e-mail froid de quelqu’un et je pense que c’est illégal au regard du GDPR, comment puis-je l’informer que je ne veux pas recevoir d’e-mails de sa part ?
Dans ce cas, vous pouvez répondre et demander verbalement la suppression de vos données de leurs listes de diffusion. S’ils ne respectent toujours pas votre demande, vous pouvez essayer de vérifier quel service ils utilisent pour envoyer les courriels et contacter cette société en tant que responsable du traitement de vos données à caractère personnel. En tant que responsable du traitement des données, elle sera également tenue de vous aider à faire supprimer vos données d’une liste sur laquelle vous ne souhaitez pas figurer.
Q13 : Comment Woodpecker se prépare-t-il au GDPR ?
Nous avons une section séparée sur notre site web qui décrit ce que Woodpecker fait pour être conforme au GDPR. Vous pouvez la trouver ici :
Conformité au GDPR >>
Après avoir organisé notre deuxième webinaire sur la gestion de la prospection et du marketing par e-mail dans le cadre du GDPR, nous avons souhaité ajouter quelques questions supplémentaires.
Q14 : Pouvez-vous envoyer un e-mail froid B2B à une adresse électronique personnelle (telle que Gmail) si l’e-mail est toujours destiné au poste d’une personne ?
Si vous êtes certain qu’il s’agit de son adresse électronique professionnelle ou qu’elle a exprimé son consentement à recevoir un message de votre part sur cette adresse, alors oui, vous pouvez le faire. Comme pour tout type de communication relevant du GDPR, votre processus d’obtention des données personnelles doit être légal et transparent. Vous devez être en mesure de retracer la manière dont vous avez obtenu l’adresse électronique et de prouver que votre message est pertinent pour cette personne. Faites savoir à la personne pourquoi vous la contactez et donnez-lui un moyen clair de se désabonner de vos courriels. Il n’est pas nécessaire d’afficher un lien de désabonnement. La personne peut simplement écrire qu’elle ne souhaite plus recevoir de messages de votre part. Une fois qu’ils l’ont fait, respectez-le et supprimez leur adresse électronique. L’essentiel, en matière d’e-mailing froid B2B, est de vous assurer que vous contactez les bonnes personnes, au bon poste, qui représentent des entreprises et qui correspondent à votre PCI. Les courriels non ciblés peuvent vous causer des ennuis.
Q15 : Le fait de conserver une liste de contacts dans Woodpecker fait-il de moi le propriétaire ou le responsable du traitement des données à caractère personnel ?
Lorsque vous téléchargez une liste de prospects dans Woodpecker, le prospect dont vous traitez les données personnelles en est le propriétaire. Dans ce cas, vous êtes un administrateur de données. C’est vous qui décidez de la nature et de l’origine des données personnelles que vous souhaitez traiter. En outre, vous êtes responsable du respect du principe de limitation du stockage. La limitation du stockage est un principe introduit par le GDPR. Cela signifie que vous ne pouvez pas traiter les données plus longtemps que ce qui est nécessaire à la finalité du traitement. En outre, il en découle que vous devez respecter le souhait des propriétaires de données personnelles d’être supprimés de votre liste de prospects et de ne plus jamais être contactés. Vous êtes tenu pour responsable si vous abusez du principe de limitation du stockage ainsi que de tout autre principe du GDPR. Woodpecker, quant à lui, devient un administrateur de données lorsqu’il traite vos données personnelles en tant qu’utilisateur d’une application ou abonné à une lettre d’information. Il doit traiter vos données avec le soin nécessaire. Et se conformer au GDPR.
Q16 : Comment puis-je constituer une base de contacts de manière légale ?
Réponse rapide : cibler avec soin. Le GDPR n’interdit pas le cold emailing. Si vous suivez les conseils que je vous donne sur ce blog, tout ira bien. Le GDPR insiste sur le fait que vous devez avoir une bonne raison de contacter vos prospects. Assurez-vous que les deux parties sont susceptibles de tirer profit d’une relation commerciale potentielle et que l’offre que vous présentez dans votre courriel froid est logiquement liée à leur statut commercial. En outre, vous devez obtenir toutes les données personnelles de vos listes de prospects de manière légale et transparente, et être prêt à expliquer comment et pourquoi vous avez décidé de traiter les données personnelles de certains citoyens de l’UE. Ce qui est important, c’est que le GDPR introduit un nouveau principe de limitation du stockage des données, qui ne vous permet pas de traiter les données personnelles plus longtemps que nécessaire. La durée exacte n’est pas précisée dans le document. Nous conseillons de supprimer les données des destinataires d’e-mails froids qui ne répondent pas dans les 30 jours suivant votre premier contact. Dans le cas des listes d’inclusion, vous pouvez traiter les données selon des modalités clairement spécifiées que le propriétaire des données a acceptées, aussi longtemps qu’il vous a accordé son consentement ou jusqu’à ce qu’il exprime son souhait de le retirer. Tout type de données que vous demandez doit être justifié par la finalité pour laquelle vous souhaitez les traiter. Ne demandez pas un numéro de téléphone si vous voulez envoyer un livre électronique à quelqu’un. Et si vous souhaitez recueillir son numéro de téléphone, dites-lui directement que vous souhaiterez peut-être l’appeler. Donnez à vos destinataires d’e-mails froids ainsi qu’aux abonnés de votre liste d’inclusion un moyen clair de refuser toute correspondance ultérieure, ainsi que des instructions sur la manière de modifier leurs données personnelles ou de les supprimer complètement de votre liste. Le mécanisme du lien “se désinscrire” est très répandu, mais ce n’est pas le seul que vous pouvez utiliser à cette fin. Si vous souhaitez en savoir plus sur le GDPR, lisez cet article de blog :
Guide pratique GDPR pour les expéditeurs de courriels >>
Et si vous vous préparez au GDPR, téléchargez notre Liste de contrôle de la conformité au GDPR >> qui vous aidera à le faire.