Respect et conformité RGPD – Marketing & Commerce B2B
Notre base de données est hébergée en France sur des serveurs sécurisés chez OVH.
Nous avons plusieurs sites internet partenaires à partir desquels nous collectons des données opt-in.
Tous nos contacts ont un droit de regard et peuvent demander à être supprimé de notre base.
Nous ne détenons pas de données à caractère sensible permettant l’identification claire d’une personne physique (données médicales, numéro d’identité, adresse personnelle etc…).
Une document récapitulatif du SNCD, l’organisation professionnelle représentative de la Data Marketing Industrie : (Règlement Général sur la Protection des données Personnelles).
PLUS D’INFOS RGPD
- Nous ne travaillons que sur des données B2B, non soumis au consentement préalable comme le stipule la CNIL par la directive e-Privacy, transposée en droit français.
- AKIDEL respecte l’obligation de mettre un lien de désabonnement sur chaque campagne de nos clients, d’informer l’internaute des informations que nous détenons, l’origine de la collecte ainsi que l’effacement de ses informations que nous détenons.
- Il est aussi possible d’exclure le mail, le domaine, le SIRET/ SIREN… de l’entreprise afin de ne plus les prospecter. Cette fonction est aussi accessible pour chacun de nos clients.
Au fil de l’eau, après avoir structuré la fiche des prospects, nous contactons le prospect et l’informons de notre activité d’email marketing par un mail.
Chaque prospect à la possibilité de demander la radiation totale de ses données de la base.
Ainsi, il sera plus jamais contacté par notre plateforme.
Le prospect peut ainsi se désinscrire de notre liste d’un simple clic.
La RGPD, ne nous contraint pas à son autorisation, mais juste à l’informer qu’il sera prospecté.
Idem, lorsque qu’un client importe son fichier de prospections, il doit attester avoir informé ses prospects de sa démarche.
Lors du désabonnement, le prospect a le choix de se désabonner de la communication du client (votre communication) ou de l’ensemble des clients de la plateforme.
MÉTHODES DE DÉSINSCRIPTION MISES EN ŒUVRE
Vous disposez de la possibilité de personnaliser le lien de désinscription et paramétrer le texte à votre convenance.
Si un lien de désinscription n’est pas détecté dans votre message, nous en ajoutons un automatiquement avec un texte neutre de type ‘’Merci de ne plus me solliciter : Désinscription’’
TYPE DE MESSAGE PERSONNALISÉS
Message neutre
Conformément au RGPD (Règlement général sur la protection des données), vous avez la possibilité de demander votre désinscription de cet email et d’exercer votre droit de retrait de vos données en cliquant sur le lien suivant : Désinscription
Message qui vous désengage de la responsabilité de la prestation
Vous recevez cette offre dont la base de contacts est fournie par les services de AKIDEL.
Conformément au RGPD vous avez la possibilité de demander votre désinscription de cet email et d’exercer votre droit de retrait de vos données en cliquant sur le lien suivant : Désinscription
AKIDEL vous permet de profiter d’offres B2B. À tout moment, vous pouvez demander la suppression de notre base B2B en cliquant sur le lien suivant : Désinscription
Cette offre commerciale est envoyée par AKIDEL, il est à tout moment possible de demander la suppression de notre base B2B en cliquant sur le lien suivant : Désinscription.
Informations complémentaires
Les données à caractère personnel intégrées dans notre base (nom, prénom, civilité, fonction dans l’entreprise, adresse mail, code NAF, numéro de téléphone professionnels) sont destinées aux clients de la société AKIDELainsi qu’à nos services pour l’exploitation et la réactualisation de la base.
Cette base de données provient d’opération de téléprospection ou bien d’extrapolation à partir d’informations recueillies par la société AKIDEL auprès de sociétés spécialisées.
Ce traitement est nécessaire aux intérêts légitimes poursuivis par la société AKIDEL . En effet, la base de données est nécessaire à l’activité commerciale de la société puisque sans données de contact, les clients ne pourraient pas entrer en relation avec les prospects prédits par la solution AKIDEL. Le traitement est également nécessaire aux intérêts légitimes des clients de la société AKIDELcar il leur permet de disposer d’un outil de prospection pertinent et efficace.
Les données sont conservées pendant une durée de 1 ans.
Vous pouvez contacter le délégué à la protection des données de la société AKIDEL.
QUESTIONS – RÉPONSES
Question : Comment mettez-vous en place le consentement préalable ?
Réponse : Le RGPD n’impose pas de consentement préalable pour les actions de prospection B2B comme l’indique l’article détaillé sur le site de la CNIL : La prospection commerciale par le courrier électronique.
Le consentement préalable n’est pas une obligation à la collecte d’information mais une bonne pratique des usages.
Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie comme indiquées dans l’article 6 du RGPD : La Cnil et le règlement européen de la protection des données.
Une de ces conditions est la suivante : « le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ». Dans le cas de AKIDEL, cet intérêt légitime est justifié par notre activité.
Nous informons systématiquement chaque nouveau contact qui entre dans notre base, en lui indiquant, quelles sont les données que nous avons collectées et comment elles seront utilisées par nos clients et partenaires.
Question : Comment est constituée votre fichier ?
Réponses : Notre base est constituée d’informations que nous collectons sur le web en Open-data ainsi que des données d’infos légales de l’INSEE, Infogreffe, le Bodacc, Legi France, RNCS, la partie publique d’annuaires professionnels et des réseaux sociaux…, que nous agrégeons et structurons au travers de nos algorithmes intelligents.
RGPD et utilisation des donnéees – Clauses contractuelles
Partie 1 – Article 28 – Sous-traitant / RGPD
Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.
Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.
Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant :
- a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;
- b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- c) prend toutes les mesures requises en vertu de l’article 32 ;
- d) respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant ;
- e) tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III ;
- f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant ;
- g) selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel ; et
- h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
En ce qui concerne le point h) du premier alinéa, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.
Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement.
Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.
L’application, par un sous-traitant, d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer l’existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article.
Sans préjudice d’un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu’elles font partie d’une certification délivrée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43.
La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d’examen visée à l’article 93, paragraphe 2.
Une autorité de contrôle peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément au mécanisme de contrôle de la cohérence visé à l’article 63.
Le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 se présente sous une forme écrite, y compris en format électronique.
Sans préjudice des articles 82, 83 et 84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.
Partie 2 – Obligations des Parties
Chacune des Parties prendra, pour ce qui la concerne, toutes les mesures propres à assurer la conformité au RGPD et toute autre réglementation applicable et s’engage notamment à :
- Traiter les Données à caractère personnel conformément aux principes et obligations du RGPD et tout autre règlementation applicable en la matière.
- Insérer dans le registre des traitements les activités effectuées sous sa responsabilité.
- Sans préjudice de toute autre obligation résultant du présent Contrat, respecter l’article 28 du Règlement Européen relatif à l’intervention de sous-traitants. Chaque Partie demeure responsable des activités de traitement effectuées par un sous-traitant.
- Accomplir auprès de l’autorité nationale de protection compétente les formalités requises, en particulier consulter l’autorité lorsque l’analyse d’impact sur la vie privée menée révèle que le traitement envisagé sera susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
- Fixer la ou les durées de conservation nécessaires des Données à caractère personnel traitées, et ce, en fonction de leur finalité, ainsi que de déterminer les modalités de leur archivage ou d’effacement à l’expiration de ces délais.
- Veiller à ce que les mentions d’information destinées aux personnes concernées leur sont rendues facilement accessibles et compréhensibles et que ces mentions prévoient les catégories requises par le Règlement Européen et tout autre règlementation applicable en la matière.
- Répondre aux réclamations des personnes concernées exerçant leurs droits d’accès, de modification, d’effacement, de limitation, d’opposition ou, le cas échéant, de portabilité et de retrait de leur consentement, dans les modalités et délais conformes à la loi applicable.
- Mettre en place une procédure interne afin d’identifier et gérer les cas de violation des Données à caractère personnel et à procéder, lorsque cela est requis par la loi applicable, à la notification de l’autorité nationale de protection compétente et/ou des personnes concernées dans les modalités et délais prescrits par la loi applicable.
- Prendre toutes les précautions techniques et organisationnelles utiles, eu égard notamment à la nature personnelle des Données à caractère personnel que chacune des Parties traite respectivement et des risques présentés par le(s) traitement(s) et ce, afin de préserver une sécurité et une confidentialité maximales de ces Données et, notamment d’empêcher qu’elles soient déformées, endommagées et surtout que des tiers non autorisés y ont accès, d’une quelconque manière que ce soit.
Obligations de AKIDEL
AKIDELs’engage en outre, pour la durée du Contrat, à :
- Garantir l’intégration, dans toute communication, d’un lien de désinscription permettant à la personne destinataire d’exercer son droit d’opposition à être référencée dans la Solution AKIDEL(sans préjudice de tout paramétrage spécifique par le client).
- Informer les personnes référencées dans la Solution de l’utilisation de leurs Données personnelles, préalablement à toute prospection qui sera réalisée par ou au nom du client dans le respect des conditions de l’article 14 du Règlement Européen.
- Obtenir le consentement des personnes référencées dans la Solution, dans les délais et conditions requis par la réglementation applicable (en ce inclus les exigences, recommandations et lignes directrices de toute autorité de contrôle pouvant se prononcer sur la conformité de la Solution et des Prestations).
- Avertir sans délai le client en cas de risque de non-conformité de tout ou partie de la Solution et des Services couverts par le présent Contrat.
- Maintenir la documentation nécessaire permettant de démontrer la conformité des Services, en particulier, mais sans que ce soit limitatif, du consentement par les personnes concernées à être référencées dans la Base de données et à recevoir des communications à caractère commercial de la part des Partenaires de AKIDEL, dont le client fait partie.
- Informer le client de toute demande reçue directement par laquelle une personne s’opposerait à l’utilisation de ses Données personnelles par AKIDELà des fins commerciales.
- Se soumettre à un audit (y inclut un audit sur site) du client permettant à ce dernier de contrôler le respect par AKIDELde ses obligations en matière de protection des Données à caractère personnel, dans les conditions de l’article « Audit » du présent Contrat.
- Garantir et indemniser le client de tout dommage résultant d’une violation par AKIDELde ses obligations au titre du présent Article, sans préjudice de tout autre recours disponible en vertu de la loi ou des dispositions du présent Contrat (telle que la résiliation, en tout ou partie, du Contrat).
Propriété de la Base de données
Le Prestataire et son fournisseur est et demeure seul propriétaire de la Base de données.
Sécurité de la Base de données
Conformément aux engagements pris aux termes de l’article 1, le Prestataire s’engage à préserver l’intégrité, la sécurité et la confidentialité de la Base de données. Dans le cadre de l’exécution des Prestations, le Prestataire mettra en œuvre les mesures techniques et d’organisation appropriées pour protéger les Données à caractère personnel de la Base de données contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment dans le cadre de la transmission de ces Données dans un réseau, ainsi que contre toute autre forme de traitement illicite.
Données à caractère personnel
Les Parties reconnaissent avoir pleine et entière connaissance des obligations résultant du règlement (UE) 206/79 du Parlement européen et du Conseil du 27 avril 2016 entré en vigueur le 25 mai 2018 (ci-après le « Règlement Européen ») et transposé en droit français par la Loi n°2018-493 du 20 juin 2018 relative à la protection des Données à caractère personnel et tout autre règlementation applicable en la matière qui s’appliquent à elles en leur qualité respective de responsable de traitement pour les opérations qu’elles effectuent, en toute indépendance chacune au titre de leur activité propre.
AKIDEL, ses fournisseurs et ses sous-traitants sont responsables de traitement des activités réalisées dans le cadre de la gestion, le développement, la maintenance et l’hébergement de la Solution (alimentation de la Base de données, gestion des oppositions, information des personnes référencées, fonctionnalité permettant au client de croiser sa liste repoussoir avec la base, etc.).
Le client est responsable de traitement des activités de prospection commerciale réalisées depuis la Solution auprès des personnes référencées dans la base de données.
Utilisation des données par le client
Le client peut récupérer et réutiliser directement les données transmises lors de la phase du suivi et de l’analyse des résultats des campagnes. Libre à lui de contacter directement -sans passer par les services de AKIDEL- les listes de mail transmises. Toutefois, le client ne pourrait pas tenir responsable AKIDEL de toute pratique du client ne respectant pas la réglementation en vigueur, et notamment le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit « règlement général sur la protection des données » ou « RGPD »
AKIDELa le droit d’intégrer dans ses bases de mailing, les mails transmis par le client pour une réutilisation ultérieure en campagne de mailing sauf si le client le refuse explicitement. AKIDEL se doit de respecter le RGPD.
AKIDEL met en place un ensemble de contraintes techniques, de documentation et d’information à disposition du client dans le cadre du respect du RGPD. Dans ce contexte, le client étant en totale autonomie dans sa prospection et sa communication digitale, prend toute la responsabilité RGPD et se doit d’être conforme dans toutes ces actions.
En cas de non respect du client des dispositions du RGPD, AKIDELne saurait être tenue responsable.
En cas de non respect du client des dispositions du RGPD, le compte client peut être suspendu en cas de refus de mise en conformité.