Le Règlement Général sur la Protection des Données 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD ») a été promulgué le 27 avril 2016 et est entré en vigueur le 25 mai 2018.
Le RGPD s’applique aux personnes morales, comme les entreprises européennes, mais également aux entreprises hors de l’Union Européenne qui traitent des données de citoyens européens.
Il apporte une meilleure protection, harmonisée à l’échelle des pays membres de l’Union Européenne, des données personnelles de leurs citoyens, et leur offre une meilleure maîtrise les concernant. Il vient renforcer et compléter la Protection des données en France, assurée depuis 1978 par la Loi Informatique et Libertés.
Il impose aux personnes morales qui les traitent le respect de certains grands principes :
- Quels sont-ils ?
- Comment assurer sa conformité avec ces derniers ?
- En quoi la solution Avis Vérifiés (ci-après RATING&REVIEWS) de Skeepers est-elle un outil GDPR Compliant ?
Security by design
Skeepers assure une sécurité adéquate des données à caractère personnel traitées sur RATING&REVIEWS, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité). Demandez notre documentation sur la sécurité des données assurée par Skeepers (PSSI, PAS etc.) : security@skeepers.io
Privacy by design
Une finalité de traitement déterminée, explicite et légitime
RATING&REVIEWS est une Solution SaaS qui permet de réaliser des enquêtes sur l’expérience client et de publier ces Avis récoltés sur votre site Internet, ainsi que sur les sites commerciaux partenaires et Moteurs de recherche. Pour en savoir plus sur les traitements opérés : Accord relatif au traitement des données à caractère personnel (tableau p7 et suivantes).
Contrairement aux campagnes marketing, les enquêtes clients ne nécessitent pas d'obtenir le consentement préalable des destinataires avant tout envoi de mail. CF le « Référentiel relatif aux traitements de données à caractère personnel mis en oeuvre aux fins de gestion des activités commerciales » de la Commission Nationale de l’Informatique et des Libertés (CNIL).
Les autorités à la protection des données de certains pays (Allemagne etc.) obligent les Responsables de traitement de recueillir le consentement préalable de leurs consommateurs, même pour des e-mails transactionnels. Vous pouvez intégrer un opt-in dans le process de création de compte sur votre site internet ou activer l’opt-in depuis nos modules Shopware, Prestashop, Magento 1 & 2 et WooCommerce d’Avis Vérifiés.
En tout état de cause, vous devez offrir aux personnes concernées la possibilité de s’opposer, sans frais et de manière simple, à la transmission de leurs données à caractère personnel, au moment où celles-ci sont recueillies, et à tout moment. Nous vous informons que cette insertion aura forcément des conséquences sur le nombre de sollicitations que nous pourrons réaliser pour votre compte.
Nous vous proposons la mention d’information suivante, modèle générique que vous devrez adapter en fonction des particularités de votre activité, à apposer sur le support de collecte des données en ligne :
« Je m’oppose à ce que mes données ([précisez lesquelles : nom, prénom, adresse mail, numéro de téléphone, numéro/référence commande, date de la commande, le produit acheté, le lieu d'achat si achat en magasin]) soient transmises au prestataire d'enquête sur l'expérience client Skeepers (Avis Vérifiés) afin de recevoir toute communication visant à recueillir mon Avis sur les produit(s), service(s) ou contenu(s) dont j’ai bénéficié. Pour en savoir plus sur la protection de mes données et mes droits chez Skeepers : https://fr.avis-verifies.com/politique-de-confidentialite/ et chez [Nom de votre société] : [lien hypertexte]. »
OU
« Afin de ne pas recevoir de communication visant à recueillir mon Avis sur les produit(s), service(s) ou contenu(s) dont j’ai bénéficié et de m’opposer à ce que mes données ([précisez lesquelles : nom, prénom, adresse mail, numéro de téléphone, numéro/référence commande, date de la commande, le produit acheté, le lieu d'achat si achat en magasin]) soient transmises au prestataire d'enquête sur l'expérience client Skeepers (Avis Vérifiés), je contacte [le Délégué à la protection des données] de [Nom de votre société] sur @ . Pour en savoir plus sur la protection de mes données et mes droits chez Skeepers : https://fr.avis-verifies.com/politique-de-confidentialite/ et chez [Nom de votre société] : [lien hypertexte]. »
Par ailleurs, le droit d’opposition est prévu et respecté dans nos e-mails de sollicitation qui contiennent une mention d’information et deux liens de désinscription, un pour le Client et un pour les services d’Avis Vérifiés, ainsi que dans nos SMS avec la fonction “STOP”. Nous respectons également toute demande de blacklistage et de suppression venant du Client à propos de ses consommateurs, ou des consommateurs directement.
Une minimisation des données by design
RATINGS&REVIEWS est une solution qui a été conçue pour ne collecter, by design, que des données exactes, adéquates, pertinentes et limitées à ce qui est nécessaire pour la réalisation d’enquête d’Avis client, afin de permettre la publication d'Avis authentiques, en conformité avec la norme ISO20488 pour laquelle Avis Vérifiés a une certification AFNOR et la Loi Omnibus (nom, prénom, adresse mail et/ou numéro de téléphone, numéro/référence commande, date de la commande, le produit acheté, le lieu d’achat si achat en magasin).Selon les besoins de votre enquête, vous pourrez collecter d’autres types de données.Nous devons collecter l’adresse IP des répondants aux fins de vérifications de l'authenticité des Avis. Cette information nous est demandée à la fois par la norme NF Z74-501, aujourd'hui renommée norme NF ISO 20488, mais aussi par la DGCCRF, en cas de contrôle. Pour en savoir plus sur les données traitées : Accord relatif au traitement des données à caractère personnel (tableau p7 et suivantes).
La pseudonymisation des Avis
Chaque Avis consommateur est publié de manière pseudonymisée sur internet, sous la forme « prénom et première lettre du nom ». L’option de pseudonymisation aléatoire est possible lors d’un dépôt d’Avis par le consommateur, depuis la page de remerciements, où se trouve une case à cocher mentionnant qu’il ne souhaite pas afficher son prénom ainsi que la première lettre de son nom. Un nom et prénom seront alors générés aléatoirement à côté de l’Avis.
Si l’Avis a déjà été publié et que le consommateur souhaite modifier la pseudonymisation, il a la possibilité d’en faire la demande directement en contactant notre service Modération à l’adresse suivante : moderation@Avis-verifies.com . Un nom et prénom seront alors générés aléatoirement à côté de son Avis.
Afin que l'identité du consommateur (nom et prénom) ne soit pas affichée à côté de l'Avis client, perdant ainsi son caractère pseudonymisé, vous devez absolument faire attention à ce que dans le fichier CSV que vous nous transmettez (si concerné), vous saisissiez bien les noms et prénoms des consommateurs dans deux colonnes différentes, et non pas dans la seule colonne des prénoms !
La Modération des Avis
Le service de Modération de Skeepers veille à ce que les données personnelles non nécessaires et non pertinentes, directement identifiante (types nom et prénom etc.) et indirectement identifiantes (types numéro de téléphone, coordonnées bancaires etc.) laissées par les consommateurs dans le contenu de leurs Avis soient remplacés par des astérisques. La Modération peut être personnalisée selon les besoins du Client (lorsque le Client a pris l’option de Modération sur mesure).
La pertinence des données dans le temps (limitation de la conservation)
Les données collectées doivent être à la fois exactes, mises à jour et conservées pour une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. RATING&REVIEWS vous offre la possibilité de collecter des Avis authentiques après chaque commande. Les données à caractère personnel sont conservées 3 mois à compter de l’envoi de l’e-mail AVIS VERIFIES, avant d’être anonymisées si aucun avis n’a été déposé.
Si un consommateur a déposé un Avis, les données à caractère personnel attachées à l’Avis font l'objet d'une suppression par une anonymisation automatisée au bout de dix-huit (18) mois. Le consommateur peut avoir dès le dépôt de son Avis coché l’option d’anonymisation (un pseudonyme aléatoire est attaché à côté de son Avis).
Les Avis ainsi anonymisés ne seront plus affichés 5 ans à compter de la date de leur publication sur la page d’attestation Avis Vérifiés et le Widget UGC.
Les données relatives à la commande sont utilisées pendant 2 ans à compter de leur intégration dans la base de données Skeepers afin de générer des reporting et dashboard de délivrabilité et des taux de dépôts d’Avis (optimisation et agrégation journalière).
Pourquoi de telles durées de conservation ?
La durée de conservation de 18 mois est une durée fixée par nos soins, que nous avons jugée raisonnable et proportionnée à ce qui est nécessaire selon l'objectif visé, comme le préconise le Règlement Général sur la Protection des Données (RGPD) en son article 5§1 e). Cette durée tient compte de la finalité du traitement, de la pertinence des Avis dans le temps ainsi que de la norme ISO20488 pour laquelle NET REVIEWS a une certification AFNOR. L'organisation réalise des audits qui peuvent intervenir à différentes périodes d'une année. Au cours de cet audit, il peut nous être demandé de fournir une preuve de l'expérience de consommation : nous devons donc être capables de délivrer la donnée, ainsi que la preuve d'achat / de consommation. Si aucun audit n'a été réalisé durant ce laps de temps de 18 mois, les conserver plus longtemps serait disproportionné à l'égard de l'objectif visé. De ce fait, SKEEPERS a mis en place un procédé d'anonymisation des données à caractère personnel attachées à chaque Avis, 3 mois après l’envoi de l’e-mail de demande d'Avis, si aucun Avis n’est déposé, ou bien 18 mois à compter du dépôt de l’Avis par un Consommateur. Il s'agit d'une anonymisation des Avis automatisée, uniformisée sur la Solution et pour l'ensemble de nos clients, cette mesure de sécurité technique est une de nos gageures de conformité envers le RGPD, pour nous et nos Clients. Il n'est ainsi pas possible pour nous de repousser l'échéance de l'anonymisation au-delà ou en-deçà des 18 mois, nous ne pouvons malheureusement pas faire de durée de conservation sur mesure pour nos Clients. Vous pouvez toutefois nous demander, à tout moment pendant ces 18 premiers mois, la récupération des données par transfert sécurisé. Il est entendu que les données à caractère personnel peuvent être supprimées avant l’échéance des 18 mois, lorsque le Consommateur a effectué une demande de suppression de ses données.
Quel est le processus d’anonymisation ?
Notre processus d'anonymisation concerne les Avis de plus de 18 mois, toutes les données en environnement non productif sont anonymisées, tandis que les commandes sans Avis de plus de 3 mois sont purgées. Les contenus des Avis sont conservés tels quels, mais aucune information directement ou indirectement identifiante du type numéro de téléphone n’est présente, compte tenu de la modération des Avis, qui remplace ces données par des étoiles. Il nous est ainsi impossible de pouvoir corréler un contenu d’Avis avec une personne physique, de réaliser une quelconque réidentification (Comme raisonné par le TJUE, dans son arrêt du 26 avril 2023 (affaire T-557/20), même si les données pseudonymisées sont des données personnelles, nous ne possédons pas de moyens légaux et réalisables pouvant nous permettre de réidentifier les auteurs des commentaires : de ce fait ces données pseudonymisées deviennent des données anonymisées par voie de conséquence).
Notre traitement d'anonymisation est un processus interne, exécuté quotidiennement, qui consiste à extraire automatiquement la liste des Avis datant de plus de 18 mois et non encore anonymisés. Le traitement d'anonymisation consiste, pour chaque Avis sélectionné, à déposer un message dans la file d'attente spécifique de notre courtier de messages :
- "anonymous@anonymous.com" pour la rubrique email,
- "anonymous" pour le nom et prénom,
- "NULL" pour le téléphone etc.
Les informations sont alors mises à jour comme suit :
Commande
- email = anonyme@anonyme.com
- nom=anonyme
- prénom=anonyme
- téléphone = NULL
Traces utilisateur (si présentes) :
- IP = NULL
- ip_proxy = NULL
- mandataire=NULL
- userAgent = NULL
Certains produits
- email = anonyme@anonyme.com
- nom=anonyme
- prénom=anonyme
Certains produits
- email = anonyme@anonyme.com
- nom=anonyme
- prénom=anonyme
Le processus ne peut pas être inversé dans la base de données.
Les données d'origine sont perdues à jamais. Il existe toujours dans les sauvegardes (les sauvegardes sont conservées pendant un mois). Si nous restaurons le système à partir du processus d'anonymisation de sauvegarde, les données seront à nouveau anonymisées la nuit suivante
Quel est le processus de suppression ?
La suppression des données relatives à la commande (commande / produits / attributs complémentaires / logs) est effectuée 5 ans après la publication de l'Avis. Cette suppression est réalisée quotidiennement par un traitement de type « batch » qui supprime physiquement les information de la base de données. Le procédé de suppression des données se déroule sur un (1) mois glissant. Il ne reste aucune information de la suppression en dehors des logs du traitement.
L'information des personnes concernées (licéité, loyauté, transparence)
En tant que Responsable du traitement, vous êtes soumis à l’obligation de transparence prévue aux articles 12 et suivants du Règlement Général sur la Protection des Données (RGPD).
Mettez à jour votre Politique de confidentialité
Afin de satisfaire cette exigence, nous vous proposons la mention suivante, que vous pouvez intégrer dans votre Politique de Confidentialité, ou tout autre document équivalant :
Transfert des données à des tiers
"Pour mieux connaître votre expérience en tant que consommateur.rice de nos produits / utilisateur.rice de nos services, nous recourons aux services du prestataire d'enquête Skeepers (Avis Vérifiés) afin de recueillir votre Avis, sur le fondement de notre intérêt légitime (article 6. f) du Règlement Général sur la Protection des Données). Pour cela, nous leur communiquons certaines de vos données personnelles, strictement nécessaires à la prestation ([précisez lesquelles : nom, prénom, adresse mail, numéro de téléphone, numéro/référence commande, date de la commande, le produit acheté, le lieu d'achat si achat en magasin]) dans le but de permettre la publication d'Avis authentiques en conformité avec la norme ISO20488 pour laquelle Avis Vérifiés a une certification AFNOR. Vos Avis seront rendus visibles sur les sites suivants : [notre page produits, Trustpilot, Google, TripAdvisor etc] auprès desquels vous pourrez exercer la modification ou suppression de vos données Vous pouvez vous opposer au transfert de vos données à tout moment. Sauf suppression anticipée de votre part, vos données seront conservées 18 mois par Avis Vérifiés à compter du dépôt de votre Avis, ou 3 mois à compter de l’envoi de leur mail, si vous ne déposez aucun Avis. Ensuite, vos données seront anonymisées. Pour en savoir plus sur la protection des données et l’exercice de vos droits chez Skeepers : https://fr.avis-verifies.com/politique-de-confidentialite/ . Vous pouvez exercer vos droits d'accès, de suppression, d'opposition, de modification, de limitation et de portabilité à tout moment en écrivant à notre délégué à la protection des données sur @. Vous avez la possibilité d'introduire une réclamation auprès d'une autorité de contrôle. "
Ajoutez une mention RGPD dans vos e-mails
En plus de la mention du transfert des données dans votre Politique de Confidentialité, vous pouvez faire un rapide rappel dans vos mails de ce traitement de données en quelques lignes (2/3 lignes seulement pour ne pas alourdir le mail et causer des risques de « casse » au moment de l’ouverture du mail pour le client final) pour ensuite intégrer un lien de renvoi vers votre Politique de Confidentialité pour plus d’informations (information en plusieurs niveaux).
En tout état de cause, Skeepers délivre sa propre mention d’information sur ses maquettes de courriel Avis Vérifiés selon le modèle suivant : « Pourquoi avez-vous reçu un mail d'Avis Vérifiés ? [Nom de votre société] souhaite connaître votre Avis. EN SAVOIR PLUS SUR LA GESTION DE VOS DONNEES ET VOS DROITS RGPD PAR AVIS VERIFIES ».
Cette stratégie a été adoptée pour éviter toute confusion dans les esprits des consommateurs, qui pourraient croire que les enquêtes d’Avis clients sont des mails marketing reposant sur leur consentement préalable. Une baisse considérable des « plaintes » a été constatée suite à cet ajout, ce qui confirme sa portée positive et par conséquent sa légitimité.
Accountability
Le RGPD prévoit l'utilisation d'un registre pour recenser de façon précise les traitements de données personnelles que vous mettez en œuvre (« Registre des traitements »). La tenue d'un Registre des traitements vous permet de connaître l’utilisation que vous faites des données personnelles et apprécier leur pertinence au regard les finalités visées (plus d'informations sur le site de la CNIL). Skeepers peut vous fournir un modèle type du Registre de traitement de sa Solution en écrivant à privacy@skeepers.io
Exercice de droits RGPD
Le règlement définit un droit d’accès, un droit d’opposition, un droit de rectification, un droit de suppression « droit à l’oubli », et un droit de portabilité des données.
Pour les droits d’accès et de portabilité des données, nous vous transmettrons les demandes reçues à l’adresse email DPO renseignée sur votre Back office.
Nous vous aiderons à les satisfaire le cas échéant, il vous suffira de nous les faire parvenir à l’adresse privacy@skeepers.io. Pour le droit de suppression, merci de faire parvenir les demandes à l’adresse datadeletion@skeepers.io . Vous serez alors alerté dès le traitement de la suppression des données par un message automatique, qui est également à destination de nos prestataires d’envoi de mails et SMS, vous n’aurez aucune action à faire. Il en sera de même pour toutes les demandes de suppression reçues directement des consommateurs.
Attention à bien vérifier que votre adresse DPO est bien renseignée sur votre compte Avis Vérifiés pour recevoir ces notifications.
Pour les demandes d'opposition, elles s'exercent par les consommateurs à partir des liens de désinscription présents dans nos footers de mail (un pour Avis Vérifiés et l'autre pour le Client).
Vous pouvez consulter et enrichir votre liste noire à tout moment depuis le back office Avis Vérifiés. A partir du moment où le consommateur a été blacklisté, même si vous nous transmettez son adresse mail dans votre fichier CSV, le consommateur ne pourra être sollicité du fait de son inscription sur notre liste noire.
Toute demande de rectification d'Avis sera gérée par notre service de Modération du fait de nos obligations de conformité relatives à l’ISO20488 pour laquelle nous sommes certifiés.
Les cookies
Dans un souci de minimisation des données, le widget produit Avis Vérifiés ainsi que la page certificat sont dépourvus de tout cookie.
Si votre Widget dépose malgré tout des cookies, nous vous invitons à mettre votre Widget à jour de sa dernière version.
Il vous est possible d’intégrer un script supplémentaire à celui du Widget d’Avis produit afin d’obtenir le performance tracker suivant :
- Nom : Skeepers performance tracker
- Hôte : site internet du client
- Type de cookie : Cookie de performance
- Base juridique : Consentement collecté par le Consent management platform (CMP) du Client
- Finalité : Dépôt d’un traceur « Skeepers performance tracker » à des fins de réalisation de métriques de performance afin de démontrer l'impact de la présence d’un Widget d’Avis sur le comportement d'achat des prospects sur le site e-commerce du Client.
- Données traitées : Full IP, Customer ID, Content ID & Media ID (identifiants internes), présence du widget sur le site du Client, nombre de vues du widget (affichage/clic widget marque / widget produit), nombre de vues des Avis clients, recherches, paginations et filtres des internautes, UserAgent (navigateur, OS, marque de l’outil de connexion et système d’exploitation)
Cookie name
|
Expiration
|
Use
|
sk_[siteId] | 13 months | Allows to associated actions to a single user through their visits to the site |
sk_first | local storage | Allows to check if it is the first time the user visits the site |
sk_vid | session storage | Visit id associated to the visit |
sk_expiration | session storage | Used to establish the expiration time of the visit id |
Le siteId est un paramètre Client.