Guide de mise en conformité RGPD à l’usage des utilisateurs de Mautic
A l’ère du Big Data, toutes les entreprises ont un intérêt à protéger les données qui accueillent celles de leurs prospects, de leurs clients et toutes les informations liées à l’écosystème de leur business.
Alors comment s’assurer que Mautic est en accord avec le Règlement Général sur la Protection des Données (RGPD) ?
D’abord… Qu’est-ce que le RGPD ?
Le 25 mai 2018, des années de préparation ont pris fin. Dans toute l’Europe, les réformes de la protection des données prévues de longue date ont commencé à être appliquées. Le Règlement Général sur la Protection des Données (RGPD), adopté d’un commun accord, a modernisé les lois qui protègent les informations personnelles des individus.
Le RGPD peut être considéré comme l’ensemble des règles de protection des données le plus strict au monde, qui améliore la manière dont les personnes peuvent accéder aux informations les concernant et impose des limites à ce que les organisations peuvent faire avec les données personnelles. Le texte intégral du RGPD est une bête difficile à manier, qui contient 99 articles individuels.
En quoi Mautic respecte le RGPD ?
En utilisant ce logiciel de marketing automation, vous n’êtes pas sans savoir que votre stratégie repose avant tout sur le marketing permissif à travers l’inbound marketing, ou l’art d’attirer naturellement les utilisateurs vers votre site web. A ce titre, et dans le cadre de l’envoi d’un livre blanc ou d’une inscription à la newsletter par exemple, l’utilisateur s’engage à donner son accord pour recevoir des e-mails de votre entreprise.
L’opt-in et le double-opt-in
Mautic favorise le RGPD en proposant l’opt-in — à savoir, le consentement donné par les internautes, reconnaissant l’intérêt pour un produit ou un service et autorisant un tiers à les contacter pour de plus amples informations — et le double opt-in — qui ajoute une autre étape au processus en demandant aux utilisateurs de confirmer leur e-mail, une pratique qui réduit le nombre de destinataires mais augmente généralement la qualité des prospects — permettant ainsi de respecter l’ensemble des règles de protection des données.
La gestion des cookies
Mautic n’intègre pas nativement la gestion des cookies dans ses fonctionnalités. Toutefois, vous pouvez facilement utiliser un script tiers qui vous permettra d’être conforme au RGPD. Parmi eux, vous retrouverez :
- Tarte au citron : script javascript permettant de gérer les cookies de façon automatique et conforme aux recommandations du RGPD, auquel s’ajoute un potentiel d’utilisation (plugin WordPress, modification du texte, des couleurs, statistiques, etc.) – Interconnecté à Mautic.
- Axeptio : permet de traiter tous les aspects de la loi sur les cookies, notamment : informer efficacement les clients, obtenir et sauvegarder les paramètres de consentement aux cookies, bloquer préventivement les scripts avant le consentement, garder une trace du consentement et sauvegarder les paramètres de consentement pour chaque utilisateur.
Les visiteurs fantômes
Un visiteur fantôme est dit d’un utilisateur qui visite un site tracké par Mautic : soit ce visiteur existe dans la base de données, ce qui signifie qu’il dispose déjà d’un cookie et que l’on vient enrichir son profil. Soit ce visiteur n’existe pas et nous allons lui attribuer un cookie Mautic.
Conformément à la loi sur le RGPD, les données de ce visiteur fantôme doivent être supprimées s’il ne s’est pas rendu sur votre site depuis plus de 13 mois.
Sur Mautic, vous avez non seulement la possibilité de les supprimer à la fin de cette échéance, mais vous pouvez aussi en écourter la durée à 6 mois. C’est d’ailleurs ce que nous faisons par défaut chez WebAnyOne. Quel intérêt, me direz-vous ? C’est très simple et cela s’explique par deux cas de figure :
- Un utilisateur qui s’est rendu sur votre site une fois et n’est jamais revenu : ce visiteur a un risque élevé de ne pas coller au profil de votre cible. Une visite unique suggère qu’il s’est perdu dans son processus de recherche.
- Un visiteur qui ne s’est pas rendu sur votre site depuis plus de six mois est un visiteur qui peut avoir supprimé ses cookies. Autrement dit, s’il a supprimé ses cookies, vous n’avez aucune chance de le revoir.
Dans ces deux cas de figure, vous n’avez pas d’intérêt à conserver les données de vos utilisateurs au-delà de six mois.
Les contacts connus
Conformément à la loi sur le RGPD, un contact connu qui n’a pas eu d’activité sur un site depuis plus de 3 ans doit être supprimé.
A ce titre, Mautic vous permet de créer des segments centralisant les contacts inactifs. Ainsi, à la fin d’une échéance donnée, à savoir 3 ans maximum, Mautic se charge de nettoyer la base de données en supprimant ces contacts.
Chez WebAnyOne, nous recommandons de ne pas attendre ce délai mais bien de reconquérir et réactiver les contacts endormis au bout de 3 à 6 mois par le biais de campagnes dédiées. C’est pourquoi, grâce aux segments créés sur Mautic, vous pourrez mettre en place des campagnes de réactivation.
Notre équipe est à votre disposition pour vous apporter tous les conseils nécessaires à la mise en place de ce type d’actions.
L’anonymisation des IP
Mautic est en capacité de gérer l’anonymisation des adresses IP. Cette fonctionnalité permet aux propriétaires de sites de demander à ce que les adresses IP de tous leurs utilisateurs soient rendues anonymes dans Mautic. Cette fonctionnalité est conçue pour aider les propriétaires de sites à respecter leurs propres règles de confidentialité ou, dans certains pays, les recommandations des autorités locales chargées de la protection des données, qui peuvent les empêcher de stocker les données complètes associées aux adresses IP.
L’anonymisation (ou le masquage) des adresses IP se produit dès la réception des données par Mautic, avant même qu’elles ne soient stockées ou traitées.
Les données hébergées en Europe
Et plus précisément en France !
Avec Mautic, les données, par contrat, appartiennent au client. Si, pour une raison ou une autre, vous souhaitez mettre fin à ce contrat : soit les données sont supprimées, soit notre équipe WAO effectue un backup de votre base et vous les envois afin que vous puissiez les gérer.
Contractuellement, WebAnyOne n’est en aucun cas propriétaire des données et n’exploite pas les données de ses clients. L’hébergement est centralisé chez des acteurs en français, à savoir OVH et Scaleway.
Et WebAnyOne dans tout ça ?
En plus de respecter le RGPD, WebAnyOne a suivi toutes les étapes lui permettant d’être conforme au Règlement Général sur la Protection des Données.
La mise en conformité permet à la fois de structurer notre organisation tout en suscitant la confiance de nos clients et partenaires. Sur simple demande, notre équipe s’engage à vous remettre les registres de traitement relatifs à cette mise en conformité.