Le RGPD et HubSpot

Les propositions de HubSpot pour vous aider à vous conformer au règlement RGPD.

  1. Si vous travaillez dans une entreprise B2B ou B2C, vous avez probablement entendu parler du nouveau règlement européen : le règlement général sur la protection des données (RGPD). Il s'agit d'un ensemble de règles visant à renforcer la protection des données personnelles des citoyens européens et à obliger les organisations à traiter ces données de façon plus transparente et sécurisée. Le RGPD ne s'applique pas qu'aux entreprises de l'Union européenne, mais également à toutes celles qui contrôlent ou traitent les données des citoyens européens.

    HubSpot vise à assurer la conformité de ses pratiques avec le règlement RGPD. Il est tout aussi important pour HubSpot de vous aider, partenaires et clients, à comprendre ce que signifie le RGPD pour vos entreprises et à assurer la conformité de vos processus.

    Une grande partie de ce processus consiste à s'assurer que la plateforme HubSpot vous permet de vous conformer au RGPD. En toute transparence, si le logiciel HubSpot existant peut être utilisé de sorte à respecter le RGPD, ce processus peut s'avérer difficile et impliquer des solutions de contournement complexes.

    D'ici le 25 mai (et au-delà), HubSpot s'engage à renforcer sa plateforme de sorte à faciliter la mise en conformité avec le RGPD.

    HubSpot a créé cette page pour répondre à toutes vos questions concernant les mises à jour des produits liées au nouveau règlement européen d'ici le 25 mai.

    AVERTISSEMENT : Le présent site web ne constitue pas un opus sur la confidentialité des données au sein de l'UE ni un conseil juridique sur lequel votre entreprise peut se fonder pour se conformer aux lois européennes sur la confidentialité des données, comme le RGPD. Il vise uniquement à contextualiser la façon dont HubSpot a abordé certains points juridiques importants pour en favoriser la compréhension. Fournir des informations à caractère juridique n'équivaut pas à exercer un conseil juridique. Seul un avocat est habilité à interpréter la législation en fonction d'une situation particulière. HubSpot recommande donc de consulter un professionnel compétent pour toute question ayant trait à l'interprétation des informations ci-dessous ou à leur exactitude. Veuillez ne pas considérer cet article comme valant conseil juridique, ni recommandation à caractère légal.  Les produits, services et autres capacités décrits dans le présent article ne conviennent pas à toutes les situations et peuvent présenter une disponibilité limitée.

     

     

    Note : HubSpot s'efforce de mettre en place des fonctionnalités qui facilitent la conformité avec le RGPD. Certaines de ces fonctionnalités se traduisent par l'ajout de boutons Activé/Désactivé, qui auront pour effet de faire apparaître ou de masquer certaines fonctionnalités de votre compte, ou de modifier leur fonctionnement.

    Au vu de la complexité du RGPD, l'utilisation de ces boutons ne suffira pas à assurer la mise en conformité de votre entreprise, qui en sera néanmoins simplifiée.

Stratégie produit

Les mises en œuvre et le calendrier de HubSpot

  1. Vous trouverez ci-dessous une liste détaillée d'éléments à mettre en œuvre pour vous permettre de vous conformer au nouveau règlement. Concernant l'avancement, HubSpot a déjà commencé à mettre en œuvre nombre de ces nouveaux éléments et continuera au cours des deux prochains mois. HubSpot prévoit de mettre en œuvre tous ces éléments d'ici le 25 mai 2018.

    Pour commencer, il est important de connaître les termes juridiques liés au RGPD.

    Imaginez qu'Anne, une citoyenne européenne, se trouve dans vos contacts. Il s'agit d'une « personne concernée » et votre entreprise (nommée Acme Corp. dans cet exemple) est le « responsable du traitement » de cette donnée. Si vous faites partie des clients de HubSpot, HubSpot devient le « gestionnaire du traitement » des données d'Anne pour le compte d'Acme. Avec l'arrivée du RGPD, les personnes concernées comme Anne se voient attribuer un ensemble de droits et les responsables et les gestionnaires du traitement comme Acme Corp. et HubSpot se voient attribuer un ensemble de règles.

 
Signification
Mise en œuvre prévue par HubSpot
Base juridique de traitement

Signification

Vous devez avancer une raison juridique pour utiliser les données d'Anne. Ces raisons incluent le consentement (elle s'est engagée) éclairé (vous lui avez précisé ce à quoi elle s'engageait), l'exécution d'un contrat (par exemple, il s'agit de votre client et vous souhaitez lui envoyer une facture) ou le principe des « intérêts légitimes » (par exemple, il s'agit d'un client et vous souhaitez lui envoyer des produits liés à celui dont elle dispose actuellement).

Vous devez pouvoir contrôler toute évolution de cette raison (également connue sous le nom de « base juridique ») pour un contact donné.

Mise en œuvre prévue par HubSpot

HubSpot ajoutera une nouvelle propriété à sélection multiple permettant de contrôler les évolutions de cette base juridique. Cette propriété sera modifiable manuellement ou par automatisation. Par exemple, vous pouvez configurer un workflow automatisé pour définir la propriété de la base juridique lorsqu’Anne signe un contrat.

En outre, vous pourrez contrôler et vérifier l’octroi de la base juridique pour la nouvelle propriété à l’aide de l’historique des propriétés.

Disponible depuis de 27 avril
En savoir plus (en anglais) - Informations bientôt disponibles en français

Consentement

Signification

Le premier type de base juridique de traitement est le consentement éclairé.

Pour obtenir le consentement d'Anne conformément au RGPD, certains éléments sont nécessaires :

• Elle doit savoir ce à quoi elle s'engage. C'est ce qui s'appelle le « consentement éclairé ».

• Il doit s'agir d'un acte positif clair (les cases pré-cochées ne sont pas valides). Remplir un simple formulaire ne peut pas l'engager implicitement à recevoir toutes les communications de votre entreprise.

• Le consentement doit être granulaire, ce qui signifie qu'il doit détailler toutes les sortes de traitement et d'utilisation des données personnelles d'Anne (par exemple, e-mail marketing ou appels commerciaux). Vous devez conserver une preuve documentée de ce à quoi Anne a consenti, ce que vous lui avez dit (consentement éclairé) et la date à laquelle cela a eu lieu.

Mise en œuvre prévue par HubSpot

HubSpot ajoute des fonctionnalités pour faire en sorte que la collecte, le contrôle et la gestion du consentement, conformément au règlement RGPD, soient aussi simples que possible.

Les trois outils les plus utilisés par les clients de HubSpot pour attirer de nouveaux clients sont les outils Formulaires, Messages (Conversations) et Réunions. Il s'agit de différents canaux par lesquels Anne aurait pu s'engager initialement avec Acme.
Chacun de ces outils vous permet de renseigner Anne de façon appropriée avant qu'elle ne vous fournisse des informations (à l'aide des zones de texte dans les formulaires) et de recueillir son consentement lorsqu'elle est prête à l'accorder.

Détail supplémentaire sur le consentement éclairé : si vous avez besoin d'un lien vers des dispositions supplémentaires (telles que des déclarations de confidentialité), vous pouvez utiliser des liens hypertextes dans les formulaires.
Une fois qu'Anne aura soumis ses informations, HubSpot conservera une copie de son consentement éclairé, des informations fournies et de la date de l'interaction.

HubSpot mettra à disposition ce niveau de contrôle du consentement pour d'autres formes de création de contacts : imports, API et ajouts manuels.
En plus de cette modification, la page de préférences d'abonnement sera mise à jour pour répondre aux besoins du RGPD. Cette page permet actuellement à Anne de se désabonner de certains types de communications.Elle sera mise à jour pour répondre aux préférences d'abonnement.

Disponible en ce moment
En savoir plus (en anglais) - Informations bientôt disponibles en français

Retrait du consentement (ou désabonnement)

Signification

Anne doit pouvoir (en tant que personne concernée) voir ce à quoi elle s'est inscrite et retirer son consentement (ou s'opposer à la manière dont vous traitez ses données) à tout moment. En d'autres termes, le retrait du consentement doit être aussi simple que son accord.

Mise en œuvre prévue par HubSpot

Dans HubSpot, Anne peut retirer son consentement depuis la page de préférences d'abonnement. Une fois les changements relatifs au consentement effectués, cette page reflétera son consentement positif pour chaque type de communication. Elle peut retirer son consentement facilement et à tout moment depuis la page de préférences d'abonnement. Si vous recevez un retrait de consentement provenant directement d'Anne, vous serez en mesure de modifier la propriété du contact de la base juridique mentionnée ci-dessus.

En outre, tous les e-mails directs envoyés via HubSpot Sales seront mis à jour pour pouvoir inclure des liens de désabonnement (y compris les messages envoyés via l'outil Séquences).

Disponible en ce moment
En savoir plus (en anglais) - Informations bientôt disponibles en français

Cookies

Signification

Anne doit être avertie que vous utilisez des cookies pour suivre son activité (dans une langue qu'elle peut comprendre) et doit donner son consentement à ce sujet.

*** HubSpot sait que le règlement ePrivacy sera bientôt en vigueur et qu'il peut avoir un impact sur la réglementation des cookies. HubSpot ajustera son logiciel en conséquence.

Mise en œuvre prévue par HubSpot

HubSpot mettra à jour la langue par défaut pour activer les cookies sur les sites web hébergés, pour refléter les consentements positifs et pour permettre d'afficher le message concernant les cookies dans la langue appropriée, selon les URLs ou les domaines spécifiés.

Disponible en ce moment
En savoir plus (en anglais) - Informations bientôt disponibles en français

Suppression

Signification

Anne peut à tout moment demander la suppression de toutes les données personnelles que vous détenez sur elle. Le règlement RGPD exige alors la suppression permanente du contact d'Anne dans votre base de données, y compris dans votre historique de suivi des e-mails, les journaux d'appels, les soumissions de formulaires et autres.

Dans la plupart des cas, vous devrez répondre à sa demande dans les 30 jours. Le droit à la suppression n'est pas absolu et peut dépendre du contexte de la demande, de sorte qu'il ne s'applique pas systématiquement.

Mise en œuvre prévue par HubSpot

Vous serez en mesure d'effectuer une suppression permanente conformément au RGPD dans votre portail HubSpot.

Disponible en ce moment
En savoir plus (en anglais) - Informations bientôt disponibles en français

Accès/portabilité

Signification

Comme elle peut demander la suppression de ses données, Anne peut également demander l'accès aux informations que vous détenez sur elle. Les données personnelles sont toutes les données identifiables, comme son nom et son adresse e-mail. Si elle en demande l'accès, vous (en tant que responsable du traitement) devez lui fournir une copie des données, dans certains cas dans un format lisible par ordinateur (par exemple .csv ou .xls).

Anne peut également demander à voir et vérifier la licéité du traitement (voir plus haut).

Mise en œuvre prévue par HubSpot

HubSpot vous permet de répondre à toute demande d'accès/de portabilité en exportant la fiche d'informations d'Anne dans un format lisible par ordinateur. Les données relatives à l'engagement, comme les tâches, les notes et les appels, ne sont pas comprises dans l'exportation de la fiche d'informations d'un contact et sont accessibles via les API d'engagement du CRM.

Vous pouvez vérifier la licéité du traitement des données d'Anne grâce à la propriété du contact associée mentionnée plus haut.

Disponible en ce moment
En savoir plus (en anglais) - Informations bientôt disponibles en français

Modification

Signification

Comme elle peut demander la suppression ou l'accès à ses informations, Anne peut demander à votre entreprise de modifier ses données personnelles si celles-ci sont inexactes ou incomplètes. Si elle le fait, vous devez être en mesure de répondre à cette demande de modification.

Mise en œuvre prévue par HubSpot

Si Anne vous demande de modifier ses données personnelles dans HubSpot, vous (ou l'administrateur de votre portail) devez procéder à cette modification dans sa fiche d'information.

Déjà disponible

Mesures de sécurité

Signification

LE RGPD exige un grand nombre de garanties en matière de protection des données, depuis le chiffrement des données au repos et en transit aux contrôles d'accès, en passant par la pseudonymisation et de l'anonymisation des données.

Mise en œuvre prévue par HubSpot

Dans le cadre de la mise en conformité relative au GDPR, HubSpot renforce ses contrôles de sécurité dans tous les domaines.

En plus des bonnes pratiques de l'industrie en matière de chiffrement, les équipes d'infrastructure de HubSpot améliorent également les systèmes d'authentification, d'autorisation et d'audit à grande échelle afin de mieux protéger les données de ses clients.
HubSpot fournira des détails supplémentaires sur ces mesures de sécurité dès qu'elles seront mises en œuvre.

En cours

Vous souhaitez connaître les dernières mises à jour de la stratégie produit ?

HubSpot mettra à jour son calendrier et ajoutera des documents sur cette page d'ici le 25 mai (et au-delà).

Transformer les obstacles que représente le RGPD en opportunités

L'avis de HubSpot sur le RGPD

  1. Maintenant que les caractéristiques des produits ont été abordées, il est temps de parler de l'état d'esprit de HubSpot vis-à-vis du RGPD, notamment celui de l'équipe marketing.

    Face à la nouveauté, la première réaction est souvent la peur, notamment la peur de la non-conformité, de la punition, de la bureaucratie.

    Pourtant, toutes les lois récentes relatives à la protection des données, de la directive européenne sur la protection de la vie privée dans le secteur des communications électroniques au RGPD, sont rédigées pour une raison toute simple : offrir une meilleure expérience aux clients et aux personnes qui font confiance à HubSpot pour ce qui est de leurs données.

    En ce sens, elles correspondent parfaitement au concept de l'inbound marketing. La pertinence, l'utilité et la transparence vous placeront sur la voie de la conformité. Le spam, l'intrusion et l'agressivité vous en éloigneront.

    Se conformer au RGPD demandera des efforts, pouvant entraîner des tensions jusqu'au jour de l'échéance. Pourtant, avec un plus grand respect par rapport aux données de vos clients, le RGPD entraînera la croissance de votre entreprise.

    Voici quelques avantages pour les entreprises, à mesure que vous avancerez dans le processus au cours des prochains mois :

    • Le RGPD prévoit des règles spécifiques permettant à vos contacts d'indiquer exactement les informations qu'ils souhaitent recevoir de votre part. D'un point de vue commercial, la procédure est tout à fait logique. Ne contactez pas des personnes qui ne le veulent pas et assurez-vous que les autres puissent choisir ce qu'elles souhaitent recevoir. Concrètement, cela entraînera moins de désabonnements et une meilleure délivrabilité.

    • Le RGPD exige davantage de transparence sur la collecte et le traitement des données. Dans le langage juridique, cela correspond au « droit d'accès » et à la « portabilité », signifiant que vos contacts peuvent demander une copie de leurs données dans un format commun. En d'autres termes, vos contacts peuvent vous demander à tout moment ce à quoi ils s'engagent et doivent être en mesure de recevoir une réponse rapide, précise et facile à traiter. Finalement, cela paraît logique. La transparence engendre la confiance.

    • Le RGPD exige que vos contacts disposent du « droit à l'oubli ». À tout moment, ils peuvent vous demander de les supprimer de votre base de données. Cela présente plusieurs avantages : le contact concerné est satisfait et vous ne perdrez plus de temps à essayer de commercialiser et vendre votre produit ou votre service à des personnes qui ne sont pas intéressées. Vous pouvez alors consacrer davantage de temps à vos meilleurs leads et clients.

    • Plus important encore, le RGPD exige une base juridique de traitement. En d'autres termes, vous devez avancer une raison juridique pour utiliser les données d'un contact, comme le consentement ou l'intérêt légitime. Pour rappel, l'achat de listes de contacts n'est pas autorisé par la politique d'utilisation équitable de HubSpot, il est interdit dans l'UE et cette interdiction est réitérée par le RGPD. Les personnes les plus susceptibles de devenir clients ne font pas partie d'un ensemble d'adresses e-mail trouvées sur internet, n'ayant potentiellement jamais entendu parler de vous, mais d'un ensemble de contacts engagés déjà intéressés par votre produit ou service. Assurez-vous que vous avez établi une base juridique afin d'obtenir une liste plus engagée, d'améliorer la délivrabilité de vos e-mails et de moins importuner vos contacts.

    Pour de nombreuses entreprises, HubSpot y compris, la conformité avec le RGPD représente une source de stress et une véritable charge de travail. Pendant ces longues heures passées à consulter le RGPD et à élaborer votre processus, ne perdez pas de vue l'objectif de la loi : offrir aux clients une meilleure expérience, plus sûre et plus transparente.

    Établir une relation de confiance est bénéfique à votre entreprise.

FAQ

Voici les réponses aux questions les plus fréquentes.

  • HubSpot a mis à jour ses conditions d'utilisation et ses conditions de traitement des données fin avril 2018. Ces documents sont déjà disponibles en anglais et les versions d'information, en français, seront publiées prochainement.

  • Ces derniers mois, HubSpot a produit un grand nombre de ressources traitant des bases du RGPD :

    • [Webinar en anglais] Compte à rebours avant le 25 mai : Comment transformer les obstacles que représente le RGPD en opportunités. Informations détaillées sur le RGPD, par les membres des équipes juridique et marketing de HubSpot.

    • Bases du RGPD. La page de ressources principales de HubSpot concernant le RGPD.

    • Glossaire du RGPD. Le RGPD a été rédigé par des juristes, il contient donc de nombreux termes du domaine. Ce glossaire vous permettra de mieux cerner les définitions les plus importantes.

    • Check-list du RGPD. HubSpot met gratuitement à disposition de ses clients et de ses partenaires une check-list de conformité pour vous aider à déterminer les étapes suivantes.

    • Recherches liées au RGPD. Comment les autres sont-ils préparés pour l'arrivée du RGPD ? Que pensent les consommateurs de ces changements ?

    • Cours de HubSpot Academy sur le RGPD. Ce cours en anglais vous explique ce qu'est le RGPD et les changements que vous devez prévoir afin de vous y conformer.

    • Le contenu du Partner Day EMEA : une présentation de 1 heure sur ces fonctionnalités, en plus d'une session d'informations de 1 heure avec l'équipe juridique/produit de HubSpot

    HubSpot ajoutera des ressources supplémentaires dans les mois à venir, avec une meilleure granularité des produits, et inclura à tout événement HubSpot pertinent le contenu du RGPD.

    En plus de ses ressources, HubSpot a dressé la liste des sites fournissant davantage d'informations sur le nouveau règlement, que vous trouverez ci-dessous.

    • Le site web de la CNIL

    • Le contrôleur européen de la protection des données ici

    • Le texte complet du RGPD ici

     

  • Non. Le règlement RGPD n'impose aucune obligation de stockage des données dans l'UE et les règles concernant le transfert des données à caractère personnel en dehors de l'UE restent en grande partie inchangées. Le RGPD autorise le transfert de données personnelles en dehors de l'UE sous certaines conditions. Le bouclier de protection des données UE-États-Unis reste un moyen valable d'assurer des garanties adéquates pour le transfert des données personnelles de l'Union européenne vers les États-Unis. Les clauses types de l'UE restent également un moyen valable de transférer légalement des données personnelles.HubSpot propose aux clients de l'UE/EEE des conditions de traitement des données incorporant les clauses types.HubSpot a également reçu une certification de conformité aux principes du bouclier de protection des données.

  • C'est à vous et à votre équipe juridique de décider.

    Sachez cependant que l'absence l'enregistrement d'un accord explicite ne signifie pas que vous ne disposez pas d'une base juridique pour traiter la fiche d'informations d'un contact. La base juridique peut prendre plusieurs formes :

    • Exécution d'un contrat. Par exemple, si Ana achète des produits chez vous, vous pouvez lui envoyer des e-mails liés au processus d'intégration, à la facturation, etc.

    • Intérêt légitime. Dans l'exemple ci-dessus, vous pouvez envoyer des e-mails à Ana à propos de produits ou de services connexes.

    • Consentement (éclairé). Un consentement libre, positif et avec acceptation, accompagné d'une explication transparente de l'objectif de collecte et d'utilisation des données.

    Conseil : Si vous ne savez plus qui de vos contacts s'est abonné à vos e-mails ou qui n'a jamais confirmé son abonnement, vous pouvez mettre en œuvre une campagne de vérification des autorisations pour supprimer de vos futurs e-mailings tous ceux qui n'ont pas confirmé leur abonnement.

    Une campagne de vérification des autorisations est un processus unique par e-mail ayant pour objectif de demander aux contacts n'ayant pas encore confirmé leur inscription d'affirmer qu'ils souhaitent toujours recevoir des e-mails de votre part. Seuls les contacts confirmant leur inscription seront conservés dans votre liste. Les autres ne recevront plus vos e-mails marketing dans HubSpot. Vous obtenez ainsi une liste de contacts tout à fait engagés, ayant prouvé qu'ils souhaitaient continuer à recevoir des e-mails marketing de votre part.

    Vous pourrez obtenir des instructions concernant l'envoi d'une campagne de vérification des autorisations dans ce document de support.
  • Oui. Lorsque l'un de vos contacts (personne concernée) vous demande de le supprimer de votre base de données, vous pourrez le faire rapidement et simplement. D'ici le 25 mai, vous serez en mesure de réaliser une suppression conformément au RGPD, qui effacera toute trace du contact dans votre système, de façon permanente.

  • La procédure de confirmation d'inscription aux e-mails (double opt-in) consiste à ajouter une étape : après avoir rempli un formulaire d'inscription, la personne doit confirmer son inscription depuis sa boîte de réception. Le RGPD n'exige pas la confirmation d'inscription aux e-mails (mais certains pays peuvent la rendre obligatoire).

    Il convient de noter que les abonnés au service de HubSpot peuvent déjà activer la fonctionnalité de confirmation d'inscription aux e-mails dans leurs portails à titre de mesure de protection supplémentaire, afin de prouver qu'ils ont obtenu le consentement requis.