SendinBlue Blog

Choisissez une catégorie :

Comment SendinBlue s’est mis en conformité avec le RGPD

RGPD ? Ces quatre lettres désormais connues de (presque) tous suscitent un vif intérêt et deviennent une préoccupation majeure des entreprises disposant de données de citoyens européens.

Petit retour en arrière pour découvrir comment votre plateforme SendinBlue s’est mise en conformité avec le Règlement Général sur la Protection des Données depuis début 2017.

1 – Les débuts de la réflexion et les premières mesures

Début 2017, la notion de RGPD était encore floue et peu connue du grand public. SendinBlue a cependant très vite engagé sa réflexion sur le sujet et sur les implications de son entrée en vigueur.

Il nous est apparu évident que nous nous devions de mener un travail de fond, en particulier en tant que sous-traitant des données personnelles pour le compte des utilisateurs.

La mission de SendinBlue a toujours été de mettre à disposition des TPE-PME des outils marketing clés en main. Ainsi, en plus de notre propre mise en conformité, nous nous sommes efforcés d’aider nos utilisateurs à assurer simplement leur propre mise en conformité.

La première action a été de nommer Amalia Bercot – Directrice des Opérations – en tant que coordinatrice de la réflexion et de la mise en conformité.

L’objectif étant de s’assurer que Sendinblue poursuivrait sa vocation première : permettre aux PME de communiquer avec leurs clients et prospects en respectant cette nouvelle règlementation.

Amalia s’est très vite appuyée sur l’expertise du cabinet Keley Data (cabinet de conseil spécialisé dans les sujets data) afin de débuter un premier audit des traitements réalisés par SendinBlue.

Un premier audit a ensuite été lancé et a permis d’identifier les fonctionnalités clés pour accompagner nos utilisateurs, les zones sensibles et d’établir un plan d’actions de mise en conformité avec le RGPD.

2 – La démarche de mise en conformité

La mise en conformité de SendinBlue s’est faite petit à petit et a permis de traiter les aspects sécuritaires, légaux, techniques, organisationnels et humains en parallèle.

2.1 – L’adaptation de fonctionnalités clés

Nous avons lancé une grande réflexion avec certains utilisateurs, nos chargés de compte, l’équipe produit, l’équipe technique et nos avocats pour identifier les étapes clés liées au RGPD dans le parcours SendinBlue.

Le devoir d’information dans un contexte de co-responsabilité

Informés sur l’arrivée prochaine du RGPD, de nombreux utilisateurs ont commencé à nous solliciter avec des questions très pertinentes dès le printemps 2017.

Nous avons ainsi mis à leur disposition de nombreuses informations sur les bonnes pratiques à mettre en œuvre pour être conforme au RGPD.

Ces informations sont particulièrement présentes au sein de la plateforme, pour les étapes clés que sont l’import de contacts, la création d’un formulaire de recueil du consentement ou la création du template emailing.

Une section spécifique a été ajoutée au centre d’aide et nous organisons régulièrement des webinars d’information sur le sujet.

Droits à la rectification, à l’oubli et à la portabilité

Il est déjà possible depuis plusieurs années d’exercer ses droits à la rectification, à l’oubli et à la portabilité. Nous n’avons donc pas eu de changements à apporter à ce niveau. Par contre, comme indiqué plus haut, nous avons détaillé les modalités d’exercice de ces droits.

Logs transactionnels

Jusqu’à présent, les logs transactionnels étaient conservés par défaut sans limite de durée.

Dès la fin mai 2018, il sera possible pour chaque utilisateur de définir la durée pendant laquelle il souhaite conserver les logs de ses envois transactionnels, ainsi que la prévisualisation du contenu de ses messages.

Cette fonctionnalité est déjà disponible en en faisant la demande au service client.

Formulaire d’inscription à la newsletter

Une attention particulière a été apportée aux formulaires de collecte de contacts.

Il est désormais possible de gérer des préférences d’inscription en ajoutant les contacts à des listes spécifiques en fonction de leurs choix. Nous proposons des mentions standard d’accès à la politique de confidentialité de la marque.

Preuve du consentement

Une fois la collecte réalisée dans les règles de l’art, la preuve du consentement du contact sera intégralement disponible sur sa fiche contact.

Il y sera spécifié le moment exact de son inscription, l’identifiant du formulaire par lequel il s’est inscrit, ainsi que son IP. Ces informations seront exportables, pour permettre à nos utilisateurs d’apporter la preuve du consentement si besoin.

2.2 – Une revue poussée de la sécurité

Sujet sensible, la sécurité des données a toujours été notre priorité. Le RGPD nous a permis d’aller encore plus loin : assurer une sécurité hermétique des transferts et du stockage des données et permettre un suivi et un contrôle des données et de l’accès à ces dernières.

L’installation de systèmes d’archivage et de traçabilité

La prévention des fuites de données nécessite un contrôle précis des traitements effectués.

Nous avons ainsi mis en place une traçabilité des données tout au long des traitements réalisés via notre plateforme grâce à un système de suivi et d’identifications des logs.

Par ailleurs, nous avons cherché à sécuriser au maximum les données archivées de nos clients. Elles sont hébergées dans des bases de données séparées et les données personnelles sont chiffrées.

L’archivage est réalisé uniquement pour des raisons légales, les bases étant ensuite purgées à l’issue du délai de conservation.

Le lancement de tests d’intrusion

Nous avons commencé par travailler avec un cabinet de conseil spécialisé en cyber-sécurité qui nous a complimenté sur la difficulté d’intrusion de nos systèmes.

Convaincus que l’on peut toujours faire mieux, nous avons fait appel à Bounty Factory. Cette société bretonne regroupe une communauté de chercheurs en sécurité qu’on peut solliciter pour tester la sécurité de son système d’information.

Le programme incite vivement à la recherche de bugs, puisque chaque bug identifié est récompensé par un bounty, soit une récompense.

Ce modèle de « récompense » incite fortement à la détection de failles et garantit à SendinBlue une détection de la plupart des risques d’intrusion.

2.3 – La gestion de nos partenaires et sous-traitants

Avec le RGPD apparaît la notion de co-responsabilité : désormais, toutes les parties prenantes, qu’elles soient responsables du traitement ou un des sous-traitants de la chaîne, portent une part de responsabilité dès lors que le traitement s’effectue sur des données personnelles.

Portant ce double rôle, nous avons mis en œuvre pour tous nos partenaires des moyens de garantir cette conformité sur toute la chaîne de réalisation des traitements.

Dans le cadre du RGPD et de la notion de co-responsabilité, SendinBlue se doit de garantir la conformité de ses propres sous-traitants avec le règlement.

Nous avons donc contacté chacun de nos sous-traitants avec des questions précises sur leurs propres traitements de données. Nous nous sommes ainsi assurés que leurs processus de traitement des données étaientt conforme au RGPD et à nos engagements vis-à-vis de nos clients.

Nous avons dû prendre la décision de cesser la collaboration avec les sous-traitants ne présentant pas de réponses satisfaisantes à nos questions.

Lorsque les réponses étaient satisfaisantes, nous avons contractualisé ces engagements par des DPA (Data Processing Agreement).

Le DPA est un document spécifiant le type et les modalités des traitements effectués par le sous-traitant pour le compte de SendinBlue, ce qui permet d’assurer un cadre réglementaire et une traçabilité des données.

Pour nos sous-traitants domiciliés aux Etats-Unis, nous avons de surcroît vérifié leur certification Privacy Shield, condition nécessaire pour le traitement de données de citoyens européens.

2.4 – La gestion de l’aspect légal

Bien évidemment, nous avons adapté notre documentation légale, en particulier les Conditions Générales d’Utilisation des services de SendinBlue ainsi que la politique de confidentialité, toutes deux présentes sur le site à disposition des internautes.

Nous avons fait appel à Gide, cabinet d’avocats de premier plan, afin de mettre par écrit dans des documents exhaustifs et transparents nos engagements et ceux des utilisateurs.

Une clause de sous-traitance a ainsi été rédigée et accolée aux CGU, de manière à spécifier le rôle et les responsabilités de SendinBlue vis-à-vis de ses utilisateurs dans le cadre de la fourniture de ses services.

2.5 – Les implications du règlement sur l’organisation interne de SendinBlue

Le RGPD nous a également incité à optimiser notre organisation interne et à faire émerger au sein de notre entreprise des bonnes pratiques et des comportements respectueux des grands principes du règlement.

La sensibilisation du personnel

La mission de certains employés de SendinBlue requiert un accès privilégié à certaines données personnelles.

C’est par exemple le cas des chargés de compte, qui ont besoin d’accéder à certains éléments du compte de leurs clients pour répondre à leurs questions.

Nous avons commencé par approfondir la clause de confidentialité à laquelle les salariés sont tenus et avons mis en place des sessions de formation.

Une formation générale informe l’ensemble des équipes des règles du RGPD, et des sessions spécialisées viennent enrichir cette formation pour les équipes les plus concernées.

Cela permet au personnel de l’entreprise d’acquérir une connaissance éclairée de leurs obligations afférentes au nouveau règlement.

La mise en place de procédures et de contrôles internes

Afin d’assurer un suivi et une bonne application de la mise en conformité, des procédures internes ont été revues, notamment concernant la gestion des accès du personnel, la gestion des demandes d’exercice des droits des personnes concernées et la gestion de la conservation et de la purge des données.

Un plan de contrôle a été établi afin de vérifier régulièrement la bonne application des procédures mises en place et la mise à jour de la documentation.

La nomination de personnes en charge de la bonne tenue de la mise en conformité

La mise en conformité a été gérée par notre directrice des opérations. Nous avons en parallèle nommé un DPO (Data Protection Officer ou Délégué à la Protection des Données en français), Jules Jeanroy, qui a la responsabilité de s’assurer que la conformité de SendinBlue avec le RGPD est effective dans le temps.

Il s’agit pour le DPO de contrôler régulièrement l’application des différents aspects du règlement et d’assurer un respect des grands principes du RGPD, en particulier celui de Privacy by Design : la vérification de la conformité d’un traitement avant sa mise en œuvre.

Il sera secondé d’un SecOps pour les aspects concernant la sécurité et la traçabilité des données. Notre DPO est joignable directement à [email protected]

3 – Bilan et prochaines étapes

La démarche de mise en conformité avec le RGPD n’est, en soi, jamais vraiment terminée : il s’agit en effet de vérifier régulièrement que les principes du texte sont respectés en interne et de passer chaque nouveau traitement à la loupe du Privacy by Design.

SendinBlue est fier d’avoir accompli la première partie du trajet, il s’agit désormais de maintenir cette conformité dans la durée, source de confiance pour nos clients.

Cette démarche aura eu pour avantages :

  • De sensibiliser et de faire collaborer les différentes équipes de l’entreprise vers un objectif commun
  • De rendre les processus de gestion des données encore plus rigoureux
  • D’atteindre une mise en conformité rapide grâce à l’intervention de ressources externes
  • De faire un état des lieux innovant de la sécurité du SI et de mettre en place les correctifs nécessaires
  • De renforcer le lien entre SendinBlue et nos utilisateurs à travers la mise à disposition de moyens de mise en conformité depuis l’interface de la plateforme

Près de 150 personnes chez SendinBlue, engagées dans le RGDP, ont à cœur d’assurer une sécurité et une confidentialité des données qui leur sont confiées et répondront très volontiers à vos questions ou à vos demandes sur le sujet.

Si vous avez des questions concernant la mise en conformité de SendinBlue avec le RGPD, merci de les envoyer à l’adresse suivante : [email protected]

Étiquettes :

Laisser une réponse

Essayez notre plan gratuit jusqu'à 300 emails par jour

Pas besoin de carte bancaire. Sans engagement.

Comment SendinBlue s’est mis en conformité avec le RGPD

Temps de lecture : 9 min