Cet article présente le processus utilisateur et les acteurs impliqués. Il fournit également des informations générales sur la gestion de la protection des données.

Cet article traite principalement du RGPD. La configuration et l'usage des demandes d'accès et de suppression sont identiques pour le RGPD et le CCPA. 

Qu'est-ce que le RGPD ?

Bien que le RGPD inclue de nouvelles obligations et des exigences renforcées, les principes fondamentaux des obligations en matière de protection des données dans l'UE restent les mêmes. Un grand nombre des obligations incombant au responsable du traitement des données imposées à Adobe Campaign en vertu du RGPD sont d'ores et déjà respectées par les fonctionnalités du produit. Nous avons profité du RGPD pour ajouter des fonctionnalités en vue de faciliter la préparation au RGPD, lorsque cela était possible. En effet, notre mission est de collaborer avec nos clients et de jouer notre rôle pour les aider à se conformer au RGPD en tant que contrôleurs de données.

  • Titulaire de données : dans le cadre d'Adobe Experience Cloud, les titulaires de données sont les clients ou les utilisateurs finaux d'Adobe Campaign.

  • Contrôleur de données : dans le cadre d'Adobe Experience Cloud, les contrôleurs de données sont les clients d'Adobe. Ils possèdent et contrôlent les données qu'ils hébergent sur leurs clients (titulaires de données). Ils désignent généralement l'administrateur chargé de la protection des données ou un autre point de contact client pour les demandes RGPD. Cette personne est responsable, entre autres, de fournir les avis et d'obtenir tous les consentements nécessaires pour collecter les informations des utilisateurs finaux. Elle est également chargée de valider l'identité du titulaire de données et d'obtenir les bonnes informations auprès du titulaire de données pour les transmettre à différents prestataires, notamment Adobe Campaign. Important : il est de la responsabilité du contrôleur de données de confirmer l'identité du titulaire de données effectuant la demande et de confirmer que les données renvoyées au demandeur concernent le titulaire de données.

  • Responsable du traitement des données : Adobe est considéré comme responsable du traitement des données. Nous traitons les données en fonction des instructions et des accords que nous avons conclus avec nos clients (contrôleurs de données).

  • Consentement : signifie que le titulaire de données a donné son accord pour traiter les données personnelles le concernant. Le consentement est de la responsabilité du contrôleur de données.

  • Accès (droit d'accès) : également appelé Droit d'accès du titulaire de données, l'Accès autorise le titulaire de données à avoir accès aux informations personnelles que possède un contrôleur de données le concernant et d'obtenir des informations sur celles-ci.

  • Suppression (droit à l'oubli) : également appelé Effacement des données, la Suppression autorise le titulaire de données à demander au contrôleur de données d'effacer ses données personnelles, de cesser la diffusion des données et de faire cesser le traitement des données par des tiers.

Remarque : Adobe ne propose pas de conseils juridiques. Tous les clients doivent collaborer avec leur service juridique pour s'assurer que toutes les mesures nécessaires sont prises pour le respect du RGPD.

Préparation pour les demandes d'accès et de suppression des données

  • Définissez un processus pour recevoir les demandes formulées par les titulaires des données et y répondre, en désignant un point de contact en charge de la protection des données.

  • Examinez les différents types de données client stockées dans Adobe Campaign et définissez des identifiants uniques (il en faudra certainement plusieurs).

  • Définissez des règles et procédures d'authentification et de validation de l'identité des titulaires des données.

  • Penchez-vous sur la réponse adressée au titulaire des données et assurez-vous qu'elle est parfaitement compréhensible.

Obtention du consentement

  • Faites l'inventaire des points de contact utilisés pour la capture des données et actualisez-les pour garantir votre conformité avec le RGPD (tenez compte de la langue, du mécanisme d'obtention du consentement et de la conservation de l'historique de ces derniers, par exemple).

  • Vérifiez que tous les emails marketing comprennent un lien de désabonnement.

  • Evaluez la stratégie globale d'email marketing pour définir des mises en œuvre propres à chaque zone géographique.

Contrôle des données

  • Passez en revue toutes les sources de collecte et d'import des données transitant par Adobe Campaign, et documentez les champs utilisés dans le cadre de vos actions marketing.

  • Supprimez tout attribut de données non utilisé de votre base de données Adobe Campaign.

  • Utilisez les données disponibles dans Adobe Campaign aux fins pour lesquelles elles ont été collectées, et offrez aux destinataires une expérience plus personnalisée.

  • Passez en revue les autorisations d'accès aux données et mettez-les à jour pour que les utilisateurs d'Adobe Campaign puissent exploiter uniquement les données nécessaires à l'exécution de leurs campagnes, sans accéder aux autres données.

  • Vérifiez que chaque utilisateur d'Adobe Campaign dispose des droits d'accès nécessaires pour exécuter ses tâches, mais qu'il ne dispose d'aucun autre droit pour effectuer d'autres tâches.

Lorsqu'un consentement est nécessaire pour certaines activités de marketing, celui-ci doit être actif (aucune case pré-cochée par exemple), dissocié, et peut ne pas être une condition à l'offre des services. Dans certains cas, les consentements doivent même être actualisés pour continuer à utiliser les données par la suite. Plutôt que de considérer ces obligations renforcées en matière de consentement RGPD comme un risque, les responsables marketing peuvent les adopter comme un indicateur de l'engagement et de la fidélité à la marque, ainsi que de la satisfaction et de la confiance des clients.

Adobe Campaign contient déjà des fonctionnalités permettant de gérer les consentements à un plus grand nombre de niveaux que celui utilisé par les responsables marketing via les champs de données personnalisés ou les services. Les responsables marketing doivent consulter leur service juridique pour savoir comment procéder, puis tirer parti des fonctionnalités déjà intégrées à Adobe Campaign. Par exemple, ils peuvent étendre le modèle de données dans Adobe Campaign pour tracker non seulement les personnes qui ont donné leur accord, mais aussi la data et l'heure de l'accord et un certain type d'indicateur qui capture la portée précise du consentement.

Toutes les données concernant le titulaire de données seront supprimées, notamment les tables personnalisées et d'usine. En termes techniques, toutes les données associées au titulaire de données avec un lien de type integrity="own" seront supprimées. En tant que contrôleur de données, vous avez la possibilité de procéder à une personnalisation en modifiant l'intégrité des liens définis dans les schémas de données (par exemple, si vous ne supprimez pas certaines données pour une raison particulière).

Dans Adobe Campaign, les rapports reposent sur des indicateurs calculés sur des données agrégées issues des logs de diffusion et de tracking. Par conséquent, la suppression des journaux ne doit pas avoir d'incidence sur les mesures affichées dans les rapports.

Lorsque vous recevez une demande de suppression, vous devez vérifier, en tant que contrôleur de données, que vous supprimez de tous vos systèmes toutes les données nécessaires concernant le titulaire de données.

Un titulaire de données peut donner à nouveau son accord ou être ajouté comme nouveau destinataire après la suppression de ses données d'Adobe Campaign. Vous pouvez avoir recours à l'outil de suivi qui détaille quand la dernière suppression a eu lieu et quand le nouveau destinataire a été créé.

Acteurs impliqués et flux

Adobe Campaign  propose les fonctionnalités suivantes pour faciliter votre préparation au RGPD : Droit d'accès, Droit de suppression, Gestion du consentement, Conservation des données et Gestion des droits.

Cette section présente ces fonctionnalités et fournit un exemple de cas pratique RGPD pour que vous compreniez le flux général ainsi que les différents acteurs impliqués : Titulaire de données, Contrôleur de données et Responsable du traitement des données.

Principales fonctionnalités

Voici les cinq principales fonctionnalités proposées par Adobe Campaign pour le RGPD :

Cas pratiques RGPD
  • Droit d'accès : permet au titulaire de données de recevoir une copie de ses données personnelles collectées par les contrôleurs de données, notamment les données stockées dans Adobe Campaign.

  • Droit de suppression : autorise le titulaire de données à demander la suppression de ses données personnelles collectées par les contrôleurs de données, notamment les données stockées dans Adobe Campaign.

  • Gestion du consentement : permet au titulaire de données d'accepter (ou non) le traitement de ses données personnelles.

  • Conservation des données : une période de conservation spécifique est définie pour chaque table d'Adobe Campaign, ce qui limite le stockage des données.

  • Gestion des droits : Adobe Campaign propose des droits d'accès pour vous permettre de gérer les utilisateurs pouvant accéder à différents types de données.

Exemple de cas pratique

Voici un exemple de cas pratique général relatif au RGPD :

Flux RGPD

Dans cet exemple, une compagnie aérienne est un client d'Adobe Campaign. Cette compagnie est le contrôleur de données et tous les clients de la compagnie aérienne sont des titulaires de données. Laura, dans ce cas spécifique, est un client de la compagnie aérienne.

Voici les différentes personnes utilisées dans cet exemple :

  • Laura est titulaire de données. Elle reçoit des messages de la part de la compagnie aérienne. Laura peut faire partie d'un programme de fidélisation, mais peut décider à tout moment qu'elle ne souhaite plus recevoir de publicité personnalisée ou de messages marketing de la part de la compagnie aérienne. Elle demandera dans ce cas à la compagnie aérienne (en fonction de sa procédure) de supprimer le numéro associé au programme de fidélisation.

  • Anne est contrôleur de données. Elle reçoit la demande de Laura, récupère les identifiants utiles requis pour identifier le titulaire de données et soumet la demande dans Adobe Campaign.

  • Adobe est responsable du traitement des données.

Voici le flux général de ce cas pratique :

  1. Le titulaire de données envoie une demande RGPD au contrôleur de données par email, par le biais du service à la clientèle ou d'un portail web.

  2. Le contrôleur de données transmet la demande RGPD à Campaign via l'interface ou à l'aide d'une API.

  3. Campaign reçoit la demande, la traite et envoie une réponse ou une confirmation au contrôleur de données.

  4. Le contrôleur de données examine ensuite les informations et les envoie au titulaire de données.