Enquête de satisfaction : quelles sont les obligations liées à la RGPD ?
Lorsque vous menez une enquête de satisfaction client ou récoltez des avis clients, vous créez de facto un fichier de données. Cette pratique est réglementée dans le cadre du RGPD pour garantir la protection des données personnelles des personnes résidant dans l’Union Européenne. Que faut-il faire avant la mise en place de ce fichier ?
1. Identifier et qualifier vos données
Il est primordial de déterminer si les données collectées comportent des informations nominatives (informations personnelles). Comment les reconnaître ? Ces informations permettent d’identifier directement ou indirectement une personne physique. Cela comprend :
- l’identité (nom, prénom, date et lieu de naissance, photo),
- les adresses, mails et numéros de téléphone, n° d’immatriculation,
- les informations bancaires,
- les pseudonymes des personnes déposant un avis…
La suppression du nom de famille ne suffit donc pas. Aujourd’hui, via un moteur de recherche sur le Web, la combinaison de plusieurs données permet parfois de retrouver une personne précise par déduction. Il est donc recommandé d’établir une liste claire des données collectées afin de faciliter leur qualification et leur gestion au sein de votre organisation.
Un point souvent négligé concerne les zones de texte libre dans vos questionnaires. Un répondant peut y insérer, volontairement ou non, des informations personnelles, voire sensibles. Pour limiter ce risque, il est recommandé de privilégier les réponses fermées et d’ajouter une consigne explicite du type : « Veuillez ne pas indiquer d’informations personnelles (nom, prénom, mail, numéro de téléphone) ». Cet élément peut avoir un véritable effet sur votre niveau de conformité.
Se pose ensuite la question du degré d’anonymisation des réponses. Si vous menez une enquête strictement anonyme, c’est-à-dire qu’il est techniquement et mathématiquement impossible d’identifier une personne, même par déduction, le RGPD ne s’applique pas.
Toutefois, une anonymisation totale reste complexe à mettre en œuvre. C’est également se priver de métadonnées et d’informations précieuses pour l’analyse de la Voix du Client : recontacter un client mécontent, approfondir certaines analyses ou améliorer un parcours post-achat devient alors impossible.
À l’inverse, une collecte nominative offre un réel intérêt analytique, notamment dans le cadre d’études clients ou de dispositifs de satisfaction à chaud mais impose de respecter l’ensemble du cadre RGPD détaillé dans cet article. C’est donc un arbitrage à faire en amont, en fonction de vos objectifs.
Dès lors que vous choisissez de conserver un lien avec l’identité du client (via son email ou son ID client) pour exploiter au mieux vos résultats, vous traitez des données personnelles. Votre fichier entre alors pleinement dans le cadre du RGPD et doit respecter les règles de conformité applicables en France.
2. Définir le cadre légal : du registre des traitements à la base juridique
Depuis l’entrée en vigueur du RGPD le 25 mai 2018, la déclaration à la CNIL et la norme simplifiée NS-048 n’existent plus. Les entreprises ont désormais l’obligation de tenir en interne un registre des activités de traitement, qui recense l’ensemble des traitements de données personnelles effectués par la société. Ce document interne doit notamment préciser la finalité du traitement, les catégories de données collectées, les destinataires, et les durées de conservation. Il doit être tenu à jour et mis à disposition de la CNIL afin de démontrer votre conformité en cas de contrôle. Avant même de constituer ce registre, il est indispensable de définir la base légale sur laquelle repose votre enquête, c’est-à-dire le fondement juridique qui autorise votre organisation à solliciter vos clients. Le RGPD en prévoit plusieurs, mais deux sont particulièrement pertinentes dans le cadre des enquêtes de satisfaction.
L’intérêt légitime s’applique dans la plupart des situations courantes : enquête post-achat, suivi de la relation client, mesure de la satisfaction après une interaction ou amélioration continue d’un service, etc. Dans ce contexte, la CNIL considère généralement que le client peut s’attendre à recevoir cette sollicitation. Il n’est alors pas nécessaire de recueillir un consentement préalable pour envoyer un questionnaire, à condition que la personne puisse s’y opposer facilement et que ce traitement n’ait pas d’effet disproportionné sur les droits des personnes concernées.
Le responsable de traitement doit toutefois être en mesure de démontrer que cet intérêt est légitime et proportionné.
Le consentement, quant à lui, devient obligatoire dès lors que le traitement est plus intrusif, par exemple lorsque vous collectez des données sensibles, que vous profitez de cette enquête pour faire de la prospection commerciale, ou si vous utilisez des traceurs et cookies non essentiels pour suivre le comportement du répondant sur la plateforme ou l’outil diffusant le questionnaire. Pour être valable, ce consentement doit être libre, spécifique et matérialisé par une action positive de la personne (une case à cocher non pré-cochée, par exemple).
Cette question de la base légale se pose également lors de l’envoi de l’enquête par email. Il n’est pas nécessaire d’obtenir un consentement préalable si la personne est déjà cliente et que l’enquête porte sur une expérience qu’elle vient de vivre, la relation contractuelle existante suffit.
En revanche, lorsqu’il s’agit de prospects ou de contacts sans lien direct avec la relation existante, un consentement explicite reste requis. Une attention particulière doit aussi être portée à la liste de contacts utilisée pour la diffusion des questionnaires. Tous les contacts ne peuvent pas être sollicités dans les mêmes conditions selon leur statut et la relation entretenue avec votre société.
Cette logique de responsabilisation s’applique à la majorité des entreprises, mais le niveau de vigilance varie selon la sensibilité des données manipulées. Les acteurs des secteurs de la banque, de l’assurance, de la santé et de l’éducation doivent faire preuve d’une rigueur encore plus stricte. Les informations dont ils disposent étant hautement confidentielles, le responsable de traitement et le traitant (prestataire ou sous-traitant technique) doivent mettre en place des procédures de sécurité renforcées. Une Analyse d’Impact relative à la Protection des Données (AIPD) peut être nécessaire afin de cartographier les risques et limiter les impacts potentiels sur les libertés des personnes concernées.
3. Collecter les données de manière loyale et transparente
Une fois la base légale établie, la collecte des données doit se faire de manière loyale et transparente. Concrètement, cela signifie que chaque personne interrogée doit être informée du traitement de ses données personnelles avant de répondre à votre enquête de satisfaction. Cette obligation s’articule en deux niveaux d’information. D’abord, une mention succincte directement visible dans le questionnaire, précisant la finalité, l’identité du responsable de traitement, la base légale retenue et la durée de conservation prévue des données. Ensuite, un lien vers une politique de confidentialité complète, accessible depuis le questionnaire ou le mail d’invitation, qui détaille l’ensemble des mentions obligatoires : base légale, destinataires des données, droits des répondants, etc. Cette transparence est essentielle pour assurer la conformité de votre démarche et instaurer une relation de confiance avec vos clients.
Aujourd’hui, la Voix du Client s’exprime aussi spontanément sur le web, via des forums, des plateformes d’avis ou des réseaux sociaux. Il peut être tentant pour une société de collecter ces feedbacks et informations dans un fichier afin de nourrir ses analyses ou ses études clients, mais sans prendre quelques précautions, cette pratique peut s’avérer périlleuse. Pour être en conformité, les données ainsi récoltées doivent être strictement anonymes avant toute exploitation statistique, notamment lorsqu’il est impossible d’informer les personnes concernées de la collecte de leurs données a posteriori. Cette vigilance est essentielle, car une mauvaise pratique peut avoir un effet direct sur votre niveau de conformité.
Par ailleurs, lorsque vous faites appel à un prestataire externe pour assurer la diffusion ou le traitement d’un questionnaire, celui-ci agit en qualité de sous-traitant au sens du RGPD. Votre entreprise reste alors le responsable de traitement. À ce titre, il ne peut utiliser les données collectées qu’aux fins explicitement définies par votre entreprise, et en aucun cas pour ses propres usages commerciaux ou marketing.
Il est donc indispensable de vérifier que le contrat conclu avec ce sous-traitant contient bien une clause conforme à l’article 28 du RGPD, détaillant ses obligations en matière de sécurité, de confidentialité et de gestion des données.
Le choix de l’outil ou de la solution utilisée pour administrer vos enquêtes joue également un rôle important. Une plateforme sécurisée doit permettre de gérer les accès, limiter les risques de fuite d’information et protéger les réponses collectées tout au long de leur cycle de vie.
En oitre, la transparence implique de garantir pleinement les droits des personnes. Vos clients doivent être informés de la possibilité de rectifier, de supprimer ou d’accéder à leurs données, et surtout de leur droit d’opposition. Ils doivent également pouvoir refuser de participer ou demander le retrait de leurs réponses à tout moment, simplement et sans aucune contrainte.
4. Veiller au bon usage, à la sécurité et à la fin de vie des données
La mise en conformité RGPD ne s’arrête pas à la collecte des données. Elle implique également de s’assurer de leur bon usage, de leur sécurité et de leur bonne gestion dans la durée.
Premier impératif : la sécurité. Vos données ne doivent pas être altérées, perdues ou consultées par des personnes non autorisées. Il est indispensable de garantir leur sécurité tant au niveau des locaux que du système d’information. Cela passe par la mise en place de mesures techniques adaptées : chiffrement des transmissions, contrôle des accès, redondance des serveurs. Des mesures organisationnelles doivent également être définies afin d’identifier clairement les collaborateurs habilités à consulter ou traiter ces informations au sein de votre organisation.
Le manque de vigilance peut coûter cher. En France, plusieurs sanctions ont déjà été prononcées par la CNIL contre des entreprises n’ayant pas respecté leurs obligations de sécurité. En 2014, une société française été condamnée à une amende de 50 000 euros en raison d’un manque de sécurisation lors de la collecte de données et d’un contrat de sous-traitance insuffisamment encadré en matière de confidentialité.
Il est donc essentiel de s’assurer que le contrat conclu avec votre prestataire mentionne explicitement ses engagements concernant la protection des données et les obligations de sécurité attendues du traitant. C’est pourquoi à la fois la société et le DPO se doivent d’être vigilants car la justice peut prendre la décision de sanctionner très fortement les entreprises qui ne respectent pas les exigences du RGPD.
Les données collectées dans le cadre d’une enquête de satisfaction doivent par ailleurs rester strictement cantonnées à l’objectif déclaré. Il n’est pas possible de les réutiliser à d’autres fins sans vérifier au préalable que cette nouvelle finalité est compatible avec la finalité initiale, au risque d’être en infraction avec le RGPD. De la même manière, ces données ne doivent pas être conservées au-delà du temps nécessaire à la réalisation de cet objectif. La CNIL recommande de définir une durée de conservation réaliste, permettant l’analyse des résultats, le traitement éventuel de certains cas clients ou l’exploitation statistique des réponses, tout en restant limitée dans le temps. Pour les enquêtes de satisfaction classiques, les recommandations actuelles sont relativement strictes : les données nominatives doivent être supprimées ou anonymisées de manière irréversible au maximum trois ans après le dernier contact avec le client, ou dès lors que les analyses sont finalisées.
Enfin, tout au long de ce processus, votre entreprise doit être en mesure de répondre aux demandes d’exercice de droits (accès, rectification, opposition) dans un délai d’un mois. Il est donc recommandé d’anticiper ces situations en désignant un interlocuteur dédié, souvent le DPO, et en mettant en place une procédure claire de gestion des demandes liées aux données personnelles.
Chez easiware, nous prenons très au sérieux la confidentialité des données. C’est pourquoi nous sécurisons les informations confiées par nos clients et empêchons leur accès physique ou à distance par un tiers non autorisé. Leur transmission est notamment chiffrée selon l’état de l’art du marché. Nous nous engageons à respecter les règles édictées par la politique de la CNIL en matière de localisation des données : elles sont physiquement hébergées en France métropolitaine. Pour qu’il n’y ait pas de perte d’information ou de dégradation, nous répliquons les données sur plusieurs serveurs afin d’assurer une redondance en cas de panne matérielle.
Pour conclure :
La conformité RGPD dans le cadre d’une enquête de satisfaction n’est pas une contrainte administrative parmi d’autres : c’est une condition de confiance vis-à-vis de vos clients et un gage de sérieux pour votre organisation. Bien appliqué, ce cadre réglementaire vous permet de collecter des données utiles, fiables et exploitables, tout en préservant la relation avec vos clients.
