GDPR (General Data Protection Regulation) est une une réglementation de l’Union Européenne visant à protéger les données personnelles des citoyens européens. Cette législation, qui est apparu le 25 Mai 2018, redonne le pouvoir aux individus pour le stockage et l’utilisation de leurs données personnelles.
Chaque entreprise doit se conformer à des règles et processus garantissant qu’aucune utilisation des données récoltées ne puisse se faire sans le consentement explicite des individus. Être “GDPR compliant” sera alors une obligation pour toutes les startups du numérique et cet article décrit la façon dont nous avons géré le sujet chez Botmind.
- Respecter un droit fondamental des citoyens européens.
- Être GDPR compliant est un prérequis à la signature des contrats (clients, partenaires, etc..)
- Laisser à nos utilisateurs la maitrise de l’utilisation de leurs données génère une confiance qui favorise l’utilisation de notre produit.
- Ne pas se conformer est passible de lourdes sanctions financières.
- Se conformer dès maintenant permet de ne pas être pris au dépourvu si les transformations à mener dans l’entreprise sont plus importantes que prévu.
D’abord, nous avons repris les règles et les processus obligatoires définis par la législation. Voici les actions que nous avons menées :
- Nommer un DPO (Data Protection Officer) qui est chargé de réguler et de monitorer l’utilisation des données personnelles.
- Établir un registre des données stockées/utilisées qui permet de déterminer l’utilisation qui est faite de chaque type de donnée stockée.
- Demander le consentement explicite des individus concernés par le traitement de leurs données et pouvoir en apporter la preuve.
- Prévoir un processus d’effacement des données si un utilisateur formule une telle demande.
- Mettre en place une procédure d’escalade auprès de la CNIL en cas de violation de la confidentialité des données personnelles.
Ensuite, nous sommes allés un peu plus loin afin de garantir que les données de nos utilisateurs seraient protégées et confidentielles. En automatisant les réponses aux demandes clients, nous manipulons souvent des données personnelles et nous avons alors défini les bonnes pratiques suivantes :
- Les expressions des utilisateurs de nos différents clients ne sont pas partagées entre les comptes, même celles qui sont relatives à des menus propos (“Bonjour”, “Aurevoir”, “Comment ça va”, etc..)
- Nous intégrons à notre plateforme les principes de “Data Minimisation” et de “Privacy by default”: seules les données dont l’utilisation est validée par l’individu sont stockées et il est possible de marquer les données sensibles pour qu’elles soient anonymisées dans la base de données.
- Nous appliquons le principe “Protection by Design” dans le développement de notre plateforme et des autres composants.
- Nous sécurisons les accès aux à nos serveurs de données et nous hébergeons ces serveurs au sein de l’Union Européenne.
Depuis le 1er juillet, le Widget Botmind a modifié son fonctionnement afin de vous simplifier la gestion de l’acceptation des cookies dans le cadre du RGPD.
Vous pouvez utiliser le snippet habituel dans tous les cas, même si l’utilisateur n’a pas accepté ou même refusé le stockage de cookies. En effet, le Widget Botmind ne stocke rien par défaut dans le navigateur lors du chargement.
Lorsque le visiteur veut utiliser Botmind, il est informé par un bandeau que l’envoi d’un message dans le Widget vaudra acceptation des conditions d’utilisation de Botmind et donc le stockage des cookies. Dans le cas de l’ouverture d’un déclencheur par un visiteur, il doit cliquer sur un bouton pour accepter les conditions et ainsi lancer le schéma associé.
Pour améliorer l’expérience utilisateur et ne pas demander à l’utilisateur d’accepter deux fois les cookies, vous pouvez indiquer au Widget Botmind que l’utilisateur a déjà accepté ces derniers.
Il existe deux façons de le faire :
- Soit en ajoutant le paramètre "consentReceived" avec la valeur "true" dans le snippet d’initialisation du Widget :
- Soit en incluant le tag suivant sur votre page :
Il suffit d’utiliser une seule fois une de ces deux méthodes, il n’est pas obligatoire de le faire ensuite sur chaque chargement de page.
Cas 1 : vous chargez déjà le Widget Botmind dans tous les cas, sans vous soucier de l’acceptation des cookies.
→ Cela fonctionnera correctement, le Widget Botmind s’occupera lui-même de la gestion de l’acceptation des cookies. Cependant, si vous avez déjà un système d’acceptation de cookies sur votre site, l’utilisateur risque de devoir les accepter deux fois. Pour améliorer l’expérience de vos utilisateurs, vous pouvez utiliser l’une des deux méthodes décrites plus haut afin d’indiquer au Widget Botmind que l’utilisateur a déjà accepté les cookies.
Cas 2 : vous ne chargez le Widget Botmind que lorsque l’utilisateur acceptait les cookies sur votre site.
→ Vous pouvez insérer le snippet Botmind dans tous les cas sans attendre l’acceptation des cookies via votre système. Ensuite, suivez le cas 1.