Mis à jour le 16 août 2021
Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Et il a constitué un véritable séisme pour toutes les entreprises du web… mais pas que ! Que vous soyez une entreprise online ou offline, les enquêtes en ligne, sondages, questionnaires, enquêtes de satisfaction, baromètres RH ou même formulaires de contact sont des cas de figure sur lesquels le RGPD peut s’appliquer. Revenons ici sur les questions à vous poser, et ce que cela implique pour votre enquête !
[wtr-time]
Votre enquête contient-elle des données personnelles ?
La question n’est pas aussi immédiate qu’on pourrait le croire ! Votre enquête contient des données personnelles si les participants utilisent des liens personnels pour répondre au questionnaire (chaque répondant est identifié par la plateforme), ou si vous ou vos prestataires collectez l’un de ces points :
- Nom et prénom
- Adresse e-mail
- Numéro de téléphone
- Adresse IP
- Autre identifiant (numéro client, numéro de commande, numéro d’employé, numéro de sécurité sociale…)
- Plusieurs données dont le recoupement permet d’identifier (ou presque) la personne : le poste, l’ancienneté et le site géographique d’un employé par exemple, ou le produit acheté, la boutique et la date d’achat pour un client.
Si vous collectez un de ces points, alors on considère que vous pouvez identifier les participants. A partir de ce moment, toutes les données associées à cette identification deviennent des données personnelles ! Une note de satisfaction, un commentaire ou toute autre réponse à vos questions est ainsi une donnée personnelle !
Par ailleurs, le fait que vous ne collectiez pas les points listés ci-dessus dans vos questions n’est pas forcément suffisant pour vous affranchir de toute obligation : votre prestataire (en général, la plateforme que vous utilisez pour votre enquête) peut les récupérer de son côté (il s’agira souvent de l’adresse IP).
Par conséquent, il est plus sûr de partir du principe que votre questionnaire est susceptible de contenir des informations personnelles.
Vos obligations
Si vous ou votre prestataire collectez des données personnelles, vous êtes donc responsable du respect du RGPD. Voici ci-dessous vos principales obligations :
Respectez les droits des personnes
Le principe sous-tendant le RGPD, c’est que les données personnelles sont la propriété des personnes qu’elles concernent. Ces personnes peuvent autoriser en toute connaissance de cause des entreprises et organisations à collecter et utiliser certaines de ces données dans un but précis, mais elles en restent maîtres.
Cela a pour vous plusieurs conséquences. Notamment :
- Vos répondants doivent pouvoir accéder à leurs données : vous devez être en mesure de leur communiquer toutes les données que vous avez sur eux sur simple demande
- Un répondant doit pouvoir exercer son droit à l’oubli, c’est-à-dire demander à ce que vous supprimiez les données que vous avez sur lui
Ayez conscience que vos droits sont limités
Puisque les données personnelles ne vous appartiennent pas, vous n’avez que des droits limités sur leur utilisation.
Ne collectez que les informations nécessaires
Déjà, vous n’avez le droit que de collecter les informations nécessaires : si pour une enquête cela est très large, vos questions doivent rester en lien avec le sujet et vos objectifs.
Recueillez le consentement
Les participants doivent explicitement donner leur consentement pour que vous collectiez leurs données. Si le fait de répondre est un consentement en soi suffisant pour que vous puissiez analyser leur réponse dans le cadre de l’enquête, cela ne vous donne pas d’autre droit (cf. point suivant).
Une autorisation = un traitement
Les participants donnent leur consentement pour une utilisation à la fois (dans le langage du RGPD, on parle de “traitement”). En répondant, les participants vous autorisent à analyser leurs réponses. Mais c’est tout ! Si vous voulez, par exemple, les inscrire à votre newsletter, il faudra recueillir leur consentement explicite pour cela.
Ce consentement est limité dans le temps
Si la personne vous a exprimé son consentement, celui-ci peut être retiré (le droit à l’oubli dont je parlais plus haut), et n’est pas valable à vie. A vrai dire, vous n’avez le droit de conserver les données personnelles que pendant la durée nécessaire au traitement pour lequel l’utilisateur a donné son consentement. Pour votre enquête, il s’agit donc de supprimer les réponses une fois que l’analyse est terminée, ou a minima de les anonymiser complètement : en retirant aux données leur caractère personnel, elles ne sont plus concernées par le RGPD.
Informez vos répondants
Pour que les participants puissent donner leur consentement, il faut bien sûr les informer, en leur expliquant clairement :
- La finalité du traitement des données
- Qui y aura accès
- La durée de conservation des données
- Les coordonnées de la personne à contacter en cas de besoin (pour accès, rectification ou effacement des données)
Concrètement, la personne doit savoir à quoi elle s’engage en donnant son consentement – et c’est plutôt logique quand on y pense !
Si vous souhaitez par exemple inscrire les participants à une newsletter, cela devra faire l’objet d’un consentement séparé, où vous expliquerez de nouveau ces éléments. Vous pouvez par exemple le faire sous une des formes suivantes :
- “En laissant votre adresse e-mail ci-dessous, vous acceptez de recevoir la lettre d’information mensuelle de [l’entreprise]”
- “Cochez cette case pour recevoir la lettre d’information mensuelle de [l’entreprise]” (si vous avez déjà l’adresse e-mail – sachant que précocher cette case est interdit en France)
Où et comment informer vos répondants ?
Informer les participants, c’est très bien, mais où cela doit-il se faire ? Dans l’e-mail d’inviation ? Dans le texte d’introduction ? Dans une partie « conditions générales » ?
Afin d’être effective, l’information doit être positionnée avant le début de l’enquête. Il est en effet logique d’informer les participants du traitement que l’on va effectuer sur les données avant de récolter lesdites données.
En pratique, afin de garantir une bonne expérience utilisateur aux participants, on fonctionnera en général en deux parties :
- Les informations principales sur la confidentialité seront directement dans l’e-mail d’invitation ou le texte d’introduction.
- Le détail sera lui disponible dans les conditions générales de l’enquête, qui seront accessibles via un lien dans le texte d’introduction.
Au fait…
Renvoyer les participants vers vos conditions générales « habituelles » est plutôt une mauvaise pratique. La plupart du temps, ces conditions générales ne mentionnent en effet absolument pas le cas d’une enquête en ligne, et sont donc hors sujet. Mieux vaut rédiger des conditions générales spécifiques pour votre enquête, expliquant concrètement et simplement les 4 points listés ci-dessus.
Sécurisez vos données
Vous devez également faire en sorte que les données personnelles le restent, c’est-à-dire garantir leur sécurité et leur confidentialité : n’exposez pas ces données si ce n’est pas indispensable (en les mettant en ligne, par exemple), et n’y donnez pas accès à des personnes et organisations qui n’en ont pas besoin.
En cas d’atteinte à la sécurité de vos données (piratage…), vous devez avoir un plan d’action prêt, et en informer les participants concernés.
Tenez un registre des traitements de données
Chaque collecte et traitement de données doit être consigné dans un registre interne tenu par votre organisation, en précisant :
- L’objectif poursuivi
- Les données utilisées
- Les personnes, services ou organisations ayant accès à ces données
- La durée de conservation de ces données
Choisissez un outil d’enquête respectant le RGPD
Si vos pratiques sont essentielles dans le fait que votre enquête respecte ou non le RGPD, le choix de votre outil aura également un impact. Voici la liste des déclarations RGPD de certains des principaux services d’enquêtes en ligne :
- Surveymonkey
- Typeform : ici et là
- Zoho Survey
- Eval&GO
- Google Forms ne propose pas de page dédiée, pas plus que Drag’n Survey
Pour ceux qui ne sont pas dans la liste ci-dessus, vous pouvez utiliser votre moteur de recherche préféré – en tapant “surveymonkey rgpd”, vous tomberez par exemple sur la page de ce service dédiée au sujet.
Alors bien sûr, ce n’est pas parce qu’un outil a une page dédiée qu’il respecte forcément le RGPD, et ce n’est pas parce que cette page n’existe pas qu’il est en infraction. Mais si vous n’êtes pas juriste, ces informations restent le meilleur outil dont vous disposez, et le meilleur gage de votre bonne foi en cas de contrôle !
Et, dernière précision : le RGPD n’impose pas que les données de la plateforme soient hébergé en France ou dans l’Union Européenne.
Utilisez des prestataires respectant le RGPD
Enfin, sachez que vous êtes non seulement responsable du respect du RGPD par votre organisation, mais également par vos prestataires. Il peut s’agir :
- De la solution d’enquêtes en ligne que vous utilisez (cf. paragraphe précédent)
- De consultants qui vous accompagnent dans votre enquête (moi par exemple 🙂)
- D’outils divers ayant accès aux données personnelles (outils d’analyse en ligne, stockage cloud si vous y stockez les résultats…)
Il est donc recommandé :
- De ne donner accès qu’aux prestataires vraiment indispensables
- De vérifier que vos prestataires respectent le RGPD, en leur demandant des éléments tangibles pour ceux avec qui vous êtes en contact, ou en cherchant en ligne (vous trouverez souvent des informations sur le sujet sur le site du prestataire, ou via un moteur de recherche)
- De retirer l’aspect personnel des données lorsque c’est possible : en supprimant les informations d’identification listées plus haut (nom/prénom, adresse e-mail…) et en les remplaçant par des numéros d’identification créés pour l’enquête, votre sous-traitant ne pourra pas identifier les répondants, et ne manipulera donc pas de données personnelles ! Je vous en dis plus ici 🙂
RGPD : les bonnes pratiques pour vos enquêtes
En plus des obligations et pratiques listées plus haut, voici quelques bonnes pratiques que je vous recommande de suivre :
- Pas d’identification : si possible, n’incluez pas d’éléments permettant d’identifier les participants dans vos enquêtes. Dans la plupart des cas, ce n’est pas nécessaire !
- Supprimez les informations d’identification pour archivage : si vous collectez tout de même des informations d’identification, vous pouvez les supprimer de vos données une fois leur usage rempli. Ainsi, les données restantes seront purement anonymes. Cela ne signifie pas qu’elle ne poseront plus aucune question en matière de confidentialité et de sécurité, mais elles ne seront plus concernées par le RGPD.
- Donnez aux participants la possibilité de se désinscrire des messages d’invitation : obligatoire dans certains cas, cette possibilité apportera plus de confort aux participants qui savent qu’ils ne répondront de toute façon pas à l’enquête, peu importe le nombre de relances.
Pour aller plus loin
Le RGPD est un sujet vaste et complexe, que je n’ai fait qu’effleurer dans cet article, volontairement plus axé sur les actions concrètes que vous avez à entreprendre que sur la présentation détaillée du RGPD. Si vous souhaitez en savoir plus, je vous recommande notamment :
- Un autre article expliquant les obligations du RGPD pour les enquêtes en ligne, entrant plus dans les détails techniques du RGPD
- Un document simple et clair de la BPI et la CNIL présentant le RGPD
- Une présentation plus détaillée du RGPD
A0001 / Photo by Christina Morillo from StockSnap
2 commentaires
Gabriel · 29 mai 2023 à 18 h 54 min
Bonjour,
Merci pour cet article.
Dans le cas de Google Forms, si le répondant est identifié sur un compte Google, l’entreprise est certainement en mesure d’associer les réponses entrées dans le formulaire au compte de l’utilisateur. Savez-vous si c’est elle le fait ? Ça poserait un gros problème de confidentialité…
Pierre Simonnin · 1 juin 2023 à 20 h 17 min
Bonjour,
Effectivement, l’association des données au compte de l’utilisateur·ice est automatique dans ce cas-là, et les données récoltées deviennent de facto des données personnelles.
Je ne sais pas l’usage fait par Google de ces informations (ils ne communiquent pas dessus), mais il faut partir du principe que ce n’est probablement pas très RGPD-compatible…