Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Et il a constitué un véritable séisme pour toutes les entreprises du web… mais pas que ! Que vous soyez une entreprise online ou offline, les enquêtes en ligne, sondages, questionnaires, ou même formulaires de contact sont des cas de figure sur lesquels le RGPD peut s’appliquer. Revenons ici sur les questions à vous poser, et ce que cela implique pour votre enquête !

Temps de lecture estimé : 6 minutes

Votre enquête contient-elle des données personnelles ?

La question n’est pas si immédiate qu’on pourrait le croire ! Votre enquête contient des données personnelles si les participants utilisent des liens personnels pour répondre au questionnaire, ou si vous ou vos prestataires collectez l’un de ces points :

  • Nom et prénom
  • Adresse e-mail
  • Numéro de téléphone
  • Adresse IP
  • Autre identifiant (numéro client, numéro de commande, numéro d’employé, numéro de sécurité sociale…)
  • Plusieurs données dont le recoupement permet d’identifier (ou presque) la personne : le poste, l’ancienneté et le site géographique d’un employé par exemple, ou le produit acheté, la boutique et la date d’achat pour un client.

Si vous collectez un de ces points, alors on considère que vous pouvez identifier les participants. A partir de ce moment, toutes les données associées à cette identification deviennent des données personnelles ! Une note de satisfaction, un commentaire ou toute autre réponse à vos questions est ainsi une donnée personnelle !

Par ailleurs, le fait que vous ne collectiez pas les points listés ci-dessus dans vos questions n’est pas forcément suffisant pour vous affranchir de toute obligation : votre prestataire (en général, la plateforme que vous utilisez pour votre enquête) peut les récupérer de son côté (il s’agira souvent de l’adresse IP).

Vos obligations

Si vous ou votre prestataire collectez des données personnelles, vous êtes donc responsable du respect du RGPD. Voici ci-dessous vos principales obligations :

Respectez les droits des personnes

Le principe sous-tendant le RGPD, c’est que les données personnelles sont la propriété des personnes qu’elles concernent. Ces personnes peuvent autoriser en toute connaissance de cause des entreprises et organisations à collecter et utiliser certaines de ces données dans un but précis, mais elles en restent maîtres.

Cela a pour vous plusieurs conséquences. Notamment :

  • Vos répondants doivent pouvoir accéder à leurs données : vous devez être en mesure de leur communiquer toutes les données que vous avez sur eux sur simple demande
  • Un répondant doit pouvoir exercer son droit à l’oubli, c’est-à-dire demander à ce que vous supprimiez les données que vous avez sur lui

Ayez conscience que vos droits sont limités

Puisque les données personnelles ne vous appartiennent pas, vous n’avez que de droits limités sur leur utilisation.

Ne collectez que les informations nécessaires

Déjà, vous n’avez le droit que de collecter les informations nécessaires : si pour une enquête cela est très large, vos questions doivent rester en lien avec le sujet et vos objectifs.

Recueillez le consentement

Les participants doivent explicitement donner leur consentement pour que vous collectiez leurs données. Si le fait de répondre est un consentement en soi suffisant pour que vous puissiez analyser leur réponse dans le cadre de l’enquête (personne ne les a obligés à répondre, après tout), cela ne vous donne pas d’autre droit (cf. point suivant).

Une autorisation = un traitement

Les participants donnent leur consentement pour une utilisation (dans le langage du RGPD, on parle de “traitement”) à la fois. En répondant, les participants vous autorisent à analyser leurs réponses. Mais c’est tout ! Si vous voulez, par exemple, les inscrire à votre newsletter, il faudra recueillir leur consentement explicite pour cela.

Ce consentement est limité dans le temps

Si la personne vous a exprimé son consentement, celui-ci peut être retiré (le droit à l’oubli dont je parlais plus haut), et n’est pas valable à vie. A vrai dire, vous n’avez le droit de conserver les données personnelles que pendant la durée nécessaire au traitement pour lequel l’utilisateur a donné son consentement.

Informez vos répondants

Pour que les participants puissent donner leur consentement, il faut bien sûr les informer, pour leur expliquer clairement :

  • La finalité du traitement des données
  • Qui y aura accès
  • La durée de conservation des données
  • Les coordonnées de la personne à contacter en cas de besoin (pour accès, rectification ou effacement des données)

Concrètement, la personne doit savoir à quoi elle s’engage en donnant son consentement – et c’est plutôt logique quand on y pense !

Dans un questionnaire, l’information doit donc être positionnée avant le début de l’enquête : soit sur la première page (en direct, ou en incluant un lien vers les conditions), soit dans l’e-mail d’invitation.

Si vous souhaitez par exemple inscrire les participants à une newsletter, cela devra faire l’objet d’un consentement séparé, où vous expliquerez de nouveau ces éléments. Vous pouvez par exemple le faire sous une des formes suivantes :

  • “En laissant votre adresse e-mail ci-dessous, vous acceptez de recevoir la lettre d’information mensuelle de [l’entreprise]”
  • “Cochez cette case pour recevoir la lettre d’information mensuelle de [l’entreprise]” (si vous avez déjà l’adresse e-mail – sachant que précocher cette case est interdit en France)

Sécurisez vos données

Vous devez également faire en sorte que les données personnelles le restent, c’est-à-dire garantir leur sécurité et leur confidentialité : n’exposez pas ces données si ce n’est pas indispensable (en les mettant en ligne, par exemple), et n’y donnez pas accès à des personnes et organisations qui n’en ont pas besoin.

En cas d’atteinte à la sécurité de vos données (piratage…), vous devez avoir un plan d’action prêt, et en informer les participants concernés.

Tenez un registre des traitements de données

Chaque collecte et traitement de données doit être consigné dans un registre interne tenu par votre organisation, en précisant :

  • L’objectif poursuivi
  • Les données utilisées
  • Les personnes, services ou organisations ayant accès à ces données
  • La durée de conservation de ces données

Utilisez des prestataires respectant le RGPD

Enfin, sachez que vous êtes non seulement responsable du respect du RGPD par votre organisation, mais également par vos prestataires. Il peut s’agir :

  • De la solution d’enquêtes en ligne que vous utilisez
  • De consultants et autres intervenants
  • D’outils divers ayant accès aux données personnelles (outils d’analyse en ligne, stockage cloud si vous y stockez les résultats…)

Il est donc recommandé :

  • De ne donner accès qu’aux prestataires vraiment indispensables
  • De vérifier que vos prestataires respectent le RGPD (en leur demandant des éléments tangibles pour ceux avec qui vous êtes en contact, et en cherchant sur votre moteur de recherche préféré pour les autres – en tapant “surveymonkey rgpd”, vous tomberez par exemple sur la page de ce service dédiée au sujet)
  • De retirer l’aspect personnel des données lorsque c’est possible : en supprimant les informations d’identification listées plus haut (nom/prénom, adresse e-mail…) et en les remplaçant par des numéros d’identification créés pour l’enquête, votre sous-traitant ne pourra pas identifier les répondants, et ne manipulera donc pas de données personnelles !

RGPD : les bonnes pratiques pour vos enquêtes

En plus des obligations et pratiques listées plus haut, voici quelques bonnes pratiques que je vous recommande de suivre :

  • Pas d’identification : si possible, n’incluez pas d’éléments permettant d’identifier les participants dans vos enquêtes. Dans la plupart des cas, ce n’est pas nécessaire !
  • Supprimez les informations d’identification pour archivage : si vous collectez tout de même des informations d’identification, vous pouvez les supprimer de vos données une fois leur usage rempli. Ainsi, les données restantes seront purement anonymes. Cela ne signifie pas qu’elle ne poseront plus aucune question en matière de confidentialité, mais elles ne seront plus concernées par le RGPD.
  • Donnez aux participants la possibilité de se désinscrire des messages d’invitation : obligatoire dans certains cas, cette possibilité apportera plus de confort aux participants qui savent qu’ils ne répondront de toute façon pas à l’enquête, peu importe le nombre de relances.

Pour aller plus loin

Le RGPD est un sujet vaste et complexe, que je n’ai fait qu’effleurer dans cet article, volontairement plus axé sur les actions concrètes que vous avez à entreprendre que sur la présentation détaillée du RGPD. Si vous souhaitez en savoir plus, je vous recommande notamment :

A0001

Envie de recevoir des conseils réguliers ?

Abonnez-vous à la newsletter !

Besoin d’aide pour mener votre enquête ?

Découvrez mes offres pour vous accompagner dans votre projet !


Pierre Simonnin

J'ai conçu et posé une bonne dizaine de milliers de questions depuis 2010. A travers ce site, je veux partager mon expertise pour vous aider à réussir vos projets :)