Ce que vous devez savoir.

De nombreux aspects du RGPD sont de plus en plus perçus comme une réglementation excessive qui a finalement peu à faire avec la protection effective des personnes concernées. La situation est différente quand on aborde la question des droits des personnes concernées. Si quelqu'un souhaite se désinscrire d’un bulletin d’information ou souhaite savoir si son adresse est toujours correcte, le débat est plutôt clos. A ce propos, l'intérêt commercial de l'entreprise rejoint d’ailleurs celui du RGPD. En outre, d'un point de vue commercial, une entreprise a tout intérêt à répondre aux souhaits et aux préoccupations de ses clients.

La pratique montre que les clients s'adressent souvent d'abord vers le service clientèle de l'entreprise en question (ou tout autre service susceptible d'être contacté conformément la déclaration de confidentialité). Dans certains États membres, dont la Belgique, les Pays-Bas et la France, l'autorité de protection des données impose à la personne concernée de contacter d'abord l'entreprise avant de pouvoir déposer une plainte officielle. En conséquence, le service clientèle des entreprises est bien souvent le premier point de contact des clients pour toutes questions ou préoccupations.

Les clients ont le droit d’obtenir l’accès à leurs données à caractère personnel, d’effacer leurs données à caractère personnel, de se désinscrire du marketing direct, etc. Ils peuvent également soulever des préoccupations plus générales (justifiées ou non) concernant le traitement de leurs données à caractère personnel. Lorsque les réponses à ces demandes ou préoccupations ne sont pas correctes ou incomplètes, ou restent même totalement sans réponse, cela n'est certainement pas souhaitable d'un point de vue commercial et il est fort probable que le client recourt à l’autorité de protection des données en deuxième instance. Inversement, une bonne communication peut consolider les liens commerciaux avec les clients et, dans de nombreux cas, pourrait éviter des plaintes auprès de l'autorité.

Quand un client décide de déposer plainte, et l'autorité de protection des données décide ensuite d’ouvrir une enquête, c'est souvent la porte ouverte à bien plus que ce à quoi on pourrait s'attendre au début. Car, dans de nombreux cas, l'autorité de protection des données ne se contentera pas d’enquêter uniquement sur la réponse du service clientèle. Par exemple, si la plainte porte sur l'échec répété à la désinscription du marketing direct, l'enquête pourrait tout à fait examiner comment l'entreprise concernée collecte les données des clients, les types des données qu’elle collecte, avec qui elle collabore pour ce faire, si des accords de traitement ont été conclus, si le registre est complet, si la déclaration de confidentialité est complète, si des mesures techniques et organisationnelles appropriées ont été prises, etc. En bref, répondre correctement à une demande (relativement simple) est donc non seulement souhaitable d'un point de vue commercial, mais également d'un point de vue juridique, compte tenu des pouvoirs étendus des autorités de protection des données.

Ce que vous devez faire.

Faites en sorte que votre équipe de service clientèle soit consciente de l'importance de la conformité aux règles du RGPD et de son rôle clé en tant que premier point de contact en cas de plaintes. Par conséquent, organisez des formations sur le RGPD pour vos employés qui sont chargés du service clientèle (ou qui sont mentionnés comme personnes de contact dans la déclaration de confidentialité). Pendant la formation, il est important de définir quelques règles de base. Par exemple, vos employés doivent être capables de répondre de manière adéquate aux demandes simples des personnes concernées, mais également de détecter quand un recours au service juridique ou au DPO serait nécessaire. Cela signifie, entre autres, qu'ils connaissent le délai d'un mois (en principe) pour répondre aux demandes, qu'ils savent quand demander l’identification (supplémentaire), qu'ils informent le client de son droit de contacter l'autorité de protection des données si leur demande est rejetée, etc. Vous pouvez fournir à vos employés des schémas et des modèles qu'ils peuvent utiliser pour traiter les demandes des clients. Cela dit, il faut rester prudent avec ces procédures et documents standard. Car souvent, le client exprime une certaine préoccupation et souhaite exercer un certain droit suite à cette préoccupation. En particulier si cette préoccupation est injustifiée, il est fortement recommandé ne pas se contenter de fournir la réponse standard en ce qui concerne le droit exercé, mais de prendre en compte spécifiquement la préoccupation du client.

De même, si votre entreprise coopère avec un service clientèle externe, vous devez vérifier que ce partenaire externe prend des mesures organisationnelles suffisantes, y compris en ce qui concerne la formation de ses employés. En tant que responsable du traitement, vous êtes responsable pour votre sous-traitant. Par conséquent, le recours à un service clientèle externe ne vous dispense pas de vos obligations découlant du RGPD. Assurez-vous donc au moins qu'une formation adéquate sur le RGPD pour les employés est explicitement ancrée dans le contrat de traitement. En outre, il est conseillé de traiter exactement les tâches pour lesquelles le service clientèle externe est chargé dans (une annexe a) l'accord et de convenir un compte rendu mensuel à ce sujet. Ces rapports permettent à votre entreprise d’effectuer de temps en temps un contrôle ponctuel pour évaluer comment le service clientèle a traité des dossiers spécifiques.

Enfin, il est préférable de documenter toutes les mesures prises dans le cadre de votre service clientèle. En effet, l'obligation de garder les mesures organisationnelles découle, entre autres, de l'obligation de responsabilité imposée par le RGPD.

Vous souhaitez savoir plus sur les formations pour votre service clientèle ? Ce sujet est abordé dans notre programme relatif à la conformité aux règles du RGPD.