Comment le RGPD impacte vos enquêtes et sondages

Questionnaires d’enquête et conformité RGPD© TheDigitalArtist on Pixabay

Les personnes interrogées dans le cadre d’enquêtes et sondages bénéficient avec le RGPD de nouveaux droits sur leurs données à caractère personnel et les entreprises ou organisations qui réalisent ces enquêtes ont de nouvelles responsabilités si l’anonymat des réponses n’est pas total.

Avec l’entrée en application du Règlement Général sur la Protection des Données (RGPD) le 25 Mai 2018, vous vous demandez peut-être comment faire pour continuer à réaliser vos enquêtes et sondages, en toute conformité. Cette question est parfaitement légitime car le RGPD encadre de façon stricte toute collecte et tout traitement de données à caractère personnel sur l’ensemble du territoire de l’Union Européenne.

En réalité, avant toute chose, la question que vous devez vous poser est la suivante :

Vos enquêtes sont-elles totalement anonymes ou utilisez-vous des données personnelles ?

Il y a en effet deux cas de figure distincts :

Cas #1

Vous diffusez vos enquêtes sans identifier aucunement les personnes interrogées, sans recueillir de données personnelles, et vous exploitez les réponses de façon purement statistique (anonymat total)

Dans ce cas, vous pouvez a priori ignorer le RGPD. Soyez toutefois vigilant sur deux points :

  • la notion de donnée personnelle dans le RGPD est très large ;
  • le prestataire auquel vous faites appel pour la solution technique peut traiter des données qui, une fois croisées entre elles, pourraient permettre d’identifier les répondants (comme leur adresse IP, le dispositif qu’ils utilisent pour se connecter à internet…), il ne faudrait pas que ce soit à votre insu, voyez ci-dessous la dernière partie sur la sous-traitance.

Cas #2

Vous recueillez via vos questionnaires des données personnelles (nom, coordonnées…) et/ou vous utilisez des listes de contacts (adresses e-mail) pour diffuser vos enquêtes

Si c’est le cas, alors continuez à lire cet article car avec le RGPD vous avez de nouvelles responsabilités. Nous allons parcourir et analyser les principaux aspects de la règlementation en vigueur :



Un principe fondateur du RGPD : votre responsabilité

On ne peut bien comprendre et appliquer le RGPD que si on a intégré le principe de responsabilité (on utilise parfois le terme anglais “accountability” pour désigner ce principe).

Pour cela, revenons à l’un des postulats à la base du RGPD : les données personnelles appartiennent aux personnes concernées, lesquelles les confient à une entreprise ou une organisation ou encore un organisme public, dans un but défini (la situation est très différente outre-Atlantique où les données personnelles appartiennent à ceux qui les ont collectées).

De ce postulat découle la plupart des droits et obligations figurant dans le RGPD comme :

  • la personne concernée doit donner son accord (consentement) lors de la collecte de données personnelles ;
  • l’entreprise doit clairement expliquer la finalité du traitement des données personnelles, les destinataires des données, leur durée de conservation ;
  • la personne concernée peut à tout moment demander à accéder à ses données, à les faire rectifier ou effacer (droit à l’oubli), demander leur portabilité, contester les traitements ou demander leur limitation ;
  • l’entreprise doit garantir la confidentialité et la sécurité des données et mettre en place une procédure en cas de violation ou de perte de données.

Au final, c’est l’entreprise à qui les données personnelles ont été confiées, qui doit être capable de démontrer que toutes les mesures techniques et organisationnelles ont été prises pour assurer la conformité avec la règlementation. C’est ce qu’on appelle le principe de responsabilité.

En tant que concepteur d’une enquête ou sondage, vous êtes un “responsable de traitement” au sens du RGPD dès lors que vous collectez ou utilisez des données à caractère personnel. A vous donc de prendre toutes les mesures nécessaires pour être en règle et protéger ces fameuses données !


Sur quelles bases légales traitez-vous les données personnelles ?

Il vous faut aussi savoir que pour être licite (ou légal), un traitement de données personnelles doit remplir au moins l’une des conditions précisées dans l’article 6 du RGPD.


Motifs de licéité des traitements de données personnelles (RGPD)
Motifs de licéité des traitements de données personnelles (RGPD)

Dans le cas des enquêtes et sondages, il y a essentiellement deux bases légales sur lesquelles vous pouvez vous appuyer, le consentement et l’intérêt légitime, les autres motifs de licéité sont moins adaptés.


Commençons par le consentement. De façon générale, le fait même de répondre à une enquête sur internet constitue un marqueur du consentement. A priori, rien n’oblige en effet un répondant à cliquer sur le lien de votre enquête, il est libre de ne pas le faire.

De plus, une fois le questionnaire commencé, le répondant peut s’arrêter à tout moment s’il ne souhaite plus répondre aux questions. Vous pouvez limiter l’abandon en cours de questionnaire en prévoyant des réponses du type Ne sait pas ou Ne souhaite pas répondre pour les questions les plus sensibles, ou en laissant la réponse facultative.

Toutefois, commencer à répondre à un questionnaire d’enquête n’est pas suffisant pour consentir au traitement de ses données personnelles, au sens du RGPD.

Si vous collectez des données nominatives, des coordonnées, etc., vous avez en effet l’obligation d’informer la personne concernée du traitement qui va en être fait et lui permettre d’exercer ses droits. Je vous apporte plus de détails sur ces deux sujets dans la suite de cet article.

Méthode des quotas
A LIRE AUSSI

Comment obtenir le consentement des répondants (RGPD)
Avec l’entrée en vigueur du RGPD, le concepteur d’une enquête ou d’un sondage peut être amené à obtenir le consentement des répondants si des données personnelles sont recueillies […] Lire la suite

Enfin, arrêtons-nous un instant sur les modalités de diffusion de l’enquête. Si vous utilisez une liste de contacts pour envoyer par e-mail des invitations à répondre à un questionnaire, il faut aussi vous assurer d’avoir obtenu le consentement préalable des destinataires pour communiquer avec eux de cette manière.


L’intérêt légitime peut quant à lui être invoqué dans certaines circonstances particulières, généralement en lien avec la démarche commerciale et la prospection, si le consentement n’a pas été recueilli dans les règles de l’art.

Il est raisonnable de penser qu’une entreprise peut avoir un intérêt légitime à :

  • demander l’avis de ses clients sur les produits ou services qu’ils viennent d’acheter, pour connaître leur niveau de satisfaction et leurs éventuelles attentes ou besoins d’assistance ;
  • interroger des prospects qui ont fait des demandes de renseignements ou de tarifs, sur le suivi de leur démarche.

Informez clairement vos répondants !

En tant que responsable du traitement vous devez fournir les informations nécessaires aux personnes concernées, lorsque vous collectez des données personnelles (c’est clairement expliqué dans l’article 5 du RGPD) :

  • quelles sont les données recueillies
  • pour quelle finalité
  • qui les traite, à qui sont-elles destinées
  • combien de temps seront-elles conservées
  • si des données sont transférées en dehors de l’Union Européenne (UE) le cas échéant

Dans le cas des enquêtes, ces informations doivent apparaître sur le questionnaire, soit en commentaire introductif ou dans le message d’invitation à répondre, soit au niveau de la question portant sur des données personnelles (recueil de coordonnées par exemple). Voyez comment vous pouvez vous y prendre en fonction de la solution logicielle que vous utilisez, il faut que ce soit facilement compréhensible par les répondants.


Recueil et conservation des données : contentez-vous du strict nécessaire

Le RGPD impose que les données personnelles collectées soient limitées à ce qui est nécessaire au regard de la finalité poursuivie, et de même que leur conservation ne dépasse pas une durée limitée à celle nécessaire pour cette finalité.

Vos données d’enquêtes, si elles ne sont pas complètement anonymes, sont concernées par cette règlementation.

Que vous utilisiez un logiciel interne à votre entreprise ou que vous fassiez appel à un prestataire ou une plateforme logicielle externe, soyez donc vigilant sur les conditions de conservation des données à caractère personnel.

A titre d’exemple, sur la plateforme questionnaire-pro, les données d’enquêtes sont conservées au maximum 5 ans après la date de fin de validité du compte client.


Respectez les droits des personnes à maîtriser leurs données

C’est sans doute l’un des aspects les plus connus du RGPD, le règlement européen étend et renforce les droits des personnes concernées à maîtriser leurs données personnelles. Outre le droit à l’information que nous avons évoqué un peu plus haut, les répondants qui vous confient des informations à caractère personnel doivent pouvoir exercer leurs différents droits : droit d’accès, droit de rectification, droit à l’effacement (connu aussi sous le nom de droit à l’oubli), etc.

Autrement dit, les répondants doivent pouvoir modifier, compléter et supprimer les données personnelles qu’ils ont renseignées via vos enquêtes. Pour cela, vous devez leur indiquer la procédure à suivre dans le message introductif ou à la page de remerciement en fin de questionnaire.

Si vous avez un délégué à la protection des données (DPD ou DPO en anglais), ce sont ses coordonnées que vous mentionnerez. A défaut, la personne référente sur la protection des données dans votre organisation.

Exemple :

Vous pouvez exercer vos droits à maîtriser vos données personnelles (droit d’accès et de rectification, droit d’effacement) en adressant un message précisant la demande à dpo@mon-entreprise.com et en joignant la copie d’un justificatif d’identité.


Tenez un registre de vos traitements de données

Pour être en conformité avec le RGPD, si vous exploitez des données personnelles issues d’enquêtes de façon organisée et systématique, des enquêtes de satisfaction clients récurrentes par exemple, vous devrez mentionner ces activités dans votre registre des traitements.

L’article 30 exige en effet que chaque responsable de traitement tienne un registre des activités de traitement effectuées sous sa responsabilité. Cette obligation ne s’applique pas aux entreprises de moins de 250 salariés si le traitement est occasionnel et ne porte pas sur des données sensibles.


Votre prestataire ou logiciel d’enquêtes spécialisé est-il conforme ?

Last but not least, dans la liste des nouveaux devoirs qu’ont les entreprises qui collectent et traitent des données à caractère personnel, vous devez vous assurer, en qualité de responsable du traitement, que les prestataires ou éditeurs de logiciels auxquels vous avez recours pour vos enquêtes ou sondages sont en conformité avec le RGPD.

Ce sont en effet vos sous-traitants et vous avez des responsabilités à leur égard :

  • en tant que responsable de traitement, vous devez vérifier que votre sous-traitant applique des mesures de sécurité techniques et organisationnelles strictes pour la protection des données personnelles ;
  • votre sous-traitant a de nombreuses obligations, décrites dans l’article 28 du RGPD, il doit en particulier vous apporter son aide pour respecter la règlementation.

Concrètement, le logiciel d’enquêtes doit vous permettre notamment :

  • d’informer les répondants sur les modalités de traitements de leurs données personnelles via le commentaire introductif du questionnaire et/ou le message d’invitation envoyé par e-mail ;
  • de proposer aux répondants un contact pour l’exercice des droits à maîtriser leurs données personnelles ;
  • d’effacer unitairement les données personnelles recueillies en cas de demande du répondant ;
  • de limiter les durées de conservation.

Un point de vigilance particulier doit être porté aux éventuels transferts de données en dehors de l’UE car ils sont très encadrés : seuls les transferts de données vers des pays considérés comme adéquats ne nécessitent pas d’autorisation spécifique. Une carte des pays adéquats est présentée sur le site de la Commission Nationale Informatique et Libertés (CNIL) qui est l’autorité de contrôle en France.


Carte des pays adéquats (source : CNIL)
Carte des pays adéquats (cliquez sur la carte pour accéder au site de la CNIL)

A l’heure où je rédige cet article, les Etats-Unis ne sont qu’en adéquation partielle : seuls les transferts de données vers les entreprises ayant adhéré au Privacy Shield peuvent être effectués sans autorisation spécifique. Connu également sous le nom de “bouclier de protection des données”, ce dispositif repose sur un mécanisme d’auto-certification des entreprises, à renouveler chaque année, et peut ne porter que sur certaines catégories de données (typiquement, données RH ou non RH).

Des sociétés comme Google LLC ou SurveyMonkey Inc (éditeur d’un site de sondage en ligne qu’on ne présente plus !) ont adhéré au Privacy Shield, ce qui peut être considéré comme approprié. Toutefois, est-ce suffisant ? On peut se poser la question car SurveyMonkey lui-même admet publiquement qu’il étudie la possibilité d’implanter des centres de données (data centers) sur le territoire de l’UE pour répondre aux besoins de ses clients européens…

Pour vos enquêtes et sondages utilisant des données à caractère personnel, je ne peux que vous recommander chaudement de choisir un prestataire ou un éditeur de logiciel implanté sur le territoire européen. Et de vérifier en sus qu’il a effectivement mis en œuvre une politique de confidentialité et des mesures de sécurité appropriées !


Chez Questio, nous avons choisi de développer en interne notre solution logicielle pour la maîtriser entièrement, et pour la sécurité des données, la plateforme questionnaire-pro est hébergée sur des serveurs dédiés situés en France. Vous pouvez consulter notre Politique de protection des données personnelles et me contacter pour toute demande particulière.

Sachez que j’anime également des formations sur la protection des données personnelles à Montpellier et dans diverses villes en France. Cette formation d’une ou deux journées permet aux PME/TPE et associations de comprendre les enjeux et principes du RGPD, d’identifier les actions à mener pour préparer leur plan d’action de mise en conformité.

Enfin veuillez noter que les informations figurant dans cet article ont un caractère général et ne peuvent en aucun cas remplacer un avis ou un conseil juridique adaptés à votre situation.

A propos de Françoise Lafont

Cofondatrice de Questio, éditeur du logiciel questionnaire-pro, je partage dans ce blog mes connaissances théoriques et pratiques dans le domaine des études, enquêtes et sondages en ligne.

9 commentaire(s) sur “Comment le RGPD impacte vos enquêtes et sondages

  1. Bonjour,
    un collègue m’indique que je dois indiquer par une asterisque (avec une légende introductive) toutes les questions qui sont obligatoires, par opposition à celles qui sont facultatives.
    ça me semble étonnant, je ne vois pas en quoi cela impacte le traitement des données.
    pouvez-vous me dire si c’est bien le cas et pourquoi ?
    je vous remercie

    1. Bonjour Gabrielle, merci pour votre question. Comme vous, je ne vois a priori aucun lien entre les exigences du RGPD en matière de protection des données personnelles ou de traitement de ces dernières, et le fait de mentionner par une astérisque les questions obligatoires dans une enquête. Mais je n’ai peut-être pas tous les éléments de contexte de votre enquête !!! 😉
      S’agissant des questions à caractère obligatoire, il est d’usage dans les questionnaires de les signaler aux répondants. C’est un usage mais vous pouvez ne pas le faire. Quand les questions obligatoires sont signalées, c’est souvent avec une astérisque mais pas systématiquement : ce peut aussi être indiqué dans les précisions de la question, ou encore de façon générale en début de questionnaire (par exemple si toutes les questions sont. Vous avez donc plusieurs options à votre disposition.
      Avec un logiciel d’enquête en ligne comme notre plate-forme questionnaire-pro, si un répondant n’a pas complété une question obligatoire, un message le lui signale, l’empêchant de passer à la question suivante.
      D’autres articles de ce blog traitent aussi de ce sujet : vous pouvez cliquer ici pour y accéder directement. Enfin, n’hésitez pas à me recontacter si besoin.

  2. Bonjour,
    Je suis en apprentissage restauration.
    J’ai mon tuteur qui aimerait que je crée un questionnaire de starisation (format papier) que les clients remplissent en fin de leur repas pour avoir leur avis.
    Mais je suis perdu avec la loi RGPD, est-ce que j’ai le droit de demander le nom,prénom,adresse,e-mail en citant une loi, ce serait laquelle ?
    Merci, cordialement.

    1. Bonjour, oui c’est une bonne idée de recueillir l’avis des clients à la fin de leur repas. Il n’est pas indispensable d’avoir les coordonnées des répondants si vous exploitez les réponses au questionnaire de satisfaction de façon purement statistique.

      Si vous leur demandez leurs coordonnées, j’imagine que c’est pour en faire un fichier et les recontacter plus tard par e-mail (ou par SMS éventuellement si vous demandez le téléphone mobile). Le RGPD impose d’obtenir le consentement des personnes physiques concernées au moment de la collecte de leurs données personnelles. Vous devez prévoir une case à cocher sur le questionnaire avec une phrase comme par exemple : “J’accepte que mes informations soient enregistrées de manière à recevoir les actualités du restaurant par e-mail”. Cette phrase n’est qu’un exemple, à adapter à votre contexte. Si jamais le client ne coche pas la case, vous ne devez en aucun cas enregistrer ses données personnelles.

      Les e-mails que vous enverrez par la suite devront contenir un lien de désinscription et vous devez conserver les questionnaires papier comme preuve en cas de réclamation du client. Vous devez aussi prévoir une information des clients sur l’utilisation que vous faites de leurs données personnelles, à qui et à quoi elles sont destinées, combien de temps vous allez les garder dans votre fichier, etc. Ce pourrait être écrit au dos du questionnaire par exemple.

      Pour en savoir plus sur le consentement des répondants dans le cas des questionnaires d’enquête, vous pouvez lire aussi cet autre article.

      Bon courage pour votre projet !

  3. Bonjour Françoise,
    Je suis actuellement en train de créer un questionnaire dans lequel je ne traite pas de données personnelles.
    Cependant je passe par un prestataire pour mon questionnaire (Typeform). Ils disent qu’ils sont conforme à la RGPD. J’ai pu lire que pour identifier un utilisateur unique ils ne stockent pas l’adresse ip mais un identifiant unique généré depuis cette adresse ip.
    Ma question est : dois-je demander le consentement des utilisateurs ?
    Cette histoire d’adresse ip non-stockée mais utilisée pour générer un id me questionne.
    Merci à vous.

    1. Bonjour Maxime, merci pour votre intérêt pour ce blog et pour votre question.
      Dans la mesure où vous ne recueillez pas de données personnelles via votre questionnaire, vous n’avez pas à demander leur consentement aux répondants au sens du RGPD. Je vous conseille toutefois de les rassurer en leur précisant dès le début du questionnaire que leurs réponses sont anonymes et utilisées uniquement à des fins statistiques.
      Concernant le prestataire que vous citez, si vous avez un doute sur les conditions dans lesquelles il traite les données de vos répondants ou l’utilisation qu’il est susceptible d’en faire, peut-être vaut-il mieux éviter de lui confier votre enquête… Je ne peux que vous suggérer d’essayer la solution questionnaire-pro, développée en interne par notre société et hébergée sur des serveurs dédiés, exclusivement en France. Nous n’exploitons ni ne stockons aucune des données issus des journaux d’activité des serveurs (confère politique de protection des données personnelles). Au plaisir de vous compter parmi nos utilisateurs !

  4. Bonjour,
    Je mets en place actuellement une enquête de satisfaction clients au sein de mon entreprise. Etant donné qu’il s’agit des clients de notre société, et que nous avons déjà pris contact avec eux auparavant, peut-on leur envoyer l’enquête de satisfaction directement? (sans passer par une demande de consentement)

    1. Bonjour Marion, votre demande, simple en apparence, se révèle être une question à tiroirs… 😉
      Déjà vous ne me dites pas comment vous comptez envoyer l’enquête de satisfaction à vos clients. Je peux supposer que vous les contactez par e-mail (fréquent tant en BtoB qu’en BtoC) ou par SMS (plutôt en BtoC). Si vous avez déjà obtenu leur consentement à recevoir des messages de votre part, lors du recueil initial de leurs données personnelles au moment de la constitution de la fiche client, pas de souci pour les contacter. Vous devez simplement prévoir un lien de désinscription dans l’e-mail ou le SMS, c’est obligatoire.
      Ensuite se pose la question de la collecte de données personnelles via votre questionnaire d’enquête de satisfaction. Soit les réponses sont anonymes et traitées uniquement à des fins statistiques, soit les réponses comprennent des données à caractère personnel ou sont croisées avec les données du fichier client. Pour ce dernier cas, vous trouverez des explications complémentaires dans cet autre article : Comment obtenir le consentement des répondants (RGPD).
      Enfin, si vous n’avez pas encore identifié la solution logicielle pour réaliser votre enquête, je vous invite à tester la plate-forme questionnaire-pro développée par la société Questio qui est également l’éditeur de ce blog.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

+ 57 = 62