Comment le RGPD impacte vos enquêtes et sondages

Questionnaires d’enquête et conformité RGPD© TheDigitalArtist on Pixabay

Les personnes interrogées dans le cadre d’enquêtes et sondages bénéficient avec le RGPD de nouveaux droits sur leurs données à caractère personnel et les entreprises ou organisations qui réalisent ces enquêtes ont de nouvelles responsabilités si l’anonymat des réponses n’est pas total.

Avec l’entrée en application du Règlement Général sur la Protection des Données (RGPD) le 25 Mai 2018, vous vous demandez peut-être comment faire pour continuer à réaliser vos enquêtes et sondages, en toute conformité. Cette question est parfaitement légitime car le RGPD encadre de façon stricte toute collecte et tout traitement de données à caractère personnel sur l’ensemble du territoire de l’Union Européenne.

En réalité, avant toute chose, la question que vous devez vous poser est la suivante :

Vos enquêtes sont-elles totalement anonymes ou utilisez-vous des données personnelles ?

Il y a en effet deux cas de figure distincts :

Cas #1

Vous diffusez vos enquêtes sans identifier aucunement les personnes interrogées, sans recueillir de données personnelles, et vous exploitez les réponses de façon purement statistique (anonymat total)

Dans ce cas, vous pouvez a priori ignorer le RGPD. Soyez toutefois vigilant sur deux points :

  • la notion de donnée personnelle dans le RGPD est très large ;
  • le prestataire auquel vous faites appel pour la solution technique peut traiter des données qui, une fois croisées entre elles, pourraient permettre d’identifier les répondants (comme leur adresse IP, le dispositif qu’ils utilisent pour se connecter à internet…), il ne faudrait pas que ce soit à votre insu, voyez ci-dessous la dernière partie sur la sous-traitance.

Cas #2

Vous recueillez via vos questionnaires des données personnelles (nom, coordonnées…) et/ou vous utilisez des listes de contacts (adresses e-mail) pour diffuser vos enquêtes

Si c’est le cas, alors continuez à lire cet article car avec le RGPD vous avez de nouvelles responsabilités. Nous allons parcourir et analyser les principaux aspects de la règlementation en vigueur :



Un principe fondateur du RGPD : votre responsabilité

On ne peut bien comprendre et appliquer le RGPD que si on a intégré le principe de responsabilité (on utilise parfois le terme anglais “accountability” pour désigner ce principe).

Pour cela, revenons à l’un des postulats à la base du RGPD : les données personnelles appartiennent aux personnes concernées, lesquelles les confient à une entreprise ou une organisation ou encore un organisme public, dans un but défini (la situation est très différente outre-Atlantique où les données personnelles appartiennent à ceux qui les ont collectées).

De ce postulat découle la plupart des droits et obligations figurant dans le RGPD comme :

  • la personne concernée doit donner son accord (consentement) lors de la collecte de données personnelles ;
  • l’entreprise doit clairement expliquer la finalité du traitement des données personnelles, les destinataires des données, leur durée de conservation ;
  • la personne concernée peut à tout moment demander à accéder à ses données, à les faire rectifier ou effacer (droit à l’oubli), demander leur portabilité, contester les traitements ou demander leur limitation ;
  • l’entreprise doit garantir la confidentialité et la sécurité des données et mettre en place une procédure en cas de violation ou de perte de données.

Au final, c’est l’entreprise à qui les données personnelles ont été confiées, qui doit être capable de démontrer que toutes les mesures techniques et organisationnelles ont été prises pour assurer la conformité avec la règlementation. C’est ce qu’on appelle le principe de responsabilité.

En tant que concepteur d’une enquête ou sondage, vous êtes un “responsable de traitement” au sens du RGPD dès lors que vous collectez ou utilisez des données à caractère personnel. A vous donc de prendre toutes les mesures nécessaires pour être en règle et protéger ces fameuses données !


Sur quelles bases légales traitez-vous les données personnelles ?

Il vous faut aussi savoir que pour être licite (ou légal), un traitement de données personnelles doit remplir au moins l’une des conditions précisées dans l’article 6 du RGPD.


Motifs de licéité des traitements de données personnelles (RGPD)
Motifs de licéité des traitements de données personnelles (RGPD)

Dans le cas des enquêtes et sondages, il y a essentiellement deux bases légales sur lesquelles vous pouvez vous appuyer, le consentement et l’intérêt légitime, les autres motifs de licéité sont moins adaptés.


Commençons par le consentement. De façon générale, le fait même de répondre à une enquête sur internet constitue un marqueur du consentement. A priori, rien n’oblige en effet un répondant à cliquer sur le lien de votre enquête, il est libre de ne pas le faire.

De plus, une fois le questionnaire commencé, le répondant peut s’arrêter à tout moment s’il ne souhaite plus répondre aux questions. Vous pouvez limiter l’abandon en cours de questionnaire en prévoyant des réponses du type Ne sait pas ou Ne souhaite pas répondre pour les questions les plus sensibles, ou en laissant la réponse facultative.

Toutefois, commencer à répondre à un questionnaire d’enquête n’est pas suffisant pour consentir au traitement de ses données personnelles, au sens du RGPD.

Si vous collectez des données nominatives, des coordonnées, etc., vous avez en effet l’obligation d’informer la personne concernée du traitement qui va en être fait et lui permettre d’exercer ses droits. Je vous apporte plus de détails sur ces deux sujets dans la suite de cet article.

>>> Un autre article de ce blog pour en savoir plus : Comment obtenir le consentement des répondants

Enfin, arrêtons-nous un instant sur les modalités de diffusion de l’enquête. Si vous utilisez une liste de contacts pour envoyer par e-mail des invitations à répondre à un questionnaire, il faut aussi vous assurer d’avoir obtenu le consentement préalable des destinataires pour communiquer avec eux de cette manière.


L’intérêt légitime peut quant à lui être invoqué dans certaines circonstances particulières, généralement en lien avec la démarche commerciale et la prospection, si le consentement n’a pas été recueilli dans les règles de l’art.

Il est raisonnable de penser qu’une entreprise peut avoir un intérêt légitime à :

  • demander l’avis de ses clients sur les produits ou services qu’ils viennent d’acheter, pour connaître leur niveau de satisfaction et leurs éventuelles attentes ou besoins d’assistance ;
  • interroger des prospects qui ont fait des demandes de renseignements ou de tarifs, sur le suivi de leur démarche.

Informez clairement vos répondants !

En tant que responsable du traitement vous devez fournir les informations nécessaires aux personnes concernées, lorsque vous collectez des données personnelles (c’est clairement expliqué dans l’article 5 du RGPD) :

  • quelles sont les données recueillies
  • pour quelle finalité
  • qui les traite, à qui sont-elles destinées
  • combien de temps seront-elles conservées
  • si des données sont transférées en dehors de l’Union Européenne (UE) le cas échéant

Dans le cas des enquêtes, ces informations doivent apparaître sur le questionnaire, soit en commentaire introductif ou dans le message d’invitation à répondre, soit au niveau de la question portant sur des données personnelles (recueil de coordonnées par exemple). Voyez comment vous pouvez vous y prendre en fonction de la solution logicielle que vous utilisez, il faut que ce soit facilement compréhensible par les répondants.


Recueil et conservation des données : contentez-vous du strict nécessaire

Le RGPD impose que les données personnelles collectées soient limitées à ce qui est nécessaire au regard de la finalité poursuivie, et de même que leur conservation ne dépasse pas une durée limitée à celle nécessaire pour cette finalité.

Vos données d’enquêtes, si elles ne sont pas complètement anonymes, sont concernées par cette règlementation.

Que vous utilisiez un logiciel interne à votre entreprise ou que vous fassiez appel à un prestataire ou une plateforme logicielle externe, soyez donc vigilant sur les conditions de conservation des données à caractère personnel.

A titre d’exemple, sur la plateforme questionnaire-pro, les données d’enquêtes sont conservées au maximum 5 ans après la date de fin de validité du compte client.


Respectez les droits des personnes à maîtriser leurs données

C’est sans doute l’un des aspects les plus connus du RGPD, le règlement européen étend et renforce les droits des personnes concernées à maîtriser leurs données personnelles. Outre le droit à l’information que nous avons évoqué un peu plus haut, les répondants qui vous confient des informations à caractère personnel doivent pouvoir exercer leurs différents droits : droit d’accès, droit de rectification, droit à l’effacement (connu aussi sous le nom de droit à l’oubli), etc.

Autrement dit, les répondants doivent pouvoir modifier, compléter et supprimer les données personnelles qu’ils ont renseignées via vos enquêtes. Pour cela, vous devez leur indiquer la procédure à suivre dans le message introductif ou à la page de remerciement en fin de questionnaire.

Si vous avez un délégué à la protection des données (DPD ou DPO en anglais), ce sont ses coordonnées que vous mentionnerez. A défaut, la personne référente sur la protection des données dans votre organisation.

Exemple :

Vous pouvez exercer vos droits à maîtriser vos données personnelles (droit d’accès et de rectification, droit d’effacement) en adressant un message précisant la demande à dpo@mon-entreprise.com et en joignant la copie d’un justificatif d’identité.


Tenez un registre de vos traitements de données

Pour être en conformité avec le RGPD, si vous exploitez des données personnelles issues d’enquêtes de façon organisée et systématique, des enquêtes de satisfaction clients récurrentes par exemple, vous devrez mentionner ces activités dans votre registre des traitements.

L’article 30 exige en effet que chaque responsable de traitement tienne un registre des activités de traitement effectuées sous sa responsabilité. Cette obligation ne s’applique pas aux entreprises de moins de 250 salariés si le traitement est occasionnel et ne porte pas sur des données sensibles.


Votre prestataire ou logiciel d’enquêtes spécialisé est-il conforme ?

Last but not least, dans la liste des nouveaux devoirs qu’ont les entreprises qui collectent et traitent des données à caractère personnel, vous devez vous assurer, en qualité de responsable du traitement, que les prestataires ou éditeurs de logiciels auxquels vous avez recours pour vos enquêtes ou sondages sont en conformité avec le RGPD.

Ce sont en effet vos sous-traitants et vous avez des responsabilités à leur égard :

  • en tant que responsable de traitement, vous devez vérifier que votre sous-traitant applique des mesures de sécurité techniques et organisationnelles strictes pour la protection des données personnelles ;
  • votre sous-traitant a de nombreuses obligations, décrites dans l’article 28 du RGPD, il doit en particulier vous apporter son aide pour respecter la règlementation.

Concrètement, le logiciel d’enquêtes doit vous permettre notamment :

  • d’informer les répondants sur les modalités de traitements de leurs données personnelles via le commentaire introductif du questionnaire et/ou le message d’invitation envoyé par e-mail ;
  • de proposer aux répondants un contact pour l’exercice des droits à maîtriser leurs données personnelles ;
  • d’effacer unitairement les données personnelles recueillies en cas de demande du répondant ;
  • de limiter les durées de conservation.

Un point de vigilance particulier doit être porté aux éventuels transferts de données en dehors de l’UE car ils sont très encadrés : seuls les transferts de données vers des pays considérés comme adéquats ne nécessitent pas d’autorisation spécifique. Une carte des pays adéquats est présentée sur le site de la Commission Nationale Informatique et Libertés (CNIL) qui est l’autorité de contrôle en France.


Carte des pays adéquats (source : CNIL)
Carte des pays adéquats (cliquez sur la carte pour accéder au site de la CNIL)

A l’heure où je rédige cet article, les Etats-Unis ne sont qu’en adéquation partielle : seuls les transferts de données vers les entreprises ayant adhéré au Privacy Shield peuvent être effectués sans autorisation spécifique. Connu également sous le nom de “bouclier de protection des données”, ce dispositif repose sur un mécanisme d’auto-certification des entreprises, à renouveler chaque année, et peut ne porter que sur certaines catégories de données (typiquement, données RH ou non RH).

Des sociétés comme Google LLC ou SurveyMonkey Inc (éditeur d’un site de sondage en ligne qu’on ne présente plus !) ont adhéré au Privacy Shield, ce qui peut être considéré comme approprié. Toutefois, est-ce suffisant ? On peut se poser la question car SurveyMonkey lui-même admet publiquement qu’il étudie la possibilité d’implanter des centres de données (data centers) sur le territoire de l’UE pour répondre aux besoins de ses clients européens…

Pour vos enquêtes et sondages utilisant des données à caractère personnel, je ne peux que vous recommander chaudement de choisir un prestataire ou un éditeur de logiciel implanté sur le territoire européen. Et de vérifier en sus qu’il a effectivement mis en œuvre une politique de confidentialité et des mesures de sécurité appropriées !


Chez Questio, nous avons choisi de développer en interne notre solution logicielle pour la maîtriser entièrement, et pour la sécurité des données, la plateforme questionnaire-pro est hébergée sur des serveurs dédiés situés en France. Vous pouvez consulter notre Politique de protection des données personnelles et me contacter pour toute demande particulière.

Sachez que j’anime également des formations sur la protection des données personnelles à Montpellier et dans diverses villes en France. Cette formation d’une ou deux journées permet aux PME/TPE et associations de comprendre les enjeux et principes du RGPD, d’identifier les actions à mener pour préparer leur plan d’action de mise en conformité.

Veuillez noter que les informations figurant dans cet article ont un caractère général et ne peuvent en aucun cas remplacer un avis ou un conseil juridique adaptés à votre situation.

A propos de Françoise Lafont

Cofondatrice de Questio, éditeur du logiciel questionnaire-pro, je partage dans ce blog mes connaissances théoriques et pratiques dans le domaine des études, enquêtes et sondages en ligne.

1 commentaire(s) sur “Comment le RGPD impacte vos enquêtes et sondages

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

1 + 4 =