Comment recueillir des témoignages clients conformes au RGPD

Pourquoi un témoignage est une donnée personnelle

Au sens du RGPD, une donnée personnelle est toute information se rapportant à une personne identifiée ou identifiable. Un témoignage client contient en général plusieurs données personnelles à la fois : le nom complet de la personne, sa fonction, l'entreprise pour laquelle elle travaille, parfois une photo, et l'avis qu'elle a exprimé. Une photo, en particulier, peut être considérée comme sensible dans certains contextes.

De ce fait, publier un témoignage est une forme de traitement de données personnelles. Vous avez besoin d'une base légale, vous devez être transparent à ce sujet, et vous devez être en mesure d'honorer les droits de la personne concernée.

La base légale la plus propre pour publier un témoignage est généralement le consentement. Demandez explicitement au client, avant de publier, s'il accepte que son nom, sa fonction, son entreprise et sa citation soient affichés publiquement sur votre site et vos supports marketing.

Un bon consentement est spécifique, éclairé et libre. Indiquez précisément à la personne ce qui sera affiché, où cela apparaîtra, et qu'elle peut retirer son consentement à tout moment. Conservez une trace de la date et du mode de recueil du consentement. Évitez de récupérer des avis sur d'autres plateformes pour les republier comme témoignages sans autorisation.

Le RGPD encadre les transferts de données personnelles hors de l'Espace économique européen. Si votre outil de témoignages stocke les données sur des serveurs aux États-Unis ou dans d'autres pays tiers, vous pourriez avoir besoin de garanties supplémentaires, et vous devriez les documenter. Ce domaine a été façonné par une jurisprudence importante, dont l'arrêt couramment appelé Schrems II.

Le moyen le plus simple de réduire ce risque est de choisir un prestataire qui conserve les données dans l'UE. L'hébergement européen supprime entièrement la question du transfert et est souvent plus facile à défendre auprès d'un délégué à la protection des données ou d'un régulateur.

Les personnes qui donnent un témoignage conservent leurs droits sur ces données. Elles peuvent demander à les consulter, à les rectifier ou à les faire supprimer. Le droit à l'effacement (parfois appelé droit à l'oubli) signifie que si un client vous demande de retirer son témoignage, vous devez pouvoir le faire rapidement et complètement.

Concrètement, votre outillage doit vous permettre de supprimer un témoignage en une seule action, y compris les copies en cache ou affichées, et la suppression doit réellement effacer la donnée sous-jacente plutôt que de simplement la masquer.

Lorsque vous utilisez un outil tiers pour collecter et afficher des témoignages, cet outil agit comme un sous-traitant pour votre compte. L'Article 28 du RGPD impose un accord de traitement des données (DPA) entre vous, le responsable de traitement, et le sous-traitant.

Le DPA précise ce que le sous-traitant peut faire des données, les mesures de sécurité en place, le recours à d'éventuels sous-traitants ultérieurs, et ce qui se passe en cas de violation de données. Avant d'adopter un outil de témoignages, assurez-vous qu'un DPA est disponible et que votre DPO est à l'aise avec ses termes.

Une checklist rapide

• Recueillez un consentement explicite et spécifique avant toute publication.
• Conservez une trace de la date et du mode de recueil du consentement.
• Indiquez à la personne ce qui sera affiché et où.
• Facilitez le retrait du consentement et la suppression du témoignage sur demande.
• Privilégiez un prestataire qui héberge les données personnelles dans l'EEE.
• Disposez d'un DPA Article 28 signé avec votre sous-traitant.
• Appliquez la minimisation : ne collectez pas plus que nécessaire.

Comment ProofEU vous aide

ProofEU a été conçu autour de ces exigences plutôt que de les ajouter après coup. Les données sont hébergées à Dublin (Irlande), sans transfert hors EEE. Chaque offre inclut un DPA Article 28 pré-rempli, de sorte que votre DPO dispose dès le premier jour du document dont il a besoin. Les témoignages sont recueillis via un formulaire pensé pour le consentement, et vous pouvez supprimer n'importe quel témoignage en une seule action pour satisfaire une demande d'effacement.

Vous trouverez tous les détails sur notre page conformité RGPD et pouvez comparer les offres sur la page tarifs.