Politique de protection des données en marketing et relative aux cookies

La Politique de protection des données en marketing et relative aux cookies définit les exigences obligatoires de protection des données applicables au marketing, aux cookies, aux technologies de suivi, à l’analytique, aux technologies publicitaires, à la segmentation d’audience, au marketing direct, à la gestion des préférences, à la suppression des destinataires, aux balises tierces, à la revue des campagnes et au traitement connexe de données à caractère personnel. Son objet déclaré est de veiller à ce que ces activités soient gouvernées au moyen d’enregistrements clairs des finalités, de mentions d’information transparentes, de contrôles appropriés du consentement ou des préférences, de la gestion de la suppression et du retrait, de la supervision des tiers et d’éléments de preuve compatibles avec les exigences d’audit. La politique s’applique aux contextes de responsable du traitement, de responsable conjoint du traitement, de sous-traitant et de sous-traitant ultérieur, les obligations du responsable du traitement s’appliquant lorsque l’organisation détermine les finalités et les moyens du marketing, et les obligations du sous-traitant s’appliquant lorsque des données à caractère personnel liées au marketing, à l’analytique, au suivi ou aux campagnes sont traitées selon des instructions documentées du client ou du sous-traitant en amont. Une exigence centrale impose que les finalités de marketing et de suivi soient enregistrées avant le début du traitement. Pour les activités menées en qualité de responsable du traitement, le responsable de processus ou le propriétaire de l’entreprise doit enregistrer chaque campagne marketing, canal, finalité du traitement, catégorie de données à caractère personnel, source d’audience, lien avec la base légale, catégorie de technologie de suivi, dépendance fournisseur ou balise, lien avec la mention d’information, dépendance au consentement ou aux préférences, lien de conservation et indicateur de transfert dans REG02 avant le début de la campagne ou de l’activité de suivi. Le responsable de la protection des données / responsable du PIMS doit confirmer l’existence d’un lien à jour avec la mention d’information REG07 et d’un lien avec le consentement ou les préférences REG05 avant le lancement de la campagne. Lorsqu’une activité de marketing conjoint, d’audience partagée, de campagne co-marquée ou de suivi partagé est concernée, la répartition des responsabilités entre responsables conjoints du traitement doit être enregistrée dans REG08 avant le lancement. La politique précise les exigences opérationnelles relatives au consentement, aux préférences, aux cookies et aux contrôles de suivi. Elle exige que l’organisation détermine si un consentement, une préférence, une opposition, une instruction contractuelle ou une autre base approuvée est requis pour chaque canal marketing, et que la décision soit enregistrée dans REG02 et REG05 avant toute collecte ou utilisation de campagne. Les cookies non essentiels, les balises, les pixels, les SDK et les technologies de suivi similaires doivent rester inactifs jusqu’à ce que l’état requis du consentement ou des préférences soit disponible dans REG05. Les signaux de consentement ou de préférence ne doivent pas être écrasés, contournés ou ignorés lors de modifications apportées au site web, à l’application, à la campagne ou au gestionnaire de balises, et les éléments de preuve de validation doivent être enregistrés avant la mise en production. Les éléments de preuve relatifs au consentement, aux préférences, au retrait, à la suppression des destinataires et aux versions doivent être enregistrés dans REG05 dans un délai d’un jour ouvré après leur capture, modification ou retrait. La transparence et la gouvernance des tiers constituent également des thèmes centraux. Le responsable de la protection des données / responsable du PIMS doit créer ou mettre à jour l’enregistrement de la mention d’information relative au marketing ou de la notice relative aux cookies dans REG07 avant le lancement d’un nouveau canal marketing, d’une technologie de suivi, d’une configuration analytique ou d’une modification substantielle de campagne. Le contenu de la mention d’information doit être aligné sur les finalités marketing REG02, les catégories de données à caractère personnel, les catégories de destinataires, les catégories de fournisseurs, les catégories de technologies de suivi, les choix de préférences et les indicateurs de transfert avant publication. Les fournisseurs marketing, les fournisseurs d’analytique, les plateformes publicitaires, les balises, les pixels, les SDK et les partenaires de partage de données doivent être enregistrés dans REG08 avant toute utilisation en production, avec confirmation de la classification en tant que sous-traitant, responsable conjoint du traitement ou responsable indépendant du traitement avant l’intégration ou le renouvellement. Les fournisseurs internationaux, les balises, les fournisseurs d’analytique, les plateformes publicitaires, les transferts d’audience ou les transferts de partage de données doivent être routés vers REG09 avant la mise en production, le cas échéant. La politique établit également des exigences relatives à la revue des campagnes, à la suppression des destinataires, au routage des oppositions, à l’application de la politique et à la supervision continue. La source d’audience, les critères de segmentation, les catégories de données à caractère personnel, les exclusions liées à la suppression des destinataires, les contraintes de préférences et le lien avec la mention d’information doivent être vérifiés avant le lancement de la campagne, et les personnes ayant un statut de retrait, d’opposition, de refus de contact ou de suppression doivent être exclues avant l’activation. Les oppositions au marketing, les oppositions, les demandes de retrait, les échecs de désinscription et les réclamations liées au marketing direct doivent être routés vers REG06 dans un délai de deux jours ouvrés, et le statut de suppression ou de préférence doit être mis à jour dans un délai d’un jour ouvré après validation. Les contrôles de gouvernance comprennent une revue trimestrielle du statut des contrôles de protection des données en marketing dans REG12, une revue annuelle des fournisseurs marketing actifs dans REG08, des indicateurs trimestriels relatifs aux liens manquants de consentement ou de mention d’information, aux exceptions liées aux traceurs et à l’état du consentement, aux éléments d’exécution en retard, ainsi qu’aux constats d’audit ou aux actions correctives enregistrés dans REG12.