Questionnaire : comment créer des enquêtes conformes au RGPD ?

16/8/2023
⚙️ Mise en oeuvre

Vous diffusez des questionnaires ou réalisez des enquêtes ? Avez-vous pensé à la conformité de vos enquêtes vis-à-vis du Règlement Européen sur la Protection des Données (RGPD) ?

Qu’il s’agisse de questionnaires de satisfaction en ligne à visée marketing ou de sondages d’opinion, les personnes interrogées dans ce cadre bénéficient de droits concernant leurs données à caractère personnel.

En effet, si l’anonymat des réponses et de l’identité des répondants n’est pas pleinement préservé, des obligations pèsent sur les organismes qui réalisent ces enquêtes.

Vous réalisez des enquêtes et vous vous interrogez sur vos obligations au regard de la réglementation sur la protection des données personnelles ? Leto vous guide pas à pas !

  • Quels sont les questionnaires et enquêtes ayant l’obligation de respecter le RGPD ?
  • Quelles sont les responsabilités des organismes dans le cadre de la réalisation de questionnaire ?
  • Comment rendre mon questionnaire conforme au RGPD ?

1 - Questionnaires : doivent-ils respecter le RGPD ?

Tout dépend si vous traitez ou non des données personnelles ! En effet, le RGPD ne s’applique qu’aux enquêtes et questionnaires traitant des données personnelles. Dans le cas contraire, vous n‘êtes pas contraint de respecter les obligations du RGPD.

Questionnaire : traitez-vous des données personnelles ?

Soyez toutefois vigilant car le RGPD donne une définition large de la donnée à caractère personnel et du traitement de ces données dans l’article 4 du RGPD.

En effet, les données considérées comme à caractère personnel sont toutes les données relatives à une personne physique identifiée ou identifiable.

De même, le traitement de données personnelles s’entend dans un sens très large puisqu’il s’agit de toute opération portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, modification, extraction, consultation, etc.). Ainsi, le simple fait de constituer une liste de diffusion d’adresses mail est considéré comme un traitement de données à caractère personnel, même si vous n’envoyez pas d’email.

Compte tenu de ces définitions, il y a de grandes chances pour que vos questionnaires traitent des données à caractère personnel.

Vous ne traitez pas de données personnelles si :

  • Les enquêtes sont diffusées sans que les personnes interrogées puissent être identifiées ;
  • Aucune donnée personnelle n’est collectée et exploitée pour mener à bien le questionnaire ;
  • Les réponses sont exploitées de manière purement statistique.

Dans ce cas , en principe, vous pouvez ignorer le RGPD.

Questionnaire et données personnelles : cas pratiques

Pour bien comprendre ce que recouvre la notion de donnée personnelle dans le cadre des enquêtes, prenons quelques cas pratiques. Le questionnaire doit-il respecter les obligations RGPD dans chacun de ces cas ?

🔎 Exemple 1 : Vous diffusez un questionnaire papier à l’entrée de votre magasin. La seule donnée demandée dans ce questionnaire est l’âge des répondants. Cette seule information ne permettant pas d’identifier directement ou indirectement les personnes, il ne s’agit pas d’une donnée personnelle. Le RGPD ne s’applique pas.

🔎 Exemple 2 : Vous diffusez un questionnaire papier, toujours à l’entrée de votre magasin. Dans ce formulaire les répondants doivent inscrire leur âge mais également leur profession, leur lieu de travail et leur lieu de résidence. Ces informations peuvent permettre, par recoupement, d'identifier les personnes. Il s’agit de données personnelles et le RGPD s’applique.

🔎 Exemple 3 : Vous diffusez un questionnaire par mail. Pour cette enquête, vous ne demandez aucune information personnelle. Cependant, comme nous l’avons vu, le simple fait de constituer une liste de diffusion constitue un traitement de données personnelles puisque vous collectez et utilisez des adresses mails. Or, les adresses mail sont des données personnelles car elles peuvent permettre l’identification d’une personne. La réalisation d’une enquête par mail, par courrier postal ou par téléphone est un traitement de données personnelles, le RGPD s’applique.

En résumé, les obligations du RGPD s’appliquent si vous :

  • Utilisez des données à caractère personnel pour la diffusion des questionnaires : adresse mail, adresse postale, numéro de téléphone ;
  • Récoltez des données à caractère personnel dans le corps du questionnaire.

Questionnaire : quid des données sensibles ?

Parmi les données personnelles, une catégorie de données bénéficie d’une protection accrue : les données sensibles.

L’article 9 du RGPD liste ces données :

  • Informations relatives à l’origine raciale ou ethnique,
  • Informations relatives aux opinions politiques,
  • Informations relatives aux convictions religieuses ou philosophiques,
  • Informations relatives à l’appartenance syndicale,
  • Informations relatives à la vie sexuelle ou orientation sexuelle,
  • Données génétiques,
  • Données biométriques (permettant l’identification d’une personne unique),
  • Données de santé.

De plus, les informations relatives aux condamnations pénales bénéficient d’une protection similaire prévue à l’article 10 RGPD.

👉 En principe, il est interdit de recueillir et d’utiliser ces données. Cependant leur traitement est possible dans les cas suivants :

  • La personne concernée a donné son consentement exprès, c’est-à-dire écrit, clair et explicite ;
  • Le traitement est nécessaire à l’exécution d’obligations du responsable de traitement : par exemple, un employeur qui collecte des données pour établir le contrat de travail du salarié et ses fiches de paie ;
  • Les données servent un but médical ou à la recherche dans le domaine de la santé ;
  • Ces données sensibles sont nécessaires à la sauvegarde des intérêts vitaux : il s’agit de cas liés au sauvetage de vie humaine, aux activités humanitaires ou à la gestion d’une épidémie ;
  • L’utilisation de ces données sensibles est justifiée par l’intérêt public et autorisée par la CNIL ;
  • Ces données sensibles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique ou syndicale ;
  • Le traitement est nécessaire à l’exercice ou la défense d’un droit en justice : concerne en particulier les professions réglementées du droit telles que les avocats, notaires, magistrats (tribunaux, cours, etc.), huissiers etc;
  • Les données en question ont été rendues publiques par la personne concernée.

⚠️ Si votre questionnaire recueille des données sensibles, vous devez obligatoirement nommer un délégué à la protection des données (DPO).

Questionnaires RGPD : vigilance vis-à-vis des sous-traitants

Si vous faites appel à un prestataire pour diffuser vos enquêtes, soyez vigilants. En effet, si vous êtes le prestataire de service en cette matière, vous avez le statut de sous-traitant même si vous ne traitez pas directement de données à caractère personnel. Votre client est lui, responsable de traitement.

L’article 28 du RGPD encadre les relations entre le responsable de traitement et ses sous-traitants. Cet article oblige le sous-traitant et le responsable de traitement de conclure un contrat dans lequel le sous-traitant s’engage à un certain nombre de garanti pour protéger les données personnelles. Ces garanties doivent être conforme aux exigences de l’article 28 RGPD.

C’est au responsable de traitement de s’assurer que son sous-traitant offre des garanties suffisantes en matière de protection des données personnelles.

De plus, le sous-traitant doit traiter les données à caractère personnel uniquement sur instruction documentée du responsable du traitement. Ils ne doivent pas traiter de données personnelles à votre insu.

🔎  Exemple : une entreprise offrant un service d’enquête utilise le fichier clients que vous avez mis à sa disposition. Cette entreprise est votre sous-traitant. Vous êtes le responsable de traitement.

2 - Les obligations à respecter pour des questionnaires conformes au RGPD

Pour élaborer des questionnaires et des enquêtes en accord avec le RGPD, assurez-vous de respecter les 5 obligations suivantes :

Etape n°1 - Obtenir l’accord préalable des répondants

Le consentement est-il obligatoire ?

Faut-il obligatoirement recueillir le consentement des répondants à un questionnaire traitant de données personnelles ? Pour être licite, le traitement des données personnelles doit reposer sur l’une des bases légales listées à l’article 6 du RGPD.  Le consentement au traitement des données personnelles est l’une d’entre elles mais n’est pas la seule.

🔎 Exemple : si une entreprise diffuse un questionnaire d’évaluation d’un service, celle-ci peut se fonder sur la base légale du contrat pour le traitement des données personnelles.

Toutefois, en dehors des questionnaires internes à l’entreprise pour lequel il existe un besoin interne légitime, le consentement reste la base légale la plus appropriée pour les enquêtes et les questionnaires.

Comment recueillir le consentement des répondants ?

Pour recueillir le consentement sur un questionnaire en ligne ou papier, le plus simple est d’instaurer une case à cocher en début de questionnaire afin que le répondant puisse donner (ou non) son consentement sur l'utilisation de ses données. Attention, cette case ne doit pas être pré-cochée et elle doit apparaître avant les questions.

🔎 Exemple de recueil de consentement sur un questionnaire :

“Afin de mesurer votre satisfaction concernant notre service, vous acceptez, conformément au RGPD, que vos données à caractère personnel soient collectées et fassent l’objet d’un traitement manuel à cette seule fin par [nom de l’entreprise]”.

Dans le cas d’une enquête par téléphone, le consentement oral de la personne ne suffit pas à vous rendre conforme au RGPD. Mieux vaut envoyer un email en amont de l’entretien téléphonique pour solliciter le consentement et ne contacter la personne qu’en cas de retour positif de sa part.

Etape n°2 - Informer obligatoirement les répondants

Toute personne dont vous collectez les données personnelles doit recevoir une série  d’informations claires et compréhensibles. Les informations à fournir aux répondants sont listées à l'article 13 du RGPD.

Il s’agit notamment de mentionner :

  • Les coordonnées du responsable du traitement pour permettre aux personnes de le contacter ;
  • Les raisons pour lesquelles vous collectez des données : enquête de satisfaction, enquête d’opinion, questionnaire à visée marketing etc. ;
  • Les tiers autorisés ayant accès aux données stockées ;
  • La durée de conservation des données ;
  • La liste des droits RGPD des personnes concernées, principalement : droit de rectification, droit à l’effacement (ou droit à l’oubli), droit à la portabilité et droit d’opposition.

Ces informations sont généralement précisées directement sur le questionnaire (au début ou à la fin), ou bien dans le corps du mail d’envoi du questionnaire.Lorsque le questionnaire est envoyé par email ou format électronique, il est fortement recommandé d’ajouter le lien vers votre politique de confidentialité.

Etape n°3 - Donner la possibilité aux répondants d’exercer leurs droits

Les personnes concernées restent les seules propriétaires des données personnelles que vous collectez. A ce titre, elles disposent des droits évoqués au paragraphe précédent et doivent pouvoir les exercer sans entrave :

  • le droit d’accès permet à un utilisateur de savoir où en est le traitement de ses données ;
  • le droit de rectification permet la modification et la correction des données personnelles ;
  • le droit d’opposition permet de s’opposer à l’utilisation de ses données pour un objectif précis ;
  • le droit à l’effacement permet d’obtenir l’effacement de ses données ;
  • le droit à la limitation permet d’arrêter temporairement l’utilisation des données ;
  • le droit à la portabilité permet à la personne de récupérer une partie de ses données dans un format lisible pour son usage personnel ou pour les transmettre à un autre organisme d’assurance par exemple (copie des données) ;
  • le droit à l’intervention humaine face à un profilage (article 32 RGPD)

Vous devez faciliter l’exercice de ces droits via un système pratique et efficace comme :

  • La création d’une boîte mail spécifique pour recueillir les demandes des répondants ;
  • La mise à disposition un numéro de téléphone dédié ;
  • La mise en place d’un portail dédié sur un site web ou une application ;
  • La mise en place d’un processus interne afin de prendre en compte rapidement les demandes des répondants.

L’information de la manière dont les répondants peuvent exercer leurs droits peut être indiquée avec les autres informations obligatoires, dans le questionnaire ou dans le mail d’invitation. Dans tous les cas, celle-ci doit être visible et le processus simple.

🔎 Exemple d’information : Conformément au RGPD et à la loi « informatique et libertés » du 6 janvier 1978, vous pouvez accéder et rectifier les informations qui vous concernent. Pour exercer vos droits, veuillez-nous adresser un mail à : RGPD@entreprise.fr

⚠️ A réception, vous disposez d'un délai d'un mois pour répondre à la demande d’exercice de droit. De ce fait, les moyens indiqués pour faire sa demande doivent être actifs : boite mail vérifiée régulièrement, numéro de téléphone actif, ressources allouées à la prise en charge des demandes etc.

💡 Avec le logiciel RGPD Leto, vous pouvez mettre en place un portail dédié à l’exercice des droits RGPD : pratique, ludique et efficace !

3 - Respecter le principe de “minimisation de la donnée”

L’article 5 du RGPD pose le principe de minimisation de la donnée, c'est-à-dire de collecter un minimum de données auprès des personnes concernées. Ainsi, lorsque vous concevez vos enquêtes et questionnaires, assurez-vous de ne poser que des questions réellement utiles à la finalité du traitement. Vous ne devez chercher que les réponses adéquates, pertinentes et limitées à ce qui est nécessaire.

🔎 Par exemple, pour savoir si vos clients ont apprécié le logement que vous leur avez loué, vous n’avez pas besoin de leur demander où ils habitent !

De plus, si votre questionnaire s’y prête, privilégiez les questions fermées. En effet, les questions ouvertes peuvent pousser le répondant à indiquer des informations sans lien avec la finalité du traitement.

Dans le cadre de ce principe, pensez à supprimer les données personnelles dont vous n’avez pas ou plus l’utilité. Dans tous les cas, ne conservez les données que durant le temps nécessaire au traitement, durée de conservation dont vous aurez informé préalablement le répondant. En effet, le RGPD interdit de conserver des données sans limitation de durée. Bien entendu, cette obligation ne concerne que les données à caractère personnel. Vous pouvez conserver les autres ad vitam.

4 - Tenir à jour vos documents de conformité

Être conforme au RGPD c’est bien, mais pouvoir le prouver c’est encore mieux. C’est tout l’enjeux de l’Accountability, ou encore, principe de responsabilité.

C’est pour cette raison que le RGPD impose aux organismes de référencer toutes les activités opérant le traitement de données personnelles. Vous devez tenir à jour certains documents de conformité, indispensable pour prouver votre conformité avec la législation.

Le registre des activités de traitement (article 30 du RGPD) qui répertorie :

  1. Les coordonnées des personnes associées aux traitements : responsable du traitement (représentant légal de votre entreprise), sous-traitants (par exemple, votre éditeur de logiciel, votre comptable) et le délégué à la protection des données (DPO), si présent.
  2. Les catégories de données personnelles concernées.
  3. Les catégories de personnes concernées par le traitement.
  4. La base légale pour la collecte d'informations, qui peut être l'exécution d'un contrat, le consentement de la personne, une obligation légale, l'intérêt légitime de l'entreprise, l'exécution d'un intérêt public ou la protection d'un intérêt vital.
  5. La finalité du questionnaire.
  6. Les personnes qui ont accès aux données, qu'il s'agisse des équipes internes de votre entreprise ou des prestataires de service.
  7. La durée de conservation des données : les responsables de traitement doivent déterminer une durée de conservation ou un moyen pour la déterminer.
  8. Les mesures de sécurité mises en place pour protéger les données, notamment techniques et organisationnelles.

Les dispositifs d’information des répondants qui répertorie :

  • Les mentions légales,
  • Les informations listées dans les mails ou les questionnaires,
  • Les modèles de recueil du consentement,
  • Les processus mis en place pour faciliter l’exercice des droits des répondants, etc.

💡 Le logiciel RGPD Leto vous aide à déclarer l'ensemble de vos traitements de données personnelles et les maintenir à jour devient une formalité : Construire son registre de traitement de données

Vous l’aurez compris, il convient d’être très prudent dans le traitement des informations remontées par les questionnaires et les enquêtes. Dès lors qu’ils traitent des données personnelles, ceux-ci sont soumis aux obligations du RGPD. Ainsi, les enquêtes diffusées par email, par courrier ou par téléphone seront systématiquement considérées comme un traitement de données personnelles puisque vous disposez des coordonnées des répondants. Pensez-y !

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

Rédiger une politique de cookies conforme au RGPD : les bonnes pratiques 
4/12/2023
RGPD : les règles de l’anonymisation des données
21/3/2023
Comment identifier un piratage de vos données personnelles ?
26/7/2023
Cookies RGPD : comment s'assurer d'être en conformité ?
21/5/2021

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre
Leto
Nous rejoindreContactA proposRessourcesPresseYoutubeConnexion
Légal
Où est la bannière de cookie RGPD ?Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2023