Qu'est-ce que le règlement général de l'UE sur la protection des données (RGPD) et comment cela affectera-t-il votre activité en ligne ?
Publié: 2018-06-04Votre boîte de réception est inondée d'e-mails mettant à jour les politiques de confidentialité ? Il y a une raison à cela – et cette raison est le Règlement général sur la protection des données, ou RGPD.
Il semble que tout le monde parle du RGPD ces jours-ci. Mais pourquoi maintenant ?
Eh bien, le RGPD est en préparation depuis sept ans. Mais récemment, il y a eu un accord sur ce que cette réforme de la protection des données impliquera vraiment.
Fondamentalement, le RGPD est un ensemble de réglementations conçues pour offrir plus de contrôle sur les données personnelles aux citoyens européens. En dehors de cela, cette réforme réglementera également les lois générales sur le consentement et la confidentialité dans le monde en ligne, créant de nouvelles normes pour le traitement et le stockage des données en général.
Au moins 50 % des organisations ont déclaré qu'elles auront du mal à se conformer au RGPD à moins qu'elles ne modifient considérablement leurs opérations. Et cela peut être un règlement européen, mais cela ne concerne pas que l'Europe.
Il est conseillé aux entreprises en ligne du monde entier de se conformer aux nouvelles réglementations GDPR - le GDPR s'applique à toutes les entreprises de l'Union européenne ET à toute organisation en dehors de l'UE qui fournit des produits ou des services à des clients ou à des entreprises au sein de l'UE. Il y a de fortes chances que la majorité des entreprises dans le monde devront se conformer au RGPD... y compris vous, si votre entreprise relève de la loi britannique sur la protection des données.
Pensez-y comme ceci – le siège principal de Facebook est en Amérique, mais les personnes vivant en Europe et partout dans le monde peuvent s'inscrire à Facebook. Ainsi, puisque Facebook propose des services aux Européens et collecte leurs données, Facebook doit être conforme au RGPD, même s'il est principalement situé en Amérique.
N'ayez pas peur de devenir conforme au RGPD, cependant. Même si techniquement, vous n'êtes pas obligé de l'être.
La conformité au RGPD ne peut que vous faire du bien. Vous utiliserez un système qui traitera les informations personnelles et sensibles de vos clients (ou abonnés aux e-mails) tout en protégeant toutes ces données. En réalité, tout le monde peut bénéficier du RGPD.
L'avantage du RGPD est qu'il s'accompagne de règles et de directives strictes concernant la collecte de données. Cela signifie plus de lignes floues et plus de réglementation. Mais cela signifie également que ceux qui doivent se conformer au RGPD seront passibles de sanctions s'ils ne respectent pas les nouvelles réglementations.
Il existe deux types distincts de traitement des données : les personnes (ou une agence, une autorité, etc.) en charge du traitement des données, et les personnes en charge du contrôle. Avec cette configuration, chacune des deux parties est entièrement responsable en cas d'abus, mais si tout le monde respecte les règles de protection des données, les violations seront moins probables. Avant le RGPD, il n'y avait pas de vraie solution si quelque chose arrivait aux données.
Comment votre entreprise peut devenir conforme au RGPD
La première étape pour devenir conforme au RGPD consiste à bien examiner les données que vous collectez. Ces données sont-elles personnelles ? Si c'est le cas, vous devez appliquer les règles et réglementations du RGPD.
Si des données (une seule partie ou l'ensemble du groupe) peuvent identifier la personne, il s'agit de données personnelles. Dans ce cas, vous devez obtenir le consentement de ces personnes, les informer de la manière dont leurs données seront utilisées et pour combien de temps. En outre, vous devez leur donner un aperçu des données dont vous disposez et leur permettre de les supprimer s'ils le souhaitent.
Certains exemples typiques de données personnelles incluent les noms, les adresses, les photos, et même l'adresse IP est considérée comme des données personnelles.
De plus, s'ils ne veulent pas supprimer les données, vous devez effectuer une certaine activité afin de protéger ces données. Une des façons de le faire est la pseudonymisation.
Qu'est-ce que la pseudonymisation ?
Bien que le nom soit compliqué, l'idée est assez simple. La pseudonymisation est une technique de gestion des données dont l'objectif principal est de dépersonnaliser les données afin qu'elles ne puissent pas être retracées jusqu'à une personne, sauf si vous utilisez des données supplémentaires - c'est comme une clé. Sans cette clé, vous ne pouvez pas découvrir la donnée d'origine qui la rend cryptée.
Le RGPD contient également une liste de règles concernant le stockage de toutes ces clés cryptées afin que le processus de dépersonnalisation et les informations restent sécurisés.
Les données personnelles et cryptées représentent différentes pièces du puzzle, où si vous en retirez une de l'équation, vous ne pouvez pas voir l'image entière.
La différence entre la pseudonymisation et le cryptage
Bien qu'il existe des similitudes, la principale différence est claire. Le cryptage n'est pas gravé dans le marbre et il existe plusieurs façons d'y parvenir. Le résultat final est le même : les données sont protégées et cryptées.
La différence entre le cryptage et la pseudonymisation réside dans le fait que vous ne pouvez pas traiter les données cryptées à moins de les remettre dans leur état d'origine non crypté. Avec la pseudonymisation, vous n'anonymisez que temporairement les données personnelles afin que pendant le traitement des données, personne ne puisse les connecter à la personne réelle.
Fondamentalement, bien que le cryptage soit beaucoup plus sûr et complet, il est également techniquement très complexe à réaliser, et la pseudonymisation vous permet de crypter uniquement les parties sensibles des données. Cela pourrait être grossièrement traduit en une situation réelle dans laquelle vous menez un questionnaire public et les réponses sont anonymes, mais le résultat final est le même – vous obtenez les données que vous recherchiez.
RGPD et protection efficace des données
Afin de traiter les données, les entreprises doivent utiliser la pseudonymisation si elles veulent être conformes au RGPD. Ils peuvent choisir de ne pas l'être, mais ils s'exposeront à de multiples amendes pouvant aller jusqu'à des millions de dollars.
Avec la pseudonymisation, les données peuvent être utilisées dans des recherches analytiques, exploratoires et statistiques, mais aussi avec le consentement du propriétaire des données. Et les entreprises devront également avoir ce consentement facilement disponible.
Outre la pseudonymisation, il existe plusieurs solutions techniques que les entreprises peuvent mettre en œuvre pour s'assurer que ces données sont protégées. Il est préférable d'atteindre un cryptage complet si possible, mais à part cela, les entreprises peuvent s'assurer que leurs systèmes actuels peuvent supporter les changements de politique.
Une autre façon de protéger les données est de renforcer les systèmes en place. Construisez les garanties nécessaires dans les systèmes, mais assurez-vous également qu'elles sont intégrées aux produits et services dès les premiers stades de développement.
Les règles du RGPD commenceront à s'appliquer le 25 mai 2018. À partir de cette date, toutes les organisations et entreprises de l'UE devront se conformer au RGPD.
Quels sont les avantages du RGPD ?
- Moins de violations de données, de piratage et d'utilisation abusive.
- La protection des données sera intégrée à chaque produit ou service dès le départ.
- Les entreprises auront toujours accès aux données nécessaires si elles utilisent des mécanismes de protection des données comme la pseudonymisation.
- De nouveaux emplois seront créés.
- Les gens auront un contrôle total sur leurs données.
- Les entreprises devront informer les consommateurs si leurs données ont été piratées, limitant ainsi les dissimulations.
Êtes-vous inquiet de la façon dont la législation affectera votre entreprise? Restez informé en vous inscrivant à la dose quotidienne de DesignRush !
Pénalités et amendes du RGPD
Alors que de nombreuses entreprises pensent que le RGPD n'est qu'une nuisance, elles sont incitées à se conformer aux nouvelles règles du RGPD car les amendes sont gigantesques. Les sanctions peuvent aller de 10 millions d'euros (plus de 11,5 millions de dollars) à 20 millions d'euros (23 millions de dollars), soit deux à quatre pour cent du chiffre d'affaires mondial annuel d'une entreprise, ce qui pourrait valoir des milliards de dollars pour certaines entreprises.
Les entreprises peuvent être condamnées à une amende si elles transfèrent des données sans autorisation, en ignorant la demande des personnes d'informations et de suppression de données. Les amendes peuvent également avoir un impact sur les entreprises qui n'informent pas les utilisateurs et les autorités dans les 72 heures suivant une violation. Un autre cas pouvant entraîner une amende est de ne pas nommer de personne en charge des règles et de la conformité GDPR - une personne responsable de la protection des données au sein de l'organisation.
Nomination d'un contrôleur de données
Chaque organisation qui traite des données sensibles, y compris le traitement, la surveillance et le suivi des comportements, doit nommer un délégué à la protection des données. Cela signifie que les entreprises qui utilisent des stratégies de marketing numérique doivent probablement être conformes au RGPD.
Être un DPD ne nécessite pas de certificat, et il n'y a qu'un ensemble de directives, pas de législation réelle, sur qui devrait être un délégué à la protection des données. Principalement, cette personne doit avoir l'expérience et la compréhension des lois sur la protection des données et doit mener des activités pour s'assurer que l'entreprise est conforme. Cette personne est également tenue responsable si l'entreprise n'est pas conforme.
De plus, selon la taille de l'entreprise, il peut y avoir un seul DPO ou l'ensemble du département dédié à la minimisation des risques et à la maximisation de la protection des données.
Faire du RGPD une valeur fondamentale
Il existe plusieurs façons pour les entreprises de s'assurer que le RGPD est pris au sérieux et exécuté par l'entreprise.
- La formation du personnel
- Examens des politiques
- Réglementation RH
- Audits internes
- Documenter tous les processus et activités impliquant l'utilisation de données
- Minimiser l'utilisation des données
- Utiliser des tactiques comme la pseudonymisation
Comment les entreprises peuvent préparer la législation GDPR
Les services marketing au sein des entreprises sont ceux qui utilisent généralement les données sensibles des utilisateurs, mais peu importe qui gère les données au sein de l'entreprise. L'entreprise dans son ensemble doit être conforme, et voici une liste de contrôle pour aider à simplifier le processus.
Étape 1 – Nommer un délégué à la protection des données
Vous devez avoir quelqu'un qui supervisera et révisera tous les processus internes et s'assurera que votre entreprise adhère aux directives. Si vous pensez que personne au sein de votre entreprise ne peut remplir un tel rôle, alors vous devriez envisager d'embaucher quelqu'un qui le peut. En outre, il existe désormais une formation GDPR que votre personnel actuel peut suivre pour en savoir plus sur le GDPR.
Étape 2 - Vérifiez votre liste de diffusion
Faites une révision complète de toute votre liste de diffusion. Envoyez les e-mails nécessaires concernant la nouvelle mise à jour de la politique de confidentialité et demandez aux gens s'ils souhaitent toujours partager leurs données avec vous. S'ils ne vous donnent pas leur consentement, supprimez-les de la liste. Si vous utilisez l'automatisation du marketing par e-mail, utilisez simplement une nouvelle liste dans laquelle vous segmenterez les utilisateurs européens afin de pouvoir obtenir leur consentement.
Étape 3 - Approuver les campagnes marketing par l'intermédiaire d'un délégué à la protection des données
Jusqu'à ce que votre équipe marketing apprenne les ficelles du métier, un DPO doit superviser vos campagnes marketing et les approuver avant le lancement. De cette façon, vous pouvez être sûr que tout est en ordre et que vous restez conforme au RGPD.
Étape 4 - Documenter les flux de données et les processus
Il y a de fortes chances que votre liste de diffusion soit supprimée, mais comme vous le savez maintenant, c'est une nécessité. Cependant, vous devez toujours vous assurer que toutes les futures collectes de données sont également conformes au RGPD. Vos points de saisie de données doivent également rester sécurisés. Ceux-ci incluent l'inscription à la newsletter, toutes les inscriptions de compte, divers événements, les listes d'achats, la sécurisation des données transférées aux partenaires et, ainsi, tout type d'utilisation et de collecte de données. Les utilisateurs doivent vous donner leur consentement pour toutes vos opérations sur les données et vous devez indiquer explicitement toutes les activités que vous effectuerez avec leurs données.
Étape 5 - Mettez à jour votre politique de confidentialité
Assurez-vous que votre site Web dispose d'une page de politique de confidentialité facilement accessible, où vous pouvez expliquer publiquement comment vous collectez et traitez les données, et quelles mesures vous prenez pour les protéger.
Étape 6 - Mettre en œuvre la formation du personnel et de la direction sur le RGPD
Enseignez à tous les décideurs et au personnel marketing la protection des données et les protocoles en place. Vous pouvez même faire évoluer cela pour informer tous vos employés des nouvelles règles et processus. Cela peut se faire par le biais de séminaires, de formations, de distribution de brochures ou de manuels en ligne, tout ce qui fonctionne pour votre entreprise.
Étape 7 - Supprimer les données que votre entreprise n'utilise pas
L'une des étapes pour devenir conforme au RGPD consiste à minimiser les données que vous utilisez dans les processus quotidiens, si possible, et à supprimer les données lorsque vous n'en avez plus besoin.
Étape 8 – Revérification
Envoyez un e-mail à tous les résidents européens et demandez-leur de renouveler leur consentement s'ils souhaitent figurer sur votre liste. Cela peut être fait par e-mail, application mobile ou même par publipostage. Les politiques GDPR interdisent strictement l'envoi d'un nouvel e-mail aux personnes qui se sont déjà désabonnées de votre liste.
Confidentialité par défaut et confidentialité par conception — Quelle est la différence
Il y a deux nouveaux termes qui devraient être reconnus et observés dans cette nouvelle ère du RGPD. Fondamentalement, nous avons déjà dit que les nouveaux produits et services doivent être accompagnés d'un mécanisme intégré conforme aux règles du RGPD. La confidentialité dès la conception signifie que les entreprises doivent réfléchir et planifier à l'avance comment inclure des politiques de protection des données, même dans les premières étapes du projet, ainsi que dans le reste du cycle de vie d'un projet.
Les processeurs de données doivent sécuriser la confidentialité des données par défaut, ce qui signifie que les données personnelles ne sont accessibles à personne, à l'exception du propriétaire des données. En outre, les sous-traitants ne doivent collecter que le minimum de données personnelles nécessaires aux fins du traitement, sans stocker ces données après l'achèvement.
Ce que vous pouvez faire pour automatiser le processus
Essayez de trouver une solution technique qui résoudra bon nombre de ces problèmes pour vous. Cela pourrait, par exemple, être un logiciel qui supprimera automatiquement certaines données personnelles.
Réévaluation et tests
Afin de stopper les éventuelles violations, et de se conformer au RGPD, il vaut mieux que les entreprises mettent en branle divers tests, études de cas et processus de réévaluation.
Faites une liste de contrôle de conformité GDPR pour chaque nouveau système, campagne médiatique, action de planification de projet ou tout autre élément similaire. De cette façon, vos employés peuvent évaluer le processus rapidement et informer les personnes en charge si le projet n'est pas conforme et utilise les données à mauvais escient de quelque manière que ce soit. Bien sûr, les entreprises ou les employés peuvent considérer ces étapes supplémentaires comme un fardeau, mais il vaut mieux prévenir que guérir.
Souvenez-vous juste de ces amendes d'un million de dollars.
Nouvelles politiques de collecte de données
En plus de sécuriser les données précédemment collectées, vous devez vous assurer que la future collecte de données est sécurisée dès le départ. Vous pouvez utiliser un langage simple et naturel lorsque vous demandez le consentement.
Le masquer derrière un jargon compliqué peut être très trompeur. Le consentement donné par les personnes doit être clair et sans ambiguïté. Assurez-vous de décrire clairement comment vous utiliserez les informations nouvellement collectées.
Il est également temps pour un autre consentement de politique de cookies sur votre site Web. Vous devez vous assurer que les personnes qui s'inscrivent ont l'âge légal, car selon les nouvelles règles GDPR, seules les personnes âgées de 16 ans et plus peuvent fournir leurs données personnelles. Les enfants de moins de 16 ans doivent avoir une autorisation parentale.
Les entreprises doivent comprendre qu'elles ne peuvent pas demander des informations personnelles sans motif valable. Pas même si le stockage de ces informations est conforme aux règles du RGPD. Les entreprises doivent demander une assistance juridique pour préparer une base juridique pour chaque activité de collecte et de traitement de données.
De nouveaux formulaires pourraient inclure l'âge de l'utilisateur et même le pays de résidence pour déterminer si les règles du RGPD s'appliquent ou non. De plus, vos clients ont le droit de savoir si leurs données seront transférées au-delà des frontières. À tout moment, vous devez vous assurer qu'il existe un mécanisme qui permettra aux utilisateurs de retirer leur consentement, voire de déposer une plainte.
Si des personnes demandent des informations sur leurs informations, les entreprises doivent se conformer et fournir une réponse qui ne soit pas retardée sans raison, et au plus tard, elle doit être envoyée dans un délai d'un mois après réception de la demande.
La nouvelle loi e-Privacy
Le Comité européen a publié une nouvelle proposition de loi concernant le règlement ePrivacy. Il s'agit d'une mise à jour de la «loi sur les cookies» existante, qui sera également conforme à la loi GDPR déjà utilisée.
La différence entre le RGPD et la loi e-Privacy
Alors que le RGPD concerne la protection des données personnelles, la loi ePrivacy veut réglementer la confidentialité de la vie personnelle d'un utilisateur. De cette façon, la communication en ligne peut protéger l'utilisateur. De nombreux secteurs et industries sont concernés par ces lois. Le Comité européen estime qu'il devrait y avoir deux ensembles différents de règles fondées sur des droits de l'homme différents.
Cette nouvelle loi ePrivacy peut avoir un impact considérable sur l'industrie du marketing. Plus de 92% des personnes s'inquiètent de leur vie privée en ligne et de la manière dont leurs données sont utilisées à des fins de marketing. Ils sont extrêmement inquiets de la vision que les entreprises ont de leur vie, en particulier lorsqu'ils surveillent leurs activités en ligne, le contenu des e-mails et les messages. C'est pourquoi cette notion a évolué du RGPD, et de la protection des données personnelles, à la loi ePrivacy, et le reste des données.
Fondamentalement, il y aura beaucoup plus de règles et de politiques réglementées concernant l'obtention du consentement à toutes les fins de marketing. Cela inclut également les stratégies de marketing comportemental. Avec la nouvelle loi ePrivacy, les entreprises ne pourront pas utiliser les données de la communication électronique, les informations stockées dans les appareils utilisés par les consommateurs ou toute autre information, sans le consentement de l'utilisateur, sauf si cela est nécessaire pour le traitement immédiat des données.
Paroles de sages - Méfiez-vous des escroqueries
Depuis que les entreprises envoient des e-mails proposant aux gens de se retirer de leurs listes de diffusion, les escrocs ont trouvé un moyen d'utiliser l'ensemble de la conformité GDPR pour leurs escroqueries par phishing. Vous ne pouvez pas vraiment échapper à l'ironie selon laquelle les pirates informatiques ciblent délibérément les personnes qui tentent de protéger leurs données avec les nouvelles règles GDPR.
Voici comment reconnaître une escroquerie par hameçonnage RGPD :
Si l'entreprise vous demande si vous souhaitez rester dans sa base de données, il ne s'agit probablement pas d'une arnaque par hameçonnage. Cependant, si à un moment donné vous recevez un message dans lequel vous êtes censé envoyer à nouveau des données ou des informations personnelles, telles que des noms, des adresses, des noms d'utilisateur, des mots de passe et même des informations de paiement, évitez. Une vraie entreprise ne ferait jamais cela par e-mail.
L'avenir de la protection des données et comment votre entreprise peut utiliser ces informations
Encore une fois, comme avec le RGPD, le pouvoir du contrôle de la confidentialité revient au propriétaire des données. Avec cette nouvelle loi, les utilisateurs pourront donner leur consentement à l'utilisation des cookies ou le retirer, directement dans leur navigateur Internet.
En faisant cela, on pense qu'il n'y aura pas besoin de politique en matière de cookies pour chaque site Web, mais plutôt comme un grand livre de logiciels qui s'en occupera. Cela signifie également que les sites Web n'auront pas à utiliser des fenêtres contextuelles ennuyeuses pour demander le consentement s'ils n'utilisent que la collecte de données anonymes.
Ces nouvelles lois sur la confidentialité seront applicables à tous les services de messagerie, y compris l'application Messenger de Facebook, Viber, WhatsApp et Gmail.
Bon nombre de ces mesures auront un impact direct sur l'avenir du marketing numérique, mais il est encore tôt pour dire ou même prédire comment cela se déroulera. Nous devrons simplement attendre et voir, en gardant un œil sur nos données en attendant.
Votre entreprise a-t-elle besoin d'aide pour se tenir au courant de toutes ces nouvelles réglementations en matière de données ? Consultez la liste de DesignRush des meilleures entreprises de cybersécurité et de gestion des risques qui peuvent aider à rationaliser le processus lorsque la réglementation GDPR entre en vigueur.
Vous voulez plus d'informations commerciales ? Inscrivez-vous à notre newsletter !