Le RGPD arrive : comment se préparer

Remarque : Ceci est uniquement à des fins d'information générale et n'est pas destiné à constituer une analyse juridique ou un avis juridique. Vous devriez contacter un avocat pour en savoir plus sur vos obligations particulières en vertu du RGPD.

Si vous faites partie d'une organisation qui traite avec des citoyens de l'Union européenne, vous avez peut-être entendu parler des changements à venir concernant le règlement général sur la protection des données (RGPD). Le RGPD est une loi de l'Union européenne visant à renforcer et unifier les règles et les droits en matière de protection des données au profit des citoyens de l'UE. Le RGPD s'applique aux organisations de l'UE et aux organisations non européennes (de toute taille) qui fournissent des biens et des services à l'UE ou qui utilisent des technologies de suivi (comme les cookies ou les pixels de suivi) pour surveiller le comportement des utilisateurs de l'UE.

Le RGPD sera appliqué à partir du 25 mai 2018.

À ce moment-là, toute organisation non conforme peut être passible d'amendes et d'autres sanctions réglementaires. Pour un aperçu du RGPD, cet article est un excellent point de départ.

Principes clés du RGPD

Gardez à l'esprit les principes suivants lorsque vous et votre équipe vous préparez pour le prochain RGPD :

• Les données personnelles collectées doivent être traitées de manière loyale, légale et transparente. Il ne doit pas être utilisé d'une manière à laquelle une personne ne s'attendrait pas raisonnablement.
• Les données personnelles ne doivent être collectées que pour remplir un objectif spécifique et ne doivent pas être utilisées ultérieurement d'une manière incompatible avec ces objectifs. Les organisations doivent préciser pourquoi elles ont besoin des données personnelles lorsqu'elles les collectent.
• Les données personnelles détenues doivent être tenues à jour et exactes. Il ne doit pas être détenu plus longtemps que nécessaire pour remplir son objectif.
• Les citoyens de l'UE ont le droit d'accéder à leurs propres données personnelles. Ils peuvent également demander une copie de leurs données et que leurs données soient mises à jour, supprimées, restreintes ou déplacées vers une autre organisation sans entrave.
• Toutes les données personnelles doivent être conservées en toute sécurité, et les entreprises entreprenant certains types d'activités sont désormais tenues de nommer un délégué à la protection des données.

Qu'est-ce que les données personnelles ?

La définition GDPR des données personnelles inclut ce que nous considérons généralement comme des informations personnelles identifiables (PII) - nom, numéro de passeport, date de naissance, etc. - mais elle inclut également des données que nous pourrions considérer comme non-PII, comme les adresses IP identifiants.

Les données personnelles peuvent même inclure des données sur un individu qui ont été hachées ou cryptées.

Pour une liste complète de ce que le RGPD considère comme des données personnelles, veuillez lire l'article 4(1) du RGPD.

De plus, inclus dans la définition des données personnelles est un sous-ensemble de données connu sous le nom de « catégories spéciales de données personnelles ». Les catégories spéciales de données personnelles sont une liste spécifique de données, expressément énoncées dans le RGPD, et incluent des éléments tels que la race, la religion, les opinions politiques, les données de santé, etc.

Étapes pour se préparer au RGPD

Mappage des données – Déterminez (et documentez) les éléments suivants :

• Quelles données personnelles possédez-vous ou collectez-vous ?
• A quelles fins les données personnelles sont-elles utilisées ?
• D'où proviennent ces données et avec quelles parties ont-elles été partagées ?
• Où ces données résident-elles actuellement ?
• Combien de temps les données sont-elles stockées ?
• Comment ces données seront-elles supprimées ou modifiées si une personne concernée soumet une demande ?

Droits – Vérifiez vos procédures actuelles pour vous assurer que vous pouvez respecter les droits des personnes concernées. Les citoyens de l'UE ont le droit d'accéder à leurs propres données personnelles. Ils peuvent également demander une copie de leurs données et que leurs données soient mises à jour, supprimées, restreintes ou transférées vers une autre organisation sans entrave, dans certaines circonstances.

Consentement – ​​Lorsque vous vous fiez au consentement comme motif de traitement des données personnelles, expliquez comment vous recherchez, obtenez et documentez le consentement. Pour certains (mais pas tous) types d'activités, le consentement doit généralement être obtenu auprès d'un individu afin d'utiliser ses données - par exemple, lors du traitement de catégories particulières de données personnelles. Le RGPD stipule que le consentement doit être donné par un acte affirmatif clair : le silence, les cases précochées ou l'inactivité ne constitue généralement pas un consentement. Le consentement doit également être éclairé.

Les organisations devront fournir des informations sur les raisons pour lesquelles elles collectent les données personnelles et à quoi elles seront utilisées.

Vous serez également tenu de conserver un enregistrement de tous les consentements obtenus, y compris qui a consenti, quand et à quelles déclarations spécifiques ils ont consenti. Les citoyens de l'UE auront le droit de retirer leur consentement à tout moment.

Politiques de confidentialité – Passez en revue votre politique de confidentialité actuelle et déterminez si des mises à jour sont nécessaires.

Conception du produit – Vous devez intégrer la confidentialité dès la conception dans les projets et réfléchir à la manière dont vous pouvez minimiser l'impact de vos produits sur la confidentialité. Essayez d'utiliser la pseudonymisation, l'anonymisation et le cryptage, le cas échéant ou si nécessaire. Des informations plus détaillées sur la protection de la vie privée dès la conception sont disponibles à l'article 25 du RGPD.

Procédures de violation de données – Assurez-vous que vous avez mis en place des procédures pour détecter, signaler et enquêter sur toute violation de données. Le RGPD exige que les organisations signalent une violation aux autorités de protection des données généralement dans les 72 heures suivant la détection, à moins que la violation ne soit pas susceptible d'entraîner un risque pour les droits à la vie privée des individus.

Délégué à la protection des données – Déterminez si vous devez nommer un délégué à la protection des données (DPO). Le RGPD stipule qu'un DPO doit être nommé lorsque les activités principales de l'organisation impliquent "un suivi régulier et systématique des personnes concernées à grande échelle" ou lorsque l'organisation procède à un traitement à grande échelle de "catégories particulières de données personnelles". Le DPO est chargé de veiller au respect des exigences du RGPD et sert de point de contact entre l'organisation et les autorités de contrôle.

Fournisseurs tiers – Faites une liste de toutes les solutions tierces que vous utilisez actuellement (y compris les cookies de suivi de site Web) qui ont accès aux données personnelles des personnes concernées ou les traitent. Vous devriez revoir tous vos contrats avec des fournisseurs tiers. Intégrez des clauses de confidentialité et de confidentialité des données dans vos contrats qui, le cas échéant, sont conformes au RGPD. Demandez aux fournisseurs tiers dont vous avez déterminé qu'ils sont concernés s'ils sont conformes à la réglementation GDPR.

Sensibilisation – Éduquez vos employés au RGPD et à son impact sur la collecte et le traitement des données personnelles des clients.

Qu'en est-il du bouclier de confidentialité ?

Le GDPR a des exigences spécifiques concernant le transfert de données personnelles en dehors de l'UE.

Par exemple, le transfert de données ne doit avoir lieu que vers des pays qui ont été déterminés comme ayant des lois adéquates sur la protection des données ou dans lesquels vous avez mis en place des mécanismes d'exportation de données appropriés.

L'UE ne considère pas que les États-Unis disposent de lois adéquates en matière de protection des données. Toutefois, le bouclier de protection des données est un programme d'autocertification volontaire auquel les organisations américaines peuvent participer pour montrer qu'elles ont mis en place des pratiques de protection des données adéquates pour répondre à cette exigence du RGPD. .

SendGrid est certifié Privacy Shield et propose également des clauses contractuelles types aux clients comme mécanisme alternatif d'exportation de données.

Comment cela affecte-t-il le courrier électronique ?

Le RGPD aura un impact sur les pratiques marketing. Tous les spécialistes du marketing par e-mail concernés par le RGPD doivent déterminer comment ils recherchent, obtiennent et documentent le consentement là où il est nécessaire. Les spécialistes du marketing voudront également s'assurer qu'ils peuvent mettre à jour, supprimer, restreindre ou déplacer les données d'un individu sur demande. En vous conformant au RGPD et en supprimant les adresses e-mail des sujets indésirables de vos listes, vous pouvez améliorer votre délivrabilité !

Et ensuite ?

Si vous pensez que votre organisation sera affectée par le RGPD, veuillez contacter un avocat pour en savoir plus sur vos obligations particulières en vertu du RGPD. Le but de cet article est de mettre en évidence certains des changements qui peuvent survenir pour les organisations à la suite du RGPD. Le texte complet du RGPD est disponible ici. Vous pouvez également trouver plus d'informations sur l'utilisation des cookies, le règlement E-Privacy et son lien avec le RGPD ici.