Le guide ultime du GDPR pour les spécialistes du marketing et les entreprises

Le règlement général sur la protection des données a été proposé pour la première fois en 2012, suivi de quatre années de discussions, de débats et d'amendements. Le règlement a finalement été adopté par le Parlement européen en 2016. Les pays, les entreprises et les organisations avaient un délai de deux ans pour s'y conformer, le règlement est entré en vigueur à partir du 25 mai 2018. Ce qui semblait à l'origine un délai de préparation raisonnable a rapidement passé, et au moment d'écrire ces lignes, l'application du RGPD était à peine dans cinq mois.

Beaucoup de choses ont déjà été écrites et discutées dans le domaine public concernant le GDPR, mais néanmoins, de nombreux propriétaires d'entreprises ne savent pas ce que le GDPR implique, et s'ils sont ou non concernés. Avec cet article, j'espère clarifier les choses en expliquant ce qu'est le règlement général sur la protection des données, quelles sont les entreprises concernées - et comment - avec les réponses aux questions fréquemment posées sur le RGP et les mesures à prendre pour faire évoluer votre entreprise. vers la conformité.

En clair: Tout ce que vous devez savoir sur le GDPR

Nous avons vu comment la technologie bouleverse les industries, anciennes et nouvelles: Uber et Lyft perturbent les transports, Netflix perturbe la production et la consommation d'émissions de télévision et de films, et l'intelligence artificielle menace de perturber chaque secteur de manière inédite. . Mais la technologie bouleverse également les lois et règlements mis en œuvre par les pays, le RGPD étant conçu pour remplacer une directive moderne qui ne suffisait plus, la directive 95/46 / CE (directive sur la protection des données).

Le règlement général sur la protection des données est évidemment centré sur la protection des données, mais il ne régit pas toute la protection des données. Au lieu de cela, il se concentre sur les données personnelles d'individus, en particulier d'individus résidant dans n'importe quel État membre de l'UE. Il met à jour les réglementations existantes - et introduit de nouvelles - relatives à la collecte et au traitement des données à caractère personnel de toute personne résidant dans un État membre de l'UE. Et cela ne s'applique pas uniquement aux entreprises et aux organisations présentes physiquement dans les États membres de l'UE. Les entreprises et les organisations du monde entier devront se conformer au RGPD si elles collectent et traitent les données à caractère personnel de toute personne résidant dans l'UE.

Obtenez la date dans votre calendrier!

La réglementation n’a pas pour but d’empêcher les entreprises de vendre, de commercialiser ou d’exercer leurs fonctions normales. Il est plutôt conçu pour donner aux individus un plus grand contrôle sur ceux qui collectent et traitent leurs données personnelles, sur quoi elles sont utilisées et sur la manière dont elles sont sécurisées.

Pour ce faire, il distingue d’abord les données à caractère personnel des données à caractère personnel sensibles, les données à caractère personnel étant toutes les informations permettant d’identifier un individu - directement ou indirectement. Il comprend des données telles que des noms, des numéros d'identification, des données de localisation et des identifiants en ligne. Les données personnelles sensibles permettent également d'identifier un individu, mais en élargissant la portée de facteurs spécifiques, notamment des éléments tels que leur apparence physique, leur physiologie, leur génétique, leur santé mentale, leur identité économique, culturelle ou sociale. La collecte et le traitement de données à caractère personnel sensibles ne sont pas autorisés, sauf dans des circonstances très spécifiques, avec des exigences supplémentaires en termes de sécurité des données.

Ensuite, le RGPD affine le principe du consentement en exigeant:

  • Le consentement explicite des individus.
  • L'élimination du consentement général, consentement par défaut et consentement comme condition de vente, de service ou de conditions générales.
  • La possibilité pour les individus de retirer facilement leur consentement.

Le RGPD contient des dispositions prévoyant des moments où le consentement n'est pas nécessaire, mais elles ont toutes trait à des bases légales très spécifiques pour la collecte et le traitement de données à caractère personnel.

Le RGPD clarifie ensuite les droits des individus en ce qui concerne leurs données personnelles, répartis comme suit:

  • Le droit d'être informé, généralement couvert par votre avis de confidentialité. Des informations détaillées sur les personnes qui collectent et traitent les données à caractère personnel, ainsi que sur la manière dont elles seront utilisées, doivent être librement disponibles et rédigées dans un langage clair et simple.
  • Le droit d'accès Les particuliers peuvent vous demander de confirmer que leurs données sont en cours de traitement. Ils peuvent également demander une copie de toutes les informations que vous possédez, ainsi que de toute information supplémentaire. Il devrait être fourni gratuitement et dans un délai d'un mois à compter de la demande.
  • Le droit de rectification. Les particuliers peuvent vous demander de corriger toute information incomplète ou inexacte que vous détenez. Vous êtes alors responsable de la transmission des informations corrigées à des tiers avec lesquels vous avez précédemment partagé les données.
  • Le droit d'effacer. Il ne s’agit pas d’un droit absolu d’être oublié, mais plutôt d’une disposition permettant aux personnes physiques de demander la suppression de leurs données quand il n’ya plus de raison légitime pour que vous continuiez à les traiter, ou qu’elles retirent leur consentement.
  • Le droit de restreindre le traitement. Dans certaines circonstances, des personnes peuvent demander que le traitement ultérieur de leurs données soit limité. Cela diffère du droit d'effacer en ce que vous êtes toujours autorisé à stocker des données personnelles, mais ne les traitez pas davantage.
  • Le droit à la portabilité des données permet aux utilisateurs d’obtenir leurs données et de les réutiliser à leurs propres fins pour d’autres services. Toutefois, cela ne s'applique que dans les cas où la personne a fourni ses données personnelles à un responsable du traitement, généralement lors de l'exécution d'une demande contractuelle.
  • Le droit de faire objection. Sauf si vous avez des raisons légitimes et impératives pour traiter les données d’un individu, celui-ci conserve le droit de s’opposer à ce traitement pour un certain nombre de raisons.
  • Droits liés à la prise de décision automatisée et au profilage. Le RGPD exige que des garanties soient mises en place pour tout traitement automatisé et toute prise de décision, afin de minimiser le risque de décision préjudiciable ou défavorable sans possibilité d'intervention humaine ou possibilité de demander une explication.

Le RGPD donne beaucoup de détails sur la responsabilité et la gouvernance dans les entreprises et les organisations. Cela concerne des questions telles que:

  • La mise en œuvre de mesures qui assurent et démontrent la conformité. Cela peut inclure des politiques internes de protection des données telles que la formation du personnel, des audits internes des activités de traitement et des examens des politiques internes des ressources humaines.
  • Conserver la documentation pertinente de toutes les activités de traitement.
  • Identifier si votre entreprise est un processeur de données, un contrôleur de données ou les deux. Vous devez comprendre l'objectif et les exigences de ces rôles distincts en termes de RPGD et, le cas échéant, vous devrez peut-être nommer un responsable de la protection des données.
  • La mise en œuvre de mesures qui satisfont aux principes de protection des données dès la conception et de protection des données par défaut. Cela pourrait inclure:
  • minimisation des données
  • pseudonymisation ou anonymisation des données
  • la possibilité pour les individus de surveiller le traitement de leurs données
  • amélioration continue des fonctionnalités de sécurité

Enfin, le GDPR introduit de nouvelles exigences concernant le traitement des données à caractère personnel pour assurer la sécurité, ainsi que des exigences concernant la manière dont les entreprises et les organisations doivent réagir face aux violations de données.

Il est important de garder à l'esprit que le RGPD ne concerne pas toutes les entreprises et organisations, mais uniquement celles qui collectent et / ou traitent des données à caractère personnel, que ce soit de leurs clients ou pour le compte d'une autre organisation. Si vous ne collectez ni ne traitez aucune donnée personnelle d'individus, vous n'avez rien à craindre. Et si vous le faites, le principal sujet qui vous préoccupe est de vous assurer que vous êtes pleinement conforme aux exigences du RGPD. Le GDPR ne doit en aucun cas empêcher votre entreprise de continuer à fonctionner, même s'il peut vous obliger à modifier certains de vos processus, ce qui rend plus difficile l'exécution de certaines tâches, mais ne le rend jamais impossible.

Les lourdes amendes possibles dans le cadre du RGPD ne visent pas à nuire aux entreprises, mais plutôt à dissuader les entreprises et organisations concernées d'ignorer la réglementation et de mettre en danger les données personnelles des personnes.

Toutefois, comme pour toute nouvelle réglementation, nous devrons attendre qu’elle soit appliquée et qu’une nouvelle jurisprudence soit établie afin de déterminer tout impact matériel réel sur les organisations et les individus, et de savoir si cela changera ou non avec le temps.

Grandes questions sur le règlement général sur la protection des données

Le GDPR va-t-il m'affecter?

La reponse courte est oui. En tant qu'individu, le GDPR prescrit quand et comment les organisations et les entreprises peuvent traiter ou contrôler des données personnellement identifiables vous concernant. Et si vous faites partie d'une organisation ou d'une entreprise qui traite ou contrôle les données à caractère personnel de n'importe quel citoyen de l'UE, le GDPR prescrit quand et comment vous pouvez le faire. Cela signifie que le GDPR ne s'applique pas uniquement aux entreprises et organisations présentes physiquement dans tout État membre de l'UE, mais également à celles qui proposent des biens ou des services aux citoyens de tout État membre de l'UE, même s'ils ne sont pas physiquement présents dans l'UE. .

Le GDPR s'appliquera-t-il après le Brexit?

Le GDPR continuera de s'appliquer après le Brexit, car il est conçu pour réglementer la manière dont une entreprise ou une organisation traite et contrôle les données à caractère personnel de tout citoyen de l'UE, quel que soit le lieu où l'entreprise ou l'organisation est basée. En outre, le 13 septembre 2017, le projet de loi britannique sur la protection des données a été présenté à la Chambre des lords. Il remplace la loi sur la protection des données et garantit non seulement la mise en œuvre des normes GDPR en matière de traitement et de contrôle des données, mais régit Royaume-Uni exigences spécifiques. Cela comprend les modifications convenues dans des domaines tels que la recherche universitaire, les services financiers et la protection des enfants.

Le GDPR remplacera-t-il la DPA?

Oui et non. À court terme, le règlement général sur la protection des données (GDPR) remplace la loi sur la protection des données de 1998 (DPA). Mais la Grande-Bretagne se prépare également pour le Brexit et, bien que le GDPR réglemente la protection des données de tout citoyen de l'UE, il sera également nécessaire après le Brexit de réglementer la protection des données des citoyens britanniques. Le projet de loi britannique sur la protection des données a été présenté en 2017 et entrera en vigueur en mai 2018. Le projet de loi applique les mêmes normes que le RGPD, tout en clarifiant le contexte de certaines définitions du RGPD dans le contexte du Royaume-Uni.

La loi de 1998 sur la protection des données (c 29) est une loi du Royaume-Uni visant à protéger les données à caractère personnel stockées sur des ordinateurs ou dans un système de classement organisé sur papier.

Le GDPR affectera-t-il les appels à froid?

Le règlement général sur la protection des données (GDPR) affectera très certainement toutes les formes de démarchage téléphonique, y compris le marketing par courrier électronique. Le RGPD fixe des normes élevées en matière de consentement, insistant sur le fait de laisser le contrôle à l'individu (le prospect / client) et en renforçant la confiance et l'engagement.

Le consentement approprié en vertu du RGPD signifie ce qui suit:

  • Le consentement doit être explicite et via une adhésion positive. Cela signifie que vous ne pouvez plus utiliser le consentement par défaut, le consentement comme condition de vente ou de service, ni même les cases de consentement pré-cochées sur les formulaires.
  • Le consentement ne peut être vague. La personne doit donner une déclaration de consentement spécifique, tout en sachant à quoi elle consent et à qui elle donne son consentement. Si des contrôleurs tiers s’appuient également sur le consentement de la personne, ils doivent être nommés.
  • Le consentement doit être séparé de tout autre terme et condition.
  • La preuve du consentement doit être enregistrée et conservée. Cela inclut les enregistrements de qui, quand, comment et quoi.
  • Il doit être facile pour les personnes de retirer leur consentement et de savoir comment elles peuvent retirer leur consentement.
     Vous devez revoir régulièrement vos enregistrements de consentement, en vous assurant que rien n'a changé en termes de relation, de traitement des données ou d'objet du consentement. Actualisez si nécessaire.

Le GDPR sera-t-il retardé?

Tout retard dans l'application du RGPD est hautement improbable. Le GDPR a été approuvé par le Parlement européen en 2016, les États membres ayant deux ans pour se préparer à la mise en œuvre.

Est-ce que le GDPR se produira?

Le GDPR a été approuvé par le Parlement européen en 2016 et sa mise en vigueur est effective à compter du 25 mai 2018. Tout retard dans son exécution est hautement improbable, la perspective d'un Brexit n'offrant également aucun répit.

Le GDPR aura-t-il un effet sur le B2B?

Le GDPR s’applique spécifiquement aux particuliers. Par conséquent, dans le contexte des relations B2B - existantes et nouvelles -, l’impact du GDPR dépendra des informations de contact que vous utilisez pour communiquer avec vos clients B2B. Chaque fois que vos informations de contact contiennent des données personnelles, vous devez suivre les règles relatives au consentement explicite - et enregistré - à vous inscrire. Cela engloberait également les réglementations relatives à la protection des données.

Si, toutefois, vos enregistrements ne contiennent que des informations de contact génériques (un numéro de téléphone ou une adresse électronique sans nom), vous n'êtes pas obligé d'enregistrer le consentement explicite, mais vous devez faciliter le retrait de l'entreprise ou de l'organisation, et garder une trace de cela.

Quand le GDPR entrera-t-il en vigueur?

Le GDPR a été approuvé par le Parlement de l'UE en 2016 et sa mise en vigueur est effective à compter du 25 mai 2018. Toute organisation jugée non conforme après cette date pourrait faire face à de lourdes amendes.

Que signifie le GDPR pour le marketing?

Le GDPR n’est pas le glas du marketing, c’est simplement un moyen de réglementer certains aspects du marketing. Il ne tue pas le marketing direct, il se contente de céder le contrôle du marketing direct aux particuliers. Cela signifie que les spécialistes du marketing doivent à présent s'assurer qu'ils ont le consentement explicite des individus pour commercialiser leurs produits directement (appels téléphoniques, campagnes par courrier électronique ou même publipostage direct). Cela signifie que les spécialistes du marketing doivent désormais informer les individus:

  • Qui va les commercialiser (nom de l'entreprise ou de l'organisation). Si des contrôleurs tiers utilisent également les données personnelles de l'individu, ils doivent également être nommés.
  • Comment leurs informations personnelles seront utilisées et à quoi servent-elles?
  • Qu'ils puissent se retirer à tout moment, tout en expliquant le processus de retrait.

Les spécialistes du marketing doivent également comprendre que le consentement général n’est plus autorisé. En vertu du RGPD, les personnes donnent leur consentement à une campagne ou à un objectif spécifique. Si cette campagne ou cet objectif devait changer, elles doivent à nouveau donner leur consentement. Si votre client donne son accord pour recevoir des communications marketing relatives à votre gamme de meubles de jardin, vous ne pouvez pas passer subitement à la commercialisation de votre nouvelle gamme de produits de salle de bains.

Que signifie le GDPR pour les entreprises?

Les entreprises et les organisations qui collectent et traitent les données à caractère personnel de personnes résidant dans l’UE, quel que soit leur emplacement physique, doivent prendre en compte les éléments suivants:

  • Le GDPR définit clairement différents rôles pour les contrôleurs et les processeurs. Les responsables du traitement des données effectuent le traitement des données à caractère personnel, tandis que les responsables du traitement des données précisent pourquoi et comment les données à caractère personnel sont traitées. Les contrôleurs de données sont également chargés de veiller à ce que les processeurs de données respectent toutes les exigences du GDPR.
  • Certaines sociétés et organisations sont également tenues de nommer un délégué à la protection des données. Le groupe de travail «Article 29» a publié des lignes directrices distinctes sur les OPH, ainsi que des FAQ utiles.
  • Les entreprises et les organisations sont tenues d’obtenir - et d’enregistrer - le consentement explicite d’un individu pour que les données personnelles soient stockées et utilisées. Ils doivent également expliquer à la personne comment les données personnelles seront utilisées.
  • Les violations de données susceptibles de constituer un risque pour les droits et libertés des personnes doivent être signalées à l'autorité de surveillance compétente dans les 72 heures. Lorsqu'une violation de données est de nature à entraîner un risque élevé pour les droits et libertés des personnes, les personnes concernées doivent être averties directement.
  • Les personnes ont le droit de demander une copie de leurs données personnelles et de leurs informations supplémentaires, telles que traitées par toute entreprise ou organisation. Cela permet aux utilisateurs de connaître et de vérifier la licéité du traitement.
  • Le RGPD donne aux individus un droit à l’effacement, parfois appelé droit à être oublié. Le permet aux individus de demander la suppression ou la suppression de leurs données personnelles lorsqu'il n'existe aucune raison valable ou convaincante pour continuer à les traiter. Ce droit n'est pas absolu et les entreprises et les organisations peuvent refuser de supprimer des données dans certaines circonstances.
  • La portabilité des données donne aux individus le droit d'obtenir et de réutiliser leurs données personnelles dans différents services. Cela permet aux individus de déplacer, copier ou transférer leurs propres données personnelles d'un environnement à un autre, et ce pour plusieurs raisons.
  • Si la protection de la vie privée a toujours été une exigence implicite de la protection des données, les sociétés et organisations sont désormais tenues de prendre des mesures pour intégrer la protection des données aux activités de traitement de données.

Que signifie le GDPR pour les ressources humaines?

Les articles 6 (1) © et e) du RGPD permettent aux États membres d'introduire des dispositions plus spécifiques en ce qui concerne les bases légales du traitement des données à caractère personnel. Au moins une des six conditions doit être remplie, deux conditions spécifiques étant que:

  • “Le traitement est nécessaire au respect d'une obligation légale”;
  • "E) le traitement est nécessaire à l'exécution d'une tâche effectuée dans l'intérêt public ou dans l'exercice de l'autorité publique dont est investi le responsable du traitement."

Cela suggère que le traitement des données à caractère personnel des employés pour certaines opérations de ressources humaines légitimes ne nécessite pas de consentement explicite. Cependant, tous les autres aspects du RGPD en termes de données à caractère personnel continueraient de s'appliquer, notamment:

  • Comment et à quoi servent les données.
  • Confidentialité par conception.
  • Portabilité des données et droit d'effacement.
  • Utilisation de données personnelles par des tiers.

À qui s'applique le GDPR?

Le GDPR s’applique à toutes les entreprises et organisations qui collectent et traitent les données à caractère personnel de personnes résidant dans l’UE, quel que soit leur emplacement physique. Cela signifie que les réglementations sont applicables sur toutes les entreprises, même celles qui n'ont aucune présence physique dans aucun État membre de l'UE.

Les amendes GDPR sont-elles assurables?

Il n’existe pas encore de réponse définitive à cette question, mais les courtiers sont d’avis qu’il est peu probable que des amendes relatives au RGP soient assurables. Et avec des amendes pouvant atteindre 4% du chiffre d’affaires global annuel d’une entreprise, toute non-conformité au GDPR peut s'avérer très coûteuse pour toute organisation. Une orientation adéquate ne sera possible que lorsque la nouvelle législation entrera en vigueur et qu'une nouvelle jurisprudence aura été établie. Toutefois, des polices d'assurance de la cyberassurance spécialisées pourraient couvrir les coûts associés à une violation de données, tels que les demandes d'indemnisation, les frais juridiques, la gestion des notifications et de la réputation, etc.

Comment le GDPR va-t-il affecter les entreprises américaines?

Le GDPR s’applique à toutes les entreprises et organisations qui collectent et traitent les données à caractère personnel de personnes résidant dans l’UE, quel que soit leur emplacement physique. En tant que telles, les sociétés américaines - et dans d’autres pays du monde - doivent toujours se conformer à la nouvelle réglementation si l’une des données personnelles qu’elles collectent et traitent est celle de résidents d’un État membre de l’UE. Cela reste vrai même si la société n'a aucune présence physique dans aucun État membre de l'UE. S'il est peu probable que le GDPR affecte un fleuriste de Rock Springs, dans le Wyoming, toute entreprise, basée aux États-Unis ou ailleurs, qui collecte et traite des données à caractère personnel sur des résidents de l'UE devra mettre en place des mesures pour se conformer au GDPR. Cela comprend, entre autres, l’assurance:

  • Consentement explicite et enregistré pour la collecte et le traitement des données personnelles de l'individu.
  • Explication claire sur comment et sur quoi les données seront utilisées.
  • Protection de la vie privée dès la conception, ainsi que conformité aux violations de données.
  • Prise en charge de la portabilité des données et du droit d'effacement.
  • Conformité aux exigences du GDPR pour l'utilisation de données à caractère personnel par des tiers.

De nombreuses entreprises ont l'habitude d'utiliser des pages de destination et des formulaires d'abonnement à des newsletters pour créer leur base de données clients. Dans le cadre du RGPD, cela ne sera plus acceptable en ce qui concerne les données à caractère personnel des résidents de l'UE, car le consentement général n'est plus autorisé. Le RGPD ne reconnaît le consentement explicite donné que pour un but spécifique, qui doit être déclaré lorsque la personne donne son consentement. Si un résident de l'UE s'inscrit pour votre lettre d'information hebdomadaire par courrier électronique, il donnera son consentement explicite pour recevoir ce message: une lettre d'information hebdomadaire par courrier électronique. Vous ne pouvez pas plus tard passer à leur envoyer des offres quotidiennes par courrier électronique, car ils n'ont pas consenti à cela. Chaque fois que le but de la collecte et du traitement de données à caractère personnel change, un nouveau consentement doit être donné.

Comment le GDPR modifie-t-il les règles de la recherche?

Le RGPD prévoit des dispositions pour les organisations qui collectent et traitent des données à caractère personnel à des fins de recherche, mais nous devrons attendre que le GDPR soit appliqué pour voir si elles sont suffisantes ou si elles ont été interprétées de manière trop vague. Le GDPR permet la collecte et le traitement de données à caractère personnel sans consentement, mais uniquement à des fins légales déterminées. En termes de recherche, les articles 9 du RGPD mentionnent spécifiquement la santé, les services sociaux, la recherche scientifique et la recherche historique. Ce qui s'appliquerait toujours dans tous les cas, ce sont les exigences en matière de protection, de confidentialité et de violation de données, qui sont moins strictes lorsque les données ont été anonymisées au point que les personnes concernées ne sont plus identifiables.

Comment le GDPR affecte-t-il la science des données?

Les principaux domaines de la science des données qui seront touchés par le GDPR sont les suivants:

  • La capacité de collecter des données. Le consentement - et être informé de la raison pour laquelle les données sont collectées et de la façon dont elles seront traitées - sont des considérations importantes à prendre en compte ici. Les dispositions relatives aux bases légales pour le traitement des données comportent des exigences spécifiques qui ne s’appliquent pas dans toutes les circonstances, ni à toutes les organisations.
  • La capacité d'utiliser des données. Lorsque le consentement a été accordé, il est important de se rappeler que le consentement s'applique aux données en cours de traitement telles qu'elles ont été communiquées à l'origine aux individus. Si le but de la collecte et du traitement change, un nouveau consentement doit être donné. Dans le même temps, les utilisateurs ont le droit de bloquer le traitement, de s’y opposer et d’effacer, ce qui peut avoir un impact sur, ou limiter, les résultats du traitement lié à la science des données.
  • La capacité de transférer des données vers et depuis des tiers. Le GDPR impose des restrictions sur le mode et le moment de transfert des données vers des pays extérieurs à l'UE et des organisations internationales. Cela aura une incidence sur la capacité des scientifiques de données à trouver et à partager des données.
  • Le profilage client automatisé et la prise de décision disposent de protections intégrées pour les individus, leur permettant de demander - dans certaines circonstances - une intervention humaine et une explication de la décision.
  • Conditions requises pour stocker des données. La protection des données et la protection de la vie privée dès la conception sont les principes centraux du RPGD. Bien que ceux-ci soient moins rigoureux lorsque les données sont tellement anonymisées qu’il est impossible de procéder à une identification individuelle, il incombe toujours à l’organisation de s’assurer que leurs mesures d’anonymisation sont valables.

Comment le GDPR va-t-il affecter les écoles?

Les écoles et leurs administrateurs doivent être conscients des points suivants:

  • Le consentement des parents est requis pour le traitement des données personnelles des enfants de moins de 16 ans. L'âge minimum requis passe à 13 ans en vertu de la loi britannique sur la protection des données.
  • Le GDPR reconnaît les différences importantes entre les données personnelles et les données personnelles sensibles en indiquant que:
  • Le traitement de données à caractère personnel révélant des origines raciales ou ethniques, des opinions politiques, des convictions religieuses ou philosophiques ou des affiliations syndicales, ainsi que le traitement de données génétiques, de données biométriques visant à identifier de manière unique une personne physique, de données relatives à la santé ou de données concernant un produit naturel la vie sexuelle ou l'orientation sexuelle d'une personne est interdite.
  • Avec des dispositions pour des circonstances spécifiques où cela serait toujours autorisé. Les écoles devraient se reporter aux articles 9 pour plus de détails.
  • Les données permettant l'identification ne doivent pas être conservées plus longtemps que nécessaire pour les finalités pour lesquelles elles ont été initialement collectées et traitées. Les exemptions s'appliquent uniquement à des fins d'archivage et de statistique.
  • La commercialisation n'est autorisée que lorsque le consentement explicite a été donné et enregistré, et uniquement en fonction de ce qui avait été consenti à l'origine. Le processus de désinscription doit être simple et clairement expliqué.
  • Tous les droits individuels énoncés dans le RGPD continuent de s'appliquer.

Comment le GDPR va-t-il perturber Google et Facebook?

Google et Facebook s'appuient tous deux sur la collecte et le traitement exhaustifs des données personnelles de leurs utilisateurs. Certaines de ces données sont fournies volontairement lors de l'inscription à des services Google ou Facebook, mais d'autres sont également collectées via le suivi, à la fois via les plates-formes et via les services connectés. Ceci est ensuite utilisé non seulement pour améliorer l'expérience utilisateur, mais également pour créer des profils détaillés à des fins de personnalisation et de publicité. Et dans le RGPD, cela pose problème. D'une part, sauf lorsqu'il s'agit de choisir des fins licites, toute collecte et traitement de données ne peut avoir lieu qu'après consentement explicite. Et le consentement général n'est pas autorisé, chaque fois qu'une personne donne son consentement, c'est pour un but ou une raison spécifique.

Cela signifie que Google et Facebook, ainsi que tous les services similaires, devront proposer aux utilisateurs plusieurs dialogues opt-in, chacun étant lié à un objectif spécifique clairement communiqué. L'inscription ne peut pas être présélectionnée et ne peut pas non plus être conditionnelle à la poursuite de l'utilisation du service. Dans le même temps, les personnes doivent pouvoir se retirer (révoquer le consentement) à tout moment.

Il ne fait guère de doute qu'une organisation aussi grande que Google et Facebook sera en mesure de se conformer le moins possible à l'impact sur les individus, mais cela ne signifie pas pour autant qu'il n'y aura aucun impact sur le modèle économique. Les deux plates-formes utilisent les vastes quantités de données personnelles collectées pour créer des profils détaillés, permettant ainsi aux annonceurs de cibler avec précision des données démographiques spécifiques, etc. .

Parmi les autres aspects du RGPD qui auront une incidence sur Google et Facebook, citons la portabilité des données, le partage des données avec des tiers, le droit d'effacement et le droit d'accès, entre autres. Google prévoit déjà le droit d'effacement et le droit d'accès, mais ceux-ci devront peut-être être ajustés pour répondre aux exigences spécifiques du GDPR.

Bien entendu, l'impact réel du GDPR sur des entreprises telles que Google et Facebook ne sera évident qu'une fois que la réglementation aura été appliquée pendant plusieurs mois.

Comment le GDPR affectera-t-il le recrutement?

Comme pour le marketing, le GDPR ne sonne pas le glas des agences de recrutement, surtout si elles se conforment déjà à la loi sur la protection des données qui doit bientôt être remplacée. Le RGPD a été élaboré de manière à ce que nombre des réglementations s’appliquent presque uniformément à un certain nombre d’industries, laissant peu de place à la déviation. Les recruteurs doivent être spécifiquement informés des autres droits individuels, notamment:

  • Un nouveau consentement doit être donné par les individus pour chaque activité de traitement distincte impliquant leurs données personnelles. Un consentement général ou vague n'est pas acceptable.
  • Lorsque les coordonnées d’un candidat correspondent aux exigences d’un poste pour lequel il n’a pas fait acte de candidature, vous devez tout d’abord être contacté, lui fournir les détails du poste et donner son consentement pour que leurs coordonnées soient mises en avant.
  • Des processus de prise de décision automatisés doivent être mis en place afin de protéger les candidats du risque de décisions préjudiciables.

Comment le GDPR affectera-t-il les organismes de bienfaisance?

Le RGPD établit des normes élevées en matière de consentement, en insistant sur le fait de laisser la personne (le prospect / client / donneur) sous contrôle et en instaurant un climat de confiance et un engagement.

Le consentement approprié en vertu du RGPD signifie ce qui suit:

  • Le consentement doit être explicite et via une adhésion positive. Cela signifie que vous ne pouvez plus utiliser le consentement par défaut, le consentement comme condition de vente ou de service, ni même les cases de consentement pré-cochées sur les formulaires.
  • Le consentement ne peut être vague. La personne doit donner une déclaration de consentement spécifique, tout en sachant à quoi elle consent et à qui elle donne son consentement. Si des contrôleurs tiers s’appuient également sur le consentement de la personne, ils doivent être nommés.
  • Le consentement doit être séparé de tout autre terme et condition.
  • La preuve du consentement doit être enregistrée et conservée. Cela inclut les enregistrements de qui, quand, comment et quoi.
  • Il doit être facile pour les personnes de retirer leur consentement et de savoir comment elles peuvent retirer leur consentement.
  • Vous devez revoir régulièrement vos enregistrements de consentement, en vous assurant que rien n'a changé en termes de relation, de traitement des données ou d'objet du consentement. Actualisez si nécessaire.

Les organismes de bienfaisance et autres organisations qui se sont précédemment fiés à un consentement implicite ou consenti par défaut (cases cochées, etc.) devront mettre à jour leurs bases de données de donneurs / clients en recherchant un consentement explicite et enregistré pour continuer à traiter les données à caractère personnel des personnes qui: résider dans n’importe quel État membre de l’UE. De nombreux organismes de bienfaisance comptent également sur des bénévoles. Ils devront donc s'assurer que tous les bénévoles connaissent également toutes les parties pertinentes du RGPD qui ont une incidence sur leurs activités.

Pourquoi le GDPR est-il mauvais?

Bien que le respect du RGPD entraîne des préparatifs - certes - pénalisants pour toute entreprise ou organisation, ainsi que le risque d’amendes paralysantes, la réglementation n’est pas intrinsèquement mauvaise. En donnant aux individus un meilleur contrôle et une meilleure protection de leurs données personnelles, le GDPR offre aux organisations la possibilité de renforcer la confiance avec leurs clients. Le GDPR peut également être perçu comme une clarification, une simplification et une rationalisation des réglementations qui existaient auparavant, laissant les organisations actuellement conformes à l'obligation de procéder à certains ajustements pour rester en conformité avec les nouvelles réglementations. Nous devrons malheureusement attendre que les réglementations soient appliquées et qu'une nouvelle jurisprudence soit établie afin de déterminer tout impact matériel réel sur les organisations et les individus, et de savoir si cela changera ou non avec le temps.

Pourquoi le GDPR est-il bon pour les affaires?

Le GDPR offre aux organisations la possibilité de renforcer la confiance avec leurs clients, ce qui est toujours positif. Pour de nombreuses organisations, cela leur donne également l’occasion de nettoyer leurs bases de données de marketing et de vente, non seulement en mettant à jour leurs données personnelles, mais également en veillant à ce qu’elles soient désormais remplies de personnes toujours actives et intéressées par vos produits ou services. Il offre également aux organisations l’occasion d’examiner comment elles collectent et traitent les données avec un regard nouveau, en identifiant de nouvelles voies de croissance du marketing et des ventes qui n’existaient pas auparavant, ou qui étaient simplement négligées. Toutefois, comme pour toute nouvelle réglementation, nous devrons attendre qu’elle soit appliquée et qu’une nouvelle jurisprudence soit établie afin de déterminer tout impact matériel réel sur les organisations et les individus, et de savoir si cela changera ou non avec le temps.

Comment minimiser l'impact du GDPR sur votre entreprise

Il existe un proverbe africain particulièrement adapté au RGPD et à votre entreprise:

La meilleure façon de manger l'éléphant qui se trouve sur votre chemin est de le couper en petits morceaux.

Et le meilleur moyen de minimiser l'impact du règlement général sur la protection des données sur votre entreprise est de scinder les exigences de conformité en tâches plus petites.

Le Bureau du commissaire à l’information (ICO) du Royaume-Uni a élaboré un guide complet sur le RGPD, qui comprend une liste de contrôle en ligne pour les contrôleurs de données et les responsables du traitement de données. En outre, l’OIC propose aux entreprises et organisations 12 étapes à suivre pour se préparer au GDPR.

Prendre conscience

La première étape est assez évidente et consiste à veiller à ce que tous les employés et sous-traitants concernés connaissent le RGPD et ce qui est exigé d'eux et de l'organisation pour être en conformité.

Devenir responsable

La responsabilité commence par un audit complet des données. En fonction de la taille de votre organisation et de la quantité de données personnelles que vous possédez, un audit de données sera l'une des tâches les plus importantes que vous deviez accomplir avant la mise en application du GDPR. C'est également l'une des tâches les plus importantes.

Votre audit de données devrait vous permettre de dresser un inventaire complet de toutes les données personnelles que vous détenez et de répondre aux questions suivantes concernant chaque enregistrement:

  • Comment avez-vous collecté les données personnelles? Cela vous a-t-il été donné par l'individu, et si oui, comment? Ou a-t-il été collecté par d'autres moyens?
  • Pourquoi avez-vous initialement collecté les données personnelles? Quel était le but initial? S'agit-il d'une inscription à la newsletter, d'une demande d'informations supplémentaires sur un produit / service spécifique, de la personne créant un compte en ligne (pour magasiner en ligne ou à d'autres fins)?
  • Pourquoi traitez-vous toujours les données et pendant combien de temps allez-vous continuer à les traiter? Si vous n’avez plus de motif légitime pour le traitement, vous ne devriez pas conserver les données.
  • Les données sont-elles sécurisées? Ceci s’applique à la fois au cryptage, et il n’est accessible qu’aux personnes qui comprennent les exigences GDPR pour le traitement des données.
  • Les données ont-elles déjà été partagées avec des tiers? Dans l’affirmative, avez-vous des preuves au dossier qu’elles sont conformes au RGPD, et l’individu sait-il que ses données ont été partagées, avec qui et à quelles fins?

Le GDPR n’exige pas seulement que les organisations soient en mesure de démontrer la manière dont elles se conforment aux exigences en matière de traitement des données. Dans de nombreux cas, une documentation est nécessaire à cet effet. Encore une fois, le site Web de l’OIC contient une brève liste de contrôle qui aide les organisations à identifier les lacunes dans la manière dont elles demandent, enregistrent et gèrent leur consentement.

Communication avec les clients, le personnel et les utilisateurs de service

La conformité avec le GDPR dépendra également de la mise à jour de toutes les notifications de confidentialité par votre organisation, ou de l’ajout de notifications de confidentialité si elles ne sont pas déjà en place. Lors de l'examen ou de la mise à jour des avis de confidentialité, il est important de procéder à une évaluation correcte de la manière dont vous collectez les données. Il convient de noter qu'en plus des formes traditionnelles de collecte de données, il peut désormais s'agir de n'importe lequel des éléments suivants:

  • observé, en suivant des personnes en ligne ou à l'aide de dispositifs intelligents;
  • dérivé de la combinaison d'autres ensembles de données; ou
  • déduit en utilisant des algorithmes pour analyser diverses données, telles que les médias sociaux, les données de localisation et les enregistrements d’achats, afin de présenter le profil des personnes, par exemple en termes de risque de crédit, d’état de santé ou d’aptitude à un emploi.

Les avis de confidentialité doivent être concis, rédigés dans un langage simple et facilement accessible. Le GDPR s'attend également à ce que les organisations incluent des informations spécifiques dans les avis de confidentialité, avec de légères variations selon que les données sont collectées directement auprès des individus ou non. L'image ci-dessous résume ceci.

Droits de la vie privée

Réévaluez toutes vos procédures relatives à la collecte et au traitement des données à caractère personnel afin de s’assurer qu’elles prennent en compte tous les droits individuels consacrés par le GDPR. Considérer ce qui suit:

  • Qui dans votre organisation prendra les décisions concernant les demandes d'effacement? Le droit d'effacement n'est pas absolu et, dans des circonstances très spécifiques, les organisations peuvent refuser de se conformer.
  • Combien de temps faudra-t-il à votre organisation pour répondre aux demandes d'individus demandant des copies de leurs informations personnelles, des corrections et / ou des suppressions?
  • Comment allez-vous vous assurer que les corrections et / ou suppressions sont mises à jour sur tous les sites et avec des tiers, le cas échéant?
  • Serez-vous en mesure de vous conformer aux dispositions relatives aux demandes d'accès et de portabilité des données? Plus précisément, la possibilité de fournir des données par voie électronique et dans des formats couramment utilisés?

Les demandes d'accès vont-elles changer?

Le GDPR exige que les demandes d'accès soient traitées et traitées sans délai, et au moins dans un délai d'un mois à compter de la demande. Les demandes ne portent pas uniquement sur des copies des données à caractère personnel détenues, mais également sur des informations supplémentaires, telles que la confirmation du traitement de leurs données, ainsi que des informations supplémentaires similaires à celles qui devraient être couvertes par vos politiques de confidentialité: comment sont les données collectées, à quelles fins, sont-elles partagées avec qui que ce soit, etc. Ensuite, vous devrez également traiter les demandes de suppression et les demandes de correction des informations personnelles. Examinez tous vos processus actuels pour voir s’ils sont suffisants en termes de processus internes et de conformité au GDPR.

Qu'entend-on par bases licites pour le traitement?

Bien que le GDPR mette fortement l'accent sur le consentement individuel, il autorise le traitement de données sans consentement, dans des circonstances particulières. Examinez toutes les manières dont vous collectez et traitez les informations personnelles pour établir les bases légales. Cela est nécessaire à la fois pour vos politiques de confidentialité et pour confirmer si un consentement est requis ou non.

Utilisation du consentement du client comme base de traitement des données

Le RGPD s'attend à ce que le consentement soit «donné librement, spécifique, informé et sans ambiguïté». Les individus doivent être conscients qu'ils donnent leur consentement, exactement ce à quoi ils consentent, et que cela ne peut pas être forcé comme condition de vente ou de service. Examinez toutes les manières dont vous collectez et traitez les données et qui nécessitent un consentement. Adresse la suivante:

  • Gardez toute demande de consentement séparée de vos conditions générales. Mettez à jour vos conditions pour supprimer toute mention de consentement en tant que condition de vente ou de service.
  • Si le consentement est donné par le biais de personnes cochant une case - sur un formulaire imprimé ou un formulaire en ligne -, assurez-vous qu'elles ne sont pas toutes cochées par défaut.
  • Assurez-vous que vos CRM et bases de données sont équipés pour inclure un enregistrement de consentement. Ceci devrait spécifiquement enregistrer qui a consenti, quand il a consenti (données et heure), comment il a consenti et ce qu'on lui a dit.
  • Si vous collectez des données via des formulaires en ligne, envisagez d'utiliser des services tels que MailChimp, qui permettent une confirmation de double acceptation, et enregistrez la date et l'heure de chaque soumission.
  • Assurez-vous que vos systèmes permettent également aux personnes de retirer facilement leur consentement.

Dans le même temps, il est nécessaire de revoir tous les consentements existants avant l'application du RGPD pour s'assurer qu'ils respectent la norme requise.

Traitement des données des enfants

Si vous collectez et traitez les données d'enfants de moins de 16 ans, vous devrez peut-être réviser vos systèmes actuels afin d'introduire des mesures permettant de vérifier l'âge des individus et d'obtenir le consentement de leurs parents ou de leur tuteur légal pour le traitement.

Signaler des violations de données

Vérifier et / ou mettre en œuvre les procédures appropriées pour détecter, enquêter et signaler les violations de données. En vertu du RGPD, les organisations sont tenues de signaler certains types de violations de données à l'autorité de surveillance compétente dans un délai de 72 heures. En outre, certaines violations exigent également que les personnes concernées soient notifiées. Le non-respect de cette consigne peut entraîner de lourdes amendes pour les organisations.

Évaluations d'impact sur la protection des données (DPIA) et protection des données par conception et par défaut

Celles-ci ont toujours été une bonne pratique en matière de traitement de données, mais le GDPR fait désormais de la protection des données, concept par défaut et par défaut, les AIPP étant obligatoires pour toute organisation impliquée dans le traitement de données à haut risque. En plus de vos politiques de confidentialité, vous devriez également examiner les éléments suivants:

  • Utilisation du cryptage, de la pseudonymisation et / ou de l'anonymisation des données.
  • Le partage de données. Regardez ce qui est partagé, quel est le but du partage et avec qui il est partagé. Les données sont-elles partagées de manière sécurisée et l'organisation avec laquelle elles sont partagées est-elle également entièrement conforme aux exigences du GDPR?

Responsables de la protection des données

Toutes les organisations ne seront pas obligées de nommer des responsables de la protection des données, mais vous devez vous familiariser avec ces exigences et y répondre de manière appropriée.

Organisations internationales et le GDPR

Le GDPR s'applique à toutes les entreprises et organisations qui collectent et traitent les données à caractère personnel d'individus résidant dans n'importe quel État membre de l'UE, même si l'entreprise ou l'organisation n'est pas physiquement présente dans l'UE. Chaque État membre de l'UE a sa propre autorité de protection des données, mais les organisations internationales peuvent travailler avec une seule autorité de surveillance principale (LSA) en ce qui concerne la protection des données et d'autres éléments du RGPD.

Publié à l'origine sur appinstitute.com le 13 décembre 2017.