Comment le RGPD vous affectera
La prochaine législation sur le règlement général sur la protection des données (RGPD) qui entrera en vigueur le 25 mai 2018 a fait grand bruit. Notre PDG, John Paterson, examine les faits et propose des conseils pratiques aux propriétaires d'entreprise pour se préparer au changement.
Qu'est-ce que le RGPD ?
Le RGPD est un règlement de la CE conçu pour protéger la vie privée des citoyens de la CE, garantir que leurs données ne sont pas exportées hors de la CE vers des pays qui n'ont pas de lois adéquates sur la protection de la vie privée et s'assurer que les citoyens contrôlent la manière dont leurs données sont utilisées.
Confidentialité – Quelle confidentialité ?
Pour les lecteurs en dehors de la CE, il doit sembler que nous sommes obsédés par la « vie privée ». En effet, le concept est récent et a vu le jour avec le changement que la technologie a apporté à la société.
Le droit à la vie privée face à la surveillance gouvernementale est inscrit dans de nombreux documents, notamment la Déclaration des droits de l'homme des Nations Unies (1948), la Convention européenne des droits de l'homme et le quatrième amendement à la Constitution des États-Unis. Ce n'est qu'avec l'avènement d'Internet que les grandes entreprises ont également pu mener, ce qui est en fait, une surveillance de masse. En 1999, Scott McNealy, alors PDG de Sun Microsystems, a déclaré (in)célèbre :« La vie privée est morte. Passer à autre chose!" et Eric Schmidt, alors président de Google, a fait plusieurs déclarations publiques selon lesquelles la confidentialité était une mauvaise idée.
Aux États-Unis, il n'y a presque pas de législation sur la protection de la vie privée, la HIPAA étant une exception, celle-ci étant laissée au dieu des marchés libres. Si vous voulez la confidentialité, n'utilisez pas de services gratuits tels que Facebook ou Google Search. C'est le deal, les services sont gratuits et vous payez en leur donnant vos données afin qu'ils puissent les revendre aux annonceurs. Il existe également une multitude de lois qui permettent aux agences gouvernementales d'accéder sans entrave aux données avec un contrôle judiciaire extrêmement limité, en particulier aux États-Unis.
En dehors de la CE, seuls quelques pays prennent la vie privée au sérieux, à savoir l'Australie, le Canada et la Nouvelle-Zélande. D'autres pays comme la Russie et la Chine tentent également de faire respecter le fait que les données sur leurs citoyens ne sont stockées que dans leur juridiction légale, mais il s'agit moins d'un droit des citoyens que d'une surveillance gouvernementale. On me dit qu'en chinois, le pictogramme le plus proche de "vie privée" est "solitude".
GDPR exporte effectivement la notion européenne du droit à la vie privée à toute entreprise qui collecte des données personnelles sur les citoyens de la CE, accompagnée de sanctions sévères en cas de non-conformité.
Ce que le RGPD implique pour les entreprises
- Consentement :vous ne pouvez pas contacter des personnes sans leur consentement explicite
- Violations de données :règles strictes de signalement des violations de données
- Amendes et sanctions :fortes amendes en cas d'infraction aux règles
- Droit à l'effacement :mise à jour du droit à l'oubli
- Portabilité des données :les données personnelles doivent être mises à la disposition du citoyen s'il en fait la demande
- Protection des données :les données doivent être conservées en toute sécurité
Données personnelles
Les données personnelles sont toutes les données qui permettraient d'identifier une personne vivante. Cela inclut spécifiquement les cookies, les adresses IP ainsi que le nom, l'adresse, l'adresse e-mail, les numéros de téléphone terrestre et mobile/cellulaire évidents.
Consentement
À compter du 25 mai 2018, aucune organisation, quel que soit le pays dans lequel elle est basée, ne sera en mesure d'envoyer des e-mails ou des SMS marketing aux citoyens de la CE à moins que ce citoyen n'ait donné son consentement explicite pour être contacté par cette organisation à propos du sujet spécifique.
Plus de cases d'acceptation pré-cochées, plus de texte disant « voir notre politique de confidentialité »; il doit s'agir d'une case décochée qui décrit ce qui se passera si vous la cochez. Alternativement, vous devez fournir un double opt-in via un e-mail de confirmation où la personne doit cliquer sur un lien pour donner son consentement.
Vous devrez également être en mesure d'enregistrer comment et quand le consentement a été donné pour fournir une preuve si l'organisme de réglementation (au Royaume-Uni, il s'agit de l'Information Commissioner's Office) reçoit une plainte.
Obtenir le consentement
Le consentement peut être obtenu en cochant une case dédiée sur un formulaire ou en cliquant sur un lien dédié dans un e-mail. La remise d'une carte de visite ou l'appel au téléphone n'est pas un consentement !
Inutile de dire que l'achat de données personnelles sous forme de listes de diffusion est mort, car les consentements "groupés" sont spécifiquement interdits.
Violations de données
Vous disposez de 72 heures pour signaler toute violation de données à l'autorité de contrôle. Vous devez ensuite informer les personnes concernées "sans retard injustifié", le délai dépendant du risque probable de dommage pour cette personne.
Une violation est définie comme "une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès à des données personnelles transmises, stockées ou autrement traitées".
Amendes et sanctions
De nombreux titres effrayants ont été écrits sur les sanctions draconiennes en cas de violation du RGPD. Les amendes maximales sont de 20 millions d'euros ou jusqu'à 4 % des revenus mondiaux, selon le montant le plus élevé.
Mais ce sont les peines maximales de la même manière que vous pourriez, en théorie, être condamné à une peine de prison pour ne pas avoir acheté de billet de train. En pratique, il est peu probable que l'organisme de réglementation fasse quoi que ce soit si une personne se plaint, sinon peut-être envoyer une lettre d'avertissement. Les sanctions sont là pour arrêter les entreprises qui abusent de manière flagrante et répétée du RGPD, telles que les spammeurs et les entreprises qui effectuent des appels téléphoniques importuns. Et, bien sûr, les whipping boys préférés de la CE, Google et Facebook.
Droit à l'effacement
Les particuliers peuvent demander que les données que vous détenez à leur sujet soient effacées. Il existe quelques exceptions à cela, mais dans la pratique, pour la plupart des entreprises, vous devrez vous conformer. Vous devez vous y conformer sans délai, et certainement dans un délai d'un mois.
Portabilité des données
Les particuliers peuvent demander une copie de leurs données dans un format lisible par machine. Cela s'applique aux données qu'ils vous ont fournies, ainsi qu'à leurs données personnelles, y compris les e-mails stockés de leur part, ainsi que leur historique d'achat et de paiement.
Protection des données
Si vous détenez des données personnelles, vous avez un devoir de diligence quant à la sauvegarde de ces données. Cela comprend la restriction de l'accès à ceux qui en ont besoin pour faire leur travail, en s'assurant que les données sont conservées en toute sécurité. Vous devez également prouver votre conformité au RGPD.
Dans certaines circonstances, telles que le traitement de données sensibles (par exemple, casiers judiciaires, données de santé) et lorsque le traitement des données aura des conséquences juridiques, vous devrez effectuer une évaluation de l'impact sur la vie privée.
Vous ne pouvez transférer des données personnelles que vers des pays de la CE, ou vers ceux où la Commission a déterminé que le pays dispose de niveaux adéquats de protection des données. Cette liste comprend actuellement l'Andorre, l'Argentine, le Canada, la Suisse, les îles Féroé, Guernesey, Israël, l'île de Man, Jersey, l'Uruguay et la Nouvelle-Zélande. Notez que la liste n'inclut pas les États-Unis.
Séparer les faits de la fiction
Il y a eu beaucoup de désinformation sur le RGPD. J'ai examiné ici les malentendus les plus courants.
Les entreprises américaines peuvent se conformer au RGPD
Les entreprises américaines peuvent probablement se conforment au GDPR, mais uniquement s'ils stockent des données personnelles sur des serveurs basés au sein de la CE. S'ils stockent des données personnelles aux États-Unis, ils ne le font pas, malgré ce qu'ils peuvent prétendre. C'est un sujet complexe et contesté, mais la logique est la suivante :
- Si des données personnelles doivent être transférées hors de la CE, la personne doit en être informée à l'avance
- L'accord Safe Harbor négocié entre 1998 et 2000 entre l'UE et les États-Unis a été conçu pour permettre aux entreprises américaines de se conformer aux lois européennes sur la confidentialité des données. Cependant, en octobre 2015, la Cour européenne de justice (CJE) a statué que la sphère de sécurité n'était pas valide car elle n'offrait pas une protection adéquate
- En juillet 2016, le bouclier de protection des données entre les États-Unis et la CE a été négocié pour tenter de surmonter les réserves de la CJE. Encore une fois cependant, le RGPD est beaucoup plus strict que les directives précédentes sur les données et les mêmes problèmes persistent aux États-Unis, en ce qui concerne la capacité du gouvernement américain à accéder aux données de n'importe qui. Il existe des garanties minimales pour les données des citoyens américains, et tout le monde n'en a aucune
- Le 12 avril 2017, le groupe de travail de l'article 29 sur la protection des données a conclu que le bouclier de protection des données UE-États-Unis ne respectait pas les normes de l'UE car, entre autres préoccupations, "la position sur la collecte massive et aveugle de données à des fins de sécurité nationale n'est pas claire". .” Dans le climat politique actuel aux États-Unis, il est difficile d'imaginer que l'administration offrirait une meilleure protection aux citoyens de l'UE que la sienne.
- Il est discutable de savoir si les données sont totalement sécurisées lorsqu'elles sont détenues par des entreprises américaines dans la CE. En théorie, cela devrait être le cas, mais les tribunaux américains tentent toujours de forcer des entreprises telles que Microsoft à remettre des données stockées dans la CE
Le marketing B2B n'est pas couvert par le RGPD
De nombreux articles circulent qui affirment que la communication B2B sera autorisée par le RGPD, car la prochaine législation sur la confidentialité en ligne qui sera promulguée en même temps que le RGPD fera cette distinction et autorisera l'opt-out plutôt que l'opt-in. Autrement dit un lien de désinscription.
Le nouveau règlement e-Privacy remplace la directive e-Privacy existante et est conçu pour clarifier les communications électroniques, c'est-à-dire les e-mails et les SMS. Il s'agit d'un règlement et non d'une directive, ce qui signifie que même si le RGPD deviendra automatiquement une loi dans toute la CE, chaque État membre devra promulguer une législation pour permettre la confidentialité en ligne. Cela donne à chaque pays une certaine latitude quant à la formulation exacte et pourrait donc établir une distinction entre B2B et B2C.
Tant que chaque pays n'aura pas adopté la législation, nous ne saurons pas comment les communications B2C seront traitées, si elles sont distinguées. Nous ne savons pas non plus quelles données seront considérées comme des données B2B au lieu de données B2C. Les comptes Gmail personnels, les numéros de téléphone mobile et les adresses IP peuvent tous être personnels. Nous ne savons même pas si la législation sera effectivement promulguée à temps.
Par conséquent, notre conclusion est que si et jusqu'à ce que la législation sur la confidentialité en ligne fasse une distinction entre B2B et B2C, le RGPD ne fait pas une telle distinction et il n'y a pas d'exemptions pour les communications B2B.
Si je ne suis pas basé dans l'UE, la décision ne s'applique donc pas
Si vous détenez des données personnelles sur des citoyens de la CE et que vous faites affaire avec des clients de la CE, vous serez alors concerné par le RGPD. Que la CE puisse faire quoi que ce soit à ce sujet est une autre affaire.
Conformité
Vous avez jusqu'au 25 ème mai 2018 pour vous conformer et à partir de ce moment-là, vous ne pourrez plus envoyer de communications électroniques aux citoyens de la CE, sauf si vous avez leur consentement spécifique. Pour la plupart des entreprises, cela signifie qu'elles ne pourront pas envoyer d'e-mail à qui que ce soit sur leur base de données marketing existante, car elles n'auront pas officiellement recueilli de tels consentements vérifiables. Vous devez donc commencer à recueillir ces consentements dès maintenant, à la fois auprès des nouveaux prospects et à partir de votre base de données existante.
Liste de contrôle du règlement général sur la protection des données
- Nommez un responsable du traitement des données qui devrait rapidement se familiariser avec la législation
- Faites une liste de tous vos systèmes qui contiennent des données personnelles :votre CRM, votre système comptable, votre système RH, les bases de données de contacts dans les clients de messagerie tels qu'Outlook, toutes ces feuilles de calcul éparpillées sur les ordinateurs portables des gens contenant des données de contact
- Faites une liste de tous vos processeurs de données, ces systèmes externes que vous utilisez et qui détiennent des données personnelles. Assurez-vous qu'ils ne détiennent que des données dans la CE et qu'ils sont ou seront conformes au RGPD. Si vous êtes dans une industrie réglementée, obtenez un certificat ou un contrat garantissant la conformité
- Commencez à recueillir les consentements des nouvelles demandes dès maintenant
- Déterminez comment vous allez obtenir le consentement des contacts de votre base de données existante d'ici le 25 ème Mai 2018
- Rédiger une procédure de gestion des notifications de violation, à la fois pour l'organisme de réglementation et les contacts eux-mêmes. Si une violation se produit, vous n'aurez pas le temps de réfléchir à la meilleure façon de procéder, alors faites-la planifier à l'avance
- Examinez et mettez à jour les avis de confidentialité et les conditions d'utilisation de votre site Web
En savoir plus sur le RGPD
Nous avons rédigé une série de blogs pour vous aider à comprendre le RGPD et ce que vous devez faire pour être conforme :
GDPR Compliance for Really Simple Systems explique notre conformité CRM
Le bon, le mauvais et le… RGPD ? examine les avantages et les inconvénients du RGPD
Le lancement de la conformité marketing au RGPD présente la première phase de nos fonctionnalités de conformité au RGPD
-
2022 Shipt Vs. Instacart :Comment allez-vous commander vos courses ?
Cet article peut contenir des liens de nos partenaires. Veuillez lire comment nous gagnons de largent pour plus dinformations. Shipt vs Instacart est la décision que vous devrez prendre si vous voule
-
Qu'est-ce que Reg E ou Regulation E, et comment cela vous affecte-t-il ?
Quest-ce que Reg E ? Le règlement E, également appelé Reg E, est un règlement fédéral émis par le système de la Réserve fédérale. Le FederalReserve System est la banque centrale du gouvernement amér
Gestion de la relation client
- Comment homologuer un testament en Colombie-Britannique,
- Comment la consolidation de dettes de carte de crédit vous aidera
- L'Offre de Droits :Comment cela affectera-t-il vos Actions ?
- Comment l'émergence du marché hybride affectera-t-elle les investisseurs ?
- Comment la marge initiale affectera-t-elle vos décisions ?
- Comment le Pension Protecton Act de 2006 vous affecte-t-il ?
- Comment le lobby AARP vous affecte-t-il ?
- Combien dépensez-vous en nourriture?
- Comment les modifications de la législation fiscale m'affecteront-elles en 2019 ?
-
Comment un dollar fort vous affecte-t-il ? Vous lavez probablement déjà entendu :à la fin dune autre diatribe mélancolique sur la gravité des choses en Amérique, quelquun ajoute inévitablement ... et puis le dollar est si faible, trop. Bien, n...
-
Combien dépensez-vous pour les feux d'artifice? Il y a quelques semaines, Jai reçu un dépliant dun magasin de feux dartifice qui ma fait secouer la tête. « Dépensez 400 $ en un seul achat et obtenez 40 % de réduction pour le reste de la saison, », ...