Abonnez-vous à la newsletter OpenKM pour être informé

Le guide définitif du Règlement général sur la protection des données pour entreprises

Ana CanteliÉcrit par Nabeena Mali le 27 Février 2018

"Le contenu de cette page est une traduction de l'article" Le Guide GDPR ultime pour les commerçants et les entreprises "publié par Nabeena Mali sur AppInstitute le 13 décembre 2017. Nous remercions Nabeena Malik pour sa collaboration et pour l'intérêt montré dans le partage de cet article à propos de cette directive européenne à nos abonnés. "

Le règlement général sur la protection des données a été proposé pour la première fois en 2012 et quatre années de discussions, de débats et d'amendements ont suivi. Le règlement de l’union Européenne a finalement été adopté par le Parlement européen en 2016. Les pays, les entreprises et les organisations avaient un délai de 2 ans pour se conformer. Le règlement a été appliqué à partir du 25 mai 2018. Ce qui semblait être un délai raisonnable pour se préparer a rapidement passé, et au moment de la rédaction de ce document, l'application du GDPR est à peine dans cinq mois.

Beaucoup de choses ont déjà été écrites et discutées dans le domaine public en ce qui concerne le GDPR, mais de nombreux propriétaires d'entreprise sont un peu incertains de ce que le GDPR implique, et s'ils sont ou non affectés. Avec ce guide GDPR, j'espère clarifier ce qu'est le règlement général sur la protection des données, quelles entreprises il affecte - et comment - ainsi que les réponses aux questions les plus fréquemment posées sur le GDPR, et quelques mesures que vous pouvez prendre pour vous déplacer votre entreprise vers la conformité.

Nous avons mis en place une table de contenu soignée pour passer rapidement à tout ce que vous devez savoir sur GDPR.

En français simple: tout ce que vous devez savoir sur le GDPR

Nous avons vu comment la technologie perturbe les industries anciennes et nouvelles: Uber et Lyft perturbent le transport, Netflix perturbe la production et la consommation des films et des émissions de télévision, et l'IA menace de perturber toutes les industries comme nous ne l'avions jamais imaginé. Mais la technologie bouleverse aussi les lois et les réglementations mises en place par les pays, avec le GDPR destiné à remplacer une directive moderne elle-même devenue insuffisante: Directive 95/46 / CE (directive sur la protection des données).

Le règlement général sur la protection des données est évidemment axé sur la protection des données, mais il ne réglemente pas toute la protection des données. Au lieu de cela, il est axé sur la protection des données personnelles des individus, en particulier les personnes résidant dans n'importe quel État membre de l'Union Européenne. Il met à jour les réglementations existantes relatives à la collecte et au traitement des données à caractère personnel de toute personne résidant dans un État membre de l'UE et en introduit de nouvelles. Et cela ne s'applique pas seulement aux entreprises et organisations ayant une présence physique dans n'importe quel État membre de l'UE. Les entreprises et les organisations du monde entier devront se conformer au GDPR si elles recueillent et traitent les données personnelles de toute personne résidant dans l'Union Européenne.

Le but de la réglementation n'est pas de rendre plus difficile pour les entreprises de vendre, de commercialiser ou d'exercer leurs fonctions commerciales habituelles. Au lieu de cela, il est conçu pour donner aux individus un plus grand contrôle sur qui recueille et traite leurs données personnelles, à quoi elles sont utilisées et comment elles sont conservées en toute sécurité.

Il le fait en différenciant d'abord les données personnelles et les données personnelles sensibles, les données personnelles étant des informations permettant d'identifier un individu - directement ou indirectement. Il comprend des données telles que les noms, les numéros d'identification, les données de localisation et les identifiants en ligne. Les données personnelles sensibles permettent également d'identifier un individu, mais à travers une gamme élargie de facteurs spécifiques, y compris des éléments de leur apparence physique, leur physiologie, leur génétique, leur santé mentale, leur identité économique, culturelle ou sociale. La collecte et le traitement de données personnelles sensibles ne sont pas autorisés, sauf dans des circonstances très spécifiques, avec des exigences supplémentaires en termes de sécurité des données.

Ensuite, le GDPR affine le principe du consentement, exigeant:

  • Le consentement explicite des individus.
  • L'élimination du consentement général, du consentement par défaut et du consentement comme condition de la vente, du service ou des conditions générales.
  • La possibilité pour les individus de retirer facilement leur consentement.

Il y a des dispositions dans le GDPR pour les moments où le consentement n'est pas nécessaire, mais ceux-ci se rapportent tous à des bases légales très spécifiques pour la collecte et le traitement des données personnelles.

Le GDPR clarifie ensuite les droits des individus en termes de protection des données personnelles, répartis comme suit:

  • Le droit d'être informé, généralement couvert par votre avis de confidentialité. Des informations détaillées sur la collecte et le traitement ET la protection des données personnelles, ainsi que sur la manière dont elles seront utilisées, doivent être disponibles gratuitement et rédigées dans un langage clair et simple.

  • Le droit d'accès. Les particuliers peuvent vous demander de confirmer que leurs données sont en cours de traitement. Ils peuvent également demander une copie de toutes les informations que vous détenez, ainsi que toute information supplémentaire. Il devrait être fourni gratuitement et dans le mois qui suit la demande.

  • Le droit à la rectification. Les particuliers peuvent vous demander de corriger toute information incomplète ou inexacte que vous détenez, et vous êtes alors responsable de transmettre les informations corrigées aux tiers avec lesquels vous avez précédemment partagé les données.

  • Le droit d'effacer. Ce n'est pas un droit absolu d'être oublié, mais plutôt une disposition permettant aux particuliers de demander la suppression de leurs données lorsque vous n'avez plus de raison légitime de continuer à les traiter, ou de retirer leur consentement.

  • Le droit de restreindre le traitement. Dans certaines circonstances, les particuliers peuvent demander que le traitement ultérieur de leurs données soit restreint. Ceci est différent du droit d'effacer en ce sens que vous êtes toujours autorisé à stocker des données personnelles, mais pas à les traiter plus avant.

  • Le droit à la portabilité des données permet aux individus d'obtenir leurs données auprès de vous et de les réutiliser à leurs propres fins dans d'autres services. Cependant, cela ne s'applique que dans les cas où la personne a fourni à un contrôleur ses données personnelles, généralement pendant l'exécution d'une demande de contrat.

  • Le droit d'objecter. À moins que vous ayez des raisons légitimes convaincantes de traiter les données d'un individu, elles conservent le droit de s'opposer au traitement pour un certain nombre de raisons.

  • Droits relatifs à la prise de décision et au profilage automatisés. Le GDPR exige que des garanties soient mises en place pour tout traitement automatisé et prise de décision, afin de minimiser le risque que des décisions préjudiciables ou défavorables soient prises sans la possibilité d'une intervention humaine ou la possibilité de demander une explication.

Le GDPR aborde en détail la responsabilité et la gouvernance au sein des entreprises et des organisations. Cela concerne des questions telles que:

  • La mise en œuvre de mesures qui garantissent et démontrent la conformité. Cela peut inclure des politiques internes de protection des données telles que la formation du personnel, des audits internes des activités de traitement et des révisions des politiques internes en matière de ressources humaines.
  • Conserver la documentation pertinente de toutes les activités de traitement.
  • Identifier si votre organisation est un processeur de données, un contrôleur de données ou les deux. Vous devez comprendre le but et les exigences de ces rôles distincts en termes de GDPR et, le cas échéant, vous devrez peut-être nommer un responsable de la protection des données.

La mise en œuvre de mesures qui respectent les principes de la protection des données dès la conception et la protection des données par défaut. Cela pourrait inclure:

  • Minimisation des données.
  • pseudonymisation ou anonymisation des données.
  • La possibilité pour les individus de surveiller le traitement de leurs données.
  • Amélioration continue des fonctionnalités de sécurité.

Enfin, le GDPR introduit de nouvelles exigences concernant le traitement des données personnelles pour garantir la sécurité, ainsi que des exigences relatives à la manière dont les entreprises et les organisations doivent répondre aux violations de données.

Il est important de se rappeler que le GDPR n'affecte pas toutes les entreprises et organisations, seulement celles qui collectent et / ou traitent des données personnelles, soit de leurs clients, soit pour le compte d'une autre organisation. Si vous ne collectez ou ne traitez aucune donnée personnelle d'un individu, vous n'avez rien à craindre. Et si vous le faites, la principale question qui vous préoccupe est de vous assurer que vous respectez entièrement les exigences du GDPR. Le GDPR ne doit en aucun cas empêcher votre entreprise de continuer à fonctionner, bien qu'il puisse vous obliger à modifier certains de vos processus, rendant plus difficile l'exécution de certaines tâches, mais ne rendant jamais impossible leur fonctionnement.

Les lourdes amendes prévues par le GDPR ne visent pas à nuire aux entreprises, mais plutôt à dissuader les entreprises et organisations concernées d'ignorer la réglementation et de mettre en danger les données personnelles des individus.
Mais comme pour toute nouvelle réglementation, nous devrons attendre que cette loi soit appliquée et qu'une nouvelle jurisprudence soit établie afin de déterminer tout impact matériel réel sur les organisations et les individus, et si cela va changer au fil du temps.

De grandes questions sur le règlement Européen général sur la protection des données

Le GDPR va-t-il m'affecter?

La réponse courte est oui. En tant qu'individu, le GDPR prescrit quand et comment les organisations et les entreprises peuvent traiter ou contrôler les données personnelles vous concernant. Et si vous faites partie d'une organisation ou d'une entreprise qui contrôle ou traite des données personnelles d'un individu de l'UE, le GDPR prescrit quand vous pouvez le faire, et comment vous devriez le faire. Cela signifie que le GDPR s'applique non seulement aux entreprises et aux organisations présentes physiquement dans n'importe quel État membre de l'UE, mais également aux entreprises qui offrent des biens ou des services aux citoyens de tous les États membres de l'UE.

Le GDPR s'appliquera-t-il après le Brexit?

Le GDPR s'appliquera toujours après le Brexit, car le GDPR est conçu pour réguler la manière dont toute entreprise ou organisation contrôle ou traite des données personnelles de tout citoyen de l'Union Européennne, quel que soit l'endroit où l'entreprise ou l'organisation est basée. De plus, le projet de loi sur la protection des données a été présenté à la Chambre des Lords le 13 septembre 2017. Le projet de loi sur la protection des données remplace l’ancienne loi sur la protection des données et assure la mise en œuvre des normes GDPR. Exigences spécifiques UK. Cela comprend des modifications convenues dans des domaines tels que la recherche universitaire, les services financiers et la protection de l'enfance.

Le GDPR remplacera-t-il le DPA?

Oui et non. À court terme, le règlement général sur la protection des données (GDPR) remplace la loi sur la protection des données de 1998 (DPA). Mais la Grande-Bretagne se prépare également pour le Brexit, et bien que le GDPR réglemente la protection des données de tout citoyen de l'UE, après le Brexit, il sera également nécessaire de réglementer la protection des données des citoyens britanniques. Le projet de loi britannique sur la protection des données a été introduit en 2017 et entrera en vigueur en mai 2018. Le projet de loi applique les mêmes normes que le GDPR, tout en clarifiant le contexte de certaines définitions GDPR dans un contexte britannique.

Le GDPR affectera-t-il les appels à froid?

Le règlement général sur la protection des données (GDPR) affectera très certainement toutes les formes de démarchage téléphonique, y compris le marketing par courriel à froid. Le GDPR établit une norme élevée pour le consentement, en mettant l'accent sur le contrôle de la personne (le prospect / client) et le renforcement de la confiance et de l'engagement.

Le consentement approprié selon le GDPR signifie ce qui suit:

  • Le consentement doit être explicite, et via un opt-in (case à cocher, eformulairea) positif. Cela signifie que vous ne pouvez plus utiliser le consentement par défaut, le consentement comme condition de vente ou de service, ou même les cases de consentement préalablement cochées sur les formulaires.
  • Le consentement ne peut pas être vague. L'individu doit donner une déclaration spécifique de consentement, tout en sachant à quoi il consent et à qui il donne son consentement. Si des contrôleurs tiers dépendent également du consentement de l'individu, ils doivent être nommés.
  • Le consentement devrait être distinct de tous les autres termes et conditions.
  • La preuve du consentement doit être enregistrée et conservée. Cela inclut les enregistrements de qui, quand, comment et quoi.
  • Il doit être facile pour les individus de retirer leur consentement, et ils doivent être informés de la façon dont ils peuvent retirer leur consentement.

Vous devriez examiner régulièrement vos dossiers de consentement, en vous assurant que rien n'a changé en ce qui concerne la relation, le traitement des données ou le but du consentement. Actualiser si nécessaire.

Le GDPR sera-t-il retardé?

Tout retard dans l'application du GDPR est hautement improbable. Le GDPR a été approuvé par le Parlement européen en 2016, les États membres disposant de deux ans pour se préparer à l'application.

Est-ce que le GDPR arrivera?

Le GDPR a été approuvé par le Parlement européen en 2016, avec une entrée en vigueur le 25 mai 2018. Tout retard dans l'application du GDPR est hautement improbable, avec la perspective que le Brexit n'offre pas non plus de répit.

Le GDPR affectera-t-il le B2B?

Le GDPR s'applique spécifiquement aux individus, donc dans le contexte des relations B2B - existantes et nouvelles - l'impact de GDPR dépendra des informations de contact que vous utilisez pour communiquer avec vos clients B2B. Chaque fois que vos coordonnées comprennent des données personnelles, vous devez suivre les règles relatives au consentement explicite - et enregistré - à l'acceptation. Cela s'étendrait également aux réglementations concernant la protection des données.

Si, toutefois, vos enregistrements contiennent uniquement des coordonnées génériques (un numéro de contact ou une adresse e-mail sans nom), vous n'êtes pas obligé d'enregistrer un consentement explicite, mais vous devez permettre à l'entreprise ou à l'organisation de ne pas y participer. et gardez un enregistrement de ceci.

Quand le GDPR entrera-t-il en vigueur?

Le GDPR a été approuvé par le Parlement européen en 2016, avec une entrée en vigueur le 25 mai 2018. Toute organisation jugée non conforme après cette date pourrait faire l'objet de lourdes amendes.

Que signifie le GDPR pour le marketing?

Le GDPR n'est pas un glas pour le marketing, c'est simplement un moyen de réglementer certains aspects du marketing. Il ne tue pas le marketing direct, il confie simplement le contrôle du marketing direct aux particuliers. Cela signifie que les commerçants doivent maintenant s'assurer qu'ils ont le consentement explicite des individus pour les commercialiser directement (que ce soit par des appels téléphoniques, des campagnes d'email, ou même un publipostage direct). Cela signifie que les spécialistes du marketing doivent désormais informer les individus:

  • Qui sera leur produit marketing (nom de l'entreprise ou de l'organisation). Si des contrôleurs tiers utilisent également les données personnelles de l'individu, elles doivent également être nommées.
  • Comment leurs renseignements personnels seront ils utilisés et à quoi ils serviront?
  • Ils peuvent se retirer à tout moment, tout en expliquant le processus d'exclusion.

Les spécialistes du marketing doivent également comprendre que le consentement général n'est plus autorisé. En vertu du RGPD, les personnes donnent leur consentement à une campagne ou à un but précis, et si cette campagne ou ce but changent, elles doivent donner à nouveau leur consentement. Si votre client donne son consentement pour recevoir des communications marketing relatives à votre gamme de meubles de jardin, vous ne pouvez pas soudainement passer à la commercialisation de votre nouvelle gamme de produits de salle de bains.

Que signifie le GDPR pour les entreprises?

Les entreprises et les organisations qui collectent et traitent les données personnelles des personnes résidant dans l'UE, quel que soit l'emplacement géographique de l'entreprise, doivent être conscientes des éléments suivants:

  • Le GDPR définit clairement différents rôles pour les contrôleurs et les processeurs. Les processeurs de données effectuent le traitement réel des données personnelles, tandis que les contrôleurs de données spécifient pourquoi et comment les données personnelles sont traitées. Les contrôleurs de données sont également chargés de s'assurer que les processeurs de données respectent toutes les exigences du GDPR.
  • Certaines entreprises et organisations sont également tenues de nommer un délégué à la protection des données (DPD). Le groupe de travail «Article 29» a publié des directives distinctes sur les OPH, ainsi que des FAQ utiles (dans le deux cas en anglais).
  • Les entreprises et les organisations sont tenues d'obtenir - et d'enregistrer - le consentement explicite d'une personne pour que les données personnelles soient stockées et utilisées. Ils doivent également expliquer à l'individu comment les données personnelles seront utilisées.
  • Les violations de données susceptibles de porter atteinte aux droits et libertés des personnes doivent être signalées à l'autorité de contrôle compétente dans un délai de 72 heures. Lorsqu'une violation de données risque d'entraîner un risque élevé pour les droits et libertés des personnes, celles-ci doivent être notifiées directement.
  • Les particuliers ont le droit de demander une copie de leurs données personnelles et des informations supplémentaires, telles que traitées par toute entreprise ou organisation. Cela permet aux individus d'être conscients et de vérifier la légalité du traitement.
  • Le GDPR accorde aux individus un droit d'effacement, parfois appelé droit à l'oubli. Il permet aux personnes de demander la suppression de leurs données personnelles lorsqu'il n'y a pas de raison valable ou impérieuse pour continuer à être traitées. Le droit n'est pas absolu, et les entreprises et les organisations peuvent refuser de supprimer des données dans certaines circonstances.
  • La portabilité des données donne aux individus le droit d'obtenir et de réutiliser leurs données personnelles sur différents services. Cela permet aux individus de déplacer, copier ou transférer leurs propres données personnelles d'un environnement à un autre, pour un certain nombre de raisons.
  • Bien que la confidentialité par conception ait toujours été une exigence implicite de la protection des données, dans le cadre du GDPR, les entreprises et les organisations sont désormais tenues de mettre en œuvre des mesures visant à intégrer la protection des données aux activités de traitement des données.

Que signifie le GDPR pour les RH?

Les articles 6 (1) (c) et (e) du RGPD permettent aux États membres d'introduire des dispositions plus spécifiques en termes de bases légales pour le traitement des données personnelles. Au moins une des six conditions doit être remplie, avec deux conditions spécifiques:

  • "c) le traitement est nécessaire au respect d'une obligation légale"
  • "e) le traitement est nécessaire à l'exécution d'une tâche effectuée dans l'intérêt public ou dans l'exercice de l'autorité publique dévolue au responsable du traitement".

Cela suggère que le traitement des données personnelles des employés pour certaines opérations RH légitimes ne nécessite pas de consentement explicite. Cependant, tous les autres aspects du GDPR en termes de données personnelles s'appliqueraient toujours, y compris:

  • Comment et à quoi servent les données.
  • Confidentialité par conception.
  • La portabilité des données et le droit d'effacer.
  • Utilisation de données personnelles par des tiers.

À qui s'adresse le GDPR?

Le GDPR s'applique à toutes les entreprises et organisations collectant et traitant les données personnelles des personnes résidant dans l'UE, indépendamment de l'emplacement physique de l'entreprise. Cela signifie que les réglementations sont applicables à toute entreprise, même celles qui n'ont aucune présence physique dans un État membre de l'UE.

Les amendes GDPR, sont-elles assurables?

Il n'y a pas encore de réponse définitive à cette question, mais l'opinion actuelle des courtiers est que les amendes relatives au RGPD sont peu susceptibles d'être assurables. Et avec des amendes pouvant aller jusqu'à 4% du chiffre d'affaires global annuel d'une entreprise, toute non-conformité avec le GDPR peut s'avérer très coûteuse pour toute organisation. Une orientation adéquate ne sera possible qu'une fois la nouvelle législation entrée en vigueur et une nouvelle jurisprudence a été établie. Cependant, des polices d'assurance cybernétique spécialisées pourraient couvrir les coûts associés à une violation de données, tels que les demandes d'indemnisation, les frais juridiques, la gestion des notifications et de la réputation, etc.

Comment le GDPR affectera-t-il les entreprises américaines?

Le GDPR s'applique à toutes les entreprises et organisations collectant et traitant les données personnelles des personnes résidant dans l'UE, indépendamment de l'emplacement physique de l'entreprise. À ce titre, les entreprises américaines - et les entreprises d'autres pays du monde - doivent toujours se conformer à la nouvelle réglementation si l'une des données personnelles qu'elles collectent et traitent est celle d'un résident d'un État membre de l'UE. Cela reste vrai même si l'entreprise n'a aucune présence physique dans aucun État membre de l'UE. Alors que le GDPR ne devrait pas affecter un petit fleuriste à Rock Springs, Wyoming, toute entreprise - américaine ou autre - collectant et traitant des données personnelles de résidents de l'UE devra mettre en place des mesures afin de se conformer au GDPR. Cela inclut, entre autres, d'assurer:

  • Le consentement explicite et enregistré pour recueillir et traiter les données personnelles de l'individu.
  • Explication claire de comment et de quelles données les données seront utilisées.
  • Protection de la vie privée dès la conception, ainsi que conformité aux violations de données.
  • Prise en charge de la portabilité des données et du droit d'effacement.
  • Respect des exigences du GDPR relatives à l'utilisation de données personnelles par des tiers.

De nombreuses entreprises ont l'habitude d'utiliser les pages de destination et les formulaires d'abonnement à la newsletter pour créer leur base de données clients. Selon le GDPR, cela ne sera plus acceptable en ce qui concerne les données personnelles des résidents de l'UE, car le consentement général n'est plus autorisé. Le GDPR reconnaît seulement le consentement explicite donné dans un but précis, qui doit être indiqué lorsque la personne donne son consentement. Si un résident de l'UE s'inscrit à votre lettre d'information électronique hebdomadaire, il donnera son consentement explicite pour recevoir exactement cela: un bulletin électronique hebdomadaire. Vous ne pouvez pas passer plus tard à leur envoyer des offres quotidiennes par e-mail, car ils n'ont pas consenti à cela. Chaque fois que l'objectif de la collecte et du traitement des données personnelles change, un nouveau consentement doit être donné.

Comment le GDPR modifie-t-il les règles de recherche?

Le GDPR prévoit des dispositions pour les organisations qui collectent et traitent des données personnelles à des fins de recherche, mais nous devrons attendre que le GDPR soit appliqué pour voir si elles sont suffisantes ou si elles ont été interprétées de manière trop vague. Le GDPR permet la collecte et le traitement des données personnelles sans consentement, mais seulement pour des fins légales spécifiées. En termes de recherche, les articles 9 du GDPR font spécifiquement référence à la santé, aux soins sociaux, à la recherche scientifique et à la recherche historique. Ce qui s'appliquerait toujours dans tous les cas, ce sont les exigences en termes de protection des données, de confidentialité et de violation de données, qui sont moins strictes lorsque les données ont été rendues anonymes à un point tel que les personnes concernées ne sont plus identifiables.

Comment le GDPR affecte-t-il la science des données?

Les domaines clés de la science des données qui seront touchés par le GDPR comprennent:

  • La capacité de collecter des données. Le consentement - et être informé de la raison pour laquelle les données sont collectées, et comment elles seront traitées - sont des considérations importantes ici. Les dispositions relatives aux bases légales du traitement des données comportent des exigences spécifiques qui ne s'appliquent pas en toutes circonstances ou à toutes les organisations.
  • La possibilité d'utiliser des données. Lorsque le consentement a été accordé, il est important de se rappeler que le consentement s'applique aux données traitées telles qu'elles ont été communiquées à l'origine aux personnes. Si le but de la collecte et du traitement des modifications, un nouveau consentement doit être donné. En même temps, les individus ont le droit de bloquer le traitement, de s'opposer au traitement et le droit d'effacer, ce qui peut avoir un impact sur les résultats du traitement lié à la science des données.
  • La possibilité de transférer des données vers et depuis des tiers. Le GDPR impose des restrictions sur comment et quand les données sont transférées vers des pays en dehors de l'UE et vers des organisations internationales. Cela aura une incidence sur la capacité des chercheurs à trouver et partager des données.
  • Le profilage automatisé des clients et la prise de décision ont des garanties intégrées pour les individus, leur permettant de demander - dans certaines circonstances - une intervention humaine et une explication de la décision.
  • Exigences de stockage des données. La protection des données et la vie privée dès la conception sont des principes fondamentaux du GDPR, et bien que ceux-ci soient moins rigoureux lorsque les données sont anonymisées, l'identification individuelle est impossible, il incombe toujours à l'organisation de s'assurer que ses mesures d'anonymisation sont saines.

Comment le GDPR affectera-t-il les écoles?

Les écoles et les administrateurs scolaires doivent être conscients de ce qui suit:

  • Le consentement parental est requis pour le traitement des données personnelles pour les enfants de moins de 16 ans. L'exigence d'âge tombe à 13 ans en vertu de la loi britannique sur la protection des données.
  • Le GDPR reconnaît les différences significatives entre les données personnelles et les données personnelles sensibles, en indiquant que:Traitement de données personnelles révélant l'origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, traitement de données génétiques, données biométriques dans le seul but d'identifier une personne physique, données de santé ou données concernant un la vie sexuelle ou l'orientation sexuelle d'une personne physique est interdite.
  • Avec des dispositions pour des circonstances spécifiques où cela serait encore permis. Les écoles devraient se référer aux articles 9 pour plus de détails.
  • Les données permettant l'identification ne doivent pas être conservées plus longtemps que nécessaire aux fins pour lesquelles elles ont été initialement collectées et traitées. Les exemptions ne s'appliquent qu'à des fins d'archivage et de statistiques.
  • La commercialisation n'est permise que lorsqu'un consentement explicite a été donné et enregistré, et seulement en fonction de ce qui a été consenti à l'origine. Le processus d'exclusion doit être simple et clairement expliqué.
  • Tous les droits individuels décrits dans le GDPR s'appliquent toujours

Comment le GDPR va-t-il perturber Google et Facebook?

Google et Facebook s'appuient tous deux sur la collecte et le traitement approfondis des données personnelles de leurs utilisateurs. Certaines de ces données sont fournies lors de l'inscription à des services Google ou Facebook, mais certaines sont également collectées via le suivi, à la fois via les plates-formes et via des services connectés. Ceci est ensuite utilisé non seulement pour améliorer l'expérience utilisateur, mais aussi pour créer des profils détaillés à des fins de personnalisation et de publicité. Et dans le cadre du GDPR, c'est problématique. D'une part, sauf lorsqu'il s'agit de sélectionner des fins légales, la collecte et le traitement des données ne peuvent avoir lieu qu'après un consentement explicite. Et le consentement général n'est pas autorisé, chaque fois qu'un individu donne son consentement, c'est pour un but ou une raison spécifique.

Cela signifie que Google et Facebook - et tous les services similaires - devront présenter aux utilisateurs plusieurs dialogues d'opt-in, chacun étant lié à un objectif précis clairement communiqué. L'opt-in ne peut pas être pré-sélectionné, et il ne peut pas non plus être conditionnel à l'utilisation continue du service. Dans le même temps, les individus doivent pouvoir se retirer (révoquer le consentement) à tout moment.

Il ne fait aucun doute qu'une organisation aussi importante que Google et Facebook sera capable de respecter le moins d'impact possible sur les individus, mais cela ne signifie pas qu'il n'y aura pas d'impact sur le business model. Les deux plates-formes utilisent les vastes quantités de données personnelles collectées pour créer des profils détaillés, permettant aux annonceurs de cibler précisément des données démographiques spécifiques, et avec des individus désormais en mesure de les exclure, la robustesse des profils d'audience de Google et de Facebook pourrait être affectée .

D'autres aspects du GDPR qui auront un impact sur Google et Facebook incluent la portabilité des données, le partage de données avec des tiers, le droit d'effacement et le droit d'accès, entre autres. Google prévoit déjà le droit d'effacement et le droit d'accès, mais ceux-ci peuvent devoir être ajustés pour se conformer aux exigences spécifiques du GDPR.

Bien sûr, l'impact réel du GDPR sur des entreprises comme Google et Facebook ne sera évident qu'une fois que les réglementations auront été appliquées pendant plusieurs mois.

Comment le GDPR affectera-t-il le recrutement?

Comme pour le marketing, le GDPR ne sonnera pas le glas des agences de recrutement, surtout si elles sont déjà conformes à la loi sur la protection des données qui sera bientôt remplacée. Le RGPD a été établi de telle manière que la plupart des règlements s'appliquent de façon presque uniforme à un certain nombre d'industries, avec peu de marge de manœuvre pour la déviation. Ce que les recruteurs doivent particulièrement connaître, en plus des autres droits individuels, comprennent:

  • Un nouveau consentement doit être donné par des individus pour chaque activité de traitement distincte impliquant leurs données personnelles. Une couverture ou un consentement vague n'est pas acceptable.
  • Chaque fois que les détails d'un candidat correspondent aux exigences d'un poste pour lequel ils n'ont pas spécifiquement demandé, ils doivent d'abord être contactés, avoir des détails sur le poste et donner leur consentement pour que leurs détails soient présentés.
  • Des mécanismes de protection doivent être mis en place pour tous les processus automatisés de prise de décision, avec ces sauvegardes conçues pour protéger les candidats du risque de toute décision préjudiciable.

Comment le GDPR affectera-t-il les organisations caritatives?

Le GDPR établit une norme élevée pour le consentement, en mettant l'accent sur le contrôle de la personne (le prospect / le client / le donneur) et le renforcement de la confiance et de l'engagement.

Le consentement approprié selon le GDPR signifie ce qui suit:

  • Le consentement doit être explicite, et via un opt-in positif. Cela signifie que vous ne pouvez plus utiliser le consentement par défaut, le consentement comme condition de vente ou de service, ou même les cases de consentement préalablement cochées sur les formulaires.
  • Le consentement ne peut pas être vague. L'individu doit donner une déclaration spécifique de consentement, tout en sachant à quoi il consent et à qui il donne son consentement. Si des contrôleurs tiers dépendent également du consentement de l'individu, ils doivent être nommés.
  • Le consentement devrait être distinct de tous les autres termes et conditions.
  • La preuve du consentement doit être enregistrée et conservée. Cela inclut les enregistrements de qui, quand, comment et quoi.
  • Il doit être facile pour les individus de retirer leur consentement, et ils doivent être informés de la façon dont ils peuvent retirer leur consentement.
  • Vous devriez examiner régulièrement vos dossiers de consentement, en vous assurant que rien n'a changé en ce qui concerne la relation, le traitement des données ou le but du consentement. Actualiser si nécessaire.

Les organismes de bienfaisance et les autres organisations qui ont déjà invoqué le consentement implicite ou le consentement par défaut (boîtes pré-cochées, etc.) devront mettre à jour leurs bases de données donneurs / clients en demandant un consentement explicite et enregistré pour continuer à traiter les données personnelles des individus. Réside dans n'importe quel État membre de l'Union Européenne. De nombreux organismes de bienfaisance comptent également sur des bénévoles, ils devront donc s'assurer que tous les bénévoles connaissent également toutes les parties pertinentes du RPAG qui ont une incidence sur leurs opérations.

Pourquoi le GDPR est-il mauvais?

Bien que la conformité avec le GDPR amène avec elle des préparatifs qui - il est vrai - taxent toute entreprise ou organisation, ainsi que le risque d'amendes rédhibitoires, les règlements ne sont pas fondamentalement mauvais. En donnant aux individus un meilleur contrôle et une meilleure protection de leurs données personnelles, le GDPR offre aux entreprises des opportunités de renforcer la confiance de leurs clients. Le GDPR peut également être considéré comme clarifiant, simplifiant et rationalisant les réglementations qui existaient auparavant, laissant les organisations actuellement conformes ne devoir effectuer que quelques ajustements pour rester conformes à la nouvelle réglementation. Nous devrons malheureusement attendre que les règlements soient appliqués et qu'une nouvelle jurisprudence soit établie pour déterminer tout impact réel sur les organisations et les individus, et si cela va changer au fil du temps.

Pourquoi le GDPR est-il bon pour les affaires?

Le GDPR apporte des opportunités pour les organisations de construire une plus grande confiance avec leurs clients, ce qui est toujours positif. Pour de nombreuses entreprises, cela leur permet aussi de nettoyer leurs bases de données marketing et commerciales, non seulement de mettre à jour leurs données personnelles, mais aussi de les remplir de personnes encore actives et toujours intéressées par vos produits ou services. Cela permet également aux organisations de voir comment elles collectent et traitent les données avec un regard nouveau, en identifiant de nouvelles avenues de marketing et de croissance des ventes qui n'ont jamais existé auparavant ou qui ont simplement été négligées. Mais comme pour toute nouvelle réglementation, nous devrons attendre que cette loi soit appliquée et qu'une nouvelle jurisprudence soit établie afin de déterminer tout impact matériel réel sur les organisations et les individus, et si cela va changer au fil du temps.

Comment minimiser l'impact du GDPR sur votre entreprise

Il y a un proverbe africain qui est particulièrement adapté au GDPR et à votre entreprise:

La meilleure façon de manger l'éléphant sur votre chemin est de le couper en petits morceaux.

Et le meilleur moyen de minimiser l'impact du règlement Européen général sur la protection des données sur votre entreprise est de diviser les exigences de conformité en tâches plus petites.
Le site Web de la Commission européenne offre des renseignements afin d’aider les entreprises à se conformer aux exigences du RGPD

Devenir averti

La première étape est assez évidente et consiste à s'assurer que tous les employés et sous-traitants concernés connaissent le GDPR, et ce qui est exigé d'eux et de l'organisation pour être conforme.

Devenir responsable.

La reddition de comptes commence par un audit de données complet, et en fonction de la taille de votre organisation et de la quantité de données personnelles que vous détenez, un audit des données sera l'une des tâches les plus importantes à accomplir avant l'application du GDPR. C'est aussi l'une des tâches les plus importantes.

Votre audit des données devrait vous voir compiler un inventaire complet de toutes les données personnelles que vous détenez, et répondre aux questions suivantes en relation avec chaque enregistrement:

  • Comment avez-vous collecté les données personnelles? Est-ce que cela vous a été donné par l'individu, et si oui, comment? Ou a-t-il été recueilli par d'autres moyens?
  • Pourquoi avez-vous collecté les données personnelles à l'origine? Quel était le but initial? Était-ce par le biais d'une inscription à la newsletter, d'une demande de plus d'informations sur un produit / service spécifique, à travers la création d'un compte en ligne (soit pour faire des achats en ligne ou à d'autres fins)?
  • Pourquoi continuez-vous à traiter les données et pendant combien de temps continuez-vous à les traiter? Si vous n'avez plus de raison légitime de traiter, vous ne devriez pas conserver les données.
  • Les données sont-elles sécurisées? Cela s'applique à la fois au cryptage et à son accessibilité uniquement aux personnes qui comprennent les exigences GDPR pour le traitement des données.
  • Les données ont-elles déjà été partagées avec des tiers? Si tel est le cas, avez-vous des éléments de preuve au dossier indiquant qu'ils se conforment au RGPD, et le particulier sait-il que ses données ont été partagées, avec qui et à quelles fins?

Le GDPR exige non seulement que les organisations soient en mesure de démontrer la manière dont elles se conforment aux exigences de traitement des données, mais dans de nombreux cas, cela nécessite une documentation à l'appui. Là encore, le site Web de l'OIC contient une brève liste de contrôle qui aide les organisations à identifier les lacunes dans la façon dont elles demandent, enregistrent et gèrent le consentement.

Communiquer avec les clients, le personnel et les utilisateurs de services

La conformité au GDPR dépendra également de la mise à jour par votre organisation de tous les avis de confidentialité ou de l'ajout d'avis de confidentialité s'ils ne sont pas déjà en place. Lors de l'examen ou de la mise à jour des avis de confidentialité, il est important de bien évaluer la manière dont vous collectez les données, en reconnaissant que, outre les formes traditionnelles de collecte de données, il pourrait s'agir de:

  • observé, en suivant les personnes en ligne ou par des appareils intelligents;
  • dérivé de la combinaison d'autres ensembles de données; ou
  • déduit en utilisant des algorithmes pour analyser une variété de données, telles que les médias sociaux, les données de localisation et les enregistrements d'achats afin de profiler les personnes par exemple en termes de risque de crédit, d'état de santé ou d'aptitude à l'emploi.

Les avis de confidentialité doivent être concis, rédigés en langage clair et facilement accessibles. Le GDPR s'attend également à ce que les organisations incluent des informations spécifiques dans les avis de confidentialité, avec de légères variations selon que les données sont collectées directement auprès des individus ou non. L'image ci-dessous résume ceci.

Droits personnels de la vie privée

Réévaluer toutes vos procédures relatives à la collecte et au traitement des données personnelles afin de s'assurer qu'elles prennent en compte tous les droits individuels inscrits dans le GDPR. Considérer ce qui suit:

  • Qui dans votre organisation prendra des décisions concernant les demandes d'effacement? Le droit à l'effacement n'est pas absolu et, dans des circonstances très particulières, les organisations peuvent refuser de se conformer.
  • Combien de temps faudra-t-il à votre organisation pour répondre aux demandes individuelles de copies de ses informations personnelles, de corrections et / ou de suppression?
  • Comment allez-vous vous assurer que les corrections et / ou suppressions sont mises à jour dans tous les emplacements et avec des tiers, le cas échéant?
  • Serez-vous en mesure de respecter les dispositions relatives aux demandes d'accès et de portabilité des données? Spécifiquement la capacité de fournir des données par voie électronique, et dans les formats couramment utilisés?

Les demandes d'accès vont-elles changer?

Le GDPR exige que les demandes d'accès soient traitées et traitées sans délai, et au moins dans le mois qui suit la demande. Les demandes seront non seulement faites pour les copies des données personnelles détenues, mais aussi pour des informations supplémentaires, telles que la confirmation que leurs données sont traitées, ainsi que des informations supplémentaires similaires à ce qui devrait être couvert par vos politiques de confidentialité: comment les données être recueilli, à quelles fins, est-il partagé avec quiconque, etc. En outre, vous devrez également traiter des demandes de suppression et des demandes de rectification d'informations personnelles. Passez en revue vos processus actuels pour tout cela pour voir s'ils sont suffisants en termes de processus internes, et en termes de conformité avec le GDPR.

Que signifient les bases légales de traitement?

Alors que le GDPR met fortement l'accent sur le consentement individuel, il permet le traitement des données sans consentement, dans des circonstances particulières. Passez en revue toutes les façons dont vous collectez et traitez les renseignements personnels afin d'établir quelles sont les bases légales. Cela est nécessaire à la fois pour vos politiques de confidentialité et pour confirmer si le consentement est requis ou non.

Utilisation du consentement du client comme base de traitement des données

Le GDPR s'attend à ce que le consentement soit « librement donné, spécifique, informé et non ambigu ». Les individus doivent être conscients qu'ils donnent leur consentement, exactement ce à quoi ils consentent, et cela ne peut pas être imposé comme une condition de vente ou de service. Passez en revue toutes les façons dont vous collectez et traitez les données, et cela nécessite un consentement. Adresse le suivant:

  • Gardez toute demande de consentement distincte de vos termes et conditions. Mettez à jour vos termes et conditions pour supprimer toute mention de consentement comme condition de vente ou de service.
  • Si le consentement est donné par des personnes qui cochent une case - soit sur un formulaire imprimé, soit sur un formulaire en ligne - assurez-vous qu'elles sont toutes décochées par défaut.
  • Assurez-vous que vos CRM et bases de données sont équipés pour inclure un enregistrement de consentement. Cela devrait spécifiquement enregistrer qui a consenti, quand ils ont consenti (données et temps), comment ils ont consenti et ce qu'on leur a dit.
  • Si vous collectez des données via des formulaires en ligne, pensez à utiliser des services tels que MailChimp, qui permettent une double confirmation d'inscription, et enregistrent la date et l'heure de chaque soumission.
  • Assurez-vous que vos systèmes permettent également aux personnes de retirer leur consentement.

Dans le même temps, il est nécessaire de revoir tout le consentement existant avant l'application du GDPR pour s'assurer qu'il répond aux normes requises.

Traitement des données sur les enfants

Si vous collectez et traitez les données des enfants de moins de 16 ans, vous devrez peut-être réviser vos systèmes actuels afin d'introduire des mesures pour vérifier l'âge des individus et obtenir le consentement des parents ou du tuteur pour le traitement.

Signalement des violations de données.

Vérifier et / ou mettre en œuvre des procédures appropriées pour détecter, enquêter et signaler les violations de données. Dans le cadre du GDPR, les organisations sont tenues de signaler certains types de violations de données à l'autorité de contrôle compétente dans un délai de 72 heures. En outre, certaines violations exigent également que les personnes concernées soient avisées. Le non-respect peut entraîner l'imposition de lourdes amendes aux organisations.

Évaluation de l'impact de la protection des données (DPIA) et protection des données dès la conception et par défaut

Bien que cela ait toujours été une bonne pratique en matière de traitement des données, le GDPR fait maintenant de la protection des données par conception et par défaut une exigence, les DPIA étant obligatoires pour toute organisation impliquée dans le traitement des données à haut risque. Au-delà de vos politiques de confidentialité, vous devriez également regarder ce qui suit:

  • L'utilisation du cryptage des données, la pseudonymisation et / ou l'anonymisation.
  • Le partage de données. Regardez ce qui est partagé, quel est le but du partage et avec qui il est partagé. Les données sont-elles partagées de manière sécurisée, et l'organisation avec laquelle elles sont partagées est-elle également entièrement conforme aux exigences GDPR?

Agents de protection des données

Toutes les organisations ne seront pas obligées de nommer des responsables de la protection des données, mais vous devez vous familiariser avec ces exigences et y répondre le cas échéant.

Les organisations internationales et le GDPR

Le GDPR s'applique à toutes les entreprises et organisations qui collectent et traitent les données personnelles des personnes résidant dans n'importe quel État membre de l'UE, même si la société ou l'organisation n'a pas de présence physique dans toute l'Union Européenne. Chaque État membre de l'UE a sa propre autorité de protection des données, mais les organisations internationales peuvent travailler avec une seule autorité de surveillance principale (LSA) en ce qui concerne la protection des données et d'autres éléments du GDPR.

"Le contenu de cette page est une traduction de l'article" Le Guide GDPR ultime pour les commerçants et les entreprises "publié par Nabeena Mali sur AppInstitute le 13 décembre 2017. Nous remercions Nabeena Malik pour sa collaboration et pour l'intérêt montré dans le partage de cet article à propos de cette directive européenne à nos abonnés. "

Contactez nous

Renseignements généraux