8 étapes (faciles) pour être prêt GDPR si vous possédez un site Web

Publié: 2018-03-29
Surveillance cameras

Avis de non-responsabilité : Veuillez noter que nous ne sommes pas un cabinet d'avocats et qu'il ne s'agit pas d'un avis juridique ! Les informations contenues dans cet article de blog sont fournies à titre informatif uniquement et peuvent ne pas refléter vos besoins juridiques/RGPD.

Pour vous assurer que vous (et/ou votre entreprise) êtes conforme au RGPD, nous vous recommandons fortement de consulter un avocat.

Le règlement général sur la confidentialité des données (RGPD) est le changement le plus important dans la réglementation sur la confidentialité des données depuis 20 ans. Pour le rendre plus court (et plus facile à comprendre) : le RGPD remplace la directive sur la protection des données 95/46/CE et il est conçu pour harmoniser les lois sur la confidentialité des données à travers l'Europe, pour protéger et responsabiliser tous les citoyens de l'UE en matière de confidentialité des données et pour remodeler la façon dont les organisations dans toute la région abordent la confidentialité des données.

Date d'entrée en vigueur : 25 mai 2018 - date à laquelle les organisations en non-conformité pourraient être passibles de lourdes amendes.

En tant que personne : vos données personnelles seront plus faciles à gérer. En tant que propriétaire d'entreprise, administrateur de site Web ou organisation qui propose des biens ou des services (ou surveille le comportement des) personnes concernées de l'UE, vous devrez vous y conformer. Par conséquent, si vous avez des clients de l'UE ou des données de toute personne résidant dans l'Union européenne, vous devez respecter le GDPR, peu importe où vous vous trouvez réellement. Sinon, vous pouvez être condamné à une amende pouvant aller jusqu'à 4 % du chiffre d'affaires mondial annuel pour violation du RGPD ou 20 millions d'euros.

Qu'est-ce qu'une donnée personnelle ?

  • Nom
  • Adresse
  • E-mail
  • Les numéros de téléphone
  • Localisation
  • Identifiant en ligne
  • Information sur la santé
  • Revenu
  • Profil culturel
  • et plus

Que signifie la non-conformité ?

Disons que vous avez des données personnelles de vos clients, prospects ou quelqu'un qui est tombé sur votre organisation à un moment donné. Les données personnelles impliquent toute information relative à une personne physique, qui peut être utilisée pour identifier directement ou indirectement la personne. Il peut s'agir d'un nom, d'une photo, d'une adresse e-mail, de coordonnées bancaires, de publications sur des sites de réseaux sociaux, d'informations médicales ou d'une adresse IP d'ordinateur.

De plus, si vous disposez de ce type de données, vous devez vous assurer que vous disposez du consentement de chacun et d'un processus simple pour retirer votre consentement, car il s'agit du cœur du concept de confidentialité dès la conception. Être conforme au RGPD implique un ensemble de mesures pour éviter toute violation de données et, en cas de violation de la sécurité, vous oblige à envoyer une notification à toutes les personnes concernées dans les 72h suivant la première prise de connaissance de la violation.

Que devez-vous faire maintenant, pour être plus précis ?

Fondamentalement, si vous avez un outil d'analyse, une liste d'e-mails pour envoyer des newsletters et tout ce qui vous aide à collecter des données, vous devez vous conformer au RGPD et rendre le tout aussi transparent que possible.

Voici par quoi vous pouvez commencer :

  1. Signez un DPA (Data Processor Agreement) avec toutes vos applications tierces (Visitor Analytics ou tout autre outil d'analyse, service client E-mail, etc.). Pour signer un DPA, il vous suffit de vérifier vos avis de toutes vos applications tierces (au cas où vous l'auriez déjà reçu) ou de leur demander de vous en envoyer un.
  2. Créez une section Termes et conditions claire dans laquelle vous spécifierez les données que vous collecterez et leur objectif
  3. Mentionnez tous les cookies utilisés et les détails les concernant (nom, durée de vie, nécessité)
  4. Fournir le droit d'accès : par exemple, si quelqu'un dans vos listes/base de données souhaite obtenir de vous la confirmation que des données personnelles le concernant sont ou non traitées, où et dans quel but, vous devez répondre et fournir un copie des données personnelles, gratuitement, dans un format électronique.
  5. Offrez le droit d'être oublié, c'est-à-dire l'effacement des données. On peut demander à tout moment d'effacer ses données personnelles. Soyez donc prudent avec celui-ci, car les conditions d'effacement, telles que décrites à l'article 17, incluent les données qui ne sont plus pertinentes pour les finalités initiales du traitement, ou une personne concernée qui retire son consentement.
  6. Créez un ensemble de mesures pour éviter toute violation de données et, en cas de violation de la sécurité, vous devez informer toutes les personnes concernées dans les 72 heures suivant la première prise de connaissance de la violation.
  7. Offrez le droit à la portabilité des données. Cela signifie qu'une personne peut demander les données à caractère personnel la concernant, qu'elle a fournies au préalable dans un "format d'usage courant et lisible par machine", et a le droit de transmettre ces données à un autre responsable du traitement. En peu de temps, tout le monde peut exporter ses données depuis un contrôleur et les envoyer à un autre.
  8. Soyez plus organisé avec les données ! Il y a également un changement clé de la confidentialité dès la conception dans la législation. Pour faciliter la compréhension, l'article 23 invite les responsables du traitement à ne détenir et traiter que les données absolument nécessaires à l'accomplissement de leurs missions (minimisation des données), ainsi qu'à limiter l'accès aux données à caractère personnel aux personnes ayant besoin d'effectuer le traitement. .

Il y a beaucoup plus d'informations sur ce sujet, mais voici la structure et les chapitres du GDPR, afin que vous puissiez facilement comprendre en quoi consiste ce changement majeur dans la protection des données :

  • Chapitre 1 : Dispositions générales (objectifs et définitions du RGPD)
  • Chapitre 2 : Principes (tout ce qui concerne le traitement des données personnelles et les conditions de consentement)
  • Chapitre 3 : Droits de la personne concernée (ce chapitre est axé sur la transparence, l'accès aux données, l'effacement, la prise de décision et les restrictions)
  • Chapitre 4 : Responsable du traitement et sous-traitant (obligation générale des responsables du traitement et des sous-traitants, sécurité des données personnelles, délégués à la protection des données et informations sur les codes de conduite)
  • Chapitre 5 : Transfert de données personnelles vers des pays tiers ou des organisations internationales (enfin, pas besoin d'expliquer celui-ci)
  • Chapitre 6 : Autorités de contrôle indépendantes (conditions générales en matière de statut, de compétence, de tâches et de pouvoirs indépendants au sein d'une organisation)
  • Chapitre 7 : Coopération et cohérence (celui-ci est assez complexe et explique de nombreux problèmes de coopération, mécanismes de cohérence, procédures, confidentialité et beaucoup de choses concernant le Conseil européen de la protection des données)
  • Chapitre 8 : Recours, responsabilité et sanctions (un chapitre important, si vous voulez savoir quelles sont les sanctions et comment vous assurer que vous ne les subirez pas)
  • Chapitre 9 : Dispositions relatives aux situations particulières de traitement de données
  • Chapitre 10 : Actes délégués et actes d'exécution
  • Chapitre 11 : Dispositions finales

Chez Visitor Analytics, nous travaillons dur pour nous assurer que nous continuerons à fournir toutes les fonctionnalités à nos clients tout en étant conformes au RGPD !

Dans le prochain article, nous vous expliquerons comment nous adapterons nos services afin de respecter toutes les attentes du GDPR et comment pouvons-nous vous aider, en tant que propriétaire de site Web utilisant notre application, à être conforme sans effort ! Nous savons que toutes ces étapes de conformité peuvent sembler compliquées, mais si vous commencez tout juste votre parcours vers un site Web 100 % conforme au RGPD, voici la liste de contrôle RGPD la plus complète pour commencer.

PS : Si vous avez réussi à atteindre la fin de l'article, voici une belle infographie sur le RGPD créée par la formidable équipe de l'UE : http://ec.europa.eu/justice/smedataprotect/index_en.htm