Un guide d'expert en commerce électronique pour se préparer au RGPD
Publié: 2018-05-15De nos jours, il semble que chaque conversation tourne autour de la confidentialité en ligne et de l'utilisation abusive des données. Nous avons récemment vu le PDG de Facebook, Mark Zuckerberg, témoigner devant le Sénat américain concernant l'utilisation de données personnelles sur Facebook – et la ruée ultérieure de l'entreprise pour reconstruire sa réputation alors que l'engagement a diminué après le scandale. Chaque jour, il semble qu'il y ait une nouvelle controverse liée aux données à démêler.
Avec le désir public d'un Internet plus anonyme et la reconnaissance par le secteur privé que la collecte des données des utilisateurs est bonne pour les affaires, le débat se poursuit. En attendant, les pays européens s'efforcent de protéger leurs citoyens contre la mauvaise gestion des données, et les ramifications pourraient être énormes pour les entreprises du monde entier.
Le 25 mai 2018, les entreprises européennes seront contraintes de revoir la manière dont elles traitent les données des consommateurs. Dans le cadre du règlement général sur la protection des données (RGPD), les entreprises doivent donner aux clients plus de contrôle sur la manière dont leurs données sont collectées, stockées et finalement utilisées.
Le règlement vise à renforcer la protection des données et la vie privée des citoyens au sein de l'Union européenne, quel que soit le lieu où se trouve l'entreprise collectant les données. En d'autres termes, si vous avez eu une entreprise ouverte aux clients européens, vous devez prêter attention au RGPD avant qu'il n'entre enfin en vigueur. Si votre entreprise traite des données d'utilisateurs de l'UE, vous devriez prendre le temps de vous familiariser avec cette nouvelle réglementation.
Qu'est-ce que le RGPD ? Questions et réponses courantes
Le RGPD a été officiellement adopté le 27 avril 2016, mais il n'entrera en vigueur que le 25 mai 2018, en raison d'une période de transition de deux ans conçue pour aider les entreprises à s'adapter aux nouvelles règles. En bref, le règlement vise à donner aux consommateurs un contrôle total sur la manière dont leurs données sont collectées et utilisées. L'UE définit les données personnelles comme "toute information relative à une personne physique identifiée ou identifiable", y compris l'anniversaire, l'adresse, le numéro de téléphone, le salaire, le loyer et l'adresse IP.
Voici quelques questions courantes liées à cette réglementation essentielle afin que vous puissiez mieux comprendre si vous devez dépenser des ressources supplémentaires pour vous préparer à ce changement de secteur.
Puis-je être condamné à une amende si je ne me conforme pas?
Oui, les organisations qui ne se conforment pas à la nouvelle réglementation s'exposeront à de lourdes amendes. La réglementation stipule que toute violation du RGPD pourrait entraîner une pénalité pouvant atteindre 4 % du chiffre d'affaires mondial annuel ou 20 millions d'euros (environ 24 millions de dollars), selon le montant le plus élevé.
Cela s'applique-t-il à mon entreprise ?
Le champ d'application du RGPD est décidément énorme. Elle s'applique à toute entreprise qui traite des données de résidents de l'Union européenne. Cela étant dit, le règlement ne s'applique pas si vous utilisez des données exclusivement à des fins personnelles ou domestiques, et il peut être moins strict pour les entreprises de moins de 250 employés. Quelle que soit la taille de votre entreprise, vous devez toujours conserver des registres internes détaillés et vous conformer au RGPD, mais les exigences en matière de tenue de registres sont différentes.
Les entreprises américaines peuvent-elles être condamnées à une amende ?
Les entreprises américaines seront tenues responsables en cas de non-conformité et peuvent être condamnées à une amende selon les mêmes normes en vertu du droit international. Même les entreprises sans présence physique dans l'Union européenne doivent respecter le nouveau règlement, disent les experts.
Que protège le RGPD ?
L'objectif principal de la législation est de donner aux consommateurs un langage d'acceptation clair et sans confusion concernant la collecte de données. Elle offre aux consommateurs huit droits individuels : être informé, accéder, rectifier, effacer, restreindre le traitement, avoir la portabilité des données, s'opposer et prendre des décisions concernant la prise de décision automatisée et le profilage.
Comment le RGPD profite-t-il aux consommateurs ?
Le principal avantage du nouveau règlement est qu'il préserve la confidentialité des données des consommateurs, ce qui signifie une meilleure protection pour ceux qui choisissent de rester privés. Comme nous le verrons ci-dessous, les nouvelles règles peuvent avoir plusieurs avantages mesurables pour les entreprises.
Qu'est-ce que cela signifie pour les entreprises de commerce électronique ?
Il n'y a aucun doute là-dessus. Comprendre votre consommateur grâce à des outils d'analyse de commerce électronique tels que Springbot - qui peuvent collecter efficacement des données précieuses sur vos consommateurs pour des choses telles que le reciblage des publicités, les efforts de marketing par e-mail et la personnalisation des publicités - est généralement un investissement substantiel pour la plupart des magasins en ligne. Vous n'avez pas à cesser de compter sur ces précieux outils face au RGPD et aux réglementations similaires, tant que vous collectez les données de manière responsable . En fin de compte, l'exploration de données personnelles est incroyablement trouble et la plupart des consommateurs ne la prennent en charge que lorsqu'ils en ont le contrôle.
Ce changement de règles représente une poussée vers une collecte de données plus standardisée, ce qui pourrait en fait signifier de meilleures choses pour votre entreprise. En pratique, cela signifie que chaque fois que vous traitez les données d'une personne - qu'elle s'inscrive à votre liste de diffusion ou fasse un achat - vous devez lui donner le droit de consulter, d'ajuster, d'effacer et de restreindre l'accès.
Dans l'ensemble, cela signifie que vous accordez la priorité au consommateur, améliorez la cybersécurité de votre entreprise et même préservez sa réputation. Lorsque vous collectez des données auprès de personnes qui souhaitent les partager, vous pouvez toujours agréger des analyses clés et minimiser l'insatisfaction des clients des personnes qui ne souhaitent pas que leurs informations soient stockées.
Les cinq principales choses que vous devriez faire pour vous préparer
La chose la plus importante que vous puissiez faire pour préparer votre entreprise à la mise en œuvre officielle du RGPD est d'apprendre la loi. La réglementation officielle est longue et remplie de jargon juridique, mais il existe des ressources en ligne de qualité qui fournissent un excellent résumé des nouvelles règles relatives à la collecte de données. Par exemple, la nouvelle loi stipule que vous devez informer les consommateurs d'une violation de données dans les 72 heures, que vous devez donner aux consommateurs le droit d'accéder à la façon dont leurs données sont utilisées et que vous devez leur permettre d'être « oubliés » ou retirés de votre système, sur demande.
Ensuite, il est essentiel que vous déterminiez comment la loi affectera spécifiquement votre entreprise. Comme mentionné, les aspects de déclaration et les règles de tenue de registres diffèrent pour les petites et moyennes entreprises (PME) par rapport aux grandes entreprises, vous devez donc être conscient des responsabilités de votre entreprise.
Naturellement, vous pouvez faire de nombreuses choses bénéfiques pour préparer votre entreprise à la conformité. En plus des conseils recommandés ci-dessous, nous vous suggérons de consulter un conseiller juridique pour vous assurer que vos processus ne contiennent aucune vulnérabilité.
1. Passez à des processus transparents
L'essentiel à retenir de l'adoption de ce règlement est que les gens veulent – et les lois appliqueront – le droit pour les consommateurs de tout savoir sur la façon dont leurs données sont utilisées. Cela signifie que chaque communication avec les consommateurs concernant les données doit être aussi transparente que possible. Comprendre comment votre entreprise traite les données vous aidera à déterminer si elle est conforme. Sachez donc où vos données sont stockées et comment elles sont utilisées.
- Réécrivez les formulaires de consentement dans un langage clair.
- Obtenez le consentement clair des utilisateurs lorsque vous collectez leurs données.
- Passez de la langue "opt-out" à "opt-in".
- Indiquez pourquoi vous traitez certaines données.
- Exécutez une analyse d'impact sur la protection des données (DPIA).
2. Nommer des dirigeants et partager des informations
Un autre aspect important de ce règlement est que certaines entreprises seront tenues de nommer un délégué à la protection des données (DPO), qui sera chargé de superviser les processus de protection des données au sein de l'entreprise. Toutes les entreprises n'auront pas besoin d'un DPO - uniquement celles qui traitent de grandes quantités de données personnelles - mais chaque entreprise devrait désigner un responsable de la conformité qui peut aider à garantir que toutes les lois sont correctement respectées.
- Découvrez si votre entreprise a besoin d'un DPO.
- Même si vous n'avez pas besoin d'un DPO, nommez un responsable de la confidentialité des données.
- Alertez chaque département des nouvelles règles.
- Décidez comment gérer les demandes d'accès aux données.
3. Vérifiez tous vos services
Les entreprises ne sont tenues d'utiliser que des processeurs de données qui aident à mettre en œuvre un stockage de données légal, ce qui signifie que vous devez effectuer un audit approfondi pour vous assurer que vous n'avez pas d'outils en place qui pourraient ignorer grossièrement les nouvelles réglementations. Par exemple, si vous utilisez des plug-ins d'analyse, assurez-vous qu'ils stockent et gèrent les données des consommateurs d'une manière conforme au RGPD. Springbot s'engage à aider les clients à obtenir des données d'une manière légale et éthique.
- Assurez-vous que tous les services tiers sont conformes.
- Découvrez si les outils que vous utilisez nécessitent le consentement de l'utilisateur.
- Recherchez des outils auprès de partenaires pour accélérer votre processus.
4. Réorganisez votre tenue de registres
L'un des aspects les plus décourageants du RGPD est la tenue de registres. Parce que les consommateurs ont désormais le droit d'être informés, d'accéder et de supprimer leurs données personnelles, vous devez vous assurer que vos processus sont méticuleusement enregistrés. Vous devrez également disposer d'un accès à la demande aux données client, si un consommateur vous le demande.
Vous devez être en mesure d'identifier et de signaler les données personnelles, que vous les partagiez ou non avec des tiers. L'un des principaux objectifs des règles plus strictes en matière de tenue de registres est de garantir l'exactitude des données personnelles. Il vous appartiendra d'enregistrer des données personnelles correctes et de mettre à jour les autres organisations en conséquence.
- Apprenez à connaître l'article 30, qui couvre la tenue de registres.
- Enregistrez le but de tout traitement de données.
- Tenir des registres sur les catégories de personnes concernées et de destinataires.
- Enregistrez tout, au-delà de ce qui est requis par l'article 30.
5. Exploitez les données de la bonne manière
Enfin, la dernière chose que vous puissiez faire pour vous préparer à la transition est de trouver le moyen le plus responsable d'exploiter les données des clients dans le cadre de ces nouvelles réglementations. Le RGPD stipule que les données personnelles doivent « être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles les données personnelles sont traitées ». Par conséquent, vous pouvez toujours utiliser les données pour des choses comme le reciblage et d'autres efforts de marketing à plus long terme, tant que vous informez le consommateur que vous prévoyez de l'utiliser aux fins déclarées.
- Comprenez combien de temps vous êtes autorisé à conserver des données personnelles enregistrées.
- Élaborez un plan indiquant quand et comment détruire les données après cette période.
- Essayez d'« anonymiser » les données autant que possible afin de pouvoir les stocker plus longtemps.
- Identifiez les types de données personnelles qui présentent les risques les plus élevés.
Pourquoi est-ce important
Tout cela semble être beaucoup de travail, non ? Mais voici le problème : le RGPD est bon pour l'expérience client autant que la collecte de données personnelles. En effet, alors que les consommateurs préfèrent massivement les expériences personnalisées et reconnaissent que l'agrégation de données peut conduire à une expérience en ligne plus personnelle, ils souhaitent également contrôler entièrement leurs propres données. Et, puisque 92% des acheteurs en ligne citent la sécurité et la confidentialité comme une préoccupation, de telles mesures devraient être prises pour rendre les achats en ligne plus privés.
Avec tout cela à l'esprit, il est important que nous travaillions tous à apporter de nouveaux ajustements qui nous aideront à mieux répondre aux besoins du client sans franchir des limites importantes en matière de confidentialité. En ce qui concerne le marketing, les ventes et la croissance de votre entreprise, le RGPD ne devrait pas vous faire reculer.
Au lieu de cela, cela devrait changer votre façon de faire les choses pour le mieux afin de cultiver des clients heureux, confiants et fidèles. Ainsi, consacrer un peu de temps et d'argent à la préparation de votre entreprise pour le GDPR vaudra bien vos efforts.