ArticleRGPD pour les sites Web américains : tout ce que vous devez savoir

Publié: 2022-08-12

La plupart d'entre nous se souviennent de la grande frénésie du RGPD de 2018. Il y a de fortes chances que vous ayez été submergé d'informations sur l'Union européenne (UE) et son nouveau règlement général sur la protection des données (RGPD). Cette réglementation radicale est entrée en vigueur le 25 mai 2018.

Lorsque j'ai commencé à faire des recherches pour cet article, j'ai été surpris par le nombre de sources "d'experts". De nombreux liens qui apparaissent en haut des pages de résultats des moteurs de recherche Google semblent être des sites "officiels".

Ce sont simplement des microsites de marketing pour les consultants qui veulent gagner de l'argent. Bien que cela soit vrai pour les publicités, cela tient également compte des résultats organiques. Certaines des informations sur ces sites sont assez bonnes, mais dans presque tous les cas, elles sont incomplètes et les motivations des auteurs ne sont pas claires.

Pour éviter toute cette confusion et ces erreurs d'orientation, j'ai décidé de m'adresser à une seule source faisant autorité : le site Web de la Commission européenne. Mes faits et recommandations sont directement basés sur le texte du Règlement 2016/679 (RGPD) et je le cite généreusement tout au long de cet article.

Parallèlement au texte du règlement, j'ai recherché des déclarations de fournisseurs de services tiers tels que Google et Pardot dans la section "Complications tierces" ci-dessous, mais uniquement en ce qui concerne les services de ces entreprises que bon nombre de nos clients utilisent.

Mon public cible comprend des représentants d'entreprises (publiques et privées) basées aux États-Unis qui exercent des activités dans l'UE à certains égards. Mon objectif est de les aider à comprendre ce qu'ils doivent faire sur leurs sites Web d'entreprise pour se conformer à la nouvelle réglementation.

Si votre entreprise est basée en dehors des États-Unis, votre entreprise traite des données sensibles (c'est-à-dire des dossiers médicaux), collecte des données sur les enfants, est une agence gouvernementale ou un fournisseur de services pour des agences gouvernementales, alors arrêtez de lire maintenant... Ce n'est pas pour vous.

Pour être clair, je ne suis pas avocat et rien ici ne doit être interprété comme un avis juridique.

Qu'est-ce que le RGPD ?

Le droit à la vie privée dans les pays membres de l'UE est tenu à un niveau très élevé et le fardeau imposé à ceux qui collectent des données est plus lourd qu'il ne l'est ici aux États-Unis. Ce n'est pas une situation nouvelle. Avant le RGPD, l'UE avait la directive sur la protection des données (DPD) qui a été établie en 1995 et a mis en avant bon nombre des mêmes principes que ceux que l'on retrouve dans le RGPD. DPD et GDPR sont tous deux basés sur la Charte des droits fondamentaux de l'Union européenne, qui stipule tout simplement :

Toute personne a droit à la protection des données à caractère personnel la concernant - Charte des droits fondamentaux de l'Union européenne, article 8, paragraphe 1

L'esprit fondamental du GDPR est que toutes les "personnes physiques" (plus sur ce terme plus tard) ont le droit de savoir quand leurs données sont collectées et le droit de refuser cette collecte de données. S'ils consentent à le recueil , ils ont le droit de gérer l'utilisation de ces données, de révoquer leur consentement et même de choisir ultérieurement de faire effacer toutes leurs données actuelles et historiques.

Il existe également certaines attentes vis-à-vis des « contrôleurs » et des « processeurs » de données (plus sur ces termes plus tard également) en ce qui concerne la gouvernance et les processus destinés à protéger les données des utilisateurs. Et enfin, il y a des choses qu'un contrôleur doit faire en cas de violation de données.

L'une des meilleures ressources pour comprendre l'esprit du RGPD est son préambule. Il est rédigé dans un langage simple et direct qui le rend plus digeste que la plupart des documents juridiques. Pourtant, ce langage simple ne traduit pas entièrement la lettre absolue de la loi et ne remplace pas la réglementation actuelle.

Contrairement à DPD, les règles du RGPD s'appliquent à tous les États membres. Les États membres ne sont pas tenus de mettre en œuvre le règlement avant qu'il ne soit considéré comme étant en vigueur. Mais le GDPR n'exclut pas les lois supplémentaires des États membres qui pourraient aller encore plus loin dans la protection de certains types de données personnelles sensibles comme les dossiers médicaux.

Le RGPD s'applique à toutes les entreprises faisant des affaires dans l'UE, quelle que soit leur localisation. Le fait qu'un utilisateur accède à votre site Web depuis l'UE n'établit pas votre intention de faire des affaires dans l'UE. Cependant, si vous courtisez activement des affaires dans l'UE, vous devez suivre le RGPD.

Une remarque supplémentaire : le RGPD ne remplace ni ne remplace la loi européenne sur les cookies. Ce règlement est toujours en vigueur.

Qui et qu'est-ce qui est protégé ?

Les personnes physiques vivant dans l'UE sont protégées par le RGPD. Le règlement prend effet avant le Brexit, donc le RGPD inclut le Royaume-Uni pour l'instant. Une personne physique peut simplement être considérée comme un être humain individuel. Une personne morale, en revanche, pourrait simplement être une entité juridique. Les protections du RGPD ne s'étendent pas aux personnes en dehors de l'Union européenne.

Toute information pouvant être associée à un seul individu, que son identité soit ou non connue à ce jour, est considérée comme une "Donnée personnelle".

« données à caractère personnel » : toute information relative à une personne physique identifiée ou identifiable (« personne concernée ») ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments propres à l'état physique, physiologique, l'identité génétique, mentale, économique, culturelle ou sociale de cette personne physique ; – Article 4(1) du RGPD

"Identifiable" est un terme que nous devons aborder. Il n'est pas nécessaire que nous connaissions actuellement l'identité de l'individu. Avoir les moyens (un cookie, une adresse IP, etc.) d'associer ultérieurement des données à un individu rend ses données protégées selon les critères du RGPD.

Le règlement évite d'aborder des techniques spécifiques de collecte de données (sauf pour une utilisation dans des exemples), il est donc indépendant de la technologie. Compte tenu du rythme de l'innovation autour de la collecte de données, cela est nécessaire pour que le RGPD puisse rester relativement pérenne. Les cookies, les adresses IP, les profils de navigateur, les API RESTful avec des données utilisateur dans le chemin et toute autre technique intelligente qui pourrait être évoquée à l'avenir sont couverts par le RGPD.

Qui est responsable de la conformité ?

Vous . Votre organisation est le "contrôleur" de votre site Web et est responsable en dernier ressort de s'assurer que les données personnelles sont traitées de manière conforme au RGPD. Lorsque vous choisissez d'utiliser un service tiers sur votre site Web qui n'est pas conforme, vous êtes en faute.

« Responsable du traitement » désigne la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; – Article 4(7) du RGPD

Tout service ajouté à votre site Web (par exemple, Google Analytics, Pardot, etc.) doit également être conforme au RGPD. Même si vous ne pensez pas que le service que vous ajoutez collecte des données personnelles, vous devez vous méfier.

De nombreux services gratuits incluront une forme de capture de données qui sera ensuite utilisée pour les réseaux publicitaires. En 2011, j'ai effectué des tests et trouvé des widgets de partage social "gratuits" comme ShareThis ou AddToAny des composants de suivi intégrés pour plusieurs réseaux publicitaires. Dans un cas, un seul widget de partage a permis le suivi par une demi-douzaine de réseaux publicitaires.

Vous devez examiner minutieusement chaque application et service que vous incluez sur votre site Web. Si des parties de votre site Web sont hébergées par des tiers (c.-à-d. Carrières/RH ou Relations avec les investisseurs), vous devez vous assurer que ces fournisseurs et tous les tiers qu'ils utilisent se conforment au RGPD.

Vous devez également contrôler tous les tiers qui ne collectent pas nécessairement des données sur votre site Web, mais qui sont d'une manière ou d'une autre chargés des données qui ont été collectées. Les consultants en analyse peuvent entrer dans cette catégorie.

Tous ces tiers sont des « sous-traitants » des données de vos utilisateurs.

« sous-traitant » désigne une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ; – Article 4(8) du RGPD

Si votre entreprise emploie moins de 250 personnes et que vous ne collectez pas de données personnelles sensibles qui pourraient entraîner un risque pour les droits et libertés des individus, il existe une certaine indulgence concernant les enregistrements des activités de traitement qui réduisent votre fardeau. Vous n'êtes pas dispensé de vous conformer au RGPD, mais vous n'êtes pas tenu de respecter les mêmes normes que les grandes organisations.

Base juridique du traitement

Pour que la collecte de données personnelles soit acceptable en vertu du RGPD, elle doit répondre à au moins un des six critères. Le RGPD stipule à l'article 6, paragraphe 1 :

  1. Le traitement n'est licite que si et dans la mesure où au moins l'un des éléments suivants s'applique :

    (a) la personne concernée a donné son consentement au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques ;

    (b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est faire la fête ou afin de prendre des mesures à la demande de la personne concernée avant de conclure un contrat ;

    (c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;

    (d) le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique ;

    (e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;

    (f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf si ces intérêts prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent la protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

De ces six bases, seule la première s'appliquera à la majorité des sites Web de nos clients. Pour les sections carrières et commerce électronique, ou tout service où une connexion est requise, la base (B) pourrait également s'appliquer.

Identification

Il s'agit d'un concept très important pour déterminer quels types de collecte de données ne nécessitent pas de base légale en vertu du RGPD. Dans un sens, l'identification se comprend facilement... Peut-on associer ces données à une personne physique ? Si tel est le cas, il est clair que cette personne est protégée par le RGPD.

Que se passe-t-il si nous suivons une personne anonyme grâce à l'utilisation d'un cookie ou d'une autre technologie de suivi ? Même si cette personne est anonyme, il est possible de l'identifier ultérieurement grâce à la collecte de données supplémentaires. Par conséquent, cette personne est protégée.

Les personnes physiques peuvent être associées à des identifiants en ligne fournis par leurs appareils, applications, outils et protocoles, tels que des adresses de protocole Internet, des identifiants de cookies ou d'autres identifiants tels que des étiquettes d'identification par radiofréquence. Cela peut laisser des traces qui, notamment lorsqu'elles sont combinées avec des identifiants uniques et d'autres informations reçues par les serveurs, peuvent être utilisées pour créer des profils de personnes physiques et les identifier. – Préambule RGPD(30)

La raison en est que nous ne devrions jamais être en mesure de collecter des données sur des utilisateurs individuels sans avoir reçu au préalable leur consentement. Si nous devions recueillir des données et les associer ultérieurement à une personne physique, nous violerions ce principe.

Les droits des utilisateurs

Le consentement doit être obtenu avant de collecter des données personnelles. Et toutes les données relatives à ce consentement doivent être stockées, y compris notamment quand le consentement a été donné et quelles formes de traitement l'utilisateur a acceptées. Inversement, si un utilisateur révoque son consentement pour tout ou partie de la collecte de données personnelles, cette révocation doit également être enregistrée.

« consentement » de la personne concernée : toute indication librement donnée, spécifique, informée et sans ambiguïté des souhaits de la personne concernée par laquelle elle, par une déclaration ou par une action affirmative claire, signifie son accord au traitement des données à caractère personnel la concernant ou elle; – Article 4(11) du RGPD

Notez que certains tiers peuvent avoir leur propre mécanisme pour obtenir le consentement, mais permettre à ces services de s'injecter dans vos expériences utilisateur sera désorientant pour les gens. À moins que vous n'utilisiez un seul fournisseur tiers pour stocker des informations sur vos utilisateurs, nous vous suggérons de créer votre propre mécanisme de consentement unique, simple, clair et concis. Il doit être utilisé pour gérer tous les différents moyens de collecte de données sur votre site Web, y compris les tiers.

le « consentement » devrait être donné par un acte affirmatif clair établissant une indication librement donnée, spécifique, informée et sans ambiguïté de l'accord de la personne concernée au traitement des données à caractère personnel la concernant, par exemple par une déclaration écrite, y compris par des moyens électroniques , ou une déclaration orale. – Préambule RGPD(32)

Les utilisateurs ont le droit d'accéder à leurs données, de les corriger et, lorsqu'il n'existe plus de base légale pour le traitement des données (par exemple, un utilisateur révoque son consentement ou n'est plus un client), la personne concernée a le droit d'être oublié. Cela inclut les contrôleurs notifiant les processeurs qui pourraient également stocker les données utilisateur collectées.

De plus, les données personnelles doivent être oubliées lorsqu'elles ne sont plus nécessaires pour la base juridique sur laquelle elles ont été collectées ou aux fins pour lesquelles le consentement a été donné.

Protection des données et certification

Le RGPD exige que les contrôleurs de données (c'est-à-dire vous) et les sous-traitants prennent les mesures appropriées (à la fois techniques et organisationnelles) pour protéger les données personnelles.

Afin de pouvoir démontrer le respect du présent règlement, le responsable du traitement devrait adopter des politiques internes et mettre en œuvre des mesures qui respectent notamment les principes de protection des données dès la conception et de protection des données par défaut. Ces mesures pourraient consister, entre autres, à minimiser le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à assurer la transparence des fonctions et du traitement des données à caractère personnel, à permettre à la personne concernée de surveiller le traitement des données, à permettre au responsable du traitement de créer et améliorer les fonctions de sécurité. – Préambule RGPD(78)

Ces mesures devraient également inclure un accès limité, le cryptage et d'autres bonnes pratiques fondamentales pour la sécurité des données. Les auteurs du RGPD encouragent les contrôleurs et les sous-traitants à identifier et à respecter les certifications de protection des données telles que le code de pratique ISO/IEC 27018 pour la protection des informations personnellement identifiables.

Afin d'améliorer la transparence et le respect du présent règlement, il convient d'encourager la mise en place de mécanismes de certification et de sceaux et marques de protection des données, permettant aux personnes concernées d'évaluer rapidement le niveau de protection des données des produits et services concernés. – Préambule RGPD(100)

Pseudonymisation

Dans mes recherches, j'ai découvert que la pseudonymisation était le concept le plus mal compris du RGPD. La pseudonymisation n'est pas la même chose que l'anonymisation ; c'est simplement le fait de supprimer les propriétés d'un ensemble de données qui rend les enregistrements d'utilisateurs identifiables et de stocker ces propriétés dans une source de données distincte à l'aide d'une forme d'identifiant unique. Les données pseudonymisées peuvent être réconciliées avec cette source de données distincte pour identifier les utilisateurs individuels.

"pseudonymisation": le traitement de données à caractère personnel de telle sorte que les données à caractère personnel ne puissent plus être attribuées à une personne concernée spécifique sans l'utilisation d'informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et fassent l'objet de mesures techniques et organisationnelles s'assurer que les données personnelles ne sont pas attribuées à une personne physique identifiée ou identifiable ; - Article 4(5) du RGPD

La pseudonymisation des données collectées ne crée pas de base légale pour le traitement des données des utilisateurs. Il s'agit toutefois d'une bonne pratique pour stocker en toute sécurité les données des utilisateurs, en particulier lorsque ces données sont stockées auprès d'un sous-traitant ou d'un autre tiers. Par exemple, vous pouvez utiliser un identifiant unique dans l'ensemble de données d'un processeur qui pourrait être combiné avec votre propre ensemble de données pour identifier l'utilisateur.

Divulgations de violation de données

En cas de violation de données à caractère personnel, les responsables de traitement sont tenus d'en informer leur autorité de contrôle dans les 72 heures après en avoir pris connaissance. Étant donné que vous faites partie d'une société basée aux États-Unis, l'autorité de contrôle sera celle du ou des États membres où réside la ou les personnes concernées.

« Violation des données personnelles » désigne une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès à des données personnelles transmises, stockées ou autrement traitées ; – Article 4(12) du RGPD

Les responsables du traitement sont également tenus d'informer les personnes concernées en cas de violation, bien que le délai de cette notification puisse dépendre des mesures nécessaires pour empêcher des violations de données continues ou similaires. Les lignes directrices stipulent simplement que les personnes concernées doivent être contactées sans retard injustifié.

Pénalités

Les sanctions pour infraction au RGPD peuvent être divisées en deux catégories :

  1. Amendes infligées par les autorités de contrôle
  2. Indemnisation des personnes concernées dont les droits ont été violés

La plupart des articles que j'ai lus ont tendance à se concentrer sur les amendes qui peuvent être infligées par les autorités de contrôle.

Et il est facile de voir pourquoi.

Les pénalités peuvent aller jusqu'à 20 000 000 € ou jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent. Ce sont des chiffres effrayants.

Mais il est important de comprendre que ces amendes sont des limites supérieures, réservées aux situations les plus graves et les plus dommageables. De nombreux facteurs sont pris en compte pour déterminer le montant de l'amende.

Lors de la décision d'imposer ou non une amende administrative et du montant de l'amende administrative dans chaque cas individuel, il est dûment tenu compte des éléments suivants :

  1. la nature, la gravité et la durée de l'infraction compte tenu de la nature, de l'étendue ou de la finalité du traitement concerné ainsi que du nombre de personnes concernées et de l'ampleur du préjudice subi par celles-ci ;
  2. le caractère intentionnel ou négligent de l'infraction ;
  3. toute action entreprise par le responsable du traitement ou le sous-traitant pour atténuer les dommages subis par les personnes concernées ;
  4. le degré de responsabilité du responsable du traitement ou du sous-traitant compte tenu des mesures techniques et organisationnelles mises en œuvre par eux conformément aux articles 25 et 32 ;
  5. toute infraction antérieure pertinente par le responsable du traitement ou le sous-traitant ;
  6. le degré de coopération avec l'autorité de contrôle, afin de remédier à l'infraction et d'atténuer les éventuels effets néfastes de l'infraction ;
  7. les catégories de données personnelles concernées par l'infraction
  8. la manière dont l'infraction a été portée à la connaissance de l'autorité de contrôle, notamment si, et le cas échéant dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié l'infraction ;
  9. lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné en ce qui concerne le même objet, le respect de ces mesures;
  10. le respect de codes de conduite approuvés conformément à l'article 40 ou de mécanismes de certification approuvés conformément à l'article 42 ; et
  11. tout autre facteur aggravant ou atténuant applicable aux circonstances de l'affaire, tels que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, de l'infraction.

– Article 83(2) du RGPD

La plus grande inconnue est de savoir quelle pourrait être l'indemnisation des personnes concernées dont les droits ont été violés. Il est peu probable qu'une violation du RGPD n'affecte qu'un seul individu, il est donc raisonnable de s'attendre à une forme de litige de groupe.

Les règles nationales des États membres de l'UE varient considérablement en ce qui concerne les litiges de groupe (class action). Prévoir les conséquences avant l'entrée en vigueur du règlement est donc un exercice qu'il vaut mieux laisser aux professionnels du droit. Peut-être mieux encore, des clairvoyants regardant dans des boules de cristal.

Quelques scénarios courants

En fin de compte, la conformité au RGPD n'a pas à être si difficile. Bien qu'il y ait quelques étapes de base que vous devrez suivre, les directives sont claires et mesurables. Si vous avez fait des affaires dans l'UE mais que vous n'avez pas respecté la directive sur la protection des données, vous aurez un peu de retard à rattraper. Mais permettez-moi de souligner que ce n'est pas si mal.

Il existe des scénarios communs partagés par presque toutes les entreprises desservies par BrandExtract. En règle générale, nous essayons d'éloigner nos clients des situations qui nécessitent de recueillir un consentement ou de gérer des données personnelles, sauf si cela est absolument nécessaire. Mais il y a des situations où cela a du sens. Voici quelques situations spécifiques avec des recommandations :

Google Analytics

La position de BrandExtract est que la collecte et le stockage de l'adresse IP complète d'un utilisateur ne sont pas nécessaires pour effectuer des analyses de qualité. Et l'anonymisation de l'adresse IP en supprimant le dernier octet des adresses IPv4 et les 80 derniers bits des adresses IPv6 est suffisante pour éliminer la possibilité d'identification de l'utilisateur du côté de Google.

Cela peut être facilement fait dans Google Analytics en utilisant la fonction d'anonymisation des adresses IP intégrée à la bibliothèque javascript GA. Il peut simplement être invoqué pour tous les utilisateurs, qu'ils accèdent à votre site depuis l'UE ou non. Lorsque l'anonymisation des adresses IP est utilisée, aucune donnée personnelle identifiable n'est enregistrée sur les serveurs de Google.

De plus, il est possible de désactiver l'utilisation du cookie Google Analytics sur votre site Web. Cela entraînera la perte de certaines données d'analyse (nous sommes en train de tester cela pour voir ce qui est perdu). Mais en anonymisant l'adresse IP et en supprimant le cookie, nous n'avons plus besoin de recueillir le consentement pour Google Analytics car l'utilisateur ne peut plus être identifié.

Il est toujours possible d'utiliser Google Analytics avec les cookies, mais vous devez obtenir le consentement avant de le faire. Aussi notez que Google a promis des outils pour supprimer les données des utilisateurs individuels des analyses afin d'assurer la conformité. Ceux-ci devraient être en place d'ici le 25 mai.

Fichiers journaux du serveur Web

Par défaut, toutes les requêtes adressées à votre serveur Web sont enregistrées dans les fichiers journaux. Chaque enregistrement comprend l'adresse IP de l'utilisateur, qui compte comme une donnée personnelle car elle pourrait être utilisée ultérieurement pour retracer rétroactivement l'activité de cet utilisateur s'il est identifié ultérieurement. L'enregistrement de l'adresse IP doit être désactivé ou l'adresse IP doit être anonymisée.

Pardot

Comme Google, la position de Pardot est que vous êtes le contrôleur et que c'est le sous-traitant. L'offre de service de Pardot dépend de la capacité à identifier l'utilisateur. Ainsi, si vous avez l'intention d'utiliser les services Pardot sur votre site Web, vous devez disposer d'une base légale pour le traitement des données de l'utilisateur.

Pardot ne dispose pas encore d'outils pour collecter ou supprimer les données des utilisateurs, et ils ne s'attendent pas à ce que ces outils soient en place avant la date limite. Toutes les demandes de données et les demandes d'oubli devront être effectuées via le service desk de Pardot.

Hubspot

Certaines parties de l'offre de services de Hubspot incluent les formulaires d'admission et le suivi des utilisateurs. Si vous n'utilisez aucun autre fournisseur tiers pour suivre les utilisateurs, vous pouvez envisager d'utiliser le mécanisme de collecte de consentement de Hubspot. Cette nouvelle fonctionnalité devrait être en place d'ici le 25 mai.

Si vous utilisez d'autres fournisseurs en plus de Hubspot, ou si vous stockez des données utilisateur sur vos propres systèmes, vous devez créer votre propre mécanisme pour recueillir le consentement pour toutes les façons dont les données utilisateur sont stockées.

Publicité par e-mail

Si vous utilisez un fournisseur de services de marketing par e-mail ou si vous disposez de votre propre mécanisme de suivi des réponses par e-mail de l'utilisateur, vous devez avoir son consentement ou une base légale avant d'envoyer l'e-mail. Pour les campagnes par e-mail, vous aurez besoin d'une relation établie avec la personne concernée qui comprend une base légale pour le traitement.

Polices hébergées et autres ressources

Celui-ci est facile... Si vous êtes préoccupé par le RGPD, n'utilisez pas de tiers pour héberger les polices, les bibliothèques javascript ou d'autres actifs de votre site Web. Si une police particulière n'est disponible que via un hôte tiers, utilisez simplement une police différente.

Tous les fournisseurs auront leurs propres conditions de service et niveaux de conformité qui nécessiteront une surveillance constante pour s'assurer que leurs politiques ne changent pas. Essayez d'éviter ces tracas et ces risques.

Services de partage (ShareThis, AddToAny, etc.)

Ils sont terribles, ne les utilisez pas. Même avant les développements dignes d'intérêt du GDPR, BrandExtract avait toujours éloigné nos clients de ces parasites déguisés en services. Vos utilisateurs n'ont pas besoin de pouvoir partager votre page Web sur 47 réseaux sociaux dont personne n'a jamais entendu parler. BrandExtract a un code personnalisé pour le partage sur toutes les principales plateformes qui comptent réellement pour votre entreprise.

Personnalisation

Celui-ci est également facile. Tous les scénarios de personnalisation autres que la géolocalisation large par continent ou pays nécessitent une identification de l'utilisateur et vous devez avoir le consentement de l'utilisateur. Il n'y a tout simplement pas moyen de contourner cela.

Ressources

  • Le site Web de la Commission européenne
  • Texte RGPD
  • Anonymisation IP dans Analytics
  • Désactivation des cookies d'analyse

Les réglementations GDPR peuvent être accablantes. J'espère que nous avons aidé à consolider tout ce que vous devez savoir. Comme vous envisagez de faire un audit de votre site, nous sommes heureux de discuter. Nous entrons encore plus dans les détails du RGPD avec notre équipe d'experts dans notre épisode de podcast RGPD. Pour en savoir plus sur les considérations Web et numériques pour votre marque, voici quelques conseils et ressources pour vous aider :

  • Découvrez ce qu'il faut pour rendre votre site accessible.
  • Découvrez les clés de la sécurité du site Web et comment assurer la sécurité de votre site.
  • Découvrez comment créer un site Web d'entreprise engageant (et convertissant).