Se conformer au GDPR peut être terriblement frustrant, car vous avez une quantité incroyable d'informations flottant partout sur le web.
Certains des contenus trouvés en ligne sont flous et n'apportent pas les détails dont vous avez réellement besoin pour vous mettre en conformité. Une liste de contrôle GDPR bien ficelée est de l'or pur, car elle vous offre un parapluie contre les amendes annoncées.
Bien que la mise en conformité avec le GDPR semble représenter beaucoup de travail, organiser et structurer cette charge de travail peut considérablement faciliter les choses.
Une liste de contrôle est la première étape de votre démarche pour vous conformer à la nouvelle réglementation. Après tout, il faut bien commencer quelque part.
Puis-je avoir votre consentement ?
La pierre angulaire du GDPR est le consentement. Vous aviez besoin du consentement avant le GDPR, mais il était tellement plus simple de l'obtenir. Désormais, dans le contexte de la nouvelle réglementation, obtenir le consentement n'est plus une valeur sûre. Le GDPR stipule clairement qu'à moins qu'un intérêt légitime ne soit impliqué, obtenir le consentement des clients doit être fait de manière explicite, en utilisant un langage simple et en clarifiant les raisons pour lesquelles le consentement est demandé. L'utilisateur doit savoir exactement à quoi vont servir ses données personnelles et par qui.
L'intérêt légitime n'équivaut pas au consentement, car les données obtenues ne peuvent être utilisées à d'autres fins que celles qui sont implicites.
Une fois le consentement obtenu de manière héroïque, vous devez l'enregistrer et le sauvegarder, en étant également prêt à le remettre sur demande. Jusqu'ici, tout va bien, mais en termes de conformité avec le GDPR, qu'est-ce que cela signifie exactement ?
En clair, vous devrez consacrer un peu d'argent ou de temps à l'élaboration d'un nouveau modèle de demande de consentement, à l'oubli des cases pré-cochées, à la fourniture aux utilisateurs d'informations détaillées sur vos actions, à la mise à jour de vos conditions générales et à la fin de leur dissimulation dans les petits caractères. Vous êtes d'accord ?
Pas d'intégrations tierces. Pas de coûts cachés. Pas de perte de temps.
Une solution aussi unique que les besoins de votre entreprise.
Exprimez-vous
Grâce à cette nouvelle loi sur la protection des données, la personne concernée, c'est-à-dire toute personne identifiable, a obtenu un certain nombre de droits intéressants, d'où le sigle DSR (Data Subject Rights). Ces droits sont tous simples et compréhensibles, mais pour une raison ou une autre, au cours de la dernière décennie, nous n'y avons jamais vraiment réfléchi.
Si c'était le cas, nous entrerions très certainement en mode panique et ressentirions le besoin express d'imaginer des stratégies marketing alternatives. Cependant, ces droits sont ceux qui vous feront complètement passer du statut d'entreprise rebelle à celui d'entreprise conforme au GDPR. Alors, prenons-les un par un et voyons ce qu'il faut faire ensuite.
-
Le pouvoir au peuple
Vous devez stocker et organiser toutes les informations que vous avez sur vos clients. Il ne suffit pas de leur envoyer un courriel avec des chiffres et des lettres griffonnés à l'intérieur. Vous devez fournir aux clients des informations structurées, faciles à comprendre, dans un format commun.
En ce qui concerne la mise en conformité, vous pouvez imaginer que cela implique divers investissements dans de nouveaux outils qui permettraient soit de faciliter l'accès des utilisateurs, soit de structurer les informations dont vous disposez sur eux et de rationaliser le processus, en l'optimisant au mieux.
-
Oublié et pardonné
Sans entrer dans des discussions philosophiques sur la condition humaine, les individus ont ce droit et vous avez l'obligation de leur fournir le cadre.
Si vous recevez une demande d'effacement, vous devez la mettre en œuvre. La partie délicate ici est le délai, car il est mentionné que le responsable du traitement des données doit agir "sans retard excessif". En langage clair, cela veut dire rapidement, mais en langage juridique, les choses sont un peu floues. On ne peut que supposer que l'idée est effectivement d'agir rapidement.
Pour ce qui est de la mise en œuvre, il est essentiel de comprendre que lorsque la personne demande à être oubliée, vous devez effacer toutes les données existantes dont vous disposez à son sujet, y compris les copies, les données stockées sur le cloud ou collectées par des tiers.
Vous serez donc tenu de disposer de systèmes permettant d'identifier rapidement les données, les lieux où elles sont stockées et de garantir un effacement rapide.
-
Corrigez le tir
À partir du 25 mai, tous les utilisateurs peuvent demander que leurs informations soient corrigées.
Vous devez trouver un moyen par lequel ils peuvent le faire. Une fois encore, se conformer au GDPR implique d'investir dans des outils.
-
Faire la grande annonce
Cela signifie que vous êtes tenu d'envoyer toutes les données dont vous disposez sur une personne à une autre organisation, dans un format structuré et couramment utilisé, si la personne concernée vous le demande.
Comme on pouvait s'y attendre, cela suppose bien sûr que vous mettiez en place un système robuste, grâce auquel la portabilité peut être facilement assurée.
-
Il est temps de bouger
Cela signifie que vous êtes tenu d'envoyer toutes les données dont vous disposez sur une personne à une autre organisation, dans un format structuré et couramment utilisé, si la personne concernée vous le demande. Comme on pouvait s'y attendre, cela suppose que vous mettiez en place un système solide permettant de réaliser facilement la portabilité.
-
Temps pour objecter
Même si vous avez obtenu son consentement, l'utilisateur pourrait changer d'avis et décider contre vous, en s'opposant au fait que vous traitiez des données personnelles. Dans cette situation, vous n'avez pas d'autre choix que de vous conformer et d'arrêter le traitement des données personnelles.
Prêt pour la violation des données
Vous avez donc remarqué une faille dans le système. Il est temps de vous demander : Qu'est-ce que le GDPR attend de moi ?
Si ce jour arrive, dès que vous constatez la violation, vous devez identifier la menace. Commencez à agir comme si vous étiez attaqué.
Tout d'abord, il faut prendre en considération la menace. Si la violation des données est considérée comme une menace pour les utilisateurs, le responsable du traitement doit en informer l'autorité de surveillance du GDPR dans les 72 heures suivant l'identification de la violation. Ensuite, les utilisateurs doivent également être informés.
Renforcer vos défenses
Vous avez obtenu la permission. Votre client a répondu "oui" à la question du consentement. Ne vous faites pas d'illusions, même si, de nos jours, demander le consentement semble vraiment plus difficile qu'autre chose. Maintenant, vous devez sécuriser toutes ces données personnelles. Assurez-vous que les données personnelles de l'utilisateur sont bien prises en charge, en les sauvegardant par divers moyens tels que le cryptage ou l'anonymisation. Vous allez utiliser des données personnelles, détendez-vous ! Vous allez simplement devoir le faire différemment. La meilleure façon d'utiliser des données personnelles sans mettre la sécurité en danger est la pseudonymisation. Les données sont toujours protégées, mais vous pouvez les analyser, ce qui fait de cette méthode la combinaison ultime.
Il ne faut pas mélanger les choses ici, car l'anonymisation et la pseudonymisation sont deux concepts complètement différents. Le GDPR les a réunis, sous le parapluie de la sécurité, pour une très bonne raison.
Alors que l'anonymisation détruit complètement toute chance d'identifier l'utilisateur, la pseudonymisation, ce tueur du Zodiaque du monde informatique, remplace l'identité de la personne concernée par des informations supplémentaires, créant ainsi un langage codé. Les données restent protégées mais peuvent être utilisées à des fins de recherche.
Pas d'intégrations tierces. Pas de coûts cachés. Pas de perte de temps.
Une solution aussi unique que les besoins de votre entreprise.
Let’s wrap this up!
Le GDPR s'accompagne de nombreux changements. La demande de consentement est une obligation, tout comme le stockage et la sauvegarde des données reçues. L'utilisateur a le pouvoir et peu importe les efforts que vous ferez, vous ne pourrez pas le récupérer. Il s'agit de se conformer à la nouvelle donne.
Déterrez de nouvelles stratégies marketing, commencez à investir dans des outils pour améliorer vos systèmes déjà existants, et organisez les données dont vous disposez déjà pour optimiser et rationaliser davantage vos traitements futurs. Des moments de grand stress vous attendent, mais avec un plan solide, un esprit organisé, cette liste de contrôle et une équipe d'informaticiens assidus, la conformité au GDPR est pratiquement acquise.
Clause de non-responsabilité : Veuillez garder à l'esprit que cet article ne doit pas être considéré comme un conseil juridique pour se conformer au GDPR. Le seul objectif de cet article est de faciliter une meilleure compréhension de la loi européenne approuvée sur la confidentialité des données.
Si vous avez besoin d'un conseil juridique en la matière, nous vous invitons à solliciter l'assistance d'un avocat, qui pourra appliquer le GDPR aux besoins spécifiques de votre entreprise.
Meir Amzallag
Co-founder and CEO of PayPro Global
Ioana Grigorescu
Content Marketing Manager at PayPro Global
