Spécialiste de la conformité aux lois sur la confidentialité en marketing

Lois sur la protection des données dans le monde: vos processus et initiatives marketing sont-ils conformes?

Focus sur une loi vie privée : Qu'est-ce que le RGPD ?

Le RGPD a été adopté par le Parlement européen en avril 2016. Les dispositions renforcent la protection des données conformément aux préoccupations contemporaines concernant les informations personnelles et s’appliquent à la fois aux États membres de l’UE et aux organisations extérieures à l’Union lors du traitement des données des citoyens au sein de celle-ci.

Les réglementations ont été harmonisées pour faciliter la conformité, avec un ensemble de lois s’appliquant dans les 28 États membres.
La clarté s’accompagne de sanctions sévères en cas de violation si vous ne suivez pas les principes de base du traitement des données, tels que le consentement, ignorez les droits des individus sur leurs données ou transférez des données vers un autre pays. En vertu du RGPD, les autorités peuvent infliger des amendes aux organisations jusqu’à concurrence de 20millions d’euros ou de 4% du chiffre d’affaires mondial annuel d’une entreprise, en fonction de la gravité de la violation et des dommages subis.

Pourquoi a-t-il été créé ?

La disposition RGDP vise à remplacer les lois obsolètes sur la protection des données dans chaque État membre de l’UE afin de renforcer la protection des données personnelles à la lumière des évolutions technologiques rapides, de la mondialisation accrue et des flux internationaux de données personnelles plus complexes.
Les principaux objectifs du RGPD sont doubles.

1. Utilisation et stockage des données des citoyens de l’UE

Le RGPD réglemente le «traitement», qui comprend la collecte, le stockage, le transfert ou l’utilisation des données personnelles concernant les personnes de l’UE. Il est important de noter que dans le cadre du RGPD, le concept de «données personnelles» est très large et couvre toute information relative à une personne identifiée ou identifiable (également appelée «personne concernée»).

2. Donner un meilleur contrôle aux citoyens de l’UE sur la manière dont leurs données personnelles sont utilisées

En plus des droits existants, tels que l’accès et la rectification, les individus acquièrent des droits accrus, notamment la possibilité de retirer leur consentement, de transférer des données personnelles à un autre fournisseur et même de demander la suppression de données.

Quelles entreprises sont concernées par le RGPD ?

Toute organisation qui traite des données personnelles d’individus de l’UE, y compris le suivi de leurs activités en ligne, relève du champ d’application de la loi, même si elles n’ont pas de présence commerciale au sein de l’UE. Les critères spécifiques pour les entreprises tenues de se conformer sont :

  • Une présence dans un pays de l’UE.
  • Pas de présence dans l’UE, mais il traite les données personnelles des résidents européens.
  • Plus de 250 employés.
  • Moins de 250 salariés mais son traitement impacte les droits et libertés des personnes concernées, n’est pas occasionnel, ou comporte certains types de données personnelles sensibles.

En d’autres termes, le RGPD s’applique à toutes les entreprises du monde entier travaillant avec des données personnelles relatives aux citoyens de l’Union européenne (UE).

Que faut-il ?

Afin de traiter les données personnelles, les organisations doivent disposer d’une base légale pour traiter les données, par exemple pour remplir un accord avec la personne concernée ou en obtenant le consentement d’une personne concernée.

Dans la mesure où le consentement est la seule base légale, ce consentement doit être librement donné, spécifique, éclairé et sans ambiguïté.
En d’autres termes, les organisations doivent donner aux personnes concernées un véritable choix d’autoriser ou non le traitement de leurs données, et les personnes concernées doivent donner leur accord via une déclaration claire ou une action positive.
Exiger des personnes concernées qu’elles donnent un large consentement au traitement de leurs données personnelles lorsqu’elles s’inscrivent pour utiliser un service peut ne pas constituer un consentement librement donné au-delà du traitement qui est nécessaire pour fournir le service.
De plus, les organisations doivent être en mesure de prouver qu’elles ont obtenu un consentement valide.

Afin de traiter les données personnelles, les organisations doivent disposer d’une base légale pour traiter les données, par exemple pour remplir un accord avec la personne concernée ou en obtenant le consentement d’une personne concernée. Dans la mesure où le consentement est la seule base légale, ce consentement doit être librement donné, spécifique, éclairé et sans ambiguïté. En d’autres termes, les organisations doivent donner aux personnes concernées un véritable choix d’autoriser ou non le traitement de leurs données, et les personnes concernées doivent donner leur accord via une déclaration claire ou une action positive. Exiger des personnes concernées qu’elles donnent un large consentement au traitement de leurs données personnelles lorsqu’elles s’inscrivent pour utiliser un service peut ne pas constituer un consentement librement donné au-delà du traitement qui est nécessaire pour fournir le service. De plus, les organisations doivent être en mesure de prouver qu’elles ont obtenu un consentement valide.

La législation européenne précédente réglementait directement principalement les contrôleurs de données; cependant, le RGPD impose de nombreuses obligations de conformité directes aux sous-traitants. Cela inclut les exigences selon lesquelles les processeurs ne traitent les données personnelles que conformément aux instructions du contrôleur, ne partagent pas de données avec d’autres fournisseurs sans le consentement du contrôleur et mettent en œuvre des mesures de sécurité appropriées (dont nous parlerons plus en détail dans l’unité suivante). En outre, la loi impose plusieurs autres obligations de conformité aux contrôleurs de données et aux processeurs de données pour mettre en œuvre des politiques appropriées, évaluer l’impact sur la vie privée des modifications apportées aux pratiques commerciales et conserver des enregistrements détaillés des activités liées aux données.

Les responsables du traitement doivent signaler toute violation de données à leur autorité de protection des données dès que possible et au plus tard 72 heures après avoir pris connaissance de la violation, sauf si la violation est peu susceptible d’entraîner un préjudice pour les personnes concernées. S’il existe un risque élevé de préjudice, les responsables du traitement doivent signaler les violations de données aux personnes concernées dès que possible. Les processeurs de données doivent également informer les contrôleurs de données des violations de données dès que possible.

Toute organisation qui traite régulièrement des données personnelles sensibles à grande échelle ou qui est impliquée dans un contrôle régulier et systématique des personnes concernées doit nommer un délégué à la protection des données pour s’assurer que l’organisation se conforme à la loi sur la protection de la vie privée.

En vertu de la législation européenne précédente, les autorités de protection des données en Europe avaient une capacité limitée à punir les entreprises qui violaient la loi sur la protection de la vie privée. En vertu du RGPD, les autorités peuvent infliger des amendes aux entreprises jusqu’à concurrence de 20millions d’euros ou de 4% du chiffre d’affaires mondial annuel d’une entreprise, en fonction de la gravité de la violation et des dommages subis.

Les responsables du traitement doivent avoir des accords écrits avec les sous-traitants garantissant que les sous-traitants n’agissent que conformément aux instructions du responsable du traitement, mettent en œuvre des mesures de sécurité appropriées pour protéger les données, assistent le responsable du traitement dans ses obligations de conformité, restituent ou détruisent les données personnelles à la fin de la relation, et se conformer aux dispositions du RGPD applicables aux sous-traitants.

Le RGPD impose certaines restrictions au traitement automatisé des données personnelles pour évaluer une personne concernée, ou « profilage ». Cela comprend la surveillance ou le suivi des personnes concernées pour analyser ou prédire les performances au travail, la situation économique, la santé, le comportement, les préférences ou les attitudes. Les processus automatisés qui peuvent avoir un impact significatif sur un individu, comme le refus d’un emploi ou une demande de crédit, sont considérés comme à haut risque et ne sont autorisés que dans des cas limités.

Noter:Le RGPD conserve les restrictions existantes sur les transferts transfrontaliers de données personnelles vers des pays dont les lois sur la confidentialité sont considérées comme «insuffisantes», à moins que les organisations qui transfèrent et reçoivent les données prennent des mesures supplémentaires pour s’assurer qu’elles sont protégées. En plus d’approuver les mesures existantes telles que les règles d’entreprise contraignantes et les clauses contractuelles types, le RGPD stipule que le respect des codes de conduite des associations ou des programmes de certification de protection des données approuvés par les régulateurs peut également être des mécanismes de transfert acceptables.

Le RGPD accorde aux personnes concernées un large éventail de droits concernant leurs données personnelles. Les personnes concernées peuvent demander que les contrôleurs de données leur donnent accès à toutes les données personnelles que le contrôleur conserve à leur sujet, et elles peuvent demander que les données soient corrigées, supprimées, gelées ou rendues portables (par exemple, téléchargées). De plus, ils peuvent s’opposer à certains traitements et révoquer le consentement préalablement donné. Nous parlerons davantage de ces droits dans l’unité suivante.

Le RGPD fournit un point central d’application pour les organisations ayant des opérations dans plusieurs États membres de l’UE en exigeant de ces organisations qu’elles travaillent avec une autorité de surveillance principale pour les problèmes transfrontaliers de protection des données.

Comment pouvons-nous vous aider?

Se préparer à la conformité et maintenir la conformité au RGPD, à la LGPD, PIPEDA, etc. est loin d’être une « évidence ». C’est pourquoi nous avons mis en place une procédure étape par étape pour assurer la conformité de vos systèmes hébergeant les données de vos clients avec la loi sans préjuger votre entreprise.

Étape 1 : Identifiez les données personnelles dans votre entreprise

La première étape consiste à comprendre quelles données personnelles votre organisation possède et où elle les stocke. Il n’est pas rare que les organisations disposent de dizaines, voire de centaines de bases de données et de systèmes différents qui stockent des données personnelles.

(qu’ils soient détenus et gérés en interne, basés sur le cloud ou détenus et gérés par des tiers, mais pour lesquels l’organisation est responsable des données stockées dans le système) .
Les données personnelles peuvent provenir d’employés, de demandeurs d’emploi, d’affiliés, de partenaires qui remplissent des formulaires sur des sites Web, participent à des concours ou à des programmes de fidélité, effectuent des achats, remplissent des cartes de rabais ou de garantie, assistent à des événements ou contactent les équipes du service client par e-mail, téléphone ou sur les réseaux sociaux.

Étape 2 : Documenter l'utilisation et la finalité des données personnelles

Les bases de données et les systèmes qui stockent des données personnelles peuvent être utilisés par de nombreux services différents au sein d’une entreprise. Les départements marketing, ventes, ressources humaines, finances, informatique, approvisionnement, paie, gestion des risques, santé et sécurité, audit et juridique peuvent chacun exploiter leurs propres systèmes ou travailler avec différents fournisseurs pour gérer les données personnelles.

Une fois qu’une source de données a été identifiée comme contenant des données personnelles, l’étape suivante consiste à documenter l’objectif et l’utilisation de ces données. Nous vous aidons à construire un inventaire de données qui montre, pour chaque système de stockage, quel type de données y sont stockées, d’où elles viennent, à quoi elles sont utilisées, qui y a accès, comment elles sont sécurisées, de quels tiers elles sont transféré et combien de temps le conserver.

Étape 3 : Établir des contrôles et des processus

  • Assurez-vous que les avis de confidentialité sont présents partout où des données personnelles sont collectées
  • Mettre en œuvre des contrôles pour limiter l’utilisation des données par l’organisation aux fins pour lesquelles elle a collecté les données
  • Établir des mécanismes pour gérer les préférences de consentement des personnes concernées
  • Mettre en œuvre des mesures et des processus de sécurité administratifs, physiques et technologiques appropriés pour détecter et répondre aux atteintes à la sécurité
  • Établir des procédures pour répondre aux demandes d’accès, de rectification, d’opposition, de restriction, de portabilité et de suppression des personnes concernées (droit à l’oubli)
  • Passer des contrats avec des sociétés affiliées et des fournisseurs qui collectent ou reçoivent des données personnelles
  • Établir un processus d’évaluation de l’impact sur la vie privée
  • Administrer la formation de sensibilisation à la confidentialité et à la sécurité des employés et des fournisseurs

Étape 4 : Définir de nouveaux processus cibles marketing/ventes

Se mettre en conformité est une nécessité mais pouvoir continuer à disposer de processus marketing et commerciaux pertinents et efficaces est un sérieux défi. En effet, de nombreuses organisations s’inquiètent de la perte d’avantages concurrentiels due au respect des règles de confidentialité des données. C’est pourquoi, si nécessaire, nous fournissons une main forte pour remodeler vos processus afin de les rendre respectueux de la vie privée tout en restant pertinents et efficaces pour votre entreprise.

Étape 5 : Maintien de la conformité

  • Compiler des copies des avis de confidentialité et des formulaires de consentement, l’inventaire des données et le registre des activités de traitement des données, les politiques et procédures écrites, les supports de formation, les accords de transfert de données intra-entreprise et les contrats des fournisseurs
  • Développement de capacités de recherche et de requêtes riches pour répondre aux demandes réglementaires de données personnelles
  • Effectuer des évaluations périodiques des risques

Plus d'études de cas sur la conformité à la confidentialité des données

Nos derniers articles

Certaines des entreprises que nous avons aidés à avoir plus de succès

Vous voulez en savoir plus sur la façon dont nous pouvons vous aider dans la mise en œuvre de votre plate-forme d'automatisation du marketing B2B?

Que pouvons-nous vous aider à trouver?
Je recherche

Que pouvons-nous vous aider à trouver?
Je recherche