Savez-vous comment la conformité au GDPR affecte votre entreprise ? Même si votre entreprise n’est pas basée en Europe, le GDPR peut vous concerner – et ne pas le maîtriser pourrait coûter très cher à votre organisation.
La non-conformité a conduit certaines entreprises à recevoir des amendes massives de la part des organismes de réglementation.
Par exemple, en octobre dernier, l’Information Commissioner’s Office (ICO) a infligé de lourdes amendes…
- British Airways a été condamnée à une amende de 20 millions de livres pour ne pas avoir protégé les données personnelles et financières de plus de 400 000 clients.
- La chaîne hôtelière Marriott International a été condamnée à une amende de 18,4 millions de livres sterling pour ne pas avoir protégé les informations personnelles de millions de clients (à la suite d’une cyberattaque qui a mis plus de quatre ans à être détectée).
D’autres amendes ont été infligées pour mauvaise gestion des cookies, envoi de messages marketing non sollicités (spamming), refus d’honorer les demandes de désabonnement, défaut de divulgation du partage de données avec des tiers ou, de manière générale, compromission des données des clients.
Lisez la suite pour en savoir plus sur la conformité au GDPR Veuillez garder à l’esprit que rien de ce que vous lisez ici ne peut remplacer un conseil juridique.
Nous vous recommandons de consulter un avocat pour comprendre comment le GDPR s’applique à votre situation spécifique.
Qu’est-ce que la conformité au GDPR ?
Le GDPR (le Règlement général sur la protection des données), est le règlement officiel de l’Union européenne en matière de protection des données et de la vie privée ; il a été adopté le 25 mai 2018.
Toute entreprise qui fait des affaires dans l’Union européenne (UE) doit protéger la vie privée et les données personnelles des citoyens de l’UE selon les termes du GDPR.
Ce dernier s’applique à toutes les transactions ou communications commerciales qui ont lieu dans n’importe quel État membre de l’UE.
Le GDPR ne se contente pas de réglementer les transactions au sein de l’UE, il régit également l’exportation de données à caractère personnel et leur traitement en dehors de l’UE.
En tant que tel, le GDPR concerne les petites entreprises, les agences, les sociétés, les spécialistes du marketing et toute personne qui traite avec l’UE sur une base numérique ou commerciale.
Qu’est-ce que les données personnelles ?
En ce qui concerne la conformité au GDPR, les données personnelles sont tout élément d’information susceptible d’identifier une personne vivante, directement ou indirectement.
Les données personnelles peuvent être collectées auprès d’un abonné, d’un client ou de toute personne ayant visité le site web d’une entreprise ou un canal de médias sociaux.
Les données personnelles peuvent inclure :
- Nom
- Adresse électronique
- Adresse IP
- Adresse physique et données de localisation
- Informations sur la santé et les soins médicaux, génétique, biométrie
- Religion, race/nationalité, orientation sexuelle, convictions politiques
- Revenu
Votre entreprise est-elle conforme au GDPR ?
Quelques définitions rapides avant d’expliquer les 7 principaux principes du GDPR…
- Traitement : la collecte, l’organisation, l’enregistrement, la conservation ou l’exécution de toute opération sur des données.
- Responsables du traitement : ceux qui décident des moyens de traitement des données à caractère personnel et de leur finalité.
Les entreprises sont les responsables du traitement des données à caractère personnel, tandis que les sous-traitants collectent et traitent ces données pour le compte du responsable du traitement.
Les sous-traitants sont souvent, mais pas toujours, des tiers.
C’est pourquoi il est important de veiller à ce que vos applications logicielles tierces soient également conformes au GDPR.
Les sept grands principes du GDPR – simplifiés
- Légalité, équité et transparence
Tout d’abord, la collecte des données doit être légale (c’est-à-dire qu’elle doit respecter les exigences fixées par le GDPR).
Vous devez expliquer clairement à vos clients à quelles fins leurs données seront utilisées(transparence) et ne les utiliser qu’à cette fin(loyauté).
Si vous devez fournir leurs données à des tiers, vous devez être franc à ce sujet. - Limitation de l’objet
La collecte des données doit se faire pour des “finalités déterminées, explicites et légitimes”.
Cela signifie que vous devez être très précis sur les raisons pour lesquelles vous collectez ces données et les communiquer à vos clients. - Minimisation des donnéesNe collectez que les données dont vous avez besoin – vous devrez justifier la quantité de données que vous collectez, ce qui vous aidera à disposer d’un document détaillé sur la politique de collecte des données.
- Précision
Lorsque les données deviennent anciennes ou obsolètes, effacez-les.
Essayez de mettre à jour les données autant que possible – ne stockez pas d’informations anciennes et obsolètes sur les clients. - Limites de stockage
De même que pour la minimisation et l’exactitude des données, les données à caractère personnel doivent être supprimées une fois que leur finalité a été atteinte.
Choisissez la durée de conservation de vos données et n’oubliez pas de l’indiquer dans votre document sur la politique de collecte des données. - Intégrité et confidentialité
Votre entreprise est censée protéger les données que vous collectez et traitez en adoptant des mesures techniques et organisationnelles appropriées.
Cela comprend la protection contre le traitement illégal (par exemple, les pirates informatiques) ou la perte/l’endommagement accidentel(le). - ResponsabilitéSi vous collectez les données, vous êtes responsable de celles-ci et de leur sécurité.
Base légale du traitement des données
La loi de conformité au GDPR stipule la base juridique du traitement des données personnelles.
Le consentement doit être donné expressément par la personne (par exemple, en s’inscrivant à une liste de contacts ou de SMS).
Le traitement des données doit être nécessaire à l’exécution d’un contrat, à la fourniture d’un service, au respect de la loi, à l’intérêt public ou à la sécurité personnelle, ou à l’exécution de certaines tâches officielles.
Les droits de l’individu
Selon le GDPR, les individus ont le droit d’être informés que leurs données sont collectées et dans quel but.
Elles ont également le droit de savoir avec qui elles seront partagées et combien de temps elles seront conservées.
Les personnes peuvent également accéder gratuitement à leurs données et les faire rectifier si elles sont obsolètes ou inexactes.
Les personnes peuvent également demander que leurs données soient effacées s’il n’y a plus de raison légitime de les conserver.
Ils peuvent également obtenir et utiliser leurs propres données à caractère personnel dans d’autres services ; à ce titre, elles doivent être transférables via un fichier CSV ou similaire.
Demander un avis juridique
Il existe de nombreuses complexités liées au GDPR, à la conformité, au consentement et à d’autres facteurs.
Si une entreprise, même en dehors de l’UE, se trouve en infraction ou en violation du GDPR, l’UE a potentiellement le pouvoir d’intenter une action en justice contre elle.
Cette procédure est assortie, au minimum, d’amendes importantes. Remarque : les informations contenues dans ce billet de blog sont de nature générale. Vous devez demander l’avis d’un juriste d’entreprise professionnel pour répondre aux questions spécifiques relatives à votre entreprise, votre organisation ou vos politiques dans la mesure où le GDPR s’applique à elles.
Que pouvez-vous faire ?
- Informez-vous sur le GDPR et sur vos lois locales.
- Mettez à jour votre politique de confidentialité en y intégrant les données que vous recueillez, les raisons pour lesquelles vous les recueillez, l’usage que vous en faites et les personnes avec lesquelles vous les partagez.
- Passez en revue vos processus de collecte de données.
- Ne collectez et ne conservez que les données personnelles obtenues légalement.
- Supprimez les données personnelles dont vous n’avez plus besoin.
- Vérifier les données personnelles que vous détenez.
- N’utilisez jamais que des données collectées par opt-in (pas de listes d’adresses électroniques !)
- Faites en sorte que les options de refus soient claires et simples à mettre en œuvre.
- Assurer la protection des données personnelles.
- Nous travaillons en partenariat avec des fournisseurs tiers légitimes qui respectent le GDPR.
Partenaire de ClickSend
ClickSend est une passerelle SMS de premier plan basée en Australie. passerelle SMS et de plateforme d’envoi d’e-mails en masse.
Nous fournissons une gamme de services associés et de solutions numériques.
Nous travaillons avec une clientèle mondiale et nous nous engageons à fournir des services supérieurs et inégalés en conformité avec la législation GDPR. Inscrivez-vous à ClickSend dès aujourd’hui.