Règlement général sur la protection des données (RGPD) : tout ce que vous devez savoir
Publié: 2018-04-02L'objectif principal du nouveau règlement général sur la protection des données (RGPD) est de renforcer et de combiner le traitement des données personnelles de divers pays membres et de les adapter sous un seul règlement de l'Union européenne (UE).
Actuellement, les 28 pays membres de l'UE ont chacun leurs propres réglementations en matière de protection des données et appliquent ces lois à leur commerce international, ce qui rend l'exercice des droits de protection des données personnelles assez difficile.
Le nouveau RGPD s'accompagne d'un large éventail de règles qui ont un impact sur toutes les entreprises, quels que soient leur taille ou leur secteur, et devront très souvent être prêtes à se concentrer sur différents domaines de leur activité.
Le nouveau règlement concernant la protection des personnes physiques à l'égard du traitement et de la libre circulation des données à caractère personnel entre en vigueur le 25 mai 2018, deux ans après l'adoption du règlement 2016/679 par le Parlement européen et le Conseil. Dans cet article, nous souhaitons vous aider à comprendre ce que vous pouvez et ne pouvez pas faire pour répondre aux exigences de cette nouvelle réglementation et vous rassurer que Benchmark, votre outil de marketing par e-mail, répond également aux exigences de cette nouvelle réglementation.
Le nouveau RGPD n'élimine pas les législations propres à chacun des pays membres sur la protection des données actuellement en place. Au lieu de cela, il aide à synchroniser tous les pays membres de l'UE. Certaines décisions seront toujours prises au niveau national pour chacun des pays membres, mais sachez que les parties responsables doivent désormais faire référence au RGPD comme norme et non aux réglementations de protection des données de leur propre pays .
Si vous répondez actuellement aux exigences de protection des données de votre pays, vous disposez déjà de bonnes bases. Cependant, vous devrez encore réviser et modifier certains aspects pour vous conformer à la nouvelle réglementation.
Il y a trois points principaux que vous devez garder à l'esprit avec votre stratégie de marketing par e-mail, ce sont : le consentement, l'accès et la collecte de données.
Consentement
Selon l'article 4 (11), le « consentement » de la personne concernée Comme indiqué dans la définition, le consentement de l'utilisateur doit être sans équivoque et également explicite. Ces deux mots éliminent tout doute ou ambiguïté.
(32) Le consentement devrait être donné par un acte affirmatif clair établissant une indication librement donnée, spécifique, éclairée et sans ambiguïté de l'accord de la personne concernée au traitement des données à caractère personnel la concernant, par exemple par une déclaration écrite, y compris par voie électronique moyens, ou une déclaration orale. Cela pourrait inclure le fait de cocher une case lors de la visite d'un site Internet, de choisir des paramètres techniques pour les services de la société de l'information ou une autre déclaration ou comportement qui indique clairement dans ce contexte l'acceptation par la personne concernée du traitement proposé de ses données personnelles. Le silence, les cases pré-cochées ou l'inactivité ne doivent donc pas constituer un consentement. Le consentement devrait couvrir toutes les activités de traitement effectuées aux mêmes fins. Lorsque le traitement a des finalités multiples, le consentement doit être donné pour chacune d'entre elles. Si le consentement de la personne concernée doit être donné à la suite d'une demande par voie électronique, la demande doit être claire, concise et ne pas perturber inutilement l'utilisation du service pour lequel elle est fournie.
Exemple:
J'ai récemment participé à un salon professionnel et tout au long de la journée j'ai amassé pas mal de cartes de visite, que j'utiliserai pour créer une base de données que je téléchargerai ensuite sur mon compte Benchmark dans le but d'envoyer des newsletters.
Avec le nouveau Règlement, est-ce légal ?
Non. La mise en réseau réalisée entre vous et les personnes présentes sur le salon ne vous donne pas le droit d'utiliser leurs données personnelles, même avec confirmation verbale de la personne. Le RGPD exige désormais que la preuve de cet accord entre les deux parties existe.
Le RGPD stipule qu'il doit y avoir un consentement sans équivoque et explicite de la personne qui peut être étayé par des preuves en cas d'audit. Il doit y avoir des preuves que l'individu donne son consentement pour que ses données personnelles soient utilisées.
RECOMMANDATION:
- Passez en revue vos méthodes de collecte de données et éliminez toute ambiguïté qui pourrait exister.
- Analysez votre base de données et uniquement les données pour lesquelles vous pouvez apporter la preuve que le consentement vous a été donné par l'individu.
Accès
Le responsable du traitement des données personnelles doit fournir à chaque utilisateur un accès simple et direct pour modifier ses propres données personnelles. La partie responsable doit également fournir un point de vente dans lequel la personne peut confirmer qu'elle donne son consentement par des moyens électroniques, que ce soit via son propre site Web, des formulaires d'inscription ou une confirmation par courrier électronique.
Le responsable disposera d'un délai d'un mois pour apporter une réponse au client, avec possibilité d'extension à deux mois dans le cas d'une demande complexe, au cours de laquelle les démarches nécessaires à la réalisation de la demande individuelle sont en cours.
Dans le cas de notre outil de marketing par e-mail, l'option Gérer les abonnements permet à l'individu d'accéder à ses données personnelles et de modifier les données si nécessaire ou d'annuler purement et simplement l'abonnement.
A l'intérieur de ce point, il existe un nouveau droit, qui est le DROIT D'EFFACEMENT (article 17), l'utilisateur peut exercer son « droit à l'oubli » et faire supprimer définitivement ses données personnelles de la base de données. Nous avons sélectionné deux des six raisons qui sont incluses dans le sous-point 1, qui offrent à l'individu la possibilité d'exercer son droit :
a) les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou autrement traitées ;
d) les données personnelles ont été traitées illégalement ;
Compilation:
Le RGPD prône la simplicité dans la collecte des données personnelles. En tant que spécialistes du marketing, nous avons tendance à demander plus de détails que nécessaire lorsque tout ce que nous faisons est d'envoyer une newsletter hebdomadaire. Pour cette raison, ces nouvelles réglementations encouragent à ce que seul un minimum de données personnelles soit collecté et compilé pour notre stratégie actuelle et non la collecte de données supplémentaires qui, selon vous, pourraient être utiles à l'avenir.
Si votre objectif est d'informer votre base de données des promotions à venir, la compilation du nom et de l'adresse e-mail d'une personne est plus que suffisante pour atteindre votre objectif.
Brexit
Le Royaume-Uni partira officiellement et ne fera plus partie de l'UE en 2019. Avec cette sortie, la réglementation ne leur sera plus applicable. Nous ne savons pas actuellement comment le Royaume-Uni, ou les entreprises du Royaume-Uni, géreront la protection des données, mais nous pensons qu'ils adopteront des réglementations similaires qui seront comparables à celles de l'UE.
Que se passe-t-il si je ne réponds pas aux nouvelles exigences du RGPD ?
Le règlement général sur la protection des données établit un ensemble d'outils afin de se conformer à la nouvelle réglementation, notamment des sanctions et des amendes. Un certain nombre de facteurs seront pris en considération et soigneusement évalués lorsqu'une amende est infligée en raison du non-respect du nouveau RGPD, tels que :
- la gravité/la durée de la violation ;
- le nombre de personnes concernées et le niveau de préjudice subi par elles ;
- le caractère intentionnel de l'infraction ;
- toutes les mesures prises pour atténuer les dommages ;
- le degré de coopération avec l'autorité de surveillance.
Le règlement fixe deux plafonds d'amendes en cas de non-respect des règles. Le premier plafond fixe les amendes jusqu'à un maximum de 10 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial. Cette première catégorie d'amende serait appliquée, par exemple, si un responsable du traitement ne procède pas à des analyses d'impact, comme l'exige le règlement. Le plafond plus élevé des amendes atteint un maximum de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Un exemple serait une violation des droits des personnes concernées en vertu du règlement. Les amendes sont ajustées en fonction des circonstances de chaque cas individuel.
Vous devrez garder à l'esprit les principaux points ci-dessus (Consentement, Accès et Compilation) lorsque viendra le moment de planifier votre stratégie d'email marketing.
Référence
Chez Benchmark, nous travaillons dur pour mettre à jour notre politique de confidentialité afin de nous conformer aux exigences de la réglementation. Dans le cas du RGPD, aucune certification ne nous est donnée indiquant que nous sommes en conformité avec les nouvelles réglementations comme avec le Privacy Shield Framework.
Chez Benchmark, nous voulons vous rassurer que vos données personnelles sont traitées conformément au nouveau RGPD.
Pour la toute première fois, l'UE fait preuve de leadership et d'unité dans la manière dont les données personnelles doivent être traitées et oblige le reste du monde sans exception pour tout pays à suivre ces réglementations s'il souhaite traiter des données personnelles européennes.
N'oubliez pas de partager cet article avec votre public et de laisser vos commentaires. Merci d'avoir lu!