Nouvelles règles pour travailler avec les données personnelles des Européens

Les sites travaillant avec des clients de pays de l’UE peuvent récemment se voir imposer des amendes pouvant aller jusqu’à 20 millions d’euros s’ils ne commencent pas à se conformer à la nouvelle réglementation en matière de données à caractère personnel du GDPR. Il n'y a pas encore de victimes, mais ce n'est pas une raison pour enfreindre la loi. Mieux vaut prévenir :-)

Le règlement général sur la protection des données (RPGD) est un règlement extraterritorial qui protège la sécurité des données de tous les citoyens de l'UE. Si vous collectez, stockez ou traitez des données personnelles (y compris des cookies) d'au moins un client européen, vous devez vous conformer à la réglementation, quel que soit le lieu où le site et la société sont enregistrés.

Si vous avez un site qui fonctionne exclusivement en Russie, vous ne pouvez pas vous soucier du respect des exigences du GDPR. Néanmoins, nous ne devons pas oublier que 152-FZ «On personal data» est en vigueur en Russie (la version mise à jour est entrée en vigueur le 1 er juillet 2017), ce qui reprend quelque peu les exigences du RGPD et limite également le travail des informations personnelles des clients.

Qui a besoin d'une politique de confidentialité sur le site et comment la développer?

Quelles sont les données personnelles

Une liste spécifique d'informations considérées comme des données personnelles n'est fournie nulle part. Les données personnelles sont des informations sur une personne, qui peuvent être utilisées pour identifier sa personne directement ou indirectement.

Principes de base de la réglementation et droits des personnes concernées par les données à caractère personnel

En bref, toutes les règles peuvent être formulées comme ouverture et respect des informations personnelles de vos clients. Voici cinq principes de base:

  • Principe de légalité, de justice et de transparence: Déclarez ouvertement toutes les méthodes de collecte et de traitement des données personnelles dans votre politique de confidentialité.
  • Le principe de limiter l'objectif: indiquez clairement pourquoi vous collectez ces données.
  • Le principe des restrictions de stockage: spécifier la période de conservation - il n'est pas possible de stocker des données personnelles plus longtemps que nécessaire pour atteindre les objectifs indiqués.
  • Le principe de minimisation des données: autorisés à ne collecter que le minimum nécessaire à vos fins.
  • Principe d'intégrité, de confidentialité et de précision données collectées. Les données doivent être correctes et confidentielles.

Ainsi, chaque résident des pays de l’UE a un certain nombre de droits que vous devez respecter:

  • savoir quelles données personnelles sont collectées (à quelles fins et pour combien de temps elles seront stockées);
  • les demander à la société;
  • exiger la suppression de toutes les données (le soi-disant droit à l'oubli).

Ce que le propriétaire du site doit faire

  1. Vérifiez que le système CRM que vous utilisez fournit les droits de base de vos clients, c'est-à-dire qu'il vous permet de:
    • fournir des informations sur les données personnelles collectées,
    • le modifier et le compléter;
    • supprimer les données sur demande.

Il est intéressant de noter qu’il existe un «droit à la portabilité des données» (droit à la portabilité des données). Cela signifie que, à la demande du sujet de données à caractère personnel, vous devez transférer toutes ses données à une tierce organisation, ce qui simplifie le transfert d'un client d'une société à une autre. Soyez prêt pour cela.

  1. Avertir de la collecte d'informations. Il suffit de placer une plaque avec du texte au bas de la page dans l’esprit "Nous recueillons des cookies pour personnaliser le contenu du site. En continuant d’utiliser le site, vous en acceptez les principes".

Ici, par exemple, comment Meduza met en garde contre l’utilisation de cookies. Le lien mène à l'article.

  1. Demander une confirmation pour envoyer des mailings. Dans le marketing par courrier électronique, cela s’appelle double opt-in. En envoyant une lettre avec le texte "cliquez sur le bouton pour confirmer votre consentement à la newsletter", vous recevez explicitement le consentement de l'utilisateur et prouvez que vous avez bien reçu cet e-mail (et que vous n'avez pas acheté, par exemple, une base de données de spam).

Voici la lettre standard à double acceptation de Mailchimp:

  1. Demander aux utilisateurs leur consentement à la collecte de données personnelles. Le GDPR exige que les utilisateurs donnent leur consentement au traitement des données personnelles sous une forme explicite (comme dans l'exemple ci-dessus). Pour ce faire, cochez la case à côté du formulaire de collecte de données, en cliquant sur lequel l'utilisateur accepte le traitement de ses données personnelles. Veuillez noter que cette case à cocher ne peut pas être activée par défaut - l'utilisateur doit le faire lui-même.
  1. Signaler une perte de données. Les données personnelles de vos clients doivent être soigneusement surveillées et stockées dans un endroit sûr. Si les données parviennent à des tiers auxquelles elles ne sont pas destinées (piratage, fuite par négligence ou perte de quelque manière que ce soit), vous devez en informer les utilisateurs dans un délai de cinq jours. Bien sûr, il ne s’agira pas d’un événement aussi important puisque la sensationnelle Facebook de Facebook a été divulguée en mars, mais il n’ya toujours pas d’agréable.

Que se passera-t-il en cas de non-conformité?

Comme pour toute violation, la gravité, le nombre de victimes et les causes seront pris en compte. Le montant maximal des amendes pour violation du règlement peut atteindre 20 millions d’euros, soit 4% du chiffre d’affaires annuel de la société. Cependant, ne tombez pas immédiatement dans la panique - c'est le niveau maximum qui ne sera pas appliqué pour la première violation. Pour la première fois, vous serez probablement averti et invité à tout mettre en conformité avec la réglementation. Vous pouvez également obtenir une interdiction ou une restriction sur le traitement des données personnelles et, en dernier recours, une amende (pas nécessairement plusieurs millions de dollars).

En outre, le non-respect des lois peut nuire à votre réputation et à votre confiance dans l’entreprise. Personne ne souhaite s'inscrire à votre newsletter, puis recevoir un contenu incompréhensible d'organisations tierces.

Pour protéger les droits des utilisateurs dans chaque pays de l'UE, des autorités spéciales des autorités de protection des données (DPA) ont été créées et les pays tiers doivent désigner un représentant en Europe qui dialoguera avec DPA. Les détails des travaux avec des pays qui n'ont pas désigné de représentant ne sont pas divulgués. On ne sait pas non plus exactement comment les entreprises situées en dehors de l'UE seront tenues pour responsables de violations. Mais il est important de comprendre que, malgré cette ambiguïté, les règles ne doivent pas être ignorées.

Il n'y a pas de précédent pour cette loi. Cependant, il est préférable de respecter toutes les prescriptions et d’avoir confiance en soi.

Laissez Vos Commentaires