Cette page se veut un aperçu utile du RGPD, des principaux changements introduits, et des étapes nécessaires pour s’y conformer. Il ne s’agit nullement d’un examen complet ou détaillé de ce que les entreprises sont tenues de faire. Pour plus d’informations sur la façon dont RichRelevance, en tant qu’entreprise de traitement de données, peut aider ses clients à se conformer au RGPD, veuillez contacter votre responsable de compte.

Qu’est-ce que le RGPD et pourquoi est-il important ?
Le Règlement Général sur la Protection des Données de l’UE est un ensemble de lois européennes sur la protection des données visant à harmoniser les pratiques en matière de protection des données à travers l’Europe (qui ont été adoptées de manière incohérente auparavant). Bien que la réglementation s’applique directement aux entreprises situées dans l’UE, son mandat s’étend à toutes celles qui font des affaires dans l’UE ou qui ont des clients ayant la citoyenneté de l’UE, et pourrait donc avoir un impact sur toute entreprise ayant une présence en ligne. L’accent est mis sur la protection des citoyens et de leurs données avec l’objectif de donner aux utilisateurs plus d’informations et de contrôle sur l’utilisation de leurs données. Le nouveau règlement est entré en vigueur le 25 mai 2018.

Pourquoi est-ce nécessaire ?
L’utilisation généralisée d’Internet, l’avancée technologique dans le domaine du stockage dans le cloud et l’avènement des réseaux sociaux ont changé la façon dont les données sont traitées et transférées. Cela signifie que les règles précédentes devaient non seulement être mises à jour, mais aussi être uniformes dans toute l’Europe et appliquées de manière plus rigoureuse.

Qui cela affecte-t-il ?
Toute personne ou entité qui collecte, stocke ou traite des données à caractère personnel situées dans l’UE, ou qui fait des affaires avec un citoyen de l’UE doit se conformer au RGPD. Deux entités distinctes doivent se conformer au RGPD :

  • Celle qui contrôle les données : l’entité qui détermine les finalités, les conditions et les moyens du traitement des données à caractère personnel.
  • Celle qui traite les données : l’entité qui traite les données pour le compte du responsable du traitement des données

Qu’entend-on par données personnelles ?
Les données personnelles sont définies comme tout ce qui peut être utilisé pour identifier directement ou indirectement la personne – par exemple les noms, photos, adresses e-mail, coordonnées bancaires, messages sur les réseaux sociaux, informations médicales ou adresses IP.

Principaux changements apportés par le RGPD

Propriétaire désigné (Data Protection Officier)
Un directeur au sein des entités de contrôle ou de traitement des données doit être nommé responsable de la protection des données. Cette personne doit être suffisamment compétente pour s’occuper des aspects techniques. Il faut aussi se demander où devrait se situer l’obligation de rendre des comptes, que ce soit au niveau informatique, juridique, marketing ou autre.

Option d’opt-in explicite
Lors de la collecte de données à caractère personnel, les responsables du traitement doivent s’assurer que chaque personne y consent explicitement au travers d’une affirmation (et NON d’une exclusion) et qu’un document indiquant comment, quand et où le consentement obtenu est conservé.

Droit à l’oubli
En vertu du nouveau règlement, un utilisateur a le droit d’être oublié. Il peut demander que toutes les données le concernant soient définitivement effacées ou rendues anonymes si la suppression n’est pas possible.

Langage clair et simple
Il incombe aux entreprises d’utiliser un langage clair et simple pour expliquer quelles données sont conservées, pendant combien de temps et comment l’utilisateur est en mesure de retirer son consentement.

Demandes d’accès
Avec la prise de conscience des droits en matière de confidentialité des données des individus, les entreprises devront probablement répondre sans délai à un nombre croissant de questions concernant ces données.

Transparence
Les responsables du contrôle des données doivent être en mesure de dire à une personne, quelles données qui la concerne sont conservées, à quoi elles servent (pourquoi), comment elles ont été obtenues et pour combien de temps. Le RGPD exige que les entreprises informent les visiteurs de leur site Web (entre autres choses) de l’utilisation des technologies de suivi.

Vos responsabilités

  • Nommer un responsable de la protection des données.
  • S’assurer que tous les fournisseurs de services utilisés pour traiter les données respectent les normes du RGPD.
  • S’assurer que les clients, prospects ou les utilisateurs du site Web ont explicitement consenti à ce que leurs données soient stockées. Des documents doivent prouver que les utilisateurs ont accepté que leurs données soient stockées et ne pas être d’accord n’est pas suffisant.
  • Avoir la capacité d’effacer définitivement (ou d’anonymiser) sur demande les données d’un utilisateur.
  • Vérifier la terminologie de la documentation sur la confidentialité des données pour s’assurer qu’elle utilise un langage compréhensible.
  • Mettre à jour les avis aux visiteurs du site Web afin d’inclure des renseignements sur l’utilisation des technologies de suivi, le recours à des fournisseurs de services tiers avec lesquels leurs données peuvent être partagées, la façon de s’exclure d’un tel traitement de données et les conséquences de ce choix.

RichRelevance, Conforme au RGPD dès la conception

Le RGPD encourage les entreprises à utiliser la technologie de l’anonymisation dans la mesure du possible pour éviter le traitement des données personnelles. En fournissant ses services, RichRelevance utilise un identifiant anonyme qui ne stocke pas les informations personnelles identifiables (IPI) des acheteurs. Cet identifiant n’est pas lié aux données personnelles d’une personne et n’est donc pas considéré comme une donnée personnelle selon la définition fournie dans le RGPD de RichRelevance.

Dans le cours normal de ses activités, RichRelevance n’est pas en mesure de relier ces identifiants aux données personnelles détenues par son client au sujet d’un acheteur. Ainsi, lorsque ses clients transmettent au service de personnalisation RichRelevance l’identifiant anonyme d’un visiteur de site Web, ils le font d’une manière qui empêche RichRelevance d’avoir la possibilité de savoir qui est l’utilisateur.

En tant qu’entreprise traitant des données, RichRelevance est tenue de traiter les données en stricte conformité avec les instructions fournies par le responsable du traitement des données, son client. Son utilisation des données est strictement limitée et son rôle est d’agir uniquement selon les directives du client et de l’aider à s’acquitter de ses responsabilités en vertu du RGPD, y compris la production de données sur simple demande. RichRelevance s’engage à aider ses clients à traiter les demandes d’accès et s’efforcera de localiser dans les meilleurs délais, et dans la mesure du possible, toutes les données nécessaires au respect des droits des personnes concernées.

Le RGPD exige que toutes informations personnelles soient traitées avec la sécurité appropriée. Comme indiqué ci-dessus, bien que RichRelevance ne traite pas ou ne conserve généralement pas les données personnelles de ses clients, la société dispose toujours d’un datacenter de pointe doté de contrôles d’accès et de surveillance rigoureux, notamment pour la protection contre tout traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels.