Maintenant que la technologie est profondément imbriquée dans la vie des gens, les gouvernements veulent réglementer la façon dont les entreprises en ligne utilisent et traitent les données qu’elles obtiennent des utilisateurs.
En particulier, les gouvernements des États-Unis et d’Europe s’efforcent de protéger les données personnelles que les entreprises et les organisations demandent aux particuliers.
Si vous souhaitez créer une entreprise ou en posséder une, vous devez vous assurer que votre plateforme en ligne est conforme au règlement général sur la protection des données (GDPR). Le règlement général sur la protection des données est strict et exige que vous obteniez le consentement pour collecter toute information des résidents de l’UE qui visitent votre boutique en ligne, votre portail d’information ou votre petit blog personnel.
Qu’est-ce que le règlement général sur la protection des données ?
Le règlement général sur la protection des données de l’UE a remplacé la directive 95/46/CE sur la protection des données le 25 mai 2018. Le nouveau règlement harmonise les lois sur la protection de la vie privée dans l’Union européenne et vise à protéger les informations personnelles des résidents de l’UE. Le règlement remodèle la façon dont les organisations abordent la protection des données et les guide pour construire des logiciels conformes à la directive GDPR. GDPR s’appuie sur les précédentes lois de l’Union européenne sur les données.
La définition des données personnelles était déjà assez large dans l’UE et l’est devenue encore plus dans le cadre de GDPR. Toute information relative à une personne physique identifiée ou identifiable est considérée comme une information personnelle. Les données qui sont contrôlées en vertu de la GDPR comprennent non seulement les noms et les numéros d’identification, mais aussi les courriels, les données de localisation, les identificateurs en ligne, les photos, les vidéos, les adresses physiques, les adresses IP, les adresses MAC et les cookies.
Que signifie réellement la GDPR pour vous et votre activité en ligne ?
Vous devez faire attention aux informations que vous recueillez auprès de vos utilisateurs et être clair sur les raisons pour lesquelles vous en avez besoin en premier lieu.
Listes de contrôle pour la conformité à la GDPR :
- de quelles informations ai-je vraiment besoin ?
- pourquoi je les conserve ?
- pourquoi est-ce que j’archive ces informations au lieu de les effacer simplement ?
- qu’est-ce que j’essaie d’obtenir en collectant toutes ces informations personnelles ?
Droits des personnes
- En vertu du règlement général sur la protection des données, les personnes ont un ensemble de droits que vous devez garder à l’esprit.
- Le droit au consentement. Vous devez informer les personnes avant de recueillir des informations à leur sujet. Les consommateurs doivent confirmer que vous pouvez collecter leurs données. Le consentement doit être donné librement et doit être à la fois facile à donner et facile à retirer.
- Le droit d’accès. Les utilisateurs peuvent demander l’accès à leurs informations personnelles et vous demander comment leurs données sont utilisées. Vous devez fournir gratuitement aux utilisateurs une copie de leurs informations personnelles sur demande.
- Le droit à la portabilité des données. Les personnes peuvent transférer leurs données d’un fournisseur de services à un autre. Cela doit se faire dans un format lisible par une machine.
- Le droit à l’effacement. Si les consommateurs ne sont plus vos clients ou s’ils choisissent de retirer leur consentement à l’utilisation de leurs informations personnelles, vous devez effacer leurs données.
- Le droit de corriger les informations. Si les données personnelles sont obsolètes, incomplètes ou incorrectes, les personnes peuvent vous demander de les mettre à jour.
- Le droit de limiter le traitement. Les personnes ont le droit de vous demander de ne pas traiter leurs données. Dans ce cas, leurs dossiers peuvent rester en place, mais vous ne pouvez pas les utiliser.
- Le droit d’opposition. Les particuliers peuvent arrêter le traitement de leurs données à des fins de marketing direct. Vous devez arrêter tout traitement de données dès qu’un utilisateur en fait la demande. Vous devez informer les utilisateurs de ce droit dès le début de la communication.
- Le droit d’être informé des violations. Si une violation de données met en péril les données personnelles d’une personne, vous devez l’en informer dans les 72 heures.
Amendes et sanctions en cas de non-respect
Si vous ne remplissez pas les conditions énoncées dans le règlement, les autorités peuvent mettre fin à toutes vos activités de traitement de données à caractère personnel et vous infliger de lourdes amendes.
Les amendes administratives sont discrétionnaires. Elles doivent être imposées au cas par cas et doivent être « effectives, proportionnées et dissuasives ».
Il existe deux niveaux d’amendes administratives, qui peuvent aller de 10 à 20 millions d’euros ou de 2 à 4 % du chiffre d’affaires annuel global d’une entreprise. Les amendes dépendent des articles spécifiques du règlement qu’une organisation a enfreint. Les infractions se rapportant aux obligations d’une organisation, y compris les violations de la sécurité des données, entraîneront des amendes moins élevées, tandis que les violations du droit à la vie privée d’un individu entraîneront des amendes plus élevées.
Les individus ont également le droit de recevoir une compensation pour tout dommage matériel ou non matériel. Dans certains cas, les organismes à but non lucratif peuvent intenter une action représentative au nom des particuliers. Cela ouvre la porte à des plaintes de masse dans les cas d’infractions à grande échelle.
Mesures de sécurité
- Des mesures de sécurité spécifiques doivent être prises lors du traitement des données. Le règlement oblige les entreprises et les organisations à utiliser les mesures suivantes :
- des pare-feux ;
- le cryptage des fichiers et des communications numériques ;
- la pseudonymisation pour rendre les données irréductibles ;
- sauvegarde et test des données ;
- la sécurité d’accès ;
- la protection de la vie privée dès la conception.
Votre entreprise doit-elle nommer un responsable de la protection des données ?
Vous devez nommer un délégué à la protection des données (DPD) si vous êtes une autorité publique, une organisation qui exerce une surveillance systématique à grande échelle ou une organisation qui traite à grande échelle des informations personnelles sensibles. Si votre organisation n’entre pas dans l’une de ces catégories, vous n’avez pas besoin de nommer un DPD. Le DPD peut être un membre du personnel de votre organisation ou peut être engagé sous contrat externe. Un DPD peut être un individu ou une organisation.
Impact sur l’engagement des utilisateurs
Les principes que la GDPR tente de promouvoir auprès des entreprises et des organisations concernent la confiance et la transparence. Si vous vous engagez à construire des logiciels conformes à la GDPR et à adapter votre entreprise à ce changement de la protection de la vie privée, vous obtiendrez à long terme un avantage concurrentiel par rapport à ceux qui ne le font pas. L’adoption de la conformité modifiera la manière dont les utilisateurs interagissent avec votre entreprise. Ils sauront que leurs informations personnelles sont en sécurité et qu’ils en ont le contrôle. Votre programme de conformité complet indiquera que vous accordez une grande importance à la manière dont vous traitez les données et vous aidera à développer une base d’utilisateurs fidèles.
Réussir le programme GDPR
Le GDPR a été conçu pour protéger les informations personnelles des résidents de l’UE, quelles que soient la manière dont elles sont traitées et le lieu où elles le sont. Les entreprises doivent être prudentes et développer des applications mobiles conformes au GDPR. Si votre entreprise ne parvient pas à développer un produit conforme au GDPR, elle se verra inévitablement infliger de lourdes amendes. Le règlement donne aux particuliers, aux prospects, aux clients, aux entrepreneurs et aux employés qui résident dans l’UE le contrôle de leurs données et est censé vous guider dans la création de logiciels.