Êtes-vous prêt pour les nouvelles réglementations de l'UE sur la protection des données ?

Quelles sont les nouvelles réglementations sur la protection des données ?

L'Union européenne va bientôt promulguer de nouvelles réglementations qui régissent les données que vous pouvez collecter sur vos clients et comment vous pouvez les utiliser. Cette législation est appelée Règlement Général sur la Protection des Données ou RGPD . Bien sûr, comme son nom l'indique, le RGPD est général et couvre donc toute organisation qui collecte des données sur des personnes. Pour nos besoins ici, nous nous concentrerons simplement sur la relation entre votre entreprise et vos clients (potentiels) en ligne.

Le GDPR entrera en vigueur le 25 ^mai 2018 vous laisse un an pour se préparer à s'y conformer. Parallèlement au RGPD, il y aura probablement une nouvelle mise à jour du règlement e-Privacy de l' UE . Ce règlement détaille plus précisément la collecte, le stockage et l'utilisation des données en ligne. Le règlement e-Privacy est encore au stade de la proposition et peut encore changer mais les législateurs visent la même date d'application que pour le RGPD .

Pourquoi il est important que votre entreprise se conforme

Pour les entreprises européennes, la nécessité de se conformer peut être évidente, mais c'est en fait une chose à laquelle les entreprises du monde entier devraient prêter attention. C'est particulièrement le cas pour les sites Web et les entreprises en ligne, car le RGPD s'applique à toute entreprise dans le monde qui collecte des données sur les citoyens de l'UE. Si vous collectez des données sur votre site Web et que votre site Web est visité par des citoyens de l'UE, le RGPD tiendra votre entreprise responsable de ce que vous faites avec ces données, quel que soit l'endroit où votre entreprise est basée. Les sanctions pour les entreprises qui enfreignent le RGPD peuvent être sévères, la plus lourde étant une amende de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon la plus élevée des deux.

Les aspects les plus importants pour votre marketing numérique

Pour les spécialistes du marketing numérique, vous devez connaître un certain nombre d'éléments clés de la législation. Les quatre points suivants sont les plus importants pour vous assurer que votre programme de données en ligne est conforme.

1. Données personnelles

La première est de comprendre ce qui est couvert par le RGPD et le règlement e-Privacy. J'ai déjà mentionné que la loi s'applique aux données de tous les citoyens de l'UE, mais elle est légèrement plus spécifique ; elle s'applique à leurs données personnelles.

Une donnée personnelle est toute donnée propre à un utilisateur qui pourrait permettre de l'identifier ou de le singulariser. Cela couvre des informations telles que le nom, l'adresse, l'emplacement géographique, le numéro de téléphone, l'adresse e-mail ou le numéro d'identité. Cependant, il couvre également les identifiants en ligne qui peuvent être un nom d'utilisateur ou des adresses IP.

2. Consentement

Le plus grand changement que le RGPD apportera au paysage actuel est peut-être son idée de consentement. Le consentement doit être explicite, éclairé et donné librement.

Cela signifie qu'en vertu du RGPD, les avis de cookies standard affichés sur la plupart des sites Web ne suffiront plus. La loi exige que les utilisateurs donnent leur consentement via une « action positive ». L'utilisateur doit faire une démarche active pour consentir. Le silence et le consentement implicite ne suffiront pas. Les données de l'utilisateur ne peuvent pas être collectées tant que le consentement n'est pas donné.

De plus, comme la loi insiste sur le fait que le consentement soit informé, les entreprises devront indiquer à l'utilisateur exactement quelles données sont collectées, comment elles sont stockées et pour quoi l'entreprise utilise les données.

La législation insiste également sur une méthode toujours disponible pour se retirer du suivi. Cela signifie qu'à tout moment, l'utilisateur du site Web doit pouvoir révoquer son consentement.

3. Sécurité des données

La sécurité des données personnelles des personnes devient la responsabilité du responsable du traitement. Le responsable du traitement est défini comme l'entité qui décide de la finalité et du mode de collecte des données. Ainsi, par exemple, en tant que propriétaire du site Web, vous êtes le responsable du traitement. Vous devez vous assurer que les outils et les fournisseurs que vous utilisez pour collecter, stocker et visualiser vos données disposent d'une sécurité appropriée pour protéger vos clients.

4. Emplacement des données

Une partie des efforts du RGPD pour protéger les données des citoyens de l'UE s'étend à l'endroit où ces données sont traitées et stockées. Le RGPD insiste sur le fait que les données sont conservées et traitées dans l'UE ou au moins dans un pays dont la protection des données est similaire à celle de l'UE. Vous pouvez trouver une liste de ces pays ici .

Cela pose un problème lors de l'utilisation d'outils avec des serveurs et des centres de données situés dans des pays, comme les États-Unis, qui n'ont pas les protections de données équivalentes. Le bouclier de protection des données États-Unis-UE permet aux entreprises aux États-Unis de signer une déclaration selon laquelle elles respecteront les mêmes normes avec les données qu'elles stockent que celles requises par le RGPD.

Cependant, sa validité est toujours contestée car les législateurs de l'UE craignent qu'en l'absence de loi les régissant, les forces du marché inciteront les entreprises à utiliser les données d'une manière contraire à la loi. Une autre préoccupation est que même si les entreprises respectent les termes du bouclier de protection des données, elles opèrent toujours en vertu d'une loi qui peut les obliger à révéler les données personnelles des citoyens de l'UE à leur gouvernement.

La dernière préoccupation à laquelle il convient de répondre en ce qui concerne la localisation des données est le consentement éclairé. Si les données sont déplacées hors de l'UE, cela doit être clairement indiqué à l'utilisateur lorsqu'il donne son consentement à la collecte de ses données.

Que devez-vous faire pour être prêt pour le RGPD ?

1. Anonymiser les adresses IP

Si vous utilisez un outil, comme Google Analytics , pour voir des modèles de comportement dans des données anonymisées sur votre site Web sans identifier les utilisateurs individuels, vous utilisez le suivi de site Web agrégé. Pour ce type de suivi, il n'y a que deux points de données dont tous les sites Web doivent se préoccuper. Ces deux points principaux sont l'adresse IP de l'utilisateur et le cookie de suivi de l'outil.

Pour l'adresse IP, il existe un moyen relativement simple de s'assurer que vous êtes conforme et que vous n'avez pas besoin du consentement de l'utilisateur. La plupart des outils utilisés pour le suivi global des sites Web vous permettent d'anonymiser l'adresse IP des utilisateurs. En s'assurant que ce paramètre est activé, il ne devrait y avoir aucun moyen d'identifier l'utilisateur individuellement.

2. Déterminez si vous avez besoin du consentement de l'utilisateur

Avec l'adresse IP anonymisée, nous pouvons maintenant examiner les cookies de suivi. Le règlement e-Privacy proposé prévoit une exemption du consentement de l'utilisateur pour les cookies pour les outils de site Web agrégés. Cependant, à l'heure actuelle, il n'est pas clair si cette exemption concernera uniquement les outils exploités par le site Web ou si elle couvrira des outils tiers tels que Google Analytics. Cela deviendra plus clair au fur et à mesure que la nouvelle réglementation e-Privacy sera finalisée et ratifiée.

3. Utilisez un outil d'analyse auto-hébergé

Étant donné qu'il existe une incertitude quant à savoir si les outils tiers nécessiteront un consentement, l'option la plus sûre serait de mettre en œuvre un outil d'analyse Web auto-hébergé. Ces outils vous permettent d'héberger une instance entière de l'outil sur votre propre infrastructure. Cela signifie que seule votre entreprise a accès aux données et vous pouvez être sûr que vous n'aurez pas besoin de consentement pour le suivi global de votre site Web.

4. Inscrivez-vous

Si vous ne pouvez pas utiliser un outil auto-hébergé, vous devrez alors inciter les utilisateurs à s'inscrire. Il y a deux solutions possibles pour cela.

La première est l'approche Soft Opt-In. Avec cette approche, vous devez informer le visiteur lorsqu'il arrive pour la première fois sur votre site que toute autre action entreprise sur le site sera suivie. Vous devez leur fournir la possibilité de refuser d'être suivi à ce stade. Cette méthode est couramment utilisée dans les pays européens dotés de lois strictes sur la confidentialité des données, comme l'Allemagne. Il n'est pas clair à ce stade si cela sera toujours acceptable avec le nouveau règlement e-Privacy.

La deuxième approche est un opt-in dur. C'est l'approche la plus sûre car elle sera certainement conforme lorsque les lois seront publiées, mais elle est plus intrusive pour l'utilisateur. Avec cette approche, vous demanderez à l'utilisateur son consentement avant de pouvoir commencer à naviguer sur le site Web. Cela peut être fait avec une boîte contextuelle sur la première page de leur première visite.

5. Offrir une possibilité de retrait

Si vous devez obtenir le consentement des utilisateurs pour capturer leurs données en vertu de la nouvelle réglementation, vous devez leur fournir un moyen de changer d'avis et de se retirer à tout moment. La loi dit que cela doit être toujours disponible pour l'utilisateur. La meilleure façon de le faire serait d'avoir une page dédiée détaillant votre suivi qui permet aux utilisateurs de se retirer. Cette page peut ensuite être liée dans votre pied de page afin qu'elle soit toujours présente sur votre site.

6. Soyez prudent avec les profils d'utilisateurs et l'automatisation du marketing

Si le programme de données de votre entreprise va au-delà de l'agrégation et que vous configurez des profils d'utilisateurs, vous devez réfléchir davantage pour vous préparer au RGPD. Cela est particulièrement vrai si vous exécutez un programme d'automatisation du marketing, de reciblage ou même de marketing ciblé manuellement. Toutes les activités de profilage des utilisateurs et chaque type de communication marketing que vous envoyez sur la base de ces profils nécessitent le consentement des utilisateurs. Toutes les données personnelles ou données de profilage que vous capturerez et tous les marketing directs que vous leur enverrez doivent être spécifiés au moment où vous demandez leur consentement aux utilisateurs. De plus, une méthode pour révoquer leur consentement – ​​l'opting out – devrait être fournie.

Faites-nous savoir si vous avez des questions sur le prochain RGPD et le règlement proposé sur la confidentialité électronique. Consultez nos audits de conformité et GDPR si vous souhaitez vous assurer que votre marketing numérique est conforme.