Êtes-vous conforme au RGPD ? Découvrez ce que vous devez savoir!

Liste de contrôle de conformité RGPD

Comme vous l'avez probablement déjà entendu, le règlement général de l'UE sur la protection des données (RGPD) entrera en vigueur le 25 mai. Qu'est-ce que le RGPD, dites-vous ? En bref, le RGPD est un cadre juridique qui définit des lignes directrices pour la collecte et le traitement des informations personnelles des individus au sein de l'Union européenne (UE). Il s'agit du plus grand bouleversement de la confidentialité des données en 20 ans et il est à peu près certain qu'il s'appliquera à vous.

La plus grande idée fausse lors de l'interprétation du nouveau règlement est qu'il ne s'applique qu'aux entreprises qui opèrent ou font des affaires dans l'UE. En fait, le champ d'application du RGPD est en fait beaucoup plus large et s'applique à toute entreprise qui surveille le comportement des personnes dans l'UE. Ainsi, même si votre entreprise est basée en dehors de l'UE mais que vous traitez les données de citoyens de l'UE, le RGPD s'appliquera à vous.

• Avez-vous un site Web qui peut être visité par n'importe qui (y compris les utilisateurs de l'UE) ?
• Utiliser des formulaires pour collecter des données utilisateur ?
• Utiliser des cookies pour suivre les visites et autres informations marketing (code de suivi Google Analytics, pixels Facebook, etc.) ?

Si votre entreprise peut répondre « oui » à l'une de ces questions, vous pourriez être trouvé en violation des nouvelles règles. Et selon le type de violation, les entreprises qui traitent mal les données personnelles ou violent les droits des personnes concernées peuvent encourir des amendes allant jusqu'à 20 millions d'euros ou 4 % de leur chiffre d'affaires annuel mondial (selon le montant le plus élevé). Ce n'est donc pas juste une tape sur le poignet ou quelque chose qui doit être pris à la légère.

Peu importe à quel stade du processus de planification vous vous trouvez actuellement, il y aura des questions et de la confusion sur les étapes à suivre pour rendre votre site Web conforme. La bonne nouvelle, c'est que vous n'êtes pas seul. Au cours de toutes les discussions que nous avons eues au cours des dernières semaines avec des avocats, des consultants, des fournisseurs et des experts en protection des données/vie privée, la seule chose dont tout le monde sait avec certitude est que la nouvelle réglementation arrive à la fin de la semaine prochaine et cela changera notre façon de fonctionner en tant que spécialistes du marketing numérique.

Pour ce guide, nous nous concentrerons uniquement sur la nouvelle réglementation et sur la façon dont elle se rapporte spécifiquement à votre site Web et à vos pratiques de marketing numérique. Ce qui est logique, car nous sommes, après tout, une agence de marketing numérique. Si vous recherchez d'autres informations concernant le règlement, la bonne nouvelle est qu'il ne manque pas d'articles, de billets de blog et d'autres éléments de contenu utiles, y compris notre version « CliffsNotes » du règlement complet. De plus, vous pouvez toujours contacter l'un de nos experts en marketing numérique pour fixer un moment pour discuter davantage.

Maintenant, avant d'entrer dans la liste de contrôle des mesures que nous recommandons de prendre, il est important de noter qu'il ne s'agit pas de conseils juridiques, mais uniquement de nos recommandations pour vous aider à mettre votre site Web en conformité avec la nouvelle réglementation.

AVERTISSEMENT LÉGAL
Toutes les données et informations fournies dans cet article de blog sont à titre informatif uniquement. Top Floor ne fait aucune déclaration quant à l'exactitude, l'exhaustivité, l'actualité, la pertinence ou la validité des informations contenues dans ce document. Ces informations et recommandations ne sont pas les mêmes que des conseils juridiques, où un avocat applique la loi à votre situation spécifique. Nous insistons pour que vous consultiez un avocat si vous souhaitez des conseils sur votre interprétation de ces informations ou leur exactitude. En un mot, vous ne pouvez pas vous fier à cet article de blog comme conseil juridique, ni comme recommandation d'une compréhension juridique particulière.

Liste de contrôle de conformité RGPD

• Créez une liste de tous les logiciels de marketing et de suivi, de formulaires de site Web, d'agences et de services tiers, ainsi que de tout autre outil utilisé pour collecter et traiter les informations des utilisateurs. Notez quelles données sont collectées, comment elles sont utilisées, où elles sont stockées, qui y a accès et pendant combien de temps les données sont nécessaires. Voici une liste rapide pour vous aider à démarrer :
  1. Google Analytics
  2. Pixels de médias sociaux et scripts de suivi
  3. Logiciel de marketing par courriel
  4. CRM
  5. Demandes de devis et formulaires de contact du site Web
  6. Services de suivi des appels
• Mettez à jour tous les formulaires Web pour :
  1. Collecter uniquement les données nécessaires à l'objectif poursuivi
  2. Utilisez un langage clair et simple pour dire aux utilisateurs à quoi ils consentent et ce que vous allez faire avec les données au point de collecte (sur le formulaire lui-même)
  3. Fournir des détails sur la façon de retirer le consentement
  4. Inclure un mécanisme permettant à l'utilisateur de signaler son consentement (une case à cocher qui n'est pas pré-cochée)
• Mettez à jour le CMS de votre site Web et tout module ou plug-in tiers et maintenez-les à jour
• Mettre en œuvre des outils de sécurité en ligne tels que des pare-feu, la surveillance de la sécurité, le cryptage HTTPS, etc. pour aider à prévenir les piratages et les violations de données
• Créer un plan documenté pour pouvoir supprimer et permettre la modification des données personnelles/sensibles
  1. Fournissez une page avec des instructions qui incluent une adresse e-mail pour que les utilisateurs vous contactent pour supprimer ou modifier manuellement des données
  2. Ou fournir une méthode automatisée permettant à un utilisateur de modifier ou de supprimer ses propres données
  3. Ou fournissez un formulaire qu'un utilisateur peut remplir un formulaire pour fournir des informations afin que vous puissiez supprimer ses données
• Créer un plan documenté pour exporter et fournir les données des utilisateurs sur demande dans le délai de 30 jours et dans un format raisonnable
• Assurez-vous que les données sensibles ne sont pas envoyées par le site Web par courrier électronique, ou si cela doit être le cas, que les données sont cryptées et peuvent facilement être supprimées. Par exemple, envoyez des notifications de formulaire aux destinataires nécessaires au sein de votre organisation via des liens qui nécessitent une connexion pour afficher plutôt que des données personnelles envoyées dans le corps d'un e-mail.
• Effectuez un audit des niveaux d'autorisation actuels de votre site Web et des utilisateurs qui ont accès à quelles informations. Verrouillez le site et assurez-vous qu'un utilisateur n'a aucun moyen de voir ou d'accéder à des informations qui ne lui sont pas destinées.
• Créez et implémentez une bannière de notification de cookie sur votre site Web qui :
  1. explique brièvement la finalité de l'installation des cookies que le site utilise
  2. est suffisamment visible pour le rendre perceptible
  3. des liens vers (une politique en matière de cookies) ou rend disponibles des détails sur l'objectif, l'utilisation et l'activité des tiers associés aux cookies
  4. empêche la collecte/le traitement des données avant que le consentement de l'utilisateur ne soit donné (c'est un problème important qui pourrait avoir beaucoup d'implications s'il n'est pas fait correctement)
• Créer et mettre en œuvre une politique en matière de cookies qui :
  1. décrit en détail la finalité de l'installation des cookies
  2. indique tous les tiers qui installent ou pourraient installer des cookies, avec un lien vers la politique de confidentialité respective, la politique de cookies et tout formulaire de consentement
• Créer ou mettre à jour une politique de confidentialité conforme à toutes les nouvelles réglementations
• Crypter les données sensibles partout où elles sont stockées lorsque cela est possible (comme dans la base de données du site Web et dans les sauvegardes du site)
• Documenter un plan de gestion des violations de données qui informe les personnes concernées ainsi que l'autorité de surveillance dans les 72 heures suivant la violation
• Documentez ce que vous faites pour vous conformer au RGPD et soyez en mesure de le prouver dans les cas où cela ne va pas de soi.
  1. Tenir des registres des formations GDPR, des procédures, des mesures prises, etc. Obtenez des accords de partage de données par écrit et énoncez clairement les responsabilités si vous partagez des données avec différentes organisations
  2. Assurez-vous que tous les services que vous utilisez sont conformes au RGPD et dans votre propre page de politique de confidentialité, vous devez répertorier et créer un lien vers le leur.

Vous avez encore des questions ou avez besoin d'aide pour vous assurer que vous êtes conforme au RGPD ? Nous sommes heureux de discuter pour examiner votre situation actuelle et fournir des commentaires sur ce dont vous devez vous conformer.