,

Suivre et mettre en oeuvre les bonnes pratiques du RGPD

Vous préparer pour suivre et mettre en oeuvre les bonnes pratiques du RGPD européen (Règlement général de protection des données) garantit la viabilité à long terme de votre entreprise. Découvrez quelques sources d’informations utiles et parfois complexes pour vous mettre en route.

Voici le 3ème article de la série sur le RGPR.

Les 2 autres:

Vous organiser pour suivre les bonnes pratiques du RGPD

Je capte actuellement une dizaine d’articles francophones par jour sur le sujet du RGPD, signe que le sujet interpelle, voire préoccupe les entreprises, medias publicitaires, éditeurs de logiciels et services web.

Nombre d’entreprises sont encore dans l’expectative ou en cours de mise en route.
Au fur et à mesure de la mise en place des actions de mise en conformité, les expériences et bonnes pratiques du RGPD seront partagées plus largement, c’est certain.

Voici une vidéo d’animation découverte via mon système de veille d’information et que je trouve très explicite.
Merci à Cookie connecté et à la CNIL pour cette vulgarisation bien utile.

 

Et vous, comment êtes-vous organisé(e) pour faire votre veille d’informations?
Que ce soit pour suivre les expériences de mises en oeuvre du RGPD ou tout autre sujet, je vous invite à participer à mon enquête 🙂

[cta id= »4429″ vid= »0″]

 

Quelques actions pour vous mettre sur la route du RGPD

Faites le test en ligne proposé par economiesuisse et vérifiez si votre entreprise est soumise à la RGPD

Le Règlement général sur la protection des données (RGPD) de l’Union européenne s’applique-t-il à votre entreprise?

En 20 questions:

1. Votre entreprise a-t-elle une succursale ou filiale sur le territoire de l’UE ?
2. Votre entreprise traite-t-elle des données de personnes européennes (p. ex. analyse de données clients y compris de citoyens européens, analyse des données des visiteurs de sites Internet ou des utilisateurs d’applications) ?
3. Votre entreprise offre-t-elle des biens ou services à des personnes dans l’UE (p. ex. par de la vente à distance ou en exploitant des plateformes de commande en ligne) ?
4. Une entreprise située dans l’UE traite-t-elle des données pour vous (p. ex. fournisseur de services de cloud) ?
5. Votre entreprise traite-t-elle des données sur mandat d’une entreprise située dans l’UE ou participe-t-elle au traitement de données d’entreprises dans l’UE (p. ex. dans un centre de calcul suisse) ?
6 Êtes-vous déjà familier de la loi fédérale sur la protection des données et l’avez-vous mise en œuvre dans votre entreprise ?
7 Savez-vous dans quels systèmes et applications internes votre entreprise traite des données ?
8 Savez-vous qui traite des données personnelles sur mandat de votre entreprise (p. ex. y compris les services de cloud) ?
9 Savez-vous qui possède des droits d’accès aux données de votre entreprise?
10 Avez-vous protégé votre accès Internet (p. ex. avez-vous le contrôle sur les personnes autorisées à accéder) ?
11 Avez-vous adapté les contrats en cours et les CG (p. ex. contrats avec prestataires dans le domaine du recouvrement, ressources humaines, publipostages, comptabilité, compagnies de maintenance informatique) ?
12 Votre entreprise a-t-elle signé avec les sous-traitants des contrats énonçant des règles claires quant au traitement des données ?
13 Avez-vous mis en place dans votre entreprise des processus pour contrôler la sécurité de l’information
14 Votre entreprise a-t-elle désigné une personne responsable de la protection des données ?
15 Savez-vous quelles données correspondent à des « données à caractère personnel » au sein de votre entreprise ?
16 Pouvez-vous identifier les données à caractère personnel ?
17 Pouvez-vous supprimer les données à caractère personnel ?
18 Pouvez-vous prouver la légitimité du traitement de données à caractère personnel ?
19 Avez-vous formé et sensibilisé vos employés (p. ex. la protection des données figure-t-elle à l’agenda du conseil d’administration) ?
20 Avez-vous nommé un préposé externe à la protection des données ?

Petite check-list technique et organisationnelle RGPD

Ces conseils ont été listés par les intervenants de la conférence de la FER Genève du 21 février 2018:

  • désigner un délégué à la protection des données (DPO) interne ou externe
  • faire un inventaire des données personnelles collectées
  • vérifier la gestion des droits d’accès aux données personnelles dans vos systèmes ainsi que les systèmes de vos partenaires ou sous-traitants
  • adapter les CGU et les contrats
  • vérifier la protection de l’accès Internet pour sécuriser les données
  • former et sensibiliser les collaborateurs
  • adapter les logiciels et les applications
  • modifier les pratiques de marketing et communication

Téléchargez le Kit d’accompagnement à la mise en conformité au RGPD

Ce kit est mis à disposition par la FER Genève, en collaboration avec Le Clusis, l’État de Genève et Swiss Made Security.
Armez-vous de patience ou demandez de l’aide aux experts juridiques et informatiques.
Vous êtes prévenus, tout ceci va coûter.

 

Source RGPD

economiesuisse: Fiche d’information RGPD

 

/0 Commentaires/par
,

De l’Opt-out à l’Opt-in avec le RGPD

Le RGPD (Règlement général de protection des données) de la commission européenne va exiger le consentement (Opt-in) des personnes dont les données sont collectées et ce, au moment de la collecte et en toute transparence de leurs usages. On passe enfin du principe de l’Opt-out (je me désinscris, je me désengage) à l’Opt-in (je m’engage volontairement).

Voici le 2ème article d’une série de 3 sur le RGPR.

Les 2 autres:

De l’Opt-out à l’Opt-in

Nous allons vivre le passage de l’ère du « Qui ne dit mot consent » (Opt-out) à l’ère du «  Je consens et je dois savoir comment sont captées mes données personnelles, comment elles sont utilisées/traitées, comment elles sont sécurisées et à qui je peux m’adresser pour les vérifier, les faire modifier voire même obtenir leur effacement » (Opt-in).

Il va falloir demander le consentement (Opt-in) de façon claire, transparente et univoque même si les produits/services sont gratuits.

Avez-vous, comme tout le monde, ajouter des contacts à votre base à partir des cartes de visite durement obtenues au fil de vos échanges commerciaux et de réseautage?
Là aussi, il va falloir vérifier le consentement même sur l’échange des cartes de visites, sans oublier de préciser l’usage ou les usages que vous allez en faire.

Exemples d’usage à préciser: envoi d’offres via emails, ajout à une newsletter, partage du fichier de contact pour du remarketing sur les réseaux sociaux etc.

Le consentement doit être donné et prouvable sur un périmètre donné.
Prenons l’exemple de vous autres lecteurs de mon blog qui vous êtes abonnés pour recevoir les articles (Un grand merci, au passage!).
Vous avez fait un Opt-in et je ne vous contacte pour aucune autre raison que la publication d’articles.

Voici donc un nouvel axe responsable du marketing et de la communication qui s’applique à toute organisation/entité, qu’elle soit une multinationale ou le boulanger du village.

DEVENIR PLUS PERTINENT DANS LA COLLECTE,

MINIMISER LA QUANTITE DES DONNEES ET PRIVILEGIER LA QUALITE

De quels consentements avez-vous besoin par rapport à l’usage des données que vous envisagez dans votre activité commerciale et de communication ?
Comment allez-vous gérer les demandes de consentement auprès de vos contacts actuels et futurs?

Prenons l’exemple de cette enquête sur la veille d’informations à laquelle je vous encourage de participer ci-dessous.
Je vous explique le contexte et à la fin de l’enquête, je vous invite à laisser vos coordonnées pour être re-contacté(e) si vous en avez exprimé l’intérêt. En cas contraire, je ne reprendrai pas contact via cette enquête.

[cta id= »4429″ vid= »0″]

Les risques de la non-conformité

Il aura fallu la peur du gendarme pour faire bouger les choses.

Les amendes pourront en effet s’élever jusqu’à 20 millions d’Euros ou jusqu’à 4 % du chiffre d’affaires mondial d’une structure prise en défaut de non conformité.

Quels pourront être les déclencheurs révélant une non-conformité?
On peut facilement imaginer qu’une non-conformité pourrait être révélée par des demandes de vérification de données de la part d’individus/internautes et par des dénonciations provenant du public ou de concurrents avertis.

GDPR et publicité en ligne

Comment le marché du programmatique publicitaire va-t il réagir face à cette nouvelle donne?

Un nouveau paradigme publicitaire est à inventer en conformité avec le GDPR pour les annonceurs et leurs prestataires pour les publicités utilisant cookies et traceurs de navigation.

Les campagnes publicitaires utilisant ces techniques sur les sites web et les réseaux sociaux sont en effet concernées par le GDPR.

Cookies

Les textes des bandeaux de cookies vont devoir s’adapter en toute transparence et les politiques d’usage des données également.
Il ne sera pas possible d’activer les traceurs de cookies avant l’obtention du consentement même si l’internaute continue à surfer sur le site.

Modification le 12.11.18:
Je modifie cet alinéa car la réalité des bannières cookies est tout autre depuis le 25 mai 2018.
Les sites web vous informent plutôt que les cookies sont activés et que vous devez les accepter ou les refuser. Ils sont activés par défaut. Certains vous donnent le choix de décocher les cookies par catégories et certains (comme le mien pour l’instant) vous informe qu’ils sont activés et que vous les acceptez par défaut en surfant sur mon site.

Je ne suis pas satisfaite de cette situation. Je dois encore trouver une solution pour vous permettre de les accepter ou de les refuser en bloc ou par catégorie. J’ai fait deviser une bannière cookies avec catégories et 100% conforme RGPD. Face au tarif demandé pour un abonnement annuel, j’ai renoncé ?. Beaucoup trop onéreux pour une TPE comme la mienne.

Merci de votre compréhension jusqu’à ce que je trouve la solution technique qui me et vous convient sur tous les plans.?

Si vous avez une solution WP à me suggérer, je suis preneuse.

Mesures d’audience des sites web

Les analytics de trafic des sites web (via Google Analytics) devront se contenter de présenter des données consolidées et anonymisées.
En cas contraire, un consentement devra être demandé aussi pour la collecte des données et le tracking de l’internaute.
Actuellement, le module ecommerce amélioré (Enhanced ecommerce) de Google Analytics permet de distinguer des audiences engagées en identifiant les utilisateurs via leur user ID. Activer cette fonctionnalité nécessitera certainement de demander le consentement.

Ceci est une occasion de ré-inventer la publicité en créant un cercle vertueux en toute transparence.
Le volume publicitaire s’en trouvera t-il affecté? J’en doute…

 

Sources RGPD

CNIL: cookies et traceurs

François Charlet: GDPR et web tracking

ICT Journal: La nouvelle réglementation sur les cookies irrite les éditeurs européens

Fred Cavazza: GDPR et publicité en ligne

En décembre 2014, je publiais un article sur les nouvelles conditions générales de Facebook étant en limite d’une communication que j’estimais responsable.
Le système de cookies et de publicité comportementale commençait à battre son plein aussi sur Facebook.
Dans la foulée, LinkedIn modifiait sa politique d’usage des données et s’alignait sur le système de place de marché publicitaire. Voir l’article que j’avais publié à ce propos.

/2 Commentaires/par

En route pour une communication responsable avec le RGPD

Le RGPD (Règlement général de protection des données) de la commission européenne est une chance pour une communication plus responsable autant pour les individus que pour les entreprises, institutions, associations et organisations qui collectent et utilisent nos données personnelles dans leur communication ou actions commerciales.
Ce principe responsable va permettre de protéger les personnes à travers les traitements de leurs données.

N’étant ni juriste, ni informaticienne, mes dire n’engagent que moi.
Ils résultent de ma compréhension personnelle suite à mes lectures, aux conférences auxquelles j’ai participé et aux échanges avec mes clients entreprises.
Comme nous abordons un thème éminemment juridique et donc délicat, je me permets de décliner toute responsabilité sur la mise en application que vous ferez des éléments ci-dessous.
L’objectif de cet article est d’exprimer mon opinion en tant que conseils, formatrice et coach en marketing et en communication digitale et de proposer quelques pistes de questionnement et d’actions.

Voici le 1er article d’une série de 3 sur le RGPR.

Les 2 prochains:

La communication sur le web a accéléré la visibilité et les opportunités des abus dans l’usage et le traitement des données personnelles et le balancier est en train de partir dans l’autre sens.
Les données personnelles incluent au minimum le nom et le prénom associés ou pas à une adresse email ou téléphone. Autant dire que la plupart des données collectées entrent dans cette définition.

Qui n’a pas expérimenté l’augmentation de prix ou inversement des rabais alléchants lors de visites régulières d’un site e-commerce par exemple de voyage?

Jusqu’à présent n’avons-nous pas donné aveuglément notre accord sur l’usage des cookies à tous les sites web sur lesquels nous avons surfé sans pouvoir en maîtriser les conséquences?

Certes, la promesse d’une meilleure expérience utilisateur a permis l’usage des cookies pour nous présenter une publicité dite comportementale basée sur l’analyse de notre parcours client et supposée répondre à nos besoins.
C’est ainsi que la magie des places de marché publicitaire en temps réel « Real time bidding » nous assène la même publicité (Display) pour le voyage en Sardaigne sur tous les sites web visités pendant plusieurs semaines alors que nous l’avons déjà acheté!

Sans compter les abus et reventes de données personnelles générateurs de ces spams désordonnés et inefficaces dans nos boites e-mails!

N’avez-vous pas remarqué que depuis quelques semaines certains annonceurs se dépêchent de libérer de nouvelles newsletters avant la date du 25 mai 2018, date d’entrée en vigueur de la nouvelle directive européenne?

Alors, chers amis du web, c’est un bienfait qui nous arrive mais tout ceci aura un coût!

Qui est concerné par le RGPD?

Le champ d’application du RGPD couvre le traitement des données par toutes les entreprises, dès lors que celles-ci offrent des biens ou services à des personnes dans l’UE (par exemple les exportateurs, vente à distance, exploitants de plateformes de commande en ligne, etc.) ou qu’elles analysent le comportement de ces personnes (y compris sur des sites Internet ou des applications de smartphone).

Toute organisation/entité détenant et utilisant les données personnelles de ressortissants européens est concernée par le RGPD et se doit de se mettre en conformité dans la gestion et la sécurité des données et dans ses méthodes de communication.

Ceci est valable que votre entreprise soit en Suisse ou dispose d’une succursale ou d’un prestataire ou sous-traitant sur le territoire européen.

Êtes-vous actif sur le marché européen et détenez-vous à priori des données personnelles sous conditions de ce nouveau règlement?
Pouvez-vous isoler les contacts de ressortissants européens dans votre base de contacts?
Si vous ne détenez que les noms, prénoms et emails, cela s’avèrera difficile.

Utilisez-vous des web services pour collecter et traiter des données personnelles?

Si vous traitez des données personnelles qui tombent sous l’application de l’Art. 9 ( données sensibles) et/ou de l’Art 10 ( données pénales), la mise en conformité au RGPD est un passage encore plus obligé.

Etes-vous un petit « poisson » RGPD?

Lors de la conférence de la FER Genève du 3.3.2018, cette expression a été utilisée pour décrire qui pourrait passer à travers les mailles du filet du RGPD si les conditions ci-dessous sont réunies:
– faible quantité de personnes concernées dans votre base de contacts (<2500)
– données collectées en mode B2B (données clients et prospects)
– qualité des données traitées: ne relevant pas de l’Art.9 ou 10
– pas de traitement régulier des données
– absences de décision basée sur des traitements automatisés
– pas d’analyse automatisée des comportements sur les sites web (cookies, navigation,…)
– société de moins de 250 personnes

RGPD et LPD Suisse

Le RGPD (vous trouverez aussi l’acronyme anglais GDPR: General Data Protection Regulation) a été mis au point en 4 ans.
Il a été publié au Journal officiel de l’Union européenne le 27 avril 2016 et sera applicable à partir du 25 mai 2018.

Si vous ne traitez pas ou peu de données personnelles de ressortissants européens, vous bénéficiez d’un répit avant l’évolution de la loi sur la protection des données (LPD) en Suisse.
Or, la LPD est en cours de révision totale afin de répondre à des critères équivalents à la directive européenne.
Même si la date de sortie et de mise en application de la future loi n’est pas encore précise (2 ans sont évoqués) et afin d’éviter une double mobilisation, les experts recommandent de mettre en application les bonnes pratiques dès maintenant.

LES INDIVIDUS DEVIENNENT DES DATA’ACTEURS

DE L’UTILISATION DE LEURS DONNEES

Evolution des principes de la protection des données:

  • devoir d’information et obtention du consentement des personnes concernées
  • droit à la portabilité des données pour les utilisateurs: localiser les données et capacité à les transmettre à la demande des demandeurs
  • droit à l’oubli: droit facilité pour les utilisateurs d’obtenir l’effacement de leurs données
  • élargissement de la responsabilité de conformité #RGPD aux partenaires et sous-traitants utilisant et manipulant les données pour le compte d’un contractant

RGPD, une opportunité responsable et durable

Le GDPR sème le terreau d’une belle opportunité pour toute entreprise ou organisation prête à créer un nouveau type de relation de proximité plus humaine avec ses audiences qu’elles soient des clients ou des publics de fans.
Les techniques de ciblage marketing vont devoir évoluer vers une réduction de la sursollicitation numérique afin de créer des relations plus authentiques et responsables.

Sources RGPD

Le Temps: Données personnelles: le sprint des entreprises suisses pour intégrer la loi européenne

economiesuisse: Nouvelles règles européennes de protection des données et révision de la loi suisse

Office fédéral de la justice: Renforcement de la protection des données en Suisse

Préposé fédéral à la protection et la transparence des données: Le règlement général de l’UE sur la protection des données.

 

/0 Commentaires/par