Qu'est-ce que la conformité RGPD ? Voici le moins que vous devez savoir

GDPR , ou le règlement général sur la protection des données pour toute personne ayant des utilisateurs en Europe, entre en vigueur aujourd'hui. Il a la malheureuse combinaison d'être EXTRÊMEMENT IMPORTANT tout en étant DIFFICILE À COMPRENDRE.

La plupart des experts en conversion, des spécialistes du marketing par e-mail et des spécialistes du marketing en ligne n'auront pas le temps de parcourir le jargon juridique, mais devront quand même sortir de la zone explosive.

Cet article est censé être un point de départ pour ces spécialistes du marketing.

Il ne remplacera pas les conseils de votre équipe juridique - vous devez absolument vous réunir avec vos équipes de sécurité de l'information et juridiques pour finaliser la stratégie. Mais cela devrait vous orienter dans la bonne direction et vous aider si vous souhaitez obtenir des détails sur le RGPD en langage clair.

Minimisation des données - pas de syndrome de "marketeur cupide"

L'une des principales raisons pour lesquelles l'UE met en œuvre le RGPD est la manière dont les données sont collectées par les spécialistes du marketing. Lorsque vous demandez des informations à peu près n'importe où dans le monde, vous pouvez demander une quantité disproportionnée d'informations en retour. Votre taux de conversion chutera probablement à cause de cela, mais il n'y a aucune raison légale de ne pas le faire.

Le RGPD change cela.

Voici la partie pertinente de l' article 5 , sur les principes relatifs au traitement des données personnelles .

Les données personnelles doivent être :

• traitées de manière licite, loyale et transparente vis-à-vis de la personne concernée ("licéité, loyauté et transparence") ;
• collectées pour des finalités déterminées, explicites et légitimes et non traitées ultérieurement d'une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas, conformément à l'article 89, paragraphe 1, considéré comme incompatible avec les finalités initiales ("limitation de la finalité") ;
• adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ("minimisation des données") ;

Cela signifie que vous avez encore plus de raisons de ne collecter que les données dont vous avez besoin .

• Vous avez besoin de cette adresse e-mail pour transférer à l'utilisateur le PDF qu'il a demandé
• Vous voulez le numéro de téléphone, l'entreprise pour laquelle ils travaillent, la taille de l'entreprise et l'adresse physique pour créer leur profil dans votre système d'automatisation du marketing

Ces choses supplémentaires que vous voulez? Ce n'est plus un jeu équitable si vous avez des utilisateurs en Europe.

Vous devez être explicite sur l'utilisation que vous ferez des données et ne collecter que les données dont vous avez besoin auprès de l'utilisateur.

Consentement opt-in - pas d'abonnement par défaut

Certains spécialistes du marketing jouent à ces jeux de consentement avec les visiteurs :

• Les utilisateurs peuvent se désinscrire lorsqu'ils remplissent un formulaire, mais la case à cocher d'inscription est pré-cochée
• Les utilisateurs sont automatiquement inscrits et doivent notifier manuellement à l'entreprise qu'ils ne souhaitent pas s'inscrire à un programme particulier
• Le langage du programme opt-in est suffisamment vague pour que les utilisateurs puissent s'inscrire à plusieurs choses sans s'en rendre compte

Tous ces jeux exposeront les organisations au risque de non-conformité. Voici les parties pertinentes de l' article 7, conditions de consentement :

Lorsque le traitement est fondé sur le consentement, le responsable du traitement doit être en mesure de démontrer que la personne concernée a consenti au traitement de ses données à caractère personnel.

Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite portant également sur d'autres matières, la demande de consentement doit être présentée d'une manière clairement distincte des autres matières, sous une forme intelligible et facilement accessible, en utilisant des termes clairs et langage clair. Toute partie d'une telle déclaration qui constitue une infraction au présent règlement n'est pas contraignante.

Cela signifie pour vous que si vous avez des utilisateurs en Europe, ces jeux de consentement ne sont plus viables.

Vous devez être clair sur ce que les utilisateurs choisissent. Si vous voulez qu'ils s'inscrivent à votre newsletter ET que vous souhaitiez leur montrer des promotions de produits, vous voudrez qu'ils consentent aux deux choses séparément, et vous devrez l'indiquer explicitement.

Rappelez-vous ces quatre choses :

• Le consentement doit être donné activement
• Les utilisateurs doivent être informés de ce pour quoi ils s'inscrivent dans un langage clair
• Le silence et les cases pré-cochées ne comptent pas comme consentement
• Le consentement pour une activité ne s'applique pas comme consentement pour d'autres activités

Retrait du consentement – ​​ne pas faire sauter les visiteurs à travers des cerceaux

Une autre chose sur laquelle vous devez travailler est de donner aux utilisateurs la possibilité de se retirer de vos programmes. L'article 7 continue :

La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement n'affecte pas la licéité du traitement fondé sur le consentement avant son retrait. Avant de donner son consentement, la personne concernée en est informée. Il doit être aussi facile de retirer que de donner son consentement.

Si vous recevez des envois d'e-mails sous la forme de promotions de produits ou de newsletters, ceux-ci doivent toujours proposer des moyens clairs permettant aux utilisateurs de se retirer de vos programmes. Et ceux-ci doivent être bien en vue.

Auparavant, il était préférable, du point de vue de la conversion, de n'avoir dans votre base de données que des personnes qui VEULENT y être. Maintenant, c'est mieux d'un point de vue juridique aussi.

Pile technologique - pas de sécurité, pas de noms

Si vous jouez vite et librement avec tout ce qui contient des informations personnellement identifiables, vous feriez mieux de renforcer rapidement votre pile technologique. Cela signifie que vous ne pouvez pas avoir d'informations sensibles sur les clients et créer des profils sans dispositions pour la pseudonymisation ou les technologies associées.

Les fichiers Excel flottant dans l'entreprise avec des noms réels et des informations sensibles auraient toujours dû être interdits, mais vous avez maintenant plus de raisons d'empêcher que cela ne se produise.

L'article 25, protection des données dès la conception et par défaut , contient des dispositions assez sévères pour les entreprises à sécurité légère :

Compte tenu de l'état de la technique, du coût de mise en œuvre et de la nature, de l'étendue, du contexte et des finalités du traitement ainsi que des risques plus ou moins probables et de gravité pour les droits et libertés des personnes physiques posés par le traitement, le responsable du traitement doit, tant au moment de la détermination des moyens de traitement qu'au moment du traitement lui-même, mettre en œuvre des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui visent à mettre en œuvre les principes de protection des données, tels que la minimisation des données, de manière efficace et d'intégrer les garanties nécessaires dans le traitement afin de satisfaire aux exigences du présent règlement et de protéger les droits des personnes concernées.

Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel nécessaires à chaque finalité spécifique du traitement sont traitées. Cette obligation s'applique à la quantité de données personnelles collectées, à l'étendue de leur traitement, à la durée de leur conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles sans l'intervention de l'individu à un nombre indéfini de personnes physiques.

En bout de ligne, si vous souhaitez héberger des informations personnellement identifiables, vous devez vous débrouiller pour protéger ces informations.

Conformité GDPR : une bête complexe

Évitez d'être touché par des pénalités. Si vous êtes en retard sur le travail de conformité GDPR, vous devez, au strict minimum, faire…

• un audit de la quantité de données que vous collectez et si vous devez minimiser les données,
• un aperçu de la façon dont vous transformez les données personnelles en données anonymes, et
• un examen de la façon dont vous êtes explicite sur l'obtention du consentement pour utiliser les données des visiteurs