Par: Michael Doane, directeur marketing, CadmiumCD
L’explication la plus simple du RGPD est qu’il s’agit d’un ensemble de règles qui protègent la vie privée des individus. La législation réglemente le traitement des données personnelles des résidents et des citoyens de l'UE, y compris la collecte, l'utilisation, le transfert, la surveillance, le suivi et même la visualisation des données personnelles. Elle est entrée en vigueur le 25 mai 2018.
Les personnes concernées, comme les individus sont appelés dans le RGPD, ont davantage de droits pour contrôler leurs données. Cela crée un énorme défi de conformité pour les entreprises américaines traitant les données des citoyens européens.
Le RGPD s'applique-t-il à vous ?
Le RGPD s'applique à toute organisation qui traite les données des résidents ou citoyens de l'UE. Votre entreprise ne doit pas nécessairement être basé dans l'UE. Par exemple, si vous organisez une conférence médicale au Kansas et qu’un citoyen allemand y participe, les données que vous collectez aux États-Unis ne seront pas soumises au RGPD. Cependant, toutes les données que vous collectez pendant que ce citoyen allemand est toujours dans l’UE seront soumises.
Le RGPD s'applique à vous si vous :
- Offrir des biens/services dans l’UE
- Surveiller le comportement des personnes concernées dans l'UE
- Collecter les données personnelles des résidents de l'UE
- Collecter des données personnelles uniquement dans le cadre d'une enquête marketing
- Avoir des clients de l'UE
- Cibler les personnes concernées dans un pays de l'UE (marketing générique, c'est-à-dire pas de marketing spécifiquement destiné aux résidents de l'UE)
Définitions basiques
Données personnelles – Toute information relative à un sujet identifiable ou à une personne concernée. Ces données n'ont pas besoin d'être sensibles ou secrètes. Le nom, l’e-mail, le numéro d’identification, la photo, l’emplacement et l’adresse IP sont inclus sous l’égide des données personnelles.
Manette – L’organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
Processeur – Toute organisation qui traite des données personnelles pour le compte du responsable du traitement. Vous pouvez être à la fois le responsable du traitement et le sous-traitant si vous collectez et traitez les données et déterminez à quoi elles servent.
La relation contrôleur-processeur
Le controlle:
- Détermine les finalités et les moyens du traitement
- Ne peut utiliser que des processeurs conformes au RGPD
- A la responsabilité principale de la conformité
Le processeur :
- Traite les données sur les instructions du contrôleur
- Assume la responsabilité des sous-traitants ultérieurs
- Supprime/renvoie les données sur demande
- Fonctionne avec les audits de conformité
- Prend des mesures raisonnables pour sécuriser les données
- Informe le contrôleur de la violation de données
- Informe le responsable du traitement si les instructions de traitement portent atteinte aux droits de la personne concernée
Que devriez-vous faire à ce stade ?
Tout d’abord, vous devez évaluer si le RGPD s’applique à vous. En vertu du RGPD, vous devez divulguer ce que vous collectez, comment vous le stockez et pourquoi vous l'utilisez afin d'obtenir le consentement des personnes concernées.
Ensuite, vous devez déterminer quel niveau de conformité est nécessaire. Faites une analyse des lacunes de ce que vous faites actuellement et de ce que le RGPD vous oblige à faire.
Une fois que vous connaissez votre niveau de conformité, élaborez un plan de conformité. Vous devez décider de la manière dont vous allez fournir un avis éclairé et obtenir un consentement éclairé.
Enfin, vous devez mettre en œuvre le plan, notamment :
- Consultez un conseiller externe sur les obligations légales pour vous assurer que vos plans sont entièrement conformes
- Mettez à jour les conditions d’utilisation et la politique de confidentialité de votre site Web. Doit le présenter correctement et conforme au RGPD pour qu'il soit exécutoire.
- Assurez-vous que vos accords avec les fournisseurs couvrent le traitement des données
- Mettre à jour la documentation des processus internes
- Révisez votre police d’assurance cyber
Michael Doane est directeur marketing chez CadmiumCD, créateur de la plateforme logicielle myCadmium, une suite primée de produits de gestion de conférences et de salons professionnels. Visitez le blog CadmiumCD pour plus d'articles comme celui-ci.