La première conférence européenne sur les médias numériques, Dmexco, est actuellement en cours à Cologne. Alors que les marques mondiales, les éditeurs et les leaders des technologies publicitaires se réunissent pour discuter des opportunités et des défis des médias numériques, un nouvel ensemble de lois sur la protection des données proposé dans l'Union européenne est rapidement devenu le sujet de discussion le plus brûlant.
Ceci est votre guide de référence pour comprendre le Règlement Général de Protection des Données, ou RGPD, et ce que cela signifie pour vous.
Qu'est-ce que GDPR?
Règlement Général de Protection des Données est le nouveau cadre réglementaire qui remplacera Directive de 1995 sur la protection des données, qui existe depuis deux décennies et en conjonction avec les lois nationales sur les données, établit actuellement des stipulations sur la manière dont les entreprises et les offices publics collectent, stockent et utilisent les données personnelles des utilisateurs dans l'Union européenne.
Au cours de ces deux décennies, l'économie basée sur Internet s'est généralisée, modifiant la manière dont les données des utilisateurs sont capturées et utilisées par les entreprises - à la fois en termes de taille et de portée, rendant l'ancienne directive largement obsolète.
Après des années de discussions et de négociations, le RGPD a été adopté par le Parlement européen et le Conseil européen en avril 2008, et le nouveau réglementation ou directive ont été publiés peu de temps après. Le règlement devrait entrer en vigueur en mai 2018, ce qui donnera aux organisations visées par le règlement suffisamment de temps pour se préparer.
Le nouveau règlement accordera aux utilisateurs de nouveaux droits d'accès aux informations que les entreprises détiennent à leur sujet, des directives pour une meilleure gestion des données et la sécurité des informations, et une nouvelle série d'amendes en cas de non-conformité.
Dois savoir
Qui sera concerné : Toute organisation qui collecte des informations sur les résidents de l'UE
Quand? : 25e mai, 2018
Agence d'exécution : Le bureau du commissaire à l'information au Royaume-Uni (ICO)
Les organisations appartenant à la catégorie des contrôleurs de données ou processeurs de données seront tenus de se conformer à la nouvelle réglementation. Cela couvre les startups, les organisations à but non lucratif, les entreprises - pratiquement tout le monde.
La chose à noter ici est que Le RGPD n'est pas un problème spécifique à l'Europe, cela affectera toute organisation qui propose des biens ou des services aux utilisateurs dans l'UE ou surveille le comportement des personnes situées en Europe, quel que soit l'endroit où se trouvent leurs bureaux ou leurs serveurs de données.
Le RGPD couvre à la fois personnel ou données d'utilisateur. Les données personnelles peuvent inclure le nom, l'adresse e-mail, l'adresse IP… et d'autres détails de ce type couramment collectés lors des inscriptions. Les données sensibles comprennent, entre autres, les informations génétiques, les analyses biométriques, les opinions politiques ou religieuses et l'orientation sexuelle.
Un changement important dans le nouveau règlement est que, contrairement à la directive précédente, il couvre également les données des utilisateurs stockées sous un pseudonyme, tant que le pseudonyme peut être utilisé pour identifier l'individu.
Nouveaux privilèges d'utilisateur
Dans le régime précédent, les utilisateurs devaient émettre une demande d'accès au sujet (SAR) débourser 10 £ pour accéder aux informations qu'une entreprise peut détenir à leur sujet, en vertu du RGPD, les demandes de renseignements personnels peuvent être faites gratuitement. De plus, ces données doivent désormais être fournies à l'utilisateur dans un délai de 30 jours à compter de la demande formulée.
Le règlement accorde également aux utilisateurs le droit de faire effacer leurs données dans certaines circonstances, notamment si les données sont collectées illégalement ou sans intérêt légitime, si le consentement est retiré et si les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées.
Sécurité et conformité des données
Outre les directives sur la collecte de données et les privilèges des utilisateurs, le RGPD contient également des directives sur la mise en place et la garantie de normes de sécurité des données, y compris l'audit et l'évaluation des données, les politiques de protection et la documentation.
Une façon pour les organisations de répondre à ces exigences est de mettre en œuvre un Gestion de la posture de sécurité des données (DSPM) stratégie, qui implique l'identification, la surveillance et la sécurisation continues des données sensibles dans les environnements cloud et sur site.
Ces dernières années, il y a eu plusieurs violations de données à grande échelle, y compris des informations sur les comptes d'utilisateurs détenues par des sociétés telles que Yahoo et LinkedIn. Dans le cadre du RGPD, les entreprises seront désormais responsables de "la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès aux" données des utilisateurs.
En cas de perte ou de violation de données, les organisations doivent informer le gouvernement dans les 72 heures suivant la découverte de l'incident, travailler avec les organismes de réglementation dans la période qui suit et peuvent faire l'objet de poursuites judiciaires.
Les startups renoncent généralement à la diligence raisonnable en matière de collecte et de sécurité des données au profit de la vitesse et de la mise à l'échelle, cela ne sera plus possible sans encourir des amendes.
Pour les organisations de plus de 250 employés, une documentation sera obligatoire sur la raison pour laquelle les informations des utilisateurs sont collectées, où elles sont conservées, pendant combien de temps, et des données techniques détaillant les mesures de sécurité en place. Les grandes organisations peuvent également avoir besoin d'embaucher spécifiquement un « responsable de la protection des données » pour superviser et garantir la conformité aux politiques.
Amendes
L'un des aspects les plus discutés du GDPR est le nouveau régime d'amendes qui l'accompagne. Des amendes peuvent désormais être imposées pour les petits et les grands cas de non-conformité.
Vous n'avez pas embauché un délégué à la protection des données lorsque le RGPD vous y obligeait ? Vous pouvez être condamné à une amende. Avait une faille de sécurité? Il y a une amende pour ça. Documents incomplets ? Amende. Vous avez eu l'idée. Et contrairement à la directive précédente, les amendes peuvent être substantielles.
Pour les infractions mineures, les entreprises pourraient encourir des amendes pouvant atteindre 10 millions d'euros ou 500,000 % du chiffre d'affaires mondial de l'organisation, selon le montant le plus élevé. Les infractions plus graves pourraient entraîner des amendes pouvant atteindre près du double de ce montant. Il s'agit d'un énorme pas en avant par rapport au plafond supérieur de XNUMX XNUMX £ qui existait sous la précédente directive sur la protection des données.
Cependant, ICO a été clair sur le fait de "préférer la carotte au bâton" et a fait sa part pour calmer le sentiment de panique dans l'industrie.
"Il est alarmiste de suggérer que nous créerons des exemples précoces d'organisations pour des infractions mineures ou que des amendes maximales deviendront la norme", a écrit Elizabeth Denham, commissaire à l'information du Royaume-Uni, dans un récent article de blog.
Shubham est un spécialiste du marketing numérique possédant une riche expérience de travail dans le secteur des technologies publicitaires. Il possède une vaste expérience dans le secteur du programmatique, dans la conduite de stratégies commerciales et de fonctions de mise à l'échelle, y compris, mais sans s'y limiter, la croissance et le marketing, les opérations, l'optimisation des processus et les ventes.
