Le RGPD ou Règlement Général sur la Protection des Données (RGPD) vise à harmoniser les flux de données entre tous les États membres et à renforcer les droits des citoyens de l'UE sur leurs données détenues et traitées par les organisations. Avant sa mise en œuvre, l'utilisation abusive des données d'une personne était passible d'une amende relativement minime de 500 000 £. Désormais, des amendes gigantesques sont possibles, les entreprises reconnues coupables d'utilisation abusive de données étant passibles d'amendes pouvant aller jusqu'à 20 millions.
Vous pouvez déjà comprendre l'importance de respecter les directives du RGPD et c'est particulièrement important pour votre site Web. Dans ce blog, nous passerons en revue 9 étapes utiles qui garantiront que votre site Web sera conforme au RGPD.
1. Déterminez d'où proviennent vos données et comment les gérer
Par simple mention, les données personnelles sont définies comme toute information pouvant être utilisée directement ou indirectement pour identifier une personne. Il peut s'agir d'un nom, d'une photo, d'un e-mail, d'une adresse bancaire, de l'adresse IP d'un ordinateur, de publications sur les réseaux sociaux, etc.
Votre point de départ est de savoir d’où proviennent les données et quoi en faire. Les données peuvent être collectées via Google Analytics et les trackers de localisation GPS ainsi que par e-mail. Ensuite, recherchez où les informations sont stockées et qui y a accès.
Ensuite, vous devez définir les procédures pour les éléments suivants
- Que faire si quelqu'un souhaite que ses données soient effacées
- Prouver que certains vous ont donné votre consentement
- Que faire si vous subissez une violation de données
Vous devez réfléchir au type de données que vous allez collecter. Si vous posez des questions sur la nourriture préférée de quelqu'un et que vous n'êtes pas une entreprise alimentaire qui vous emmène sur le territoire d'informations inutiles. Il est important de savoir que les données que vous collectez doivent avoir une « base légale », qui peut être une ou plusieurs des suivantes.
- Intérêts légitimes
- Tâches publiques
- Intérêts vitaux
- Obligation légale
- Contracter
- Consentement
Assurez-vous que vous êtes en mesure de traiter les demandes de suppression ou de modification des données d'une personne.
2. Rendre les e-mails marketing conformes au RGPD
La plupart des entreprises s’aventureront à utiliser le marketing par courrier électronique comme stratégie commerciale. La considération la plus importante ici, comme dans tout domaine du RGPD, est le consentement.
Vous devez être en mesure de prouver qu'un utilisateur ou un client vous a donné son consentement pour lui envoyer des e-mails marketing. Cela inclut toutes les personnes figurant dans votre base de données de messagerie.
En plus d'obtenir le consentement de chacun, vous devez faciliter la possibilité de se désinscrire. Cela pourrait inclure des éléments tels qu'un lien de désabonnement au bas des e-mails.
3. Perfectionnez vos formulaires d'inscription
Les formulaires d'inscription seront vos formulaires d'inscription, vos pop-ups/bannières de cookies et votre politique de confidentialité. Il est nécessaire que les formulaires d'inscription ne soient pas pré-cochés : les utilisateurs doivent cocher activement la case eux-mêmes. Étiquetez la case à cocher d’une manière qui ne prête pas à confusion.
Dans le cas où quelqu'un s'abonne accidentellement, vous pouvez opter pour une option de double opt-in. Il peut s'agir d'une case à cocher pour vous inscrire à votre liste de marketing par e-mail et d'un e-mail de suivi pour confirmer.
Assurez-vous de contrôler l'automatisation de vos campagnes par e-mail, car si quelqu'un qui s'est désinscrit en recevait une, vous pourriez recevoir une pénalité.
4. Rédigez une politique de confidentialité
Je suis sûr que la plupart des gens ont vu les politiques de confidentialité sur divers sites Web. Une politique de confidentialité décrit la manière dont vous collectez et divulguez des informations sur un utilisateur. Il doit clarifier ce qui est confidentiel ou partagé avec d'autres entreprises, chercheurs ou vendeurs.
Vous devez indiquer quelles informations personnelles vous collectez, comment vous les collectez, les utilisez et si vous les partagez ou les vendez. Gardez à l’esprit que plus vous demandez et stockez de données, plus il sera difficile de rédiger une politique de confidentialité.
Ensuite, expliquez aux utilisateurs que leurs données sont stockées en toute sécurité. Décrivez les droits des utilisateurs, y compris la modification de leurs données, la suppression de données et la suppression de leurs données sur demande.
Lors de la mise à jour de la politique de confidentialité, assurez-vous d'en informer les utilisateurs. Il tient les utilisateurs informés et vous aide à rester transparent.
5. Rédigez une politique en matière de cookies et créez une pop-up/bannière
Un cookie est un fichier qui est enregistré sur votre appareil et stocke le nom du site Web, vous donnant un identifiant unique pour montrer que vous y êtes déjà allé. Il peut stocker combien de temps vous êtes sur un site Web, les liens sur lesquels vous cliquez et bien plus encore. Lorsque vous revisitez un site, ils se souviendront de vous et vous offriront une expérience plus personnalisée.
Pour vous aider à créer une politique en matière de cookies, indiquez aux utilisateurs quel type de cookies vous utilisez, comment vous les utilisez et comment ils peuvent contrôler la façon dont les cookies sont gérés.
Vous devez également vous assurer que vous disposez ici également d'une case à cocher d'inscription, permettant encore une fois aux utilisateurs de se désinscrire facilement s'ils en ont besoin.
Votre notification pop-up/bannière confirme le consentement et doit être facile à comprendre avec un lien vers votre politique complète en matière de cookies.
6. Protégez-vous des violations de données
Dans certains cas, nous avons vu de grandes entreprises être victimes d'une violation de données, ce qui pourrait vous faire penser que si elles ne peuvent pas l'arrêter, pourquoi pas moi ? Eh bien, il y a l'expression ne jamais dire jamais, mais il existe de bonnes mesures que vous pouvez prendre pour vous assurer que vous avez fait le plus possible.
Vous pouvez protéger les données en les chiffrant, en limitant les politiques de partage et de conservation des données, en minimisant la quantité de données que vous détenez et en maximisant la confidentialité des utilisateurs en standard. Pour vous protéger davantage contre les pirates informatiques, vous ne pouvez pas le stocker sur plusieurs appareils et programmes et vérifier que seuls les membres autorisés du personnel peuvent y accéder.
Des évaluations des impacts sur la vie privée (PIA) doivent également être effectuées en cas de changements dans l'entreprise, comme une acquisition d'entreprise, un nouveau système informatique ou un nouveau système de surveillance.
Contactez ICO dans les 72 heures suivant la prise de conscience de la violation et informez tous les clients susceptibles d'avoir été concernés dès que possible.
7. Formez votre personnel
Le personnel doit être formé et sensibilisé au RGPD. Cela pourrait être fait en faisant appel à quelqu'un pour diriger la formation ou en proposant aux employés une formation en ligne avec un quiz.
8. Mettre en place un dossier de conformité RGPD
C'est ici que vous pouvez prouver comment vous avez obtenu l'autorisation de collecter les données personnelles d'une personne, pourquoi vous les utilisez et comment vous les protégez. C'est l'endroit où sont stockés les formulaires d'inscription, les politiques de confidentialité, les fenêtres contextuelles et d'autres moyens par lesquels les utilisateurs se sont activement engagés pour vous donner votre consentement.
Dans votre dossier, vous devez inclure :
- Le nom et l'adresse du responsable du traitement des données
- Le nom de votre délégué à la protection des données (si vous en avez besoin)
- Un enregistrement montrant comment votre entreprise traite les données personnelles et ce que vous faites pour les protéger
- Modèle d'évaluation de l'impact des données personnelles
- Avis de confidentialité
- Politique de conservation des données
- Procédure pour les demandes d'accès aux sujets
- Réponses aux violations de données
- Un journal des violations de données
- Un modèle de notification pour le Bureau du commissaire à l'information (ICO) au cas où vous auriez besoin de signaler une violation
- Dossiers de formation du personnel
- Sous-traitants tiers et copies de leurs contrats
L'ensemble du dossier doit être stocké sur le système de fichiers de l'entreprise et être prêt à être envoyé à ICO dans un bref délai.
9. Créez des examens réguliers pour les données que vous détenez
Vérifiez si vous conservez plus d’informations que ce dont vous avez besoin et si c’est le cas, débarrassez-vous-en.
