Table des matières:
Vidéo: #127 - RGPD/GDPR - 3 questions faciles pour bien se préparer (Novembre 2024)
À ce jour, vous avez certainement entendu parler du GDPR, qui est le règlement général sur la protection des données de l'Union européenne (UE). Le GDPR a été adopté pour protéger les informations personnelles des utilisateurs européens des divulgations non autorisées et des utilisations abusives. En tant que tel, le RGPD impose des limites très strictes au lieu où les données des citoyens de l'UE peuvent être stockées, à la manière dont elles peuvent être utilisées, à leur durée de conservation et à la manière dont elles sont protégées.
Cela signifie que vous feriez peut-être mieux d'oublier les entreprises européennes pendant un moment, à moins d'être sûr de pouvoir vous conformer aux règles. L’UE a un excellent site Web qui explique le processus. Si vous envisagez de faire des affaires en Europe, vous et votre personnel informatique devez lire ce site Web.
Mais si vous êtes une grande entreprise qui fait déjà des affaires dans l'UE, il est probable que vous soyez déjà au courant des exigences et que vous êtes probablement bien en mesure de démontrer le respect des règles.
Mais supposons que vous ne faites pas partie de ces organisations? Eh bien, il y a de fortes chances que le GDPR vous affecte toujours. Vous devrez vous asseoir et regarder votre situation pour vous en assurer. Voici un aperçu des principaux éléments à prendre en compte.
Opérations et protection des données
Tout d'abord, regardez vos opérations. Ciblez-vous un type d’effort marketing, aussi petit soit-il, sur les citoyens européens? Cela pourrait être quelque chose d'aussi simple que d'avoir une version de votre site Web dans une langue européenne ou la capacité d'accepter des paiements en devises européennes. Ou collectez-vous des données personnelles de quelque nature que ce soit pour quelque fin que ce soit, même si ce n'est pas pour une transaction financière?
Cela ne signifie pas que vous ciblez les Européens s'ils découvrent votre site Web basé aux États-Unis et achètent quelque chose vendu en dollars américains. Mais même dans ce cas, vous devez faire attention à ce que vous faites avec les données et combien de temps vous les conservez. Toutefois, si vous envisagez de vendre régulièrement à des acheteurs européens, il peut être judicieux de rechercher une société européenne qui gérera vos comptes sur place.
En attendant, si vous pensez avoir la moindre chance de finir par traiter avec des citoyens de l'Union européenne, ce serait une bonne idée de vous assurer de respecter les règles en matière de protection et de divulgation des données.
Les règles de protection des données signifient que vous devez protéger les données des citoyens de l'Union européenne contre la perte, le vol ou la divulgation. Vous devez également vous débarrasser des données dès que vous le pouvez. Et si des données de citoyens de l'UE sont violées, vous disposez de 72 heures après leur découverte pour les signaler aux autorités européennes.
Vous devez également indiquer comment vous prévoyez d'utiliser les données et combien de temps vous prévoyez de les conserver. Les divulgations doivent être énoncées clairement et simplement et le citoyen européen doit pouvoir accepter ou ne pas accepter. Et il y a certaines choses à garder à l'esprit à propos de la divulgation: vous ne pouvez pas avoir les cases cochées par défaut et vous ne pouvez pas utiliser ces "Termes et Conditions" denses, sans fin et légaux comme divulgation.
Un citoyen de l'UE peut choisir de ne pas accepter votre divulgation et il doit exister un moyen pour lui de dire "non". Toutefois, si les informations que vous demandez sont nécessaires à la fourniture du bien ou du service (numéro de carte de crédit ou adresse de livraison, par exemple), vous n'êtes pas obligé de vendre le produit.
Notez que les règles s'appliquent aux deux parties de votre côté de la transaction, ce qui signifie que vous et la compagnie de carte de crédit. Si vous envisagez de vendre des produits à des Européens, vous devez alors confirmer que le processeur de votre carte de crédit respectera les règles du GDPR pour les clients de l’UE.
Le droit d'être oublié
Et, bien sûr, il y a le fameux "droit à l'oubli". Vous devez être en mesure de supprimer le nom et les informations personnelles de tout citoyen de l'UE sur demande. Cela signifie que n’importe où, y compris les sauvegardes, où ces informations peuvent résider. Vous devrez pour cela savoir où se trouvent vos données et leur contenu, ce que vous ne pouvez probablement pas faire maintenant.
Il y a des limites au droit d'être oublié. Par exemple, si vous devez conserver certaines données, par exemple pour satisfaire à certaines exigences de la loi HIPAA (loi sur la responsabilité en matière d'assurance maladie) ou à la Commission de la sécurité des changes (SEC), vous devez vous conformer aux exigences légales. Mais au-delà, vous devez pouvoir supprimer ces données personnelles sur demande.
Si tout cela ressemble à une douleur au cou, alors vous avez peut-être raison. Vous pouvez également examiner les exigences de l’UE en matière de GDPR comme une occasion de rationaliser vos opérations de sécurité dans leur intégralité. Par exemple, si vous stockez et gérez toutes vos données de manière à répondre aux exigences du GDPR, votre opération sera beaucoup plus sécurisée.
De même, si vous exportez ces "Termes et Conditions" longs, difficiles à lire, et les remplacez par des déclarations d'intention claires et demandez un accord, vos clients l'apprécieront. En outre, si vous arrêtez de stocker des données dont vous n'avez pas réellement besoin mais que vous devez protéger, votre vie est simplifiée et votre risque de violation est réduit, car les pirates ne peuvent pas voler ce qui n'y est pas.
De manière réaliste, le GDPR codifie les meilleures pratiques en matière de gestion des données des autres utilisateurs par votre organisation. Trouver un moyen de respecter ces règles aidera votre organisation dans son ensemble.
