Depuis le 25 mai 2018, le nouveau règlement général sur la protection des données (RGPD), mutuellement convenu au niveau européen, met à jour les règles concernant les données personnelles.
Le site web du RGPD de l’Union européenne affirme que ce règlement vise à « harmoniser » la législation relative à la protection de la confidentialité des données à travers l’Europe ainsi qu’à offrir une plus grande protection et plus de droits aux individus. Le RGPD contient des changements importants aussi bien pour le public que pour les entreprises et les entités qui gèrent des informations personnelles.
Les règles européennes de protection des données s’appliquent à toutes les données personnelles recueillies, traitées et stockées à l’intérieur de l’Union européenne, quelle que soit la citoyenneté ou la nationalité des individus concernés. Cela veut tout simplement dire que si vous faites des affaires en Europe, ou recueillez des données sur des utilisateurs européens, vous devez protéger leurs données en stricte conformité avec le règlement, comme si vous étiez vous-mêmes en Europe. Le RGPD s’applique à toutes les entreprises, organisations, secteurs, situations et scénarios, quels que soient la taille de l’entreprise, les effectifs, et le chiffre d’affaires. Un petit studio d’applis est tout aussi soumis à ces règles qu’une grosse corporation. Le RGPD aura un impact sur votre façon de travailler en termes de processus opérationnels et de planification de projet. Ces changements sont interdisciplinaires et devraient concerner le développement, l’expérience utilisateur, le marketing, le service juridique et les équipes de management.
Le RGPD introduit des changements significatifs et durables dans la manière dont les données des gens sont gérées et transforme les stratégies de marketing et de génération de leads. Ce règlement donne aux citoyens plus de pouvoir sur leurs informations personnelles, plus de contrôle sur leurs données, et leur permet de prendre des décisions avisées avant de donner des informations personnelles à une entreprise ou un professionnel.
Toutes les données personnelles, qu’elles soient sensibles ou non, sont couvertes par le RGPD
Au-delà des données personnelles, il y a en effet les données personnelles sensibles, qui sont définies comme étant des informations sur une personne : origine raciale ou ethnique, opinions politiques, croyances religieuses ou philosophiques, données sur la santé, vie sexuelle ou orientation sexuelle, condamnations pour des actes criminels.
Les données personnelles sensibles exigent une protection plus stricte que les données personnelles ordinaires, et les conséquences de fuites ou d’abus sont plus graves. Le RGPD étend la définition des données personnelles pour y inclure : les données génétiques, les données biométriques (comme la reconnaissance faciale ou les empreintes digitales), les données de localisation, les données rendues anonymes, les identifiants en ligne. Cette définition inclut des éléments comme les adresses IP, les identifiants d’appareils mobiles, les empreintes digitales des navigateurs, les adresses MAC, les cookies, les identifiants des comptes utilisateurs, et toute autre forme de données identifiant une personne réelle.
Se conformer au RGPD demande une connaissance approfondie de tout le cycle de vie des données et oblige à les protéger tout le temps, de leur récolte à leur suppression. Le RGPD exige l’adoption du cadre de la Protection de la vie privée dès la conception, une méthodologie de développement en sept points qui prescrit qu’une protection optimale des données soit fournie en tant que standard, par défaut, pour tous les usages et toutes les applications. Quand il est question des informations personnelles des utilisateurs, vous devez déclarer quelles sont les données que vous stockez, comment vous les avez obtenues, à quelles fins vous comptez les utiliser, et avec qui vous les partagez. Les politiques de confidentialité avec des phrases comme « Nous pouvons utiliser vos données personnelles pour développer de nouveaux services » ou « Nous pouvons utiliser vos données personnelles à des fins de recherche » ne passeront pas la barre sous ce nouveau régime. Dans ce cas, vous devez avoir des systèmes qui permettent de bloquer directement ou de supprimer des informations afin qu’elles ne soient pas utilisées à l’avenir. Aujourd’hui, la plupart des outils d’email marketing ont un lien qui désinscrit automatiquement les utilisateurs, donc cela ne devrait pas poser de problème.
RGPD : sanctionner les entreprises qui ne s’y conforment pas ?
Un des éléments du RGPD les plus discutés et les plus importants est le pouvoir des régulateurs de sanctionner les entreprises qui ne s’y conforment pas. Si une organisation ne traite pas les données individuelles de la bonne manière, elle s’expose à une amende. Le RGPD indique que les infractions mineures peuvent entraîner des amendes dont le montant peut s’élever jusqu’à 10 millions d’euros ou deux pour cent du chiffre d’affaires global de la firme (le plus élevé des deux). Les infractions aux conséquences plus graves peuvent conduire à des amendes de 20 millions d’euros ou quatre pour cent du chiffre d’affaires global de la firme (le plus élevé des deux).
Les fuites de données et les violations de la vie privée font les gros titres tous les jours, et tout le monde prend conscience du type de données qui sont recueillies, de la manière dont elles sont recueillies et de ce qui en est fait. Les obligations de protection de la vie privée répondent aussi bien à des considérations éthiques que simplement humaines, et ce type d’informations devrait être manié dans le respect des droits de tout citoyen. Ces procédures doivent être implémentées dans toutes vos stratégies afin qu’elles soient couronnées de succès, ou si voulez éviter de nuire à votre réputation ou à votre succès économique en enfreignant le RGPD.