Êtes-vous conforme au RGPD ?

GDPR-compliant

3 ans plus tard – êtes-vous conforme au RGPD?

Depuis mai 2018, le RGPD a considérablement changé la manière dont nous collectons et traitons les données, et les vagues que cette réglementation a créées dans le sphère du marketing en ligne se font encore sentir.
Trois ans plus tard, nous examinons comment le paysage numérique a évolué et nous vous donnons l’opportunité de tester votre conformité au RGPD.

Votre entreprise est-elle conforme au RGPD? Voyons voir.

  • If you’re supposed to have a DPO (GDPR art.37), have you appointed one?
  • Have you updated the cookies banner on your website?
  • Can users easily refuse the cookies on your website before they are active?
  • Do you erase data after a defined and justified retention period?
  • How long is it taking you to deal with data subject requests?
  • Do you ensure the transparency of the data that you collect on your website or in your forms, in a complete and accurate way?
  • Have you ensured transparency when processing your employees’ data? Via an internal privacy policy for example.
  • Have you formalised the relationship with all of your PII sub-contractors? Or put in place other contractual guarantees regarding the processing of PII?
  • Do you maintain a record of your processing activities ?
  • Do you process data with US sub-contractors?
  • Have you implemented the safeguards set out in chapter 5 of the GDPR and have you taken the additional protective measures following the SCHREMS 2 ruling?
  • Have you made your employees aware of data protection, and have you included security and confidentiality clauses in your business rules?

Un rapide historique du RGPD

Le Règlement Général sur la Protection des Données (RGPD) a été adopté par l’Union Européenne le 16 avril 2016, et est entré en vigueur le 18 mai 2018. Ce règlement a été mis en place afin de renforcer le contrôle et les droits dont disposent les individus sur leurs données personnelles. Il s’agit d’un règlement, et non d’une directive, qui est donc directement applicable et contraignant, sans aucune flexibilité pour les différents États membres.

Le RGPD est basé sur 7 principes :

  • La légalité, l’équité et la transparence – l’utilisateur doit comprendre ce que vous traitez comme données, pourquoi et comment
  • La limitation de la finalité – les données ne peuvent être collectées que dans un but clair, spécifique et légitime
  • La minimisation des données – seules les données nécessaires peuvent être collectées
  • L’exactitude – toutes les données collectées doivent être exactes et à jour, sinon elles doivent être supprimées ou corrigées
  • La limitation de la conservation – les données liées à un individuel ne peuvent être conservées que pendant une période de temps prédéterminée
  • L’intégrité et la confidentialité – toutes les données personnelles doivent être sécurisées et protégées
  • La responsabilité – une entreprise est responsable pour les données qu’elle collecte et détient

Quels ont été les points de discussion liés au RGPD l’année dernière ?

Les conversations liées au RGPD au cours de l’année écoulée ont tourné autour de 2 sujets principaux:

Le Privacy Shield est un cadre juridique EU-USA conçu pour fournir aux entreprises des deux côtés de l’Atlantique un mécanisme leur permettant de se conformer aux exigences en matière de protection des données lorsqu’elles transfèrent des données personnelles de l’Union européenne vers les États-Unis, en soutien au commerce transatlantique.

Cette loi est entrée en vigueur le 12 juillet 2016 mais a été depuis été annulée par les tribunaux, notamment le 16 juillet 2020. L’UE souhaite protéger les données personnelles de ses ressortissants, tout en encourageant la collaboration transfrontalière et le commerce international. Mais l’Union européenne et les États-Unis ont des points de vue diamétralement opposés sur la confidentialité des données, les Européens estimant que les données d’un individu sont privées à moins qu’il n’accepte de les partager, alors que les Américains pensent que les données sont publiques sauf si l’individu demande qu’elle soient privées. Il est dans l’intérêt de tous que le Privacy Shield doit être remplacé, et il devrait l’être, mais il s’avère être un véritable cauchemar juridique.

La fin précoce et abrupte du Privacy Shield cause des difficultés considérables aux entreprises qui externalisent (ou utilisent) des solutions de traitement des données aux États-Unis, mais qui collaborent également avec des entreprises américaines en Europe. En effet, l’arrêt de la Cour de justice européenne a confirmé que le traitement des données ne peut être effectué qu’en dehors de l’UE, ou en dehors des États concernés et sous certaines conditions. Le pays de destination doit offrir des garanties de confidentialité aussi proches que possible de celles prévues par le GDPR. Et ce n’est actuellement pas le cas pour les États-Unis et les entreprises américaines, en raison de leurs programmes de surveillance (Cloud Act). Par conséquent, collaborer avec ces entreprises ou traiter des données dans des pays ayant des programmes de surveillance des données dans leur législation est devenu plus complexe, mais toujours possible bien sûr, en prenant les mesures juridiques et techniques nécessaires pour protéger ces données. La Commission européenne a publié de nouvelles clauses contractuelles à mettre en œuvre, et le Conseil européen de la protection des données a émis des recommandations sur la mise en œuvre de mesures supplémentaires indispensables à la conformité de ces traitements.

De nombreux progrès ont donc été réalisés en termes d’application du RGPD depuis mai 2018, et pas seulement en Europe, mais aussi dans d’autres parties du monde, où de nouvelles lois sur la protection des données ont également été mises en oeuvre, comme le CCPA (California Consumer Privacy Act) en Californie, qui sera bientôt mise à niveau en CPRA (California Privacy Rights Act).

En ce qui concerne les cookies, la majorité des autorités de protection des données durcissent les règles sur le consentement aux cookies. La ligne officielle est que dans le cadre du GDPR, le consentement implicite n’équivaut pas au consentement. L’Union européenne veut promouvoir des options simples, significatives et équitables pour le consentement aux cookies. Les options d’acceptation ou de refus des cookies doivent être mises en œuvre conformément au GDPR.

La disparition des third-party cookies au cours des deux prochaines années signifie que les entreprises devront s’appuyer encore plus sur les données first- et zero-party qu’elles collectent auprès de leur public, la mise en place d’une stratégie de collecte de données efficace et conforme au GDPR sera donc essentielle.
Vous voulez en savoir plus? Téléchargez et lisez notre e-book à ce sujet.

ebook-2-years-gdpr-how-affected-marketers-facebookDOWNLOAD OUR E-BOOK →

Et pour la suite?

Le RGPD est à présent appliqué dans toute l’Union européenne, malgré la résistance de certains pays. Il y a toutefois une inquiétude croissante que l’implémentation n’est pas aussi approfondie partout, ce qui pourrait entraîner des divergences et une certaine fragmentation dans l’application du règlement. Dans les mois à venir, l’UE souhaite s’assurer que tous les États membres sont alignés, pour éviter que cela ne se produise.
À l’avenir, l’Union européenne a comme projet de faciliter la mise en conformité des PME (petites et moyennes entreprises), en mettant du soutien et des outils complémentaires à leur disposition.
Plusieurs grandes entreprises ont été condamnées à des amendes salées au cours des 3 dernières années (50 millions d’euros pour Google, 18,4 millions d’euros pour Marriott International et 35 millions d’euros pour H&M, pour n’en citer que quelques unes), et l’UE promet qu’il y en aura d’autres si les entreprises ne se conforment pas au RGPD.
Un autre texte législatif européen se profile dans un avenir pas trop lointain : le règlement ePrivacy, considéré par beaucoup comme le vilain jumeau du RGPD. Ce nouvel ensemble de règles remplacera la directive ePrivacy de 2002 et ira plus loin que juste les cookies et le suivi publicitaire, il sera également d’application pour toutes les communications électroniques. La finalisation de cette législation s’avère compliquée pour l’instant car tous les États membres ne s’entendent pas sur l’étendue de son application, et il ne devrait donc pas avoir force de loi avant 2025.
L’année qui vient sera donc à nouveau très intéressante en termes de RGPD et des autres législations de protection de données – nous vous tiendrons bien sûr informés des développements majeurs!

Comment Qualifio peut vous aider à être conforme au RGPD

Le marketing interactif est de plus en plus considéré comme l’un des meilleurs moyens pour les marques et médias de collecter des données first- et zero-party qui sont conformes au RGPD. Les consommateurs sont plus susceptibles de partager leurs données avec une entreprise s’ils obtiennent quelque chose en retour, les résultats d’un test de personnalité par exemple, ou la possibilité de gagner un prix alléchant.

En créant une campagne interactive dans Qualifio, les marques peuvent accéder à la boîte à outils RGPD, afin de s’assurer que leur campagnes sont conformes et cochent toutes les cases nécessaires.

Découvrez comment Qualifio peut vous aider avec la collecte de données, grâce à plus de 50 formats de campagnes marketing interactives qui sont faciles à créer et à publier.

CONSULTEZ LA SECTION RGPD DE NOTRE BLOG →

Make your life easier by embedding interactive content with oEmbed

qualifio

Qu’est-ce que Qualifio ?

Qualifio est la plateforme de référence dans le marketing interactif et la collecte de données. Elle vous permet de créer et de publier facilement des contenus viraux (quiz, jeux-concours, enquêtes et 50+ autres formats) sur tous vos canaux.En savoir plus