Liste de contrôle GDPR pour les éditeurs et les propriétaires de sites web

Sauf si vous avez vécu sous un rocher pour les dernières semaines, vous avez très probablement été inondé de courriels sur PIBR. Si vous n'êtes pas dans la boucle, PIBR (General Data Protection Regulation) est une nouvelle série d'exigences liées à la protection des données personnelles des résidents de l'UE.

Les premières discussions ont débuté il y a six ans, mais un accord n'a pas été atteint sur ce que le PIBR final ressemblerait jusqu'au 2016 avril, lorsque la date limite de conformité a été fixée pour le 25 mai 2018. La frénésie de conformité n'a augmenté que le délai est venu et passé, et PIBR est maintenant officiellement en vigueur.

Alors, qu'est-ce que PIBR implique exactement, et qu'est-ce que cela signifie pour les propriétaires de sites Web et les éditeurs? Nous allons décomposer le besoin de savoir l'information dans cette liste de contrôle pratique.

Est-ce que PIBR vous affecte?

PIBR ne s'applique pas seulement aux entreprises de l'Union européenne; Il a une incidence sur toute entreprise, partout dans le monde, qui recueille, stocke ou traite les données des résidents de l'UE. Certaines entreprises sont plus fortement touchés que d'autres, cependant:

  • Entreprises qui traitent ou stockent un grand volume de données sur les consommateurs
  • Entreprises de technologie et marketing
  • Courtiers de données qui gèrent le traitement des données ou connectent des systèmes disparates
  • Éditeurs numériques/exploitants de sites Web

L'impact le plus important ? Il touche les entreprises dont le modèle économique repose sur la collecte et l'exploitation des données des consommateurs.

L'essentiel : Si vous collectez, utilisez, stockez ou accédez à des données provenant de résidents européens, le GDPR s'applique à vous. Lisez la suite pour savoir ce que les éditeurs - et toute personne chargée de superviser un site web - doivent savoir sur le GDPR.

Liste de contrôle de conformité PIBR

PIBR changements d'un coup d'œil

Qu'est-ce qui est différent au sujet de PIBR par rapport aux précédents règlements de protection des données qui étaient en place?

  • La définition de l'information privée est élargie et comprend maintenant toutes les données qui pourraient identifier un individu-soit directement ou indirectement. Cela inclut les numéros d'identification des périphériques, les données de géolocalisation, les adresses IP et même les ID de cookie.
  • Les données «catégorie spéciale» sont des données à caractère personnel qui sont classifiées comme étant plus sensibles et nécessitent donc une protection encore plus sûre. En plus de la race, de l'origine ethnique, de la politique, de la religion, de l'appartenance syndicale, de la santé, de la vie sexuelle et de l'orientation sexuelle, cela inclut maintenant des données génétiques et biométriques.
  • Vous avez besoin d'un consentement explicite pour partager des données personnelles sur n'importe quel résident de l'UE. Ce consentement doit être sans ambiguïté et obtenu spécifique à toutes les activités de traitement de données, permettant aux résidents de l'UE de consentir aux types de traitement de données qu'ils sont à l'aise avec. Fondamentalement, vos utilisateurs optent maintenant pour le traitement des données, et vous devez les informer qu'ils peuvent retirer leur consentement à tout moment.
  • Vous pouvez être condamné à une amende pour des violations, peu importe où votre entreprise est située.
  • Vous êtes responsable des violations, que vous soyez propriétaire des données (responsable du traitement) ou responsable du traitement des données. Cela signifie que même si votre entreprise ne fait que traiter des données pour le compte d'une autre entreprise, vous êtes responsable de la conformité aux normes GDPR. Assurez-vous de faire des recherches sur les mesures prises par vos fournisseurs pour se conformer à la réglementation et de comprendre comment continuer à utiliser leurs outils et services de façon responsable. (Par exemple, si vous utilisiez ShareThisdes réseaux sociaux boutons de partage, vous pouvez assurer une conformité aisée à l'aide ShareThisLe nouvel outil de conformité de la GDPR.)
  • Les éditeurs sont souvent propriétaires de données, ce qui signifie que vous êtes responsable de signaler des violations aux autorités compétentes dans les 72 heures de découverte.

Quelle est la différence entre un contrôleur de données et un processeur de données? Un contrôleur de données est l'entité chargée de déterminer traitement des données personnelles et pourquoi. Les processeurs de données, d'autre part, gèrent le traitement réel pour le compte du contrôleur. Les éditeurs sont, dans la plupart des cas, des contrôleurs de données.

Que savoir (et faire) si vous êtes un éditeur ou un opérateur de site Web

En tant qu'éditeur, vous donnez probablement à vos utilisateurs une variété de façons d'interagir avec votre contenu, à partir de boutons qui les laissent vous suivre sur réseaux sociaux, pour commenter les sections de vos articles, réagissez à votre contenu. La plupart des sites Web utilisent des cookies pour reconnaître les utilisateurs et offrir une expérience plus personnalisée. Toutes ces activités peuvent entraîner la collecte de données sur vos utilisateurs, ce qui laisse les éditeurs sur le crochet pour la conformité PIBR.

Nous avons divisé les étapes d'action et doit-dos chaque éditeur ou opérateur de site Web doit savoir pour se conformer à PIBR ci-dessous.

Essentiel à l'interne à-dos

  • Désignez une personne chargée de la conformité au GDPR. Certaines entreprises sont tenues de nommer un délégué à la protection des données (DPO) en vertu des nouvelles règles, notamment les autorités publiques et tous les processeurs de données qui opèrent à grande échelle, bien que cela ne soit probablement pas nécessaire pour les éditeurs à plus petite échelle. Même si vous n'êtes pas tenu de nommer un DPO, il est dans votre intérêt de désigner une personne chargée de diriger l'élaboration d'une stratégie de conformité au GDPR, de superviser la conformité en cours et de rester au fait des nouveaux développements du GDPR.
  • Formez votre personnel au GDPR. Toute personne qui touche les données des utilisateurs, des clients ou des visiteurs doit savoir qui, au sein de l'organisation, est responsable de la stratégie GDPR et comprendre quelles violations du GDPR peuvent se produire.
  • La documentation est votre nouveau meilleur ami. Documentez clairement toutes les étapes du processus de collecte, d'utilisation, de stockage et de partage des données personnelles, et assurez-vous que toute modification de ces processus est également documentée immédiatement.
  • Effectuez des audits réguliers. Pour vous assurer que votre entreprise reste conforme, vous devez régulièrement auditer votre environnement numérique, vos processus et votre documentation.

Gestion des fournisseurs

  • Évaluez vos fournisseurs et comprenez leur conformité. En tant qu'éditeur, vous travaillez probablement avec un certain nombre de vendeurs pour différentes facettes de votre activité, comme l'analytique et la publicité. Dans le cadre du GDPR, c'est à vous de déterminer si vos vendeurs sont conformes au GDPR. Les éditeurs travaillent souvent avec de nombreux fournisseurs tiers, et c'est le moment idéal pour évaluer et affiner ces partenariats. Soyez sélectif quant aux personnes avec lesquelles vous travaillez.
  • Communiquez votre politique en matière de données. Vous devrez peut-être réviser les contrats de vos fournisseurs pour y intégrer vos attentes en matière de traitement des données. Communiquez vos politiques en matière de données à chacun des fournisseurs avec lesquels vous travaillez, à quelque titre que ce soit, en rapport avec les données.
  • Définissez des processus de notification des violations dans vos contrats. En cas de violation des données, le fournisseur est tenu d'en informer le propriétaire des données (le responsable du traitement) dans les meilleurs délais. Il est bon de préciser par écrit ce processus, les délais et les autres exigences de notification.
  • Ne recueillez pas de données personnelles. Si l'une des données de vos utilisateurs tombe sous la définition de «données personnelles» de PIBR, prenez des mesures pour ne pas les collecter ou les partager avec des tierces parties sans le consentement explicite de l'utilisateur.

Gestion des utilisateurs

  • Élaborez de nouveaux avis de confidentialité. Comme nous l'avons mentionné précédemment, le consentement doit désormais être explicite et spécifique. Veillez donc à ce que vos avis soient rédigés dans un langage clair et facile à comprendre pour que les utilisateurs puissent accepter les activités de collecte et de traitement des données. Expliquez clairement quelles données vous voulez collecter, pourquoi et ce que vous prévoyez d'en faire, notamment comment elles seront stockées et si elles seront partagées avec des tiers.
  • Élaborez un processus pour informer les utilisateurs, obtenir leur consentement et le gérer. N'oubliez pas que les résidents de l'UE peuvent désormais retirer leur consentement pour toute activité de traitement des données à tout moment. Vous aurez donc besoin d'un processus clair et précis pour savoir quel consentement vous avez obtenu pour quelles personnes.  L'outil de conformité à la RGPD de ShareThis  permet de donner à vos utilisateurs le contrôle de leurs données.
  • Concevoir des stratégies pour permettre aux utilisateurs d'accéder à leurs données. En vertu du GDPR, les résidents de l'UE peuvent demander des copies de leurs données personnelles à tout moment, et les responsables du traitement des données doivent s'y conformer en temps voulu. Rendez les données personnelles accessibles aux utilisateurs et permettez-leur de corriger facilement toute inexactitude.
  • Développez des processus pour identifier les brèches et informer les utilisateurs et les autorités concernés. Si une violation se produit, vous et votre personnel devez connaître les prochaines étapes immédiates. Qui est chargé de notifier les autorités ? Comment déterminez-vous si vous devez informer les personnes concernées ? Quelles informations devez-vous inclure dans une notification de violation ? Toutes ces informations doivent être immédiatement accessibles, et une personne doit être chargée d'exécuter chaque étape (même si c'est la même personne qui s'occupe de chaque tâche).
  • N'oubliez pas le droit à l'oubli. En vertu du GDPR, les résidents de l'UE peuvent demander à ce que leur effacement des données. Les éditeurs (et toute entité soumise à PIBR) doivent se conformer en temps opportun, il est donc impératif d'avoir un processus défini pour répondre à ces demandes. Cela signifie également prendre des «mesures raisonnables» pour aviser les transformateurs ou autres tiers qui ont touché les données.

La conformité PIBR semble intimidante pour de nombreux éditeurs et propriétaires de sites Web, mais une fois que vous avez une prise ferme sur ce que les règlements impliquent, il est clair que ce sont de bon sens et (surtout) des exigences pratiques qui renforcent la vie privée des utilisateurs. Bien que vous aurez besoin de revoir les partenariats, réviser la langue du contrat, et de développer de nouvelles politiques et procédures, il vaut bien votre temps pour éviter les pénalités coûteuses, et, plus important encore, donner à vos utilisateurs la vie privée qu'ils méritent.

À propos de ShareThis

Depuis 2007,ShareThis libère la puissance du comportement numérique mondial en synthétisant les données relatives aux partages sociaux, aux intérêts et aux intentions. Grâce au comportement des consommateurs sur plus de trois millions de domaines mondiaux, ShareThis observe les actions en temps réel de personnes réelles sur des destinations numériques réelles.

S'abonner à notre newsletter

Recevez les dernières nouvelles, les conseils et les mises à jour

S'abonner

Contenu connexe