Ne vous laissez pas piéger par ces 6 mythes du RGPD

Nous sommes à quelques mois terrifiants du jour de la mise en œuvre du RGPD et Internet regorge de mauvais conseils.

Le nombre d'articles de blog et de réponses Quora que j'ai vus jonchés de feux verts, qui devraient être ROUGES, est stupéfiant.

Et comme nous, chez Convert, avons passé de plus en plus de temps à apprendre, à lire et à nous arracher les cheveux sur ce nouveau projet de loi important et important, plus mon cerveau a commencé à sonner l'alarme.

"Ce comportement standard de l'industrie est maintenant mauvais ", dit-il. "VOUS DEVEZ LES AVERTIR."

Alors ici.

Ce sont les 6 gros mensonges que les gens croient à propos du GDPR que les gens se trompent et que nous devons tous corriger d'ici le 25 mai.

Mythe n°1 : cela n'affecte que l'UE.

Si seulement.

L'une des choses les plus ambitieuses concernant le GDPR est la façon dont il élargit le champ d'application législatif des politiques de confidentialité des données. Désormais, il existe un texte législatif global fixant les règles dans toute l'UE.

Mais au-delà de cela, le RGPD est important pour quiconque traite les données des citoyens de l'UE.

Même si votre entreprise est basée ailleurs - si vous avez des visiteurs Web qui sont des citoyens de l'UE et que vous les suivez avec des cookies - vous êtes censé appliquer le RGPD. Si vous collectez les e-mails des personnes concernées européennes, si vous stockez leur adresse IP, si vous interagissez avec leurs données, vous êtes lié aux mêmes nouvelles règles que toute personne disposant d'un serveur basé dans l'UE.

Et honnêtement, même si vous êtes sûr à 100 % que vous ne traitez pas les données de l'UE, la conformité au RGPD est un bon pas dans la bonne direction. Partout, les lois sur la protection de la vie privée évoluent. Le Canada travaille sur une nouvelle législation avec la Loi sur la protection des renseignements personnels.

Les données sont de plus en plus une forme précieuse de monnaie. Ce qui rend la législation sur les données plus importante que jamais.

Mythe #2 : Je peux justifier mes cookies/emails froids/etc. en raison d'un "intérêt légitime".

La condition d'intérêt légitime est… compliquée.

Bien que cela puisse (momentanément) vous laisser un peu de répit pour certains types d'e-mails froids, ce n'est pas aussi utile que les spécialistes du marketing pourraient l'espérer.

Pour revenir un peu en arrière, le RGPD décrit 6 conditions juridiques différentes pour le traitement des données. Les deux critères pertinents pour les spécialistes du marketing semblent être : le consentement de la personne concernée et les « intérêts légitimes ».

Solliciter le consentement nécessite que vous remplissiez toutes sortes de conditions - il doit être actif, non ambigu, affirmatif, etc.

Comparativement, les « intérêts légitimes » semblent être une promenade dans le parc. Mais l'intention de cette clause n'était pas « J'ai légitimement pensé qu'ils étaient intéressés… alors, je peux leur envoyer ce que je veux, n'est-ce pas ?

Voici ce que l'ICO (l'organisme britannique de réglementation des données) vous recommande de confirmer avant de décider de traiter les données….

• Nous avons vérifié que l'intérêt légitime est la base la plus appropriée.
• Nous comprenons notre responsabilité de protéger les intérêts de l'individu.
• Nous avons effectué une évaluation des intérêts légitimes (LIA) et en avons conservé un enregistrement, afin de nous assurer que nous pouvons justifier notre décision.
• Nous avons identifié les intérêts légitimes pertinents.
• Nous avons vérifié que le traitement est nécessaire et qu'il n'existe pas de moyen moins intrusif pour obtenir le même résultat.
• Nous avons effectué un test de mise en balance et sommes convaincus que les intérêts de l'individu ne l'emportent pas sur ces intérêts légitimes.
• Nous n'utilisons les données des individus que d'une manière à laquelle ils s'attendraient raisonnablement, sauf si nous avons une très bonne raison.
• Nous n'utilisons pas les données des utilisateurs d'une manière qu'ils trouveraient intrusive ou qui pourrait leur causer du tort, sauf si nous avons une très bonne raison.
• Si nous traitons les données des enfants, nous prenons des précautions supplémentaires pour nous assurer que nous protégeons leurs intérêts.
• Nous avons envisagé des mesures de protection pour réduire l'impact dans la mesure du possible.
• Nous avons examiné si nous pouvions proposer un opt-out.
• Si notre LIA identifie un impact significatif sur la vie privée, nous avons examiné si nous devions également mener une DPIA.
• Nous gardons notre LIA sous examen et le répétons si les circonstances changent.
• Nous incluons des informations sur nos intérêts légitimes dans notre avis de confidentialité.

Donc, si vous voulez vous fier à des intérêts légitimes, vous devez confirmer ces éléments. Et vous devez documenter votre processus. Et vous devez décider à l' avance que vous traitez avec la condition d'intérêts légitimes. Cela ne peut pas simplement être votre solution parce que vous avez demandé le consentement de manière incorrecte.

Mythe #3 : Je dois nommer un Délégué à la Protection des Données.

Le RGPD conseille à certaines entreprises de nommer un délégué à la protection des données, pour superviser la transition et la sécurité de leurs données à l'avenir.

Et les pouvoirs en place ont assez clairement indiqué que les autorités publiques devraient en nommer un. Et les entreprises dont la fonction première consiste à traiter des données, ou à les surveiller systématiquement. Et si vous traitez régulièrement des catégories particulières de données, comme les données de santé ou les affiliations religieuses et politiques, vous devriez probablement avoir un DPO dans votre équipe.

Mais ces conditions mises à part, honnêtement, il n'y a pas de règle stricte quant au moment où votre entreprise est suffisamment grande pour mandater l'embauche d'un DPO. Ou lorsque les données que vous gérez sont suffisamment complexes pour que vous en ayez besoin. 250 employés, c'est une règle empirique souvent malmenée.

En général, il semble que les PME qui traitent vos types et quantités de données standard, à des fins de marketing, puissent se débrouiller avec des conseils juridiques solides et un dévouement absolu à la transparence des données.

Mythe #4 : C'est une bonne façon de demander le consentement.

Ceci étant…

Non! Le consentement doit être actif. Vous ne pouvez pas laisser vos cases pré-cochées.

Non! C'est le regroupement. Vous devez demander le consentement pour des processus distincts, séparément. Vous ne pouvez pas simplement ajouter des abonnements à une « newsletter mensuelle » avec des inscriptions à des événements.

Non! Nommez vos tiers ou ça ne compte pas !

Non, les cookies persistants nécessitent maintenant un consentement explicite et actif. Comme dans, quelqu'un doit cliquer sur une chose ou cocher une case qui dit "Je consens". Ils ne le donnent pas simplement en continuant à naviguer.

Et les nuances continuent.

L'important, c'est que les règles de consentement ne sont plus ce qu'elles étaient.

Pour en savoir plus sur ce qu'ils sont maintenant, nous avons une ventilation plus substantielle ici.

Mythe #5 : Ce ne sont pas des données personnelles.

Le RGPD a élargi la portée des données personnelles, par rapport à ce qui était auparavant connu sous le nom d'"informations d'identification personnelle".

Nous présentons humblement ce tableau utile :

Les plus importants ici sont les cookies, qui sont un peu compliqués. Les types exacts de cookies qui seront considérés comme des données personnelles seront établis avec le nouveau Règlement ePrivacy.

À l'heure actuelle, il existe quelques exceptions pour les cookies dans le « secteur de la performance ». Ce sont les types qui collectent uniquement des informations sur l'utilisation du site Web, au profit de l'opérateur du site Web. Ils n'identifient pas les visiteurs, mais s'appuient plutôt sur des données agrégées.

Vous pouvez trouver une analyse approfondie de la manière dont le RGPD réglementera les cookies ici.

Mythe #6 : Tant que je mets à jour mes processus d'ici le 25 mai, je suis en sécurité.

En tant que spécialiste du marketing, c'est la condition GDPR qui me donne envie de m'arracher les cheveux.

Il s'applique rétroactivement.

Il s'applique à toutes vos données existantes.

Cela signifie que si vous avez collecté des e-mails, exécuté des cookies ou manipulé des données personnelles d'une manière qui n'est pas conforme au RGPD, toutes ces données stockées deviennent un problème le 25 mai.

Nous recommandons:

1. Que les cookies de votre site s'exécutent sur une durée de vie de 3, 6 ou 12 mois, c'est une bonne idée de les recommencer et d'effacer toutes les données personnelles qu'ils ont stockées.
2. Lancez une campagne de réautorisation pour essayer de sauver votre liste de diffusion existante.

C'est un mal de tête. Et c'est dommage de perdre certains de ces contacts pour lesquels vous vous êtes battu avec acharnement.

Mais, comme on dit…

Parfois, les choses s'effondrent pour que de meilleures choses puissent s'assembler et la confidentialité des données est également importante, nous devons donc tous respecter la loi.