Savez-vous comment traiter les données sous GDPR ? Passez ensuite ce test rapide.

Publié: 2018-03-10
Savez-vous comment traiter les données sous GDPR ? Passez ensuite ce test rapide.

Certains quiz vous disent si votre personnalité est plutôt un « printemps » ou un « automne ».

Certains vous disent si l'Autorité de protection des données a ou non le droit légal d'imposer une amende de millions de dollars à votre entreprise.

Devinez lequel c'est.

C'est le moment de jouer, est-ce que ce GDPR est conforme ?

1.

Conforme au RGPD ?
  1. Ceci est conforme.
  2. Ce n'est pas conforme.
  3. Hmm… nous avons besoin de plus d'informations.

2.

Conforme au RGPD ?
  1. Ceci est conforme.
  2. Ce n'est pas conforme.
  3. Hmm… nous avons besoin de plus d'informations.

3.

Conforme au RGPD d'Oli Gardner ?
  1. Ceci est conforme.
  2. Ce n'est pas conforme.
  3. Hmm… nous avons besoin de plus d'informations.

4.

SuperOffice conforme au RGPD ?
  1. Ceci est conforme.
  2. Ce n'est pas conforme.
  3. Hmm… nous avons besoin de plus d'informations.

5.

Conforme au RGPD ?
  1. Ceci est conforme.
  2. Ce n'est pas conforme.
  3. Hmm… nous avons besoin de plus d'informations.

6.

Waitrose est-il conforme au RGPD ?
  1. Ceci est conforme.
  2. Ce n'est pas conforme.
  3. Hmm… nous avons besoin de plus d'informations.

sept.

Conforme au RGPD de Woolworths ?
  1. Ceci est conforme.
  2. Ce n'est pas conforme.
  3. Hmm… nous avons besoin de plus d'informations.

8.

Santander est-il conforme au RGPD ?
  1. Ceci est conforme.
  2. Ce n'est pas conforme.
  3. Hmm… nous avons besoin de plus d'informations

9.

Conforme au RGPD ?
  1. Ceci est conforme.
  2. Ce n'est pas conforme.
  3. Hmm… nous avons besoin de plus d'informations.

dix.

Lancôme conforme au RGPD ?
  1. Ceci est conforme.
  2. Ce n'est pas conforme.
  3. Hmm… nous avons besoin de plus d'informations.

11.

Conforme au RGPD ?
  1. Ceci est conforme.
  2. Ce n'est pas conforme.
  3. Hmm… nous avons besoin de plus d'informations.

Corrigé

  1. B
  2. B
  3. B
  4. UN
  5. B
  6. B
  7. UN
  8. B
  9. UN
  10. C
  11. C

Si vous avez… 11 sur 11

Félicitations! Vous êtes une superstar GDPR… ou quelque chose comme ça.

Les titres, les distinctions et les badges ne sont pas importants. Mais la conformité GDPR l'est beaucoup.

Et il semble bien que vous connaissiez bien le traitement des données personnelles (à moins que vous ne l'ayez deviné), que ce soit pour les cookies, les e-mails ou les données sensibles.

Alors, tapotez-vous dans le dos. Partagez votre sagesse. Préparez vos collègues. Et relisez les explications ci-dessous, s'il y a quelque chose dont vous n'êtes pas sûr.

Si vous avez… rien de moins que 11 sur 11.

Ce truc est dur

Bien. Nous avons compris. Ce truc est dur.

Vous voudrez peut-être continuer à lire….

Vous en manquez un ? Devinez plusieurs fois ? Besoin d'un rappel ? Voici une ventilation rapide.

1.B

Hé, regardez, c'est cet exemple que vous avez peut-être vu sur Internet !

C'est vrai mes amis, ne cochez pas vos cases de consentement à l'avance. Les gens doivent donner leur consentement activement maintenant.

"Je voulais juste cliquer sur le bouton "Suivant". Je n'ai même pas vu cette case à cocher. Maintenant, je suis sur votre liste de diffusion ? » – n'est jamais une chose à laquelle vos utilisateurs devraient penser.

Voici ce que dit le RGPD sur le traitement du consentement, pour le rendre officiel :

Consentement» de la personne concernée désigne toute indication librement donnée, spécifique, informée et non équivoque de la volonté de la personne concernée par laquelle elle, par une déclaration ou par une action affirmative claire, signifie son accord au traitement des données à caractère personnel la concernant ou elle – Article 4

Clair, affirmatif, action. Gardez ces cases vides.

2.B

Non, non conforme.

La clé ici est ce qu'on appelle le "groupement", qui n'est pas autorisé par le RGPD. Voici quelques citations différentes qui donnent à cela un "non".

« Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite portant également sur d'autres matières, la demande de consentement doit être présentée d'une manière qui se distingue nettement des autres matières (…) » – article 7, paragraphe 2

« Le consentement doit couvrir toutes les activités de traitement effectuées dans le même but ou dans le même but. Lorsque le traitement a plusieurs finalités, le consentement doit être donné pour toutes » – Considérant 32

Alors, assister à un événement ? C'est clairement un « objectif différent » d'un bulletin mensuel. Le consentement doit être demandé séparément.

3.B

Cela ressemble à notre formulaire d'adhésion standard et persuasif. Et c'est toutes sortes de non-conformité.

Tout d'abord, cela demande de collecter beaucoup d'informations qui ne sont pas nécessaires pour amener la personne concernée à son objectif (c'est-à-dire : lui envoyer le PDF qu'elle s'engage à recevoir). Cela va à l'encontre de l'exigence RGPD de minimisation des données, ou de « confidentialité dès la conception ». La meilleure pratique ici est la suivante : si vous collectez des informations et que la raison pour laquelle vous les collectez n'est pas claire, vous devez le faire savoir à vos utilisateurs.

Facebook offre un excellent exemple de la façon de bien faire les choses :

Facebook offre un excellent exemple

De plus, cet exemple, encore une fois, est un regroupement.

C'est un regroupement légèrement moins flagrant que l'exemple précédent. Ici, en acceptant de recevoir le PDF, vous consentez au moins à recevoir du contenu. Un abonnement à une liste de diffusion et un téléchargement, à cet égard, ont un « objectif » similaire. Pourtant, formulé comme il est, vous auriez du mal à les encadrer comme "les mêmes". Le consentement doit donc être donné séparément.

4. Un

Hé non celui-ci est plutôt bien !

Maintenant, vous pourriez faire valoir qu'ils n'ont pas besoin de collecter le nom d'une entreprise ou un numéro de téléphone ici. Ainsi, en s'adaptant à la confidentialité dès la conception, ces champs doivent être omis.

Mais étant donné que votre objectif d'utilisateur ici est de tester un CRM, et vous savez, de gérer les relations avec les clients pour leur entreprise, il est logique que le SuperOffice veuille savoir qui est cette entreprise.

Donc, nous leur donnerons un laissez-passer.

Vérifiez également à quel point ces cases sont jolies, segmentées et décochées. Ils demandent un opt explicite dans leur politique de confidentialité. Ils ont demandé un consentement distinct et actif.

Lorsque GDPR est mis en place, cela devrait voler.

5.B

Ils. étaient si. proche.

Jusqu'à cette deuxième case à cocher et la mention des tiers.

Sous GDPR, tout tiers avec lequel vous souhaitez partager vos données doit être nommé. « Tiers de confiance » n'est pas assez clair. Les catégories ne fonctionnent pas. Si quelqu'un veut accepter d'entendre des tiers, il doit savoir exactement qui sont ces parties.

6.B

Donc, la bonne nouvelle est… qu'ils ont eu raison des tiers.

Ils ont obtenu le droit de consentement dégroupé.

Mais il s'agit d'un opt-out, pas d'un opt-in.

Vous serez contacté à moins que vous ne cochiez « non ».

Cela ne ressemble pas à un consentement affirmatif et actif pour moi.

7. Un

10/10.

Opt-in granulaire Woolworth NAILS.

Si vous vous demandez pourquoi j'ai été irrationnellement enthousiasmé par cet exemple, c'est quelque chose que beaucoup de formulaires bousillent.

Une erreur courante est de demander le consentement pour envoyer des documents, mais d'oublier de séparer le "comment".

Donc un rappel : si vous souhaitez envoyer des SMS, vous avez besoin d'un consentement spécifique pour envoyer des SMS. Si vous souhaitez envoyer des e-mails, vous avez besoin d'un consentement distinct et spécifique pour envoyer des e-mails.

Woolworth vous indique également exactement quel type de matériaux vous recevrez d'eux. C'est une bonne idée, à la fois pour la conformité au RGPD et pour persuader votre public de s'inscrire.

8.B

Une minute de silence pour le soft opt-in, car le RGPD l'a tué.

Les cookies, avec des identifiants uniques, sont des données personnelles au sens du RGPD.

Et comme vous vous en souvenez, les données personnelles nécessitent un consentement actif, sans ambiguïté, spécifique, yada yada yada.

Cela signifie que l'absurdité "en utilisant ce site, vous acceptez" n'est plus légale. Et vous ne pouvez pas commencer à exécuter des cookies tant que vous n'avez pas obtenu un oui affirmatif.

(Il s'agit d'un sujet vaste, compliqué et désordonné, qui a à voir avec l'intersection du RGPD et de la confidentialité électronique. Vous pouvez en savoir plus à ce sujet ici).

9. Un

Magnifique

Cela fait tout ce que le numéro 8 a fait à tort, c'est vrai.

Il vous indique exactement à quoi servent ces cookies. Et puis cela vous donne une option claire pour les accepter ou ne pas les accepter.

Et pour une touche finale, il vous permet de développer et de sélectionner les cookies avec lesquels vous êtes d'accord et pas d'accord.

C'est une chose de beauté, d'un point de vue juridique.

(D'un point de vue marketing, cependant, vous n'avez pas vraiment donné à vos utilisateurs de raison de s'inscrire ou non. Peut-être qu'une meilleure explication des avantages des cookies de votre site pourrait vous aider dans cette entreprise).

10.C

Donc, une sorte de question piège.

Comme nous l'avons mentionné, si nous parlons d'un consentement approuvé par le RGPD, cela échoue. Les cases pré-cochées sont un "non".

Mais si nous nous demandons « Est-ce que Lancôme a le droit d'envoyer un e-mail à cette personne ? », nous avons encore quelques éléments à évaluer.

Parce qu'au cas où cela ne suffirait pas, le consentement n'est pas le seul moyen de traiter légalement des données personnelles .

Entrez : la condition d'intérêts légitimes.

Mais ne vous excitez pas. Le traitement des données en raison d'« intérêts légitimes » perçus est délicat.

Cette condition concerne davantage les situations « J'avais besoin de traiter leur numéro de compte pour effectuer des services de prévention de la fraude ».

Pas « Je pensais légitimement qu'ils étaient intéressés alors… je leur ai envoyé un tas d'e-mails sans consentement ».

Mais une chose qui semble donner le feu vert aux gens concerne les données des clients existants.

Voici la ligne dans la législation dont ils parlent:

« Un tel intérêt légitime pourrait exister, par exemple, lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que lorsque la personne concernée est un client ou au service du responsable du traitement. ” –Considérant 47

La clé ici est de vous demander : "Est-ce que l'exécution de cette action me conduirait (la personne concernée) à raisonnablement m'attendre à ce que mes données soient utilisées de cette manière ?"

Donc, si j'achète une chemise, puis-je raisonnablement m'attendre à recevoir un e-mail confirmant mon achat ? (Sans consentir explicitement à recevoir des emails ?).

Ouais, vous avez un assez bon cas, l'intérêt légitime s'applique ici.

Qu'en est-il d'un avis indiquant qu'il y a une énorme remise la semaine prochaine sur un produit similaire ?

Votre étui s'amincit un peu.

E-mails hebdomadaires ?

Papier mince.

Pour être honnête, au-delà de vos confirmations de commande standard, nous ne prendrions aucun risque. Demander le consentement (correctement !) Est le moyen le plus sûr de vous assurer que vos bases sont couvertes.

Mais si vous voulez vraiment utiliser la condition d'intérêt légitime pour traiter des données personnelles, nous vous prions de lire ceci en premier.

11.C

UN AUTRE TWIST AMUSANT SUR CELUI-CI.

Le RGPD définit une catégorie distincte de données appelées "données personnelles sensibles". Et les exigences de traitement sont différentes pour ce type d'informations.

Je vais vous l'avouer tout de suite, ce n'est pas le meilleur exemple. C'était donc une question cruelle, et c'est un peu exagéré. (Il y a une discussion compliquée en cours en ce moment pour savoir à quel moment le poids d'une personne compte comme donnée de santé du point de vue de la confidentialité des données, si cela vous intéresse).

Voici le libellé exact de l'article 9 sur les données considérées comme "sensibles" :

Les données personnelles sensibles désignent les données personnelles consistant en des informations sur -

(a) l'origine raciale ou ethnique de la personne concernée,

(b) ses opinions politiques,

c ) ses croyances religieuses ou autres croyances de même nature,

(d) s'il est membre d'un syndicat (au sens de la loi de 1992 sur les syndicats et les relations de travail (consolidation)),

e) sa santé ou son état physique ou mental,

(f) sa vie sexuelle,

(g) la commission ou la commission présumée par lui d'une infraction, ou

(h) toute procédure pour toute infraction commise ou supposée avoir été commise par lui, le règlement de cette procédure ou la sentence de tout tribunal dans cette procédure.

Supposons donc que cette application collecte ce qui, à coup sûr, compte comme des données sur la "santé ou l'état physique ou mental" d'un sujet. Il pose des questions sur les conditions médicales antérieures, il enregistre votre poids et votre tension artérielle, ou vos habitudes de sommeil, au fil du temps.

S'il collecte des informations qui sont considérées comme des données personnelles sensibles, alors quoi ?

Si les données personnelles de cette application n'étaient pas sensibles, cela semble être un formulaire d'admission assez conforme. Il semble qu'il devrait s'agir d'une affaire d'intérêts légitimes clairs.

Vous vous inscrivez pour utiliser l'application. Vous souhaitez utiliser l'application. Vous consentez à utiliser l'application.

Et l'application suit votre condition physique.

Bien sûr, il vous semble légitime qu'ils vous demandent des données sur votre condition physique. De plus, il y a une politique de confidentialité accessible et un énoncé des conditions générales si vous voulez savoir comment ces données sont utilisées.

Mais il y a des conditions de traitement supplémentaires que nous devons suivre, s'il s'agit de "données personnelles sensibles".

  1. Les intérêts légitimes ne comptent plus comme condition de traitement.
  2. Si vous choisissez de traiter sur la base de la condition de consentement, il n'est plus seulement nécessaire qu'il soit « sans ambiguïté », il doit être « explicite ».

Cela signifie qu'il ne suffit pas de cliquer sur un bouton "Inscrivez-moi".

GDPR dit que vous avez besoin d'une déclaration qui «préciserait la nature des données qui sont collectées, les détails de la décision automatisée et ses effets, ou les détails des données à transférer et les risques du transfert» (Directive 95/46/ CE, article 29).

Ou, comme l'ICO le décompose :

Cela suggère que le consentement de l'individu doit être absolument clair. Il doit couvrir les détails de traitement spécifiques ; le type d'information (ou même l'information spécifique) ; les finalités du traitement ; et tout aspect particulier susceptible d'affecter la personne, comme toute divulgation pouvant être faite.

ET PUIS, une fois que les gens savent tout cela, vous devez solliciter une action explicite de leur part. Par exemple, cocher une case indiquant « J'accepte » ou « Je consens ».

Fondamentalement : ils doivent savoir tout ce que vous faites avec ces données. Et ils devraient vous dire clairement qu'ils sont d'accord avec ça, avec une action positive.

DONC, s'il s'agit de données personnelles sensibles, il ne suffit pas de jeter votre politique de confidentialité et vos conditions d'utilisation en petits caractères après le formulaire. Vous devez vous assurer que les gens ont eu la possibilité de le lire, puis de cocher une case ou de cliquer sur un bouton indiquant « J'accepte ».