Deux semaines après le début de la phase d'application du RGPD, et maintenant ?

C'est finalement arrivé. Le règlement général sur la protection des données est finalement entré dans sa phase d'application le 25 mai 2018, mèmes et tout.

Malgré ce que craignaient de nombreux annonceurs, le monde n'a pas pris fin après que le RGPD soit entré dans sa phase d'application. Mais ça a changé. Crédit de l'illustration : Enseigner la confidentialité

L'industrie était-elle prête? Ces mises à jour de politique de dernière minute étaient -elles suffisantes ? Que se passe-t-il maintenant ? Dans cet article de blog, nous examinons comment les principaux acteurs se sont préparés pour la date limite, ce qui va arriver avec le GDPR en place et comment votre entreprise peut désormais travailler à la conformité.

Premières frappes sur les plus grands joueurs

Il n'a pas fallu longtemps pour que les plus grandes entreprises ressentent l'aiguillon des litiges. Quelques minutes seulement après l'entrée en vigueur du RGPD , le militant de la protection de la vie privée Max Schrems et son organisation None of Your Business ont intenté des poursuites contre Google et Facebook pour "consentement forcé". Les poursuites allèguent le non-respect des règles du RGPD sur le consentement particulier, car ces sociétés offrent aux utilisateurs une option tout ou rien - accepter ces conditions pour accéder à ce service - au lieu de leur permettre de consentir à certaines conditions et pas à d'autres.

Google et Facebook ont ​​répondu en insistant sur le fait qu'ils avaient pris les mesures adéquates pour se conformer au RGPD.

Ensuite, le groupe français de droits numériques La Quadrature du Net a emboîté le pas , déposant des plaintes supplémentaires contre Google, Facebook, Apple, Amazon et LinkedIn. Les plaintes sont similaires à celles déposées par Schrems et allèguent des violations via l'utilisation du consentement forcé. La Quadrature prévoit également de déposer des plaintes officielles contre Android, WhatsApp, Instagram, Skype et Outlook, bien qu'à ce jour, il n'ait pas encore pris de mesures officielles.

Comment Apple, Facebook et Google se sont préparés

Bien qu'il soit difficile de dire si les plaintes ont vraiment surpris l'une de ces entreprises, nombre d'entre elles avaient communiqué un sentiment général de préparation dans les jours précédant l'application.

Apple , par exemple, a lancé fin mai 2018 un nouveau site Web montrant aux clients quelles données personnelles il détient sur eux. Les clients Apple de l'UE peuvent désormais demander à voir ces données, de l'historique de connexion aux contacts, au calendrier, aux notes, aux photos et aux documents. Les clients peuvent également corriger les données, désactiver leur compte et supprimer toutes les informations. (Apple propose actuellement ce service uniquement dans les pays de l'UE, l'Islande, le Liechtenstein, la Norvège et la Suisse, mais prévoit de l'étendre à d'autres pays plus tard cette année.)

En avril 2018, Facebook a mis à jour son site Web avec des versions plus claires de ses conditions d'utilisation et de sa politique de données , donnant aux utilisateurs sept jours pour donner leur avis sur la nouvelle langue avant de la finaliser et de demander aux utilisateurs de l'accepter. Facebook a également révélé qu'il remanierait et rationaliserait les commandes de l'application pour faciliter la recherche des paramètres, en disant "au lieu d'avoir des paramètres répartis sur près de 20 écrans différents, ils sont désormais accessibles à partir d'un seul endroit".

Google a été l'un des premiers acteurs, car il a effectué des mises à jour liées au RGPD et informé les utilisateurs plus de six mois avant la date limite du RGPD. Les mises à jour les plus importantes ont été apportées aux modifications du traitement des données et aux conditions de sécurité pour G Suite et Google Cloud, qui les rendent plus faciles à comprendre afin de se conformer à l'exigence d'une « notification claire et transparente » de la manière dont les données seront utilisées. D'autres mises à jour incluent de nouvelles options et fonctionnalités pour l'exportation de données.

Qu'est-ce qui nous attend

L'impact total du RGPD reste à déterminer et dépendra en partie de la mesure dans laquelle les clients et les groupes d'activistes exerceront leurs nouveaux droits. Dans une enquête Forrester d'août 2017 auprès des consommateurs britanniques, 51 % des personnes interrogées ont déclaré qu'elles étaient au moins assez susceptibles d'exercer leurs nouveaux droits en vertu du RGPD. Cependant, l'exemple le plus couramment cité était la suppression de données - loin des poursuites à part entière.

Mais le plus gros avantage de cette nouvelle réglementation n'est pas que davantage de consommateurs examinent les entreprises, c'est que davantage d'entreprises examinent d'autres entreprises. Étant donné que le RGPD impose des responsabilités partagées à toutes les parties en contact avec les données personnelles, les entreprises examinent de plus près les processus et les actions de leurs partenaires commerciaux. C'est le véritable génie du RGPD, explique Simon McGarr, Director of Data Compliance Europe, dans un récent article de Quartz :

« L'Europe a beaucoup d'autorités de protection des données, mais elle n'en a pas assez pour frapper à toutes les portes. Ils ont donc intégré une structure de conformité à plusieurs niveaux dans la loi où vous vous retrouvez avec de grandes entreprises qui imposent la conformité aux petites entreprises, et ainsi de suite.

Les entreprises moins préparées qu'elles ne l'espéraient après le 25 mai ressentent peut-être déjà la pression de leurs partenaires commerciaux, et l'expert en cybersécurité Elliot Rose prédit qu'il y aura de nombreuses organisations qui continueront de se mettre au courant après la date limite. Pour ceux qui se trouvent dans cette situation, la première priorité est de traiter les zones à haut risque qui traitent des informations sensibles. Les entreprises doivent se concentrer sur la sécurisation des données sensibles, en examinant où elles sont stockées et qui y a accès. L'important est de mettre en place un plan et d'y aller aussi vite (et avec précision) que possible.

Rester préparé

En fin de compte, le GDPR aidera à égaliser les règles du jeu en matière de confidentialité et de transparence, et ouvrira les portes à la communication là où elles étaient fermées auparavant. En tant qu'entreprise, voici quelques étapes que vous pouvez suivre pour poursuivre la conversation :

Évaluer comment les données sont légalement traitées

Avez-vous le consentement de vos utilisateurs finaux ? Est-il spécifique, sans ambiguïté et librement donné ? Votre expérience d'utilisateur final le montre-t-il clairement ? Avez-vous un intérêt légitime à collecter, traiter et stocker les données ? Si vous ne pouvez pas répondre à chaque question par « oui », il est temps de prendre du recul.

Mettre à jour tous les avis nécessaires

Avez-vous examiné vos politiques de confidentialité, avis ou autres informations que vous fournissez aux utilisateurs finaux ? Ces avis importants sont-ils au point de collecte ? Un examen de tous les avis de confidentialité peut être nécessaire pour que la collecte, l'utilisation et le stockage de vos données restent transparents pour les utilisateurs finaux.

Adoptez les protocoles d'accès aux données, de droit à la correction et de droit à l'oubli

Ces principes permettent à vos utilisateurs finaux de corriger des données personnelles obsolètes ou inexactes et d'être complètement supprimés du traitement. Des politiques et procédures internes doivent être mises en œuvre et maintenues pour répondre de manière appropriée à ces demandes.

Utiliser des données pseudonymes ou anonymes

Envisagez de supprimer ou de limiter les identifiants uniques via l'anonymisation ou la pseudonymisation des données. Certaines techniques incluent le hachage, le salage, le chiffrement et l'utilisation de jetons. Cela peut aider à minimiser le potentiel d'identification future des utilisateurs finaux, et peut également aider à minimiser vos obligations de conformité.

Pour en savoir plus sur TUNE et le RGPD, lisez notre page ici .