Ce que le RGPD signifie pour votre entreprise

Aujourd'hui est une bonne journée pour en savoir plus sur ce que le RGPD signifie pour votre entreprise.

Le règlement général sur la protection des données de l'Union européenne, ou RGPD, entre en vigueur le 25 mai 2018. Et même si c'est dans près d'un an, sur le plan opérationnel, il y a une tonne de choses que vous devrez faire pour être conforme. (Oui, « metric butt-load » est un terme technique.)

Dans cet épisode du podcast Rethink, nous avons parlé avec David Fowler, responsable de la confidentialité, de la conformité et de la délivrabilité chez Act-On. Comme le dit David, le RGPD marque le plus grand changement apporté à la législation européenne sur la protection des données depuis une génération. Et cela s'applique aux 510 millions de citoyens de l'UE, ainsi qu'à toute entreprise faisant affaire avec eux, quel que soit leur lieu d'implantation.

Profitez de la conversation et nous espérons que vous pourrez obtenir un ou deux plats à emporter utiles que vous pourrez apporter à votre entreprise.

Nathan Isaacs : David, pouvez-vous m'en dire plus sur ce que vous faites chez Act-On ?

David Fowler : J'aide nos clients à naviguer dans la feuille de route numérique en ce qui concerne leurs obligations en vertu des lois locales, étatiques, fédérales et internationales en ce qui concerne le marketing numérique. Je m'assure également que lorsque nos clients cliquent sur le bouton "envoyer" pour leurs e-mails, les messages ont toutes les chances d'arriver dans la boîte de réception. La conformité numérique en 2017 est un domaine très profond et vaste. Si vous êtes un négociant aux États-Unis qui expédie vers l'UE, par exemple, vos obligations seront différentes que si vous êtes un négociant aux États-Unis qui expédie au Canada. C'est notre travail d'informer nos clients de leurs obligations en vertu de ces feuilles de route législatives particulières.

Nathan : L'une des choses dont nous parlons aujourd'hui est le règlement général sur la protection des données, ou RGPD. Pouvez-vous me dire ce que c'est et de quoi il s'agit ?

David : Le GDPR est une loi qui entrera en vigueur en Europe en 2018, le 25 mai pour être exact. Et il s'agit essentiellement d'une réécriture complète de la directive européenne sur les données de 1995. Et pour ceux d'entre vous qui écoutent le podcast, il n'y a pas de lois universelles en Europe en matière de conformité numérique. Il existe des interprétations de la directive sur les données, et chaque pays peut déterminer son interprétation de cette loi. Donc, comme vous avez pu le voir, cela crée en soi cet énorme potentiel de confusion.

Le GDPR est une loi universelle qui s'appliquera à toutes les entreprises qui ont des citoyens européens dans leurs bases de données. Ce sera généralisé pour tous les pays de l'UE. C'est une loi pour 500 millions d'individus.

Nathan : Pour les entreprises basées aux États-Unis ou ailleurs dans le monde qui font affaire avec des particuliers en Europe, cela s'applique à eux. Est-ce correct?

David : C'est exact. Et il y a de lourdes amendes en cas de non-conformité - jusqu'à 4% des revenus totaux d'une entreprise. Si vous êtes Google, par exemple, qu'est-ce que 4 % d'un billion de dollars ?

Vos responsabilités en vertu du RGPD

Nathan : Une nouvelle loi s'applique à ma façon de faire des affaires avec les particuliers. Que dois-je faire en tant qu'entreprise pour être conforme ?

David : Il est important de comprendre les responsabilités en vertu du RGPD. Et en Europe, vous avez deux saveurs. Vous avez le responsable du traitement et le sous-traitant des données. Par exemple, vous êtes client d'Act-On. Vous seriez un contrôleur dans le cadre de la feuille de route GDPR. Et nous [Act-On] serions le processeur de vos données. Nos obligations en vertu du RGPD sont de, A, se conformer à la loi, évidemment. Mais aussi B, construisons nos produits et services qui vous permettent de vous conformer à vos obligations en vertu du RGPD.

Il n'est pas de notre responsabilité de nous assurer que vous êtes conforme. Mais il est de notre responsabilité de montrer que nos produits vous permettent d'être conformes, c'est-à-dire des choses comme la fourniture de mécanismes de consentement, la sauvegarde du consentement, le double opt-in, tous ces types de choses que nous prenons pour acquis en termes d'autorisation, nos produits doivent être au point où ils le font.

L'utilisation d'une plate-forme d'automatisation du marketing dans le cadre du RGPD est quelque chose que vous, en tant que responsable du traitement de vos données et des données de vos clients, devrez non seulement respecter, mais aussi comprendre comment vous utilisez la technologie pour y parvenir. Maintenant, les droits de l'homme, en termes de données et d'informations personnelles et ce genre de choses, il y a beaucoup plus de problèmes qui se posent dans le cadre du RGPD si vous êtes le destinataire du client d'une relation numérique. Sur le plan opérationnel, il y a beaucoup de choses auxquelles vous devez penser pour vous préparer à cela. Mais en fin de compte, là où le caoutchouc rencontre la route, si vous avez un client dont vous ne pouvez pas prouver comment il est entré dans votre liste, ou vous ne pouvez pas prouver d'où il vient, ou vous ne pouvez pas prouver le mécanisme de consentement qui a été utilisé pour commencer à les commercialiser, alors, essentiellement, vous seriez en non-conformité avec GDPR.

Impacts opérationnels du RGPD

Nathan : Quels sont les impacts opérationnels du RGPD ?

David : Excellente question. Il y a 10 domaines auxquels vous devez réfléchir du point de vue de votre entreprise pour vous préparer au côté opérationnel du RGPD. Le premier est la sécurité des données et la notification des violations.

Ainsi, si vous avez une violation de données, votre obligation est d'informer la DPA ‒ l'autorité de protection des données ‒ dans un délai de 72 heures de la survenance réelle de cette violation ou de votre connaissance de celle-ci. Le DPO obligatoire, ou délégué à la protection des données, est quelque chose qui est mis en œuvre dans le cadre du RGPD, ce qui signifie que si vous êtes une entreprise d'une certaine taille, vous devez en fait avoir un employé dans le personnel qui s'occupe de vos efforts de protection des données.

Le consentement de la personne concernée est un problème majeur ‒ comment obtenir le consentement d'une personne concernée. En vertu du RGPD, une personne concernée est l'individu réel et non une anomalie. Les transferts de données transfrontaliers sont importants. Si vous transférez des données à travers l'Europe ou de l'Europe vers les États-Unis ou n'importe où, c'est quelque chose à penser. En ce qui concerne la façon dont cela se fait du point de vue de l'adéquation, dans l'environnement actuel, le mécanisme de transfert transfrontalier de données entre l'Europe et les États-Unis est régi par un programme appelé le bouclier de confidentialité, et nous sommes certifiés par le bouclier de confidentialité en tant qu'entreprise. Mais il y aura d'autres entités qui viendront jouer pour aider cela.

Le profilage et le droit de rejet seront un énorme problème en ce qui concerne la façon dont les individus sont profilés et comment ils ont le droit de s'opposer au fait d'être profilés ; ce qui signifie que si je sais que vous portez une chemise blanche aujourd'hui, je vais établir le profil de vos préférences en matière de chemise et peut-être vous envoyer un pantalon blanc pour aller avec. En tant qu'individu, la question est de savoir comment vous pouvez gérer cela en termes de pouvoir vous retirer de ce profilage à l'avenir.

Un autre grand est le droit à la portabilité des données et le droit à l'oubli. Dans le cadre du RGPD, le concept est que vous, en tant qu'individu, avez le droit de prendre vos données de l'entreprise A et de les transférer à l'entreprise B dans un format de lecture automatique acceptable, et vous avez également le droit d'avoir le fait que vous avez réellement eu une relation numérique avec cette marque particulière oubliée. C'est donc un énorme problème quant à la façon dont les entreprises vont pouvoir se conformer à cela et vraiment déployer ces types de stratégies autour de ces concepts. Nous sommes encore en train de nous occuper de cela.

Le septième domaine concerne les devoirs et les responsabilités des responsables du traitement et des sous-traitants. Quelle est votre responsabilité en vertu du RGPD en tant que sous-traitant, qui est Act-On, et quelles sont vos responsabilités en vertu du RGPD en tant que contrôleur, qui est le client d'Act-On. Et ce sont deux problèmes différents en ce qui concerne certaines des choses qui entrent en jeu avec cela.

Une autre question à laquelle il faut réfléchir est la pseudonymisation des données personnelles - comment je peux prendre vos données et créer un profil plus large basé sur d'autres entités de type tiers qui pourraient s'y connecter, dans votre feuille de route particulière. Codes de conduite, comment et pourquoi vous devez agir d'une certaine manière. Et puis enfin, les amendes et les procédures sont un gros problème ; vous pourriez être condamné à une amende de 4 % du chiffre d'affaires global de votre entreprise si vous ne vous conformez pas.

Donc, il y a beaucoup de choses d'un point de vue opérationnel. Et je vous garantis que si vous avez une personne chargée de la protection de la vie privée, si vous avez une personne chargée de la conformité, et que ces personnes ne parlent pas à vos techniciens ou à vos ingénieurs, alors vous devez commencer à penser à rassembler ces personnes, car cela va prendre un village pour faire ce travail d'un point de vue organisationnel.

Droits des personnes en vertu du RGPD

Nathan : Quels sont les droits des individus dans tout ça ?

David : Ouais, c'est une excellente question. Parce qu'en vertu du RGPD, l'individu a le droit d'être informé, de se faire dire : "J'ai obtenu vos informations d'ici, et c'est ce que je vais en faire, et c'est ce que je ne vais pas faire". avec ça.' Le droit d'accès, afin que vous, en tant qu'individu, puissiez nous contacter et dire : "Hé, mes informations ne sont pas correctes, elles sont incorrectes, elles sont inexactes, et j'ai besoin que vous changiez cela, en fonction du profil que vous avez sur moi .' Le droit à la recertification, c'est-à-dire la même chose ‒ vous pouvez en fait changer ou ajuster en fonction de ce que vous savez. Le droit à l'effacement : "Hey, Act-On, s'il vous plaît, effacez toutes ces informations me concernant", ou "M. et Mme Customer, veuillez effacer toutes ces informations me concernant,' et comment allez-vous faire cela ?

Vous avez le droit de restreindre le traitement, ce qui signifie "Hé, j'aimerais recevoir des e-mails de votre part, mais je ne veux pas recevoir de SMS". Ou "J'aimerais recevoir des e-mails, mais je ne veux pas recevoir de SMS"… ou peu importe le cas. Et puis le droit de restreindre la portabilité des données, c'est-à-dire que j'aille prendre mes données de l'entreprise A et les migrer vers l'entreprise B. Vous pourriez, en théorie, avoir des clients qui partent un vendredi à 17 heures et qui vont ensuite dans une autre entreprise le lundi à 8 heures du matin Et, techniquement, ils devraient être opérationnels dans cet environnement.

Et puis enfin le droit d'objecter : « C'est bien, c'est mal, c'est indifférent ». Et le droit de se rapporter à la prise de décision et au profilage automatisés, ce qui signifie, comme nous sommes maintenant dans le canal numérique avec des choses comme l'intelligence artificielle, que vous pouvez commencer à créer des profils sur des personnes et des sujets, qu'ils le sachent ou non. Vous devez être très franc sur la manière dont vous divulguez ces informations et sur la manière dont vous construisez ces profils.

Ce que j'envisage, c'est que les entreprises surcompenseront le consentement. Vous pensez à la façon dont vous vous engagez dans une relation numérique aujourd'hui - divulgation, consentement et toutes ces choses que nous tenons un peu pour acquises. Mais le fait est que je pense que vous allez voir beaucoup de pages de profil et de pages d'intégration, où vous n'aurez pas de cases pré-cochées, mais vous permettrez aux gens de dire : "Je voudrais sélectionnez ceci ou désélectionnez cela.' Les cases pré-cochées sur le GDPR sont un non-non complet. C'est totalement illégal.

Et ce que je ferais maintenant en tant que spécialiste du marketing, c'est que, dans vos efforts de préparation, lorsque cette chose sera mise en ligne en mai de l'année prochaine, il n'y aura pas de période de grâce. Chaque élément de données que vous avez dans votre dossier en mai 2018 devra être conforme le jour de sa mise en ligne. Donc, vous devriez commencer à réfléchir dès maintenant à la manière dont vous pouvez obtenir une nouvelle autorisation ou en arriver au point où vous commencez à divulguer différentes choses sur les individus alors que vous vous préparez pour la mise en œuvre du RGPD. Alors, re-permettez vos listes, obtenez votre consentement dans l'ordre, commencez à parler de divulgations, et ce genre de choses. Et c'est donc ce que vous devriez commencer à adopter aujourd'hui.

En savoir plus sur le RGPD

Nathan : Nous parlons de cela maintenant juste pour que les gens aient la possibilité de commencer à se mettre en conformité ou à mettre en place ces mécanismes pour se conformer, nous-mêmes ainsi que n'importe qui d'autre. Existe-t-il une liste de contrôle ?

David : Divulgation complète, nous ne sommes pas dans une position où nous pourrions fournir des conseils ou des conseils juridiques. Mais certaines des autorités de protection des données au sein de l'UE se font plus entendre et ont été plus communicatives que d'autres. Et un excellent exemple d'une DPA qui a diffusé beaucoup d'informations est l'ICO, le Bureau du Commissaire à l'information du Royaume-Uni.

Si vous allez sur leur site Web, ils ont une tonne d'informations sur ce à quoi vous devriez penser, comment vous préparez-vous et quelles seront vos obligations l'année prochaine.

Nathan : Donc, c'est quelque chose dont toute l'équipe doit discuter, du marketing à la conformité, en passant par le juridique et l'ingénierie, n'est-ce pas ?

David : Absolument. Parce que chacun va l'interpréter différemment. Je veux dire que la documentation contient des centaines de pages. C'est extrêmement encombrant. Mais c'est vraiment une approche de bon sens pour une relation numérique. Et il ne s'agit pas seulement de l'individu maintenant. Il s'agit également de la façon dont vous traitez avec vos fournisseurs et de la façon dont vous les tenez responsables des choses. À certains égards, c'est un cadre pour une approche numérique de bon sens non seulement pour le marketing, mais aussi pour se retirer de certaines choses. C'est certainement quelque chose auquel vous devriez penser maintenant. Et si ce n'est pas le cas, vous êtes un peu en retard sur la boule 8.

Résumé

Act-On produira des webinaires, des fiches techniques et d'autres contenus sur le RGPD tout au long de l'année prochaine. Vous pouvez également envoyer un e-mail à David si vous avez une question : [email protected] .