À la suite de multiples vols de données et d’abus de certaines compagnies qui collectent une quantité incroyable de données sur leurs utilisateurs, la communauté européenne a mis en place des balises qui visent à protéger les consommateurs.
La GDP quoi ?
La GDPR est une règlementation européenne qui entrera est entrée en vigueur le 25 mai 2018. Elle affectera tous les « collecteurs » de données personnelles ainsi que ceux qui en font le traitement, qu’ils soient en Europe ou non, dans le cloud ou non. Toute donnée d’un citoyen européen est donc sujette à la règlementation GDPR, ce qui rend la portée de cette règlementation mondiale. Toutes les organisations utilisant le cloud sont donc directement touchées. Cette réglementation a pour but de définir clairement ce que sont les données personnelles, la manière dont les entreprises peuvent les récolter et les utiliser.
Contrairement à la Loi canadienne antipourriel – vous pouvez d’ailleurs aller lire l’article sur la loi C-28 écrit par François à ce sujet – la GDPR est une règlementation (et non une loi). Il n’est pas nécessaire pour les différents gouvernements européens d’adopter des lois pour que cette règlementation soit active. Ce site dédié documente d’ailleurs les droits et devoirs de chacun: https://www.eugdpr.org/.
Les données personnelles… ça veut dire quoi ?
La définition de ce que sont les données personnelles, au sens de la GDPR, n’est pas très claire, mais elle inclut au minimum des données relatives :
- à un identifiant en ligne (adresse IP, information sur le navigateur, le mobile, adresses MAC, cookies, nom d’utilisateur, mot de passe, clé privée, un hash d’une information personnelle, etc.) ;
- à l’origine ethnique ou raciale ;
- aux opinions politiques ;
- aux croyances religieuses ou philosophiques ;
- à la santé ;
- à l’orientation sexuelle ;
- à la génétique, la biométrique et la localisation.
Il fait bon d’être citoyen européen !
En effet, car la GDPR fait en sorte que les citoyens européens, contrairement à nous, demeurent propriétaires de la totalité de leurs données :
- Chaque individu a le droit de savoir quelle donnée le concernant est conservée, par quelle entreprise ou organisation, et pour combien de temps elle sera conservée par l’organisation;
- Chaque individu doit donner son consentement pour tout stockage ou traitement de donnée le concernant;
- Chaque individu a le droit d’accéder à la totalité des données le concernant;
- Chaque individu a le droit de transférer ses informations (ex.: demander une copie des données le concernant);
- Chaque individu a le droit d’être oublié (ex.: demander que la totalité des données le concernant soit effacée de manière finale et définitive);
- Chaque individu doit être notifié en cas de vol de données le concernant.
Comment la GDPR affecte-t-elle mon site web ?
Les impacts de cette nouvelle règlementation sont nombreux. Ils touchent plusieurs aspects d’un site web, que celui-ci soit transactionnel ou non. Évidemment, les conditions d’utilisation du site doivent impérativement être révisées, mais la GDPR touche tout particulièrement les sites qui utilisent des cookies, les sites transactionnels et les sites qui envoient des courriels.
1 – Le consentement pour utiliser des cookies
Il est requis d’obtenir le consentement des internautes européens pour pouvoir stocker les cookies, adresses IP, etc. Une acceptation « par défaut » n’est plus suffisante : l’internaute doit faire une action pour accepter les conditions proposées. Ainsi, lors de chaque visite et jusqu’à l’acceptation explicite de ces conditions par le visiteur, l’avis doit être affiché à l’internaute.
2 – La collecte et la sécurité des données sur un site e-commerce
Un site de e-commerce peut collecter de nombreuses données personnelles comme l’adresse, la démographie, les intérêts personnels et l’historique d’achat.
La GDPR impose désormais des critères à la collecte de données. Un critère comme « cela pourrait être utile dans le futur » est exclu d’office. Dans un premier temps, il est donc recommandé de limiter les données collectées à ce qui est indispensable au bon fonctionnement de la plateforme. En gros, il faut éliminer le superflu tout de suite !
La GDPR encadre également la sécurité des données. Vous devez prendre des mesures appropriées pour les protéger. Cela signifie donc que vous devrez employer des mots de passe forts, du chiffrement et contrôler les accès conformément au normes de sécurité dans votre domaine d’activité. Là aussi, pas de panique, mais prenez soin de réviser l’ensemble de vos pratiques et assurez-vous qu’elles sont de qualité.
Enfin, la dernière étape est la suppression des données : vous devez définir clairement quand une donnée cesse d’être utile et établir un calendrier pour la supprimer. Établissez un processus automatique clair et modifiez vos conditions d’utilisation pour qu’elles reflètent ces automatismes. Ne pas le faire est une violation de la GDPR.
3 – Le suivi et le pistage de courriels
La GDPR impose d’obtenir un consentement pour le pistage (tracking) des courriels avant de pouvoir effectivement les pister. Tant qu’il s’agit de courriels transactionnels ou de courriels pour lesquels le destinataire a explicitement donné son consentement et tant que l’utilisateur sait que ces courriels sont pistés : il n’y a aucun problème.
En revanche, il est illégal d’envoyer un courriel avec suivi à un destinataire sans que celui-ci ne sache qu’il est pisté. Ceci affecte donc de manière importante les CRM qui permettent le plus souvent de suivre les courriels à l’insu de l’utilisateur.
C’est le retour du balancier.
Cette nouvelle règlementation est la réponse au fait que les entreprises ont fait une utilisation trop souvent abusive et non autorisée des données. Il est normal qu’on tente de ramener l’équilibre.
Chez Axial, nous sommes assez heureux de cette décision :O)