RGPD : Comment éviter les avertissements coûteux – de manière entièrement automatique.
Le règlement européen de base sur la protection des données est déjà en vigueur. Mais si elle est mise en œuvre à partir du 25 mai 2018, elle frappera de nombreuses entreprises non préparées. Les infractions peuvent être sanctionnées jusqu’à 4% du chiffre d’affaires et avec des amendes allant jusqu’à 20 millions d’euros. Ce qui est inquiétant, c’est que les règles vont rester en mouvement pendant un certain temps encore. Gosign offre un bouclier RGPD qui réduit significativement ce risque opérationnel en s’appuyant sur la jurisprudence. Et tout cela automatiquement.
De quoi s’agit-il ? La réforme de la protection des données a pour but de fournir aux utilisateurs de services en ligne une plus grande transparence sur la manière dont leurs données personnelles sont utilisées.
Les exigences relatives à la manière dont vous, en tant qu’exploitant de site Web, devez informer à ce sujet peuvent s’avérer être très peu claires.
Une distinction fondamentale est faite entre
- Renseignements personnels
- Données pseudonymisées
- Données anonymisées
Les données ne sont anonymes que s’il est pratiquement impossible d’attribuer les données à une personne dans la pratique. C’est le cas, par exemple, des bulletins de vote pour les élections au Bundestag. Dans le cas de données pseudonymisées, les données relatives à la personne concernée sont séparées de telle sorte qu’elles ne peuvent être réaffectées les unes aux autres qu’avec un effort considérable – par exemple en utilisant une clé. Tout le reste, ce sont des données personnelles. Selon toute vraisemblance, votre entreprise recueille de telles données auprès des visiteurs de votre site Web.
Il ne s’agit pas seulement de statistiques sur les visiteurs, qui peuvent être plus personnelles que vous ne le souhaitez. En outre, les outils tiers que les clients utilisent pour vous envoyer leurs demandes de contact, avec lesquels les candidats téléchargent leur curriculum vitae, et d’autres encore qui permettent de s’abonner à un bulletin d’information, ils envoient tous des informations personnelles sensibles – souvent à des tiers. Saviez-vous que certains de vos fournisseurs de photos d’archives envoient des messages personnalisés à la maison ? Votre politique de confidentialité clarifie-t-elle cela ? Que se passe-t-il si vous mettez à jour votre site Web et remplacez un ou plusieurs de ces fournisseurs – allez-vous alors réécrire votre politique de confidentialité ?
Supposons que votre entreprise recueille des données personnelles.
Le point décisif est maintenant que votre ancienne déclaration de protection des données est loin d’informer suffisamment vos visiteurs au sens de la RGPD. Nos expériences et nos observations à ce jour donnent une image plutôt triste de la façon dont la plupart des entreprises sont prêtes pour RGPD jusqu’à présent.
Parce que les autorités responsables ne demanderont pas aux entreprises de payer. L’un des objectifs déclarés de la nouvelle réglementation est de rendre les abus extrêmement inesthétiques et douloureux en cas d’infractions. Par conséquent, des pénalités beaucoup plus élevées sont prévues qu’auparavant.
Les experts considèrent également les plaintes des associations de protection des consommateurs comme un danger imminent. Ils disposent maintenant d’outils très efficaces pour faire valoir leurs intérêts.
La nouvelle réglementation sur la protection des données prévoit désormais que vous informez vos utilisateurs de manière complète et compréhensible sur ce qu’il advient de leurs données et sur les droits qu’ils ont sur leurs données.
Dans un bref aperçu, il s’agit des droits suivants :
- Vos visiteurs ont le droit d’être informés de l’utilisation de leurs données.
- Vous avez le droit de vous opposer à cette utilisation.
- Vous avez le droit de rectification et d’oubli.
- Vous avez le droit d’obtenir le transfert complet de vos données à un autre service.
Le premier point exige à lui seul un effort considérablement plus important de la part de toute entreprise qui offre des services sur Internet ou qui est simplement présente que ce qui était prévu au § 13 de la loi allemande sur les télémédias. Entre autres choses, il faut clarifier sur quelle base juridique vous recueillez ces données et que vous avez un intérêt légitime à recueillir ces données.
Si vous n’avez pas encore de délégué à la protection des données dans votre entreprise, vous devez également le modifier et le nommer – cela fait également partie de l’obligation d’information.
“Mais nous ne collectons pas de données – pas vraiment, en tout cas.”
Les excuses de ce genre ne sont pas du tout les bienvenues. Parce que tout utilisateur de services numériques (la loi se réfère à la”personne concernée”) a le droit de voir ses données correctement collectées et conservées. Le délégué à la protection des données en est également responsable. Il doit tenir un registre dit de procédure, qui informe les autorités et les personnes concernées à tout moment et sans trop d’agitation, de manière structurée, sur les données utilisées et la manière dont elles sont utilisées et qu’elles sont contrôlées et traitées en toute sécurité. Une telle approche structurée devrait également permettre à chaque personne concernée de disposer immédiatement, sur demande, d’une collecte de ses données.
Chaque visite d’une page déclenche un énorme flux de données vers des tiers.
Il n’est pas clair pour la plupart des utilisateurs, mais aussi pour de nombreuses entreprises, ce qu’une cascade de flux de données peut déclencher une interaction avec un site Web. Dans la plupart des cas, le logiciel d’analyse de Google rapporte sous un pseudonyme chaque visiteur de page (si l’opérateur de la page en a tenu compte). Si le site utilise des polices Google, Google livre également ces polices à l’adresse IP du visiteur et les fait connaître, même si Google Analytics n’est pas au travail. Ainsi, Google continue à connaître le visiteur, même si vous ne le connaissez pas.
Si les polices proviennent d’un autre fournisseur, ce dernier connaît maintenant aussi le visiteur. Il en va de même pour divers cadres techniques ou autres services intégrés tels que les formulaires, les bulletins d’information ou les services de paiement qui sont chargés dynamiquement dans le navigateur du visiteur.
Cela s’applique encore plus aux boutons de recommandation de divers médias sociaux tels que Facebook. Ils identifient et suivent chaque utilisateur qui est connecté en même temps (généralement le cas) par son nom tout en visualisant les pages qui ont des boutons de recommandation et d’aime sur la page sans protection supplémentaire.
De plus, les technologies de suivi de centaines de réseaux publicitaires sont utilisées sur les médias et les portails commerciaux. Ils servent à monétiser l’offre de ces pages, même si elle ne vient pas sur eux immédiatement à un achat.
Les entreprises manquent d’expertise pour l’évaluation de l’impact de l’ORGPD
Il n’est pas étonnant que les entreprises manquent de personnel pour mettre en œuvre et se conformer à toutes les réglementations nécessaires. Jamais auparavant les technologies utilisées n’ont été aussi complexes et dynamiquement liées entre elles. C’est précisément cette prolifération, cependant, qui est l’arrière-plan pour mieux informer le profane à ce sujet.
Seuls quelques experts sont capables de pénétrer suffisamment loin dans le fonctionnement des technologies utilisées et de les mettre en conformité avec un texte explicatif juridiquement valable.
C’est pourquoi les mêmes textes standard sont utilisés partout, qui sont déjà dépassés dans de nombreux cas aujourd’hui. Par conséquent, ils représentent des faits qui sont en fait incorrects ou incomplets. Dans la plupart des cas, ils ne sont pas formulés de manière aussi compréhensible que l’exige la nouvelle législation de l’UE en matière de protection des données.
Même le fait que votre entreprise emploie un avocat ne garantit pas que vous êtes vraiment en sécurité. Souvent, ils ne sont même pas informés lorsque quelque chose de nouveau est installé. Dans d’autres cas, votre avocat est expérimenté dans les questions fondamentales de protection des données, mais il n’est pas un technicien.
Beaucoup d’avocats ne savent pas toujours en détail ce que font les technologies utilisées, où ils dispersent leurs données et où ils laissent des traces. Lisez les déclarations de confidentialité des cabinets d’avocats et demandez-vous ce qu’ils peuvent faire pour votre entreprise dans la mise en œuvre exigeante de l’ORGPD de l’UE.
Les avocats qualifiés en droit de la protection des données sont complets.
De nombreuses entreprises qui n’ont pas encore planifié la mise en œuvre de l’ORGPD dans le passé se trouvent aujourd’hui sur place sans avis ou conseils. Le nombre de cabinets d’avocats allemands spécialisés en droit informatique et en droit de la protection des données est gérable. Les meilleurs d’entre eux n’ont pas pris d’autres commandes depuis un certain temps.
Les conséquences : Il devient de plus en plus difficile pour de nombreuses entreprises d’obtenir un rendez-vous avec un avocat spécialisé. Par la suite, la préparation détaillée du statu quo et des exigences correspondantes peut être un processus qui prend beaucoup de temps – surtout si la documentation des processus relatifs à la loi sur la protection des données était incomplète ou n’était pas disponible dans le passé.
Dans l’étape suivante, vous devez définir les mesures relatives à l’organisation et aux processus afin de pouvoir travailler à l’avenir avec la conformité légale et la conformité en matière de protection des données. Tout cela prend du temps. Ce n’est qu’alors que votre entreprise a mis en place les structures organisationnelles et personnelles nécessaires, qui comprennent un responsable de la protection des données, une liste de procédures et une déclaration de protection des données significative et compréhensible au sens de l’ORGPD.
Nous pouvons vous aider dans tous ces processus grâce à notre bouclier RGPD. Il permet d’accélérer les processus et les analyses standardisés, d’en automatiser certaines parties et d’autres. La rapidité et la sécurité juridique de la mise en œuvre du règlement de base sur la protection des données sont considérables – les risques opérationnels considérables sont éliminés.
La loi sur la protection des données de la RGPD est toujours en mouvement.
En collaboration avec nos avocats spécialisés, nous sommes convaincus que la jurisprudence continuera d’être appliquée dans la pratique pendant longtemps encore. Il existe maintenant un nouveau cadre juridique qui doit d’abord être testé et testé par toutes les entreprises dans la phase initiale.
Comme par le passé, il y aura des évaluations différentes de la situation. Des précédents apparaîtront, des procès modèles seront intentés, les protecteurs des consommateurs exerceront des pressions, les associations industrielles s’y opposeront – en conséquence, de nombreux intérêts légitimes devront être pesés les uns par rapport aux autres et réconciliés les uns avec les autres.
Entre-temps, de nouvelles technologies apparaissent sur le marché qui remplacent progressivement d’autres et qui entraînent à nouveau des changements dans la manière dont les données des utilisateurs sont traitées.
L’OVGDS exige le respect de la vie privée dès la conception et le respect de la vie privée par défaut. Avec le temps, cela peut avoir des effets très positifs pour tous les utilisateurs si de nombreuses solutions techniques utilisées aujourd’hui sur les sites Web évoluent dans cette direction.
Ces deux termes exigent de tous les fournisseurs de services numériques et de leurs développeurs qu’ils réduisent d’emblée leurs applications pour l’économie de données. Le respect de la vie privée par défaut, en revanche, signifie que toute offre numérique ne collecte pas de données personnelles sans le consentement conscient et éclairé de l’utilisateur.
Le simple fait que ces deux sujets sontdettes de l’ORGPD et non une description de son état nous révèle que, dans de nombreux cas, il n’a pas encore été mis en œuvre, mais qu’il doit l’être avec effet immédiat. Cela signifie que de nombreuses solutions technologiques seront différentes à l’avenir de ce qu’elles sont aujourd’hui. Et avec leurs nouvelles fonctionnalités, l’avenir exige des déclarations de protection des données de ceux qui les utilisent – c’est-à-dire chaque exploitant d’un site web, par exemple.
résultat
Le nouveau règlement de base de l’UE sur la protection des données exige une discussion constante sur le sujet – même après la mise en œuvre réussie de toutes les mesures nécessaires.
Parce que les technologies utilisées et la juridiction vivante se déplacent et changent, les procédures de protection des données et les déclarations doivent également faire l’objet d’un processus élaboré et sujet aux erreurs.
Même si vous voulez appliquer les règlements de la RGPD consciencieusement et avec les meilleures intentions, il y a encore d’innombrables pièges sur lesquels vous pouvez trébucher. On peut supposer qu’à partir du 25 mai 2018, les avocats dits de mise en garde avanceront dans toutes les omissions et lacunes imaginables afin de s’enrichir. Parce que récemment, les montants en litige ont porté fruit. Ce que ces avocats ne peuvent pas faire est contrôlé par les organismes officiels compétents et les associations de protection des consommateurs. C’est un test.
Les amendes qui y sont associées constituent un danger pour toute entreprise.
Heureusement, vous pouvez vous protéger.
Automatisez le processus RGPD !