RGPD : Comment éviter les amendes coûteuses – entièrement automatiquement
Le Règlement général sur la protection des données (RGPD) est déjà en vigueur. Mais lorsqu’il sera appliqué à partir du 25 mai 2018, il surprendra de nombreuses entreprises. Les infractions peuvent être sanctionnées par des amendes allant jusqu’à 4 % du chiffre d’affaires et jusqu’à 20 millions d’euros. Ce qui est préoccupant : les règles appliquées resteront en évolution pendant un certain temps. Gosign propose un bouclier de protection RGPD qui réduit considérablement ce risque opérationnel en s’adaptant aux évolutions législatives. Et ce, entièrement automatiquement.
Worum geht es überhaupt? Die Datenschutzreform hat den Sinn, den Nutzern von Online-Angeboten mehr Transparenz darüber zu verschaffen, wie ihre persönlichen Daten verwendet werden.
Die Anforderungen daran, wie Sie als Websitebetreiber darüber aufklären müssen, können fast unübersichtlich hoch ausfallen.
Grundsätzlich unterscheidet man zwischen
- Personenbezogenen Daten
- Pseudonymisierten Daten
- Anonymisierten Daten
Anonym sind Daten nur dann, wenn eine Zuordnung der Daten zu einer Person in der Praxis nahezu unmöglich ist. Das ist beispielsweise bei Stimmzetteln zur Bundestagswahl der Fall. Bei pseudonymisierten Daten werden die Daten zur entsprechenden Person so getrennt, dass sie nur mit erheblichem Aufwand wieder einander zuzuordnen sind – zum Beispiel durch einen Schlüssel. Alles andere sind personenbezogene Daten. Aller Wahrscheinlichkeit nach sammelt Ihr Unternehmen solche Daten von den Besuchern Ihrer Website.
Dabei geht es nicht nur um Besucherstatistiken, die häufiger als es Ihnen lieb ist, personenbezogen sein können. Auch Tools von Drittanbietern, mit denen Kunden ihre Kontaktanfragen an Sie senden, mit denen Bewerber ihre Lebensläufe hochladen und wieder andere, die eine Newsletter-Anmeldung erlauben, sie alle senden sensible personenbezogene Daten – oft an Drittparteien. Wussten Sie, dass einige Ihrer Anbieter für Stock-Fotos personenbezogen nach Hause funken? Klärt Ihre Datenschutzerklärung darüber auf? Was passiert, wenn Sie Ihre Website aktualisieren und einen oder mehrere dieser Anbieter austauschen – schreiben Sie Ihre Datenschutzerklärung dann um?
Gehen Sie davon aus, dass Ihr Unternehmen personenbezogene Daten sammelt
Der entscheidende Punkt ist nun der, dass Ihre alte Datenschutzerklärung weit davon entfernt ist, Ihre Besucher ausreichend im Sinne der DSGVO darüber aufzuklären. Unsere bisherigen Erfahrungen und Beobachtungen zeichnen ein eher betrübliches Bild davon, wie DSGVO-ready die allermeisten Unternehmen bisher sind.
Car les autorités responsables ne seront pas tendres pour faire payer les entreprises. L’un des objectifs déclarés des nouvelles régulations est de rendre les abus extrêmement peu attrayants et douloureux en cas de violations. C’est pourquoi des amendes considérablement plus élevées sont également prévues par rapport à auparavant.
Les experts considèrent également les plaintes des associations de consommateurs comme un danger imminent. Elles disposent désormais d’outils très efficaces pour faire valoir leurs intérêts.
Les nouvelles régulations en matière de protection des données prévoient désormais que vous devez informer vos utilisateurs de manière complète et claire sur ce qu’il advient de leurs données et quels droits ils ont sur leurs données.
En résumé, les droits suivants sont concernés :
- Vos visiteurs ont le droit d’être informés de l’utilisation de leurs données
- Ils ont le droit de s’opposer à cette utilisation
- Ils ont le droit à la rectification et à l’effacement
- Ils ont le droit à la transmission complète de leurs données à un autre service
Le premier point seul nécessite un effort considérablement plus grand de la part de chaque entreprise qui propose des services sur Internet ou est simplement présente en ligne, par rapport à ce qui était prévu auparavant selon l’article 13 de la loi sur les télémédias. Il doit notamment être précisé sur quelle base juridique vous collectez ces données et que vous avez un intérêt légitime à les collecter.
Si vous n’avez pas encore de délégué à la protection des données dans votre entreprise, vous devez également le désigner – cela fait également partie de l’obligation d’information.
« Mais nous ne collectons pas de données – pas vraiment, en tout cas »
Les excuses de ce genre ne sont pas du tout bien accueillies. Car chaque utilisateur de services numériques (le terme « personne concernée » est utilisé dans la loi) a le droit à ce que ses données soient correctement collectées et conservées. Le délégué à la protection des données est également responsable de cela. Il doit tenir un registre des traitements qui informe les autorités et les personnes concernées, de manière structurée et sans complications, sur les données collectées, leur utilisation et leur traitement sécurisé. Une telle approche structurée doit également garantir que chaque personne concernée puisse obtenir une copie de ses données immédiatement sur demande.
Chaque visite de page déclenche un énorme flux de données vers des tiers
La plupart des utilisateurs, ainsi que de nombreuses entreprises, ne réalisent pas quelle cascade de flux de données peut être déclenchée par l’interaction avec un site Web. Dans la plupart des cas, le logiciel d’analyse de Google transmet chaque visiteur de page de manière pseudonymisée (si le propriétaire du site a pris les mesures nécessaires). Si le site utilise des polices de Google, Google fournit également ces polices à l’adresse IP du visiteur, la rendant ainsi identifiable, même si Google Analytics n’est pas en fonctionnement. Google apprend donc à connaître le visiteur, même si vous ne le faites pas.
Si les polices proviennent d’un autre fournisseur, celui-ci connaît également le visiteur maintenant. Il en va de même pour divers frameworks techniques ou autres services intégrés, tels que les formulaires, les newsletters ou les services de paiement, qui sont chargés dynamiquement dans le navigateur du visiteur.
Il en va de même pour les boutons de recommandation des réseaux sociaux tels que Facebook. Ils identifient et suivent chaque utilisateur qui est connecté en même temps (ce qui est souvent le cas) nommément, lorsqu’il visite des pages contenant des boutons de « j’aime » et de recommandation sans protection supplémentaire.
À cela s’ajoutent les technologies de suivi de centaines de réseaux publicitaires, utilisés sur les portails médias et de shopping. Elles servent à monétiser l’offre de ces sites, même si aucune achat immédiat n’est effectué.
Les entreprises manquent d’expertise pour l’évaluation des impacts de la RGPD
Il n’est pas surprenant que les entreprises manquent de personnel pour mettre en œuvre et respecter toutes les exigences nécessaires. Les technologies utilisées n’ont jamais été aussi complexes et dynamiquement interconnectées. C’est précisément cette prolifération qui justifie une meilleure sensibilisation des profanes.
Peu de spécialistes sont capables de comprendre en profondeur le fonctionnement des technologies utilisées tout en les alignant avec un texte d’information juridiquement valide.
C’est pourquoi les mêmes textes standards sont utilisés partout, qui sont déjà obsolètes dans de nombreux cas. En conséquence, ils présentent des faits qui sont en réalité incorrects ou incomplets. Dans la plupart des cas, ils ne sont pas aussi clairs que le prévoit la nouvelle législation européenne sur la protection des données.
Même le fait que votre entreprise emploie un juriste ne garantit pas que vous êtes réellement couvert. Souvent, il n’est pas informé lorsque quelque chose de nouveau est installé. Dans d’autres cas, votre avocat est compétent en matière de questions générales de protection des données, mais il n’est pas technicien.
De nombreux juristes ne comprennent pas toujours en détail ce que les technologies utilisées font, où elles diffusent leurs données et où elles laissent des traces. Lisez les déclarations de confidentialité des cabinets d’avocats et demandez-vous ce qu’ils peuvent réellement faire pour la mise en œuvre exigeante du RGPD pour votre entreprise.
Les avocats spécialisés en droit de la protection des données sont réservés
De nombreuses entreprises qui n’ont pas encore planifié la mise en œuvre du RGPD se retrouvent désormais désemparées et sans conseil. Le nombre de cabinets spécialisés en droit informatique et en protection des données en Allemagne est limité. Les meilleurs d’entre eux ne prennent plus de nouveaux mandats depuis un certain temps.
Les conséquences : il devient de plus en plus difficile pour de nombreuses entreprises d’obtenir un rendez-vous avec un avocat spécialisé. Ensuite, la préparation détaillée de l’état actuel et des besoins correspondants peut être un processus long et complexe, surtout si la documentation des processus pertinents en matière de protection des données est incomplète ou inexistante.
À l’étape suivante, vous devrez définir les mesures organisationnelles et procédurales pour garantir que vous pouvez travailler en toute sécurité juridique et conformément à la protection des données à l’avenir. Tout cela prend du temps. Ce n’est qu’ensuite que votre entreprise aura mis en place les structures organisationnelles et humaines nécessaires, comprenant un délégué à la protection des données responsable, un registre des traitements et une déclaration de confidentialité claire et compréhensible au sens du RGPD.
Nous pouvons aider dans tous ces processus avec notre bouclier de protection RGPD. Il aide à accélérer les processus et analyses standardisés, à automatiser certaines parties et d’autres aspects. Le gain de temps et de sécurité juridique dans la mise en œuvre du règlement général sur la protection des données est considérable – les risques opérationnels importants sont éliminés.
Le droit de la protection des données du RGPD reste en mouvement
Nous sommes convaincus, avec nos avocats spécialisés, que la jurisprudence continuera de se mouvoir dans l’application pratique pendant encore longtemps. Il y a maintenant un nouveau cadre juridique qui doit d’abord être testé et éprouvé par toutes les entreprises au début.
Comme dans le passé, il y aura des évaluations et des appréciations différentes de la situation. Des cas de jurisprudence apparaîtront, des actions en justice seront menées, les défenseurs des consommateurs demanderont des durcissements, les associations industrielles argumenteront contre – par conséquent, de nombreux intérêts légitimes devront être mis en balance et harmonisés.
Entre-temps, de nouvelles technologies apparaissent sur le marché, remplaçant progressivement les anciennes et apportant à nouveau des changements dans le traitement des données des utilisateurs.
Le RGPD exige la Privacy by Design et la Privacy by Default. Cela peut, avec le temps, avoir des effets très positifs pour tous les utilisateurs, à condition que de nombreuses solutions techniques utilisées aujourd’hui sur les sites web évoluent dans ce sens.
Car ces deux termes exigent de tous les fournisseurs de services numériques et de leurs développeurs qu’ils conçoivent leurs applications dès le départ pour minimiser les données. La Privacy by Default signifie quant à elle que toute offre numérique ne collecte aucune donnée personnelle sans le consentement conscient et informé de l’utilisateur.
Le simple fait que ces deux sujets concernent des exigences du RGPD et non une description d’état nous indique qu’ils ne sont pas encore mis en œuvre dans de nombreux cas, mais doivent l’être immédiatement. Cela signifie que de nombreuses solutions technologiques seront différentes à l’avenir de ce qu’elles sont aujourd’hui. Et avec leur nouveau fonctionnement, les exigences futures pour les déclarations de confidentialité des utilisateurs – c’est-à-dire de chaque opérateur de site web, par exemple – changeront également.
Conclusion
Le nouveau règlement général sur la protection des données de l’UE exige une attention constante à ce sujet – même après la mise en œuvre réussie de toutes les mesures nécessaires.
Comme les technologies utilisées et la jurisprudence évoluent et changent, les procédures et les déclarations en matière de protection des données doivent également évoluer – un processus complexe et sujet aux erreurs.
Même si vous souhaitez appliquer les règles du RGPD avec diligence et les meilleures intentions, il reste de nombreux pièges dans lesquels vous pouvez tomber. Il est à prévoir qu’à partir du 25 mai 2018, les avocats spécialisés dans les recours en dommages-intérêts exploreront toutes les omissions et lacunes possibles pour en profiter. En effet, les montants des litiges sont désormais suffisamment élevés. Ce que ces avocats ne parviennent pas à accomplir, les autorités compétentes et les associations de protection des consommateurs le vérifieront. (this is test)
Les amendes associées représentent un danger pour chaque entreprise.
Heureusement, vous pouvez vous protéger.
Automatisez le processus RGPD !