Skip to main content

GDPR et confidentialité des données

1. Qu'est-ce que le GDPR ?

GDPR est l'abréviation de General Data Protection Regulation (règlement général sur la protection des données).

Il s'agit d'un cadre juridique qui protège les droits à la confidentialité des données de toute personne vivant dans l'Union européenne, ainsi que des personnes en Islande, au Lichtenstein et en Norvège - pays qui font partie du marché unique de l'Espace économique européen(EEE) - et en Suisse.

Remarque - la loi britannique sur la protection des données(DPA) a été modifiée en 2021 pour intégrer les exigences du GDPR de l'UE. Ainsi, bien que le pays ne soit pas techniquement couvert par le GDPR post-Brexit, sa réglementation en matière de confidentialité des données est très similaire.

Un bref historique du GDPR

La Commission européenne a commencé à planifier le projet de loi en janvier 2012, alors qu'elle cherchait à réformer la réglementation de l'Union en matière de protection des données.

L'accord du Parlement européen et du Conseil a été obtenu en avril 2016, et le GDPR est entré en vigueur en mai 2018.

Le GDPR prend la place de la directive européenne sur la protection des données - une loi archaïque, vieille d'une décennie, dont les normes minimales de traitement des données protégeaient de manière inadéquate les informations personnelles dans notre ère numérique moderne.

Aujourd'hui, le GDPR est considéré comme l'une des lois les plus strictes au monde en matière de confidentialité des données, et son impact depuis 2018 a été frappant - des pays et des sous-états l'ont utilisé comme modèle pour élaborer leurs propres lois sur la confidentialité des données, des entreprises ont été frappées d'amendes de plusieurs millions de dollars pour non-conformité, et le marketing en ligne ne sera plus jamais le même.

Le GDPR ouvre l'accès des consommateurs aux données personnelles détenues par les entreprises et restreint ce que les entreprises peuvent faire avec ces informations.

Quels sont les droits des consommateurs dans le cadre du GDPR ?

Le GDPR s'articule autour de la protection des huit droits fondamentaux des personnes concernées, tels qu'énoncés dans les articles 12 à 23:

Pour mieux comprendre tout ce jargon, vous pouvez vous référer à notre glossaire.

Que considère le GDPR comme des données personnelles ?

Le GDPR de l'UE ne s'applique qu'aux données personnelles, qu'il considère comme toute information se rapportant à une personne identifiable. Tout ce qui peut confirmer votre présence physique quelque part est également considéré comme des données à caractère personnel au titre du GDPR, notamment les images de vidéosurveillance et les empreintes digitales.

Que considère le GDPR comme des données personnelles sensibles ?

Le GDPR place certains types de données personnelles sensibles dans une "catégorie spéciale" qui doit être traitée avec une sécurité supplémentaire. Il s'agit notamment des informations liées à :

  • Les opinions politiques
  • La race ou l'origine ethnique
  • La religion ou les croyances philosophiques
  • La sexualité ou la vie sexuelle d'une personne
  • L'appartenance à un syndicat
  • Informations génétiques
  • Données biométriques - lorsqu'elles sont traitées pour identifier une personne.

Quelles sont les sanctions en cas de non-conformité au GDPR ?

Les exigences du GDPR sont mises en œuvre par les autorités nationales de protection des données des États membres de l'UE et de l'EEE, et par un droit d'action privé - comme avec Max Schrems et son groupe de défense NYOB.

Le règlement a mis en place un système de sanctions à deux niveaux et les entreprises convaincues d'avoir fait un usage abusif des données conformément au GDPR peuvent se voir infliger une amende

  • Jusqu'à 10 millions d'euros, ou 2 % du chiffre d'affaires annuel mondial de l'année précédente - le montant le plus élevé étant retenu.
  • Jusqu'à 20 millions d'euros, ou 4 % du chiffre d'affaires annuel mondial - le montant le plus élevé étant retenu.

À qui le GDPR ne s'applique-t-il pas ?

Le GDPR de l'UE ne s'applique qu'aux données personnelles, qu'il considère comme toute information se rapportant à une personne identifiable.

Tout ce qui peut confirmer votre présence physique quelque part est égalementPuisque le GDPR s'étend en dehors du champ d'application territorial de l'Union européenne, le nombre d'exemptions formelles du GDPR est très faible :

  • Les entreprises qui découragent activement le traitement des données des citoyens de l'UE.
  • Les entreprises qui traitent les données des citoyens de l'UE, sans cibler directement les sujets ou surveiller leur comportement.

La Commission européenne indique que certaines obligations du GDPR ne s'appliqueront pas aux entreprises pour lesquelles le traitement des données personnelles ne constitue pas une activité commerciale essentielle - comme la nomination d'un délégué à la protection des données - ou qui sont classées comme des données personnelles en vertu du GDPR - cela inclut des choses comme les séquences de vidéosurveillance et les empreintes digitales.

Exemptions informelles au GDPR

Il existe une série de scénarios qui libèrent les entreprises de la surveillance du GDPR.

Si vous n'opérez pas dans l'UE, vous pouvez être exempté du GDPR si vous n'utilisez pas une langue ou une devise de l'UE ou si vous ne faites pas référence à des consommateurs de l'UE - c'est délicat étant donné l'utilisation de certaines de ces langues dans le monde entier, votre intention est donc importante.

Vous devrez également veiller à ce que les résidents de l'UE ne puissent pas créer de compte ou acheter quoi que ce soit.

Si votre entreprise collecte des données, vous pouvez être exempté si vous ne traitez pas de données personnelles, c'est-à-dire tout ce qui peut être utilisé pour identifier une personne. Les données anonymes ne sont pas non plus couvertes par le GDPR.

Il reste quelques scénarios spécifiques qui ne relèvent pas du champ d'application du GDPR - ils ne s'appliquent pas à de nombreuses entreprises privées et varient d'un pays de l'UE à l'autre.

Dans l'ensemble, ils concernent des parties très spécifiques du GDPR. Il se peut que certaines entreprises ne soient pas tenues de fournir aux gens les données personnelles figurant dans leurs dossiers, ou qu'elles n'aient pas à communiquer certaines informations dans leur avis de confidentialité. En voici quelques exemples :

  • Les forces de l'ordre sont exemptées du GDPR dans des situations spécifiques.
  • Le journalisme n'est pas soumis au GDPR, si le respect de celui-ci implique la suppression des libertés de la presse.
  • Les universités sont exemptées de donner aux étudiants l'accès aux copies d'examen dans des situations spécifiques.

Quels sont les principes clés du GDPR ?

L'article 5 établit sept principes qui servent de cadre général pour guider le traitement des données à caractère personnel. Les responsables du traitement des données doivent se conformer à ces principes, et être en mesure de démontrer leur adhésion à tout moment.

1. Légalité, équité et transparence

La licéité signifie que vous devez avoir une bonne raison de collecter et de traiter des données.

La loyauté signifie que vous ne devez jamais cacher délibérément la raison pour laquelle vous collectez et traitez des données et que vous n'en ferez pas un mauvais usage.

La transparence signifie être ouvert, clair et honnête avec les personnes concernées sur qui vous êtes et ce que vous allez faire avec les données personnelles.

2. Limitation de la finalité

Le GDPR stipule que les données personnelles sont "collectées pour des finalités déterminées, explicites et légitimes".

Vous devez clairement établir votre objectif de collecte de données, le communiquer aux utilisateurs dans un avis de confidentialité et vous assurer que vos activités restent dans les limites fixées. Si ce n'est pas le cas, vous devez acquérir un consentement supplémentaire de la part des utilisateurs, à moins qu'il n'existe un précédent juridique pour le faire.

3. Minimisation des données

Il s'agit de collecter le moins de données possible pour atteindre votre objectif.

4. Exactitude

Cela signifie que toutes les données que vous collectez et stockez sont correctes. Elle nécessite la mise en place de systèmes et d'audits réguliers pour garantir que les données incorrectes sont corrigées, mises à jour ou supprimées.

5. Limitation du stockage

Le GDPR vous oblige à justifier la durée de stockage des données personnelles. Cela peut se faire en établissant une politique de limitation de stockage et en anonymisant les données une fois la période fixée écoulée.

6. Intégrité et confidentialité (sécurité)

Cela signifie que vous êtes tenu de conserver les données personnelles à l'abri des risques internes et externes, et de les protéger contre tout traitement non autorisé ainsi que contre toute perte ou tout dommage accidentel.

7. Responsabilité (Accountability)

Les entreprises doivent disposer de processus, de procédures et de documents appropriés pour prouver leur conformité aux principes de traitement des données, et les autorités de surveillance ont le pouvoir d'en exiger la preuve à tout moment.

Comprendre la conformité au GDPR

Le GDPR a établi une nouvelle norme pour la protection des données des citoyens et résidents de l'UE, et représente un défi pour les entreprises qui risquent d'énormes amendes en cas de non-conformité.

LeGDPR décrit certaines obligations que les organisations doivent suivre, ce qui limite la façon dont les données personnelles peuvent être utilisées.

Il définit également huit droits des personnes concernées qui garantissent des droits spécifiques pour les données personnelles d'un individu, donnant finalement aux individus plus d'autonomie sur leurs informations personnelles et la façon dont elles sont utilisées.

Mais suivre les exigences du GDPR n'est pas suffisant et vous pouvez vous demander ce qu'est la conformité au GDPR.

Les entreprises doivent également être en mesure de démontrer sur demande qu'elles ont mis en place des politiques et des procédures pour garantir que le flux de données est sécurisé à chaque étape du parcours du client.

La conformité exige un audit complet de la base de données, l'introduction de systèmes de consentement "opt-in" et l'établissement de votre base juridique pour les données collectées.

Les entreprises devront également se pencher sur le consentement des cookies, la formulation standard de la politique de confidentialité, les avis de confidentialité et les activités des tiers.

Elles devront procéder à des évaluations des risques, sécuriser les données et se préparer aux violations.

Tout ce qui a trait aux données doit être documenté de manière permanente et précise - tout cela pour garantir que les droits des utilisateurs de l'UE en matière de données sont respectés à tout moment.

Laconformité au GDPR doit être considérée comme une opportunité. La vie privée est depuis longtemps une préoccupation majeure des consommateurs, et l'adhésion à des réglementations plus strictes en matière de données renforcera la confiance des consommateurs.

2. CCPA et autres normes de confidentialité des données

Alors que les activités sociales et économiques continuent de migrer en ligne, l'importance de la protection de la vie privée et des données ne cesse de croître.

Lespays du monde entier prennent des mesures pour réformer leur législation sur la collecte, l'utilisation et le partage des données personnelles sans le consentement explicite des consommateurs - une ressource désormais plus précieuse que l'or(Economist).

Qu'est-ce que la California Consumer Privacy Act (CCPA) ?

La California Consumer Privacy Act(CCPA) est une loi sur la confidentialité des données à l'échelle de l'État. Introduite en 2020, elle réglemente le traitement des informations personnelles des résidents californiens.

Elle ne s'applique qu'aux sociétés commerciales.

Un bref historique de la CCPA

La loi californienne sur la protection de la vie privée des consommateurs est née d'une proposition de vote d'un groupe de défense de la vie privée appelé Californians for Consumer Privacy. Le langage officiel de l'initiative a été approuvé par le ministère de la Justice le 18 décembre 2017, ce qui a permis au groupe de protection de la vie privée de commencer à recueillir des signatures.

La CCPA a été adoptée par l'assemblée législative de l'État et signée par le gouverneur Brown le 28 juin 2018. Cinq amendements ont ensuite été adoptés et signés par le gouverneur de l'État Newsom le 11 octobre 2019. Le CCPA est entré en vigueur le 1er janvier 2020 et a nécessité le retrait de l'initiative 17-0039 de la loi sur le droit des consommateurs à la vie privée.

Il s'agit de la première loi de ce type aux États-Unis, et d'autres États prêteront une attention particulière à ses implications pratiques lorsqu'ils élaboreront leurs propres lois sur la protection de la vie privée.

Elle sera remplacée par la loi californienne sur les droits à la vie privée (CPRA), plus étendue, en 2023.

Si une loi fédérale sur la confidentialité des données reste hors de portée aux États-Unis, la conformité à la loi californienne sur la protection de la vie privée des consommateurs (CCPA) reste un défi. Selon une étude de Cytrio, seules 11 % des entreprises respectent pleinement les normes de la réglementation. Le rapport est basé sur une étude portant sur 5 175 entreprises américaines dont le chiffre d'affaires est compris entre 25 millions et plus de 5 milliards de dollars sur une période de six mois.

La loi commence par énumérer les cinq droits qu'elle a été conçue pour protéger, ce qui constitue un bon point de départ :

  1. Le droit des Californiens de savoir quelles informations personnelles sont collectées à leur sujet.
  2. Le droit des Californiens de savoir si leurs informations personnelles sont vendues ou divulguées et à qui.
  3. Le droit des Californiens de refuser la vente de leurs données personnelles.
  4. le droit des Californiens d'accéder à leurs informations personnelles
  5. le droit des Californiens de bénéficier d'un service et d'un prix égaux, même s'ils exercent leur droit à la vie privée.

Sanctions en cas de non-respect du CCPA

Cette loi prévoit des amendes potentiellement lourdes en cas d'utilisation abusive des données.

Elle a donné au procureur général de Californie le pouvoir d'infliger aux entreprises des amendes pouvant aller jusqu'à 2 500 dollars par infraction, et jusqu'à 7 500 dollars en cas d'intention manifeste.

Les entreprises victimes d'une violation de données risquent également de faire l'objet d'un recours collectif et de devoir verser jusqu'à 750 dollars à chaque consommateur concerné.

Toutefois, la loi donne aux entreprises 30 jours pour rectifier toute utilisation abusive des données, le cas échéant.

CCPA et GDPR

La CCPA a souvent été qualifiée de "GDPR américain".

Elle est considérée comme l'une des lois les plus strictes de ce type aux États-Unis et reflète le GDPR en termes de protection des données qu'elle offre aux résidents californiens.

Comme le GDPR, la CCPA inclut le droit à la transparence, exigeant des entreprises qu'elles informent les consommateurs des données collectées et de la manière dont elles sont partagées. Elle donne également aux consommateurs le droit d'accéder à toute activité relative aux données, de la supprimer et de la refuser sur demande.

La CCPA fournit certains des huit droits des personnes concernées prévus par le GDPR, mais elle est en fait plus construite autour de l'accent mis sur deux droits supplémentaires - ceux-ci sont implicites dans le GDPR, mais ne sont pas reconnus comme des droits eux-mêmes :

Le droit des Californiens de dire non à la vente d'informations personnelles (ou "opt-out") Le droit des Californiens à un service et un prix égaux, même s'ils exercent leurs droits à la vie privée (ou droit à l'absence de représailles).

Vous trouverez ci-dessous une comparaison côte à côte des deux lois.

GDPR

CCPA

Juridiction compétente

Toute entité traitant des données personnelles avec :

  • Un établissement dans l'UE
  • Offrant des biens et des services dans l'UE
  • Surveille le comportement des utilisateurs dans l'UE
 

S'applique à toute entité à but lucratif opérant en Californie qui fait l'une des choses suivantes, chaque année

:
  • Réalise un chiffre d'affaires brut de plus de 25 millions de dollars
  • traite les données personnelles de plus de 50 000 consommateurs, ménages ou appareils
  • réalise plus de 50 % de son chiffre d'affaires en vendant des données personnelles de consommateurs.
 

Application de la loi

 
  1. Autorités nationales de protection des données
  2. Droit d'action privé
 
 
  1. Procureur général de Californie
  2. Droit d'action privé pour les violations à signaler en vertu de la CCPA.
 

Ampleur des amendes

Le GDPR dispose d'un système de sanctions à deux niveaux, et les autorités nationales de protection des données sont habilitées à infliger des amendes aux entreprises soit

:
  • Jusqu'à 10 millions d'euros, ou 2 % du chiffre d'affaires annuel mondial de l'année précédente - le montant le plus élevé étant retenu.
  • Jusqu'à 20 millions d'euros, ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
 

Le procureur général de Californie est habilité à infliger des amendes aux entreprises :

  • Jusqu'à 2 500 dollars par violation - jusqu'à 7 500 dollars lorsque l'utilisation des données est clairement intentionnelle.
  • Jusqu'à 750 dollars par consommateur affecté par la violation des données dans le cadre de recours collectifs.
Les

entreprises bénéficient d'une période de rectification de 30 jours, le cas échéant.

Obligations du délégué à la protection des données

Oui

Non

Champ d'application des informations concernées

Données personnelles liées à une personne - y compris les données d'identification des appareils.

Données personnelles "susceptibles d'être associées à" un consommateur ou un ménage.

Couvre les employés

Oui

?

Fait une distinction entre les sous-traitants et les contrôleurs.

Oui, avec des obligations clairement définies pour chacun d'eux.

Fait la distinction entre les entreprises et les prestataires de services, mais les différences en termes d'obligations sont mal définies.

Restrictions supplémentaires concernant les données sensibles

Oui

Non

Respect du droit d'accès

Oui

Oui

Respecte le droit à l'effacement

Oui

Oui

Respect du droit de rectification

Oui

Non

Respecte le droit à la portabilité

Oui

Oui, mais seulement implicitement en relation avec le droit d'accès des consommateurs aux informations personnelles.

Respecte le droit à la limitation du traitement

Oui

Non

Respecte le droit d'être informé

Oui

Exige que les entreprises informent les consommateurs "avant ou au moment de la collecte" du type d'informations personnelles recueillies et de l'usage qui en sera fait.

Respecte le droit d'opposition

Oui

Les consommateurs ont le droit de "s'opposer à la vente d'informations personnelles".

Respecte le droit de refuser la prise de décision automatisée

Oui

Non

Pas de représailles (droit de ne pas être discriminé)

Oui

Oui

Interprétation du consentement

Le consentement doit être donné librement, spécifique, éclairé, sans ambiguïté et retirable (généralement par le biais d'un opt-in).

Consentement requis pour la vente d'informations personnelles. Certaines actions nécessitent un consentement explicite, comme la vente de données concernant les enfants.

Obligation de divulguer la politique de confidentialité

Oui

Oui

Exige un nouveau lien sur la page d'accueil

Non

Nécessite un lien sur la page d'accueil indiquant "Ne vendez pas mes informations personnelles".

Obligations de conservation des données

Oui

Non

Restrictions au profilage

Oui

Non

Restrictions aux transferts internationaux de données

Oui

Non

Prévoit des considérations particulières pour les enfants

Oui

Oui

Obligations en matière de sécurité des données

Oui

Oui

Obligations de signalement des violations de données

Oui

Oui

Contrats avec les fournisseurs de services

Oui

Non obligatoire, mais bénéfique

Obligations de "Privacy by design

Oui

Non

 

Quelles sont les autres normes en matière de protection de la vie privée ?

 

Le GDPR a inspiré un large éventail de législations nationales qui offrent des niveaux similaires - mais pas identiques - de protection des données.

Vous trouverez ci-dessous une liste de pays dont la Commission européenne estime que les lois sont adaptées à la protection des données dans le cadre du GDPR :

Argentine Loi sur la protection des données personnelles n° 25 326, protections constitutionnelles 2001.

Bahreïn Loi sur la protection des données personnelles 2019 Les personnes risquent une peine de prison potentielle d'un an pour avoir transféré illégalement des données personnelles hors du pays.

Brésil Loi générale sur la protection des données LGPD 2020

Canada Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) 2000

Israël Règlement sur la sécurité des données 2017

Japon Loi sur la protection des informations personnelles (APPI) 2020

Kenya Loi sur la protection des données 2019

Loi mauricienne sur la protection des données 2017

Loi sur la protection de la vie privée de la Nouvelle-Zélande 2020

Règlement sur la protection des données du Nigeria 2019

Paraguay Loi n° 6534/20 sur la protection des données personnelles de crédit 2020

Qatar Loi n° 13 2016

Afrique du Sud Loi sur la protection des informations personnelles (POPI) 2020 Comme un certain nombre de réglementations africaines sur la protection des données, la POPI se distingue du GDPR en ce qu'elle ne s'applique qu'aux entreprises sud-africaines qui traitent des données à l'intérieur du pays, et qu'elle est moins stricte en matière de consentement pour les données ne relevant pas de la "catégorie spéciale".

Corée du Sud Loi sur la protection des informations personnelles (PIPA) 2011, 2020 Considérée comme l'une des lois les plus strictes au monde en matière de confidentialité des données.

Thaïlande Loi sur la protection des données personnelles 2021

Turquie Loi sur la protection des données personnelles n° 6698 2016

Royaume-Uni Loi sur la protection des données (2018) La loi a été modifiée à partir de 2021 pour intégrer les exigences du GDPR de l'UE.

Loi ougandaise sur la protection des données et la vie privée 2019

Uruguay Loi sur la protection des données personnelles et l'action en matière d'habeas data 2008.

Si vous souhaitez trouver une loi qui n'a pas été mentionnée ici, retrouvez la liste complète sur le portail d'information sur la confidentialité des donnéesde la CNUCED .

3. Dernières nouvelles sur le GDPR

Le GDPR fait constamment l'actualité ces derniers temps.

Dans cette section, vous trouverez les dernières nouvelles concernant le GDPR aujourd'hui. Elle couvre l'application du GDPR, les violations de données et les mises à jour des politiques de protection des données - tant en Europe que dans le monde :

Faites défiler la page ou cliquez sur les liens ci-dessus pour accéder à une section.

Actualités sur le GDPR

France - la dernière APD à déclarer Google Analytics illégal

Février 2022 - L'autorité française de protection des données a jugé que Google Analytics enfreignait l'article 44 du GDPR, qui interdit le transfert de données personnelles en dehors de l'UE/EEE, sauf si le pays destinataire est en mesure d'assurer une protection adéquate des données.

Cette décision fait suite à une décision similaire de l'autorité autrichienne de protection des données concernant Google Analytics dans le cadre de l'action privée intentée par Max Schrems.

Pour en savoir plus, lisez l'article complet

IAP Europe se voit infliger une amende de 250 000 € par l'APD pour des violations du GDPR

Février 2022 - L'autorité belge de protection des données a infligé une amende de 250 000 € à l'association européenne de marketing et de publicité numériques pour avoir enfreint le cadre de transparence et de consentement(TCF).

La décision de sanctionner l'IAB Europe et de limiter l'utilisation du TCF, ainsi que l'obligation de supprimer toutes les données actuelles, aura un impact sur les éditeurs, les annonceurs, les entreprises technologiques et les grandes entreprises technologiques comme Google et Amazon.

Pour en savoir plus, lisez l'article complet

La CJUE annule le bouclier de protection de la vie privée UE-États-Unis

Juillet 2020 - La Cour de justice de l'Union européenne(CJUE) a décidé cette semaine que les entreprises ne pouvaient pas stocker aux États-Unis les données relatives au trafic des sites Web des citoyens européens.

Cette décision historique a effectivement mis fin à l'accord bilatéral entre l'UE et les États-Unis sur le partage des données, et a de vastes implications pour de nombreuses entreprises, y compris les plus grands acteurs de l'industrie technologique.

Pour en savoir plus, lisez l'article complet.

Archives des actualités sur le GDPR

Actualités sur l'application du GDPR

Les plus grosses pénalités financières à ce jour

Date

DPA

Amende

Entreprise

Raison

1

juillet 2021

Luxembourg

746 millions d'euros

Amazon

Politique de consentement aux cookies inadéquate.

2

Septembre 2021

Irlande

225 millions d'euros

Whatsapp

Traitement des données mal expliqué dans l'avis de confidentialité.

3

Janvier 2022

France

90 millions d'euros

Google Irlande

Procédures inadéquates de consentement aux cookies sur YouTube.

4

décembre 2021

France

60 millions d'euros

Facebook

Procédures de consentement aux cookies inadéquates.

5

janvier 2022

France

60 millions d'euros

Google LLC

Procédures inadéquates de consentement aux cookies sur YouTube.

6

juin 2020

France

50 millions d'euros

Google

Avis de confidentialité inadéquat.

7

Octobre 2020

Allemagne

35 millions d'euros

H&M

Surveillance des employés sans consentement

8

février 2020

Italie

27,8 millions d'euros

TIM

Diverses actions illégales, principalement liées à des contacts non sollicités.

9

Octobre 2020

ROYAUME-UNI

22 millions d'euros

British Airways

Violation de données affectant 400 000 clients.

10

octobre 2020

ROYAUME-UNI

20,4 millions d'euros

Marriott

Violation de données dans la base de données de réservation des clients.

Mises à jour des autres politiques de protection des données

Nouvelles lois sur la protection de la vie privée

Février 2022 - Les législateurs californiens élaborent un nouveau projet de loi visant à protéger les données personnelles en ligne des enfants. Cette initiative fait suite à la réglementation récemment adoptée par le Royaume-Uni sur le code des enfants.

Décembre 2021 - Le Zimbabwe met en vigueur sa première loi sur la protection de la vie privée - la loi sur la protection des données n° 05/2021.

Décembre 2021 - Le Conseil des ministres de Jordanie a approuvé le projet de loi sur la protection des données personnelles 2021, le soumettant à la Chambre des représentants du royaume.

Octobre 2021 - Le Rwanda a promulgué sa première loi sur la protection des données, la loi n° 058/2021.

Octobre 2021 - Un amendement aux lois sur la protection des données de Hong Kong est entré en vigueur, criminalisant le doxxing.

Septembre 2021 - La Commission de protection des données personnelles de Singapour publie ses lignes directrices révisées sur la protection de la vie privée.

Août 2021 - La Commission de protection des données personnelles du Japon a publié des lignes directrices pour les amendements de 2020 à sa loi sur la protection des informations personnelles (APPI), clarifiant des aspects de la loi qui n'étaient pas clairs auparavant.

Septembre 2021 - La loi chinoise sur la sécurité des données entre en vigueur.

Août 2021 - Le Cap-Vert modifie sa loi sur la protection des données de 2001, se rapprochant ainsi du GDPR sur un certain nombre de questions clés relatives à la vie privée.

Juin 2021 - La Commission européenne lance des discussions visant à adopter une "décision d'adéquation" pour le transfert de données personnelles vers la Corée du Sud. Cela signifie qu'elle est satisfaite que les lois sud-coréennes sur la confidentialité des données répondent aux exigences du GDPR.

Avril 2021 - Le Burkina Faso promulgue sa loi sur la protection des données, qui remplace une législation obsolète datant de 2004.

Mars 2021 - La Zambie a promulgué la loi sur la protection des données, devenant ainsi le 31e pays africain à adopter une législation sur la protection des données. Réglementations et orientations

Décembre 2021 - L'autorité de protection des données du Sénégal a publié des règlements relatifs aux périodes de conservation des données pour différentes classifications de données qui vont de six mois à 10 ans.

Décembre 2021 - Le Kenya a publié son règlement sur la protection des données qui étoffe sa loi de 2019 sur la protection des données. Il renforce les lois nationales sur la vie privée sur une série de questions qui seraient reconnaissables pour quiconque a suivi le GDPR.

Juin 2021 - L'Afrique du Sud a publié des notes d'orientation POPIA sur le traitement des informations personnelles spéciales et des informations personnelles des enfants. Cela fait suite aux instructions de mars et avril sur les demandes d'autorisation préalable et les exemptions pour le traitement illégal d'informations personnelles respectivement.

Mars 2021 - L'Ouganda a adopté son Règlement sur la protection des données et de la vie privée - il complète sa Loi sur la protection des données et de la vie privée et fournit des détails supplémentaires sur des questions telles que l'autorité chargée de la protection des données, les obligations en matière de gestion des données et les droits des personnes concernées.

4. Les implications du GDPR sur les spécialistes du marketing numérique

Le GDPR est une énorme obligation pour les spécialistes du marketing.

Le marketing numérique consiste à utiliser les sites Web, les moteurs de recherche, les courriels et les médias sociaux pour susciter l'engagement des consommateurs envers votre entreprise et augmenter vos revenus.

Comment le GDPR affecte-t-il le marketing ?

Le GDPR et le marketing vont de pair, la loi introduisant pas mal d'exigences essentielles pour les marketeurs.

Consentement des données

Le consentement est un élément important des exigences du GDPR. En pratique, il s'agit d'avoir des opt-ins dans tout votre écosystème marketing.

Vous devez rechercher activement la permission explicite des utilisateurs pour la collecte et l'utilisation de leurs données personnelles. Les opt-ins pré-cochés sont de l'histoire ancienne car, pour être conforme au GDPR, le consentement doit être un choix délibéré.

Accès aux données

Le GDPR a donné aux résidents de l'UE plus de contrôle sur la façon dont leurs données personnelles sont collectées et utilisées - y compris la possibilité d'y accéder, de les transférer ou de les supprimer.

Il est de votre responsabilité, en tant que marketeur, de vous assurer que vous respectez ces souhaits et que vous avez des systèmes en place pour accéder rapidement à ces demandes.

Orientation des données

Le GDPR exige que vous ayez une justification légale pour toute donnée personnelle collectée.

Cela signifie simplement que vous ne collectez que les données dont vous avez besoin pour fournir à votre client un produit ou un service de qualité.

Pourquoi se conformer au GDPR ?

Au-delà des implications des amendes GDPR, la conformité au GDPR apporte une série d'avantages pour les marketeurs :

  • Crée une stratégie marketing durable.
  • Augmente la confiance avec les clients et les consommateurs
  • Optimise l'exactitude, l'organisation et la sécurité des données
  • Améliore les options martech disponibles
  • Améliore les relations avec le DPO, la C-Suite et les autres départements.
  • Permet d'avoir l'esprit tranquille en menant ses affaires de manière éthique.

Comment se conformer au GDPR ?

Le GDPR et votre site web

Les informations glanées à partir des cookies de sites Web sont depuis longtemps un outil utile pour les spécialistes du marketing à l'ère du numérique, leur permettant de personnaliser la diffusion en fonction de l'analyse comportementale qui suit les utilisateurs sur Internet.

Toutefois, le GDPR exige un consentement pour la collecte des cookies - un consentement clair, spécifique et sans ambiguïté.

Les utilisateurs doivent également être en mesure de retirer leur consentement à tout moment.

Le GDPR et votre CRM

Les spécialistes du marketing doivent réfléchir à la manière dont ils collectent, traitent et manipulent les données. En ce qui concerne le CRM, vous devez tenir compte des éléments suivants :

  • Type de données : les entreprises ne peuvent collecter et stocker que les données qu'elles peuvent légalement justifier pour fournir aux consommateurs leur produit ou service.
  • le stockage et le transfert des données : les entreprises doivent crypter les données personnelles pour les protéger contre le risque d'accès non autorisé ou de violation des données
  • Traitement des données : les entreprises doivent traiter les données personnelles de manière à empêcher leur utilisation pour identifier les personnes concernées.
  • Accès aux données : les entreprises doivent vérifier leurs systèmes et processus afin de déterminer qui a accès aux différents types de données enregistrées.

Le GDPR et votre marketing par courriel

La conformité au GDPR pour le marketing par courriel signifie qu'il faut empêcher les communications importunes ou les spams - les consommateurs doivent avoir choisi de participer à des campagnes de courriel prolongées.

Les entreprises doivent obtenir le consentement explicite des consommateurs sur la manière dont leurs données personnelles seront utilisées avant d'envoyer des e-mails. Cela vaut également lorsque les entreprises acquièrent des listes d'adresses électroniques auprès de tiers.

Le GDPR et vos logiciels

Les entreprises qui développent des logiciels doivent s'assurer que les exigences du GDPR en matière de "confidentialité par défaut et par conception" sont intégrées dès le début.

Cela signifie que les mesures de confidentialité des données sont incluses dans le logiciel dès les premières étapes du développement.

5. Quelles sont les implications du GDPR sur votre pile de technologies marketing ?

Au fond, le GDPR est là pour protéger les données personnelles des citoyens de l'UE - et contrôler avec qui une entreprise peut partager ces informations.

Le marketing numérique, et la technologie qui y est associée, sont alimentés par ces données personnelles.

Le GDPR considère donc les fournisseurs de chacune de ces plateformes dans votre pile - ainsi que d'autres tiers qui peuvent accéder à vos données personnelles - comme des "processeurs de données".

Puisque votre entreprise reste le "contrôleur de données" selon la terminologie GDPR, cela signifie que vous êtes finalement responsable de ce que ces plateformes font de vos données. Vous devez être certain de la qualité de ces données, de la manière dont elles sont collectées et de la façon dont elles circulent dans votre écosystème martech.

Solutions logicielles conformes au GDPR

Pour les marketeurs, les solutions logicielles désignent les outils qui leur permettent de commercialiser de manière plus intelligente - afin de mieux atteindre leurs objectifs numériques.

Il s'agit d'un secteur énorme, le marché mondial des technologies marketing étant estimé à 344,8 milliards de dollars en 2021 (MarTech Alliance).

La croissance de Martech a été frappante, et le paysage a changé de façon spectaculaire entre 2011 et 2020.

Les chiffres de Martech Alliance montrent que le nombre de fournisseurs est passé de 150 à 8 000 pendant cette période, soit une augmentation de 5 233 %, ce qui illustre l'importance de cette technologie pour les entreprises aujourd'hui.

Pourquoi la Martech est-elle importante ?

Il est courant que les différents départements d'une entreprise fonctionnent en silos, avec des processus de collaboration non optimaux.

Utilisée correctement, la Martech peut supprimer ces silos et rapprocher les départements, leur permettant ainsi de travailler plus efficacement à des objectifs communs, tout en offrant une meilleure expérience client.

Voici quelques autres avantages de la Martech :

  • Une meilleure création de contenu : les spécialistes du marketing peuvent mieux comprendre l'efficacité de la diffusion de leur contenu, ce qui leur permet de comprendre les performances, d'optimiser l'expérience et de fournir un contenu sur mesure.
  • Amélioration de l'efficacité : automatisation des tâches répétitives et fastidieuses, permettant aux employés de se consacrer à d'autres tâches.
  • Amélioration du ciblage des consommateurs : créer des stratégies adaptées à chaque client, ce qui permet de renforcer les relations avec les clients, d'accroître leur confiance et de les fidéliser.

Problèmes liés à l'adoption

Alors que la technologie est en constante évolution, les organisations peuvent rester quelque peu inflexibles. La Martech peut permettre aux entreprises de répondre aux attentes croissantes des clients, mais elles doivent utiliser leurs solutions de manière efficace.

Quelles sont les catégories de MarTech ?

L'éventail des options martech est plus large que jamais.

Bien qu'il y ait évidemment quelques chevauchements, les options martech se répartissent en grande partie dans les six catégories suivantes :

1. Publicité

Intégrer les différentes plateformes de publicité et de promotion utilisées pour les annonces payantes et rationaliser les domaines suivants :

2. Performance du contenu

Améliorez vos processus de création de contenu, d'automatisation et autres. Exemples :

  • Optimisation des moteurs de recherche (SEO)
  • Systèmes de gestion de contenu (CMS)
  • Gestion des ressources numériques (DAM)

3. Données et analyses

Rationalisez la collecte et l'analyse des données ; optimisez votre site web, améliorez l'UX de vos produits, etc. Exemples :

  • Plateformes de données clients (CDP)
  • Plateformes de gestion des données (DMP)
  • Analyse de sites Web
  • Analyse prédictive

4. Gestion

Utilisées pour améliorer la collaboration, la communication et la réalisation de projets au niveau de la direction. Exemples :

  • Budgétisation et finances
  • Communication
  • Gestion de projet
  • Recrutement
  • Suivi du temps

5. Ventes

Permettez à vos équipes de marketing et de vente de mieux collaborer, d'automatiser les processus et d'exécuter la gestion des ventes et des clients à grande échelle.

Ces outils peuvent en fait relier plusieurs départements - au-delà du marketing et des ventes, le support client, le succès et les finances également. En voici quelques exemples :

  • La gestion de la relation client (CRM)

6. Médias sociaux

Cette catégorie de technologie marketing comprend :

Qu'est-ce qu'une pile marketing ?

En termes simples, votre pile marketing est la collection de diverses technologies utilisées par votre département.

En tant qu'outils individuels, ils n'apporteront généralement que des avantages limités - mais, si vous parvenez à marier les données (entre les outils et les départements) et à automatiser les processus, ils peuvent constituer les fondements d'une stratégie réussie.

En développant une pile technologique marketing, les départements marketing peuvent visualiser comment leurs différentes plates-formes et systèmes fonctionnent ensemble, dans le but de tout intégrer pour une meilleure expérience utilisateur interne et externe.

Comment assurer la conformité au GDPR avec la martech ?

 

  • Engagez un responsable du traitement des données
  • Compilez un rapport sur les martech utilisées par votre entreprise afin d'identifier tout " processeur de données ".
  • Exigez de chaque plateforme martech qu'elle fournisse des documents attestant de sa conformité au GDPR.
  • Décidez de la martech à conserver et de celle à remplacer.
  • Privilégiez la qualité à la quantité lorsqu'il s'agit des données personnelles des clients.
  • Soyez ouvert sur ce que vous faites avec les données personnelles
  • Signer un accord de traitement des données avec vos processeurs de données.

Dans le monde moderne, il serait pratiquement impossible pour les entreprises de se développer au rythme souhaité sans une pile Martech intégrée.

Utilisés correctement, ces outils optimisent ce qui peut être réalisé avec les données personnelles enregistrées. Mais il est absolument essentiel de s'assurer que chaque plateforme et chaque processus sont conformes au GDPR.

6. L'avenir du GDPR

Le GDPR a été porté au monde sur une vague d'optimisme quant à l'avenir de la protection de la confidentialité des données des consommateurs.

Pourtant, s'il reste l'un des cadres les plus stricts au monde en matière de confidentialité des données, son plein potentiel n'a pas encore été réalisé.

Cet article passe en revue la protection de la vie privée des consommateurs, le GDPR et ses effets sur l'avenir du marketing. Il examine les succès et les difficultés de la loi, avant d'évoquer ce que l'avenir réserve aux lois sur la protection de la vie privée et aux entreprises qui sont à leur merci,

Les points positifs jusqu'à présent

Le GDPR a incontestablement renforcé le sérieux avec lequel les entreprises traitent les données personnelles, et la vitesse à laquelle les entreprises ont amélioré leurs pratiques de sécurité a été assez surprenante.

Avant même l'amende massive de 746 millions d'euros infligée à Amazon, les dirigeants de l'entreprise ne devaient être que trop conscients du risque que le GDPR représentait pour eux ; il a suscité d'énormes investissements dans les politiques et systèmes de protection de la vie privée, et a créé une culture de la confidentialité des données dès la conception et de la responsabilité.

On prévoit que 9 milliards de dollars devront être dépensés pour rendre l'économie mondiale conforme au GDPR(Forbes) - ce sont 9 milliards de dollars qui sont investis dans la protection des informations personnelles des personnes vivant dans l'Union européenne.

Ainsi, si la conformité au GDPR a été un casse-tête sans fin pour les entreprises, c'est une excellente nouvelle pour les internautes européens.

Et, avec les salaires moyens des professionnels de la protection de la vie privée qui ont augmenté de plus de 6 000 dollars en seulement deux ans, le GDPR a été une assez bonne nouvelle pour eux aussi.

Succès pour Bruxelles

L'introduction du GDPR est également un véritable succès pour l'UE, qui fait de l'Europe la police des données du monde entier et la référence en matière de législation internationale sur la confidentialité des données.

Les multinationales se félicitent également de l'aspect pratique que représente le fait de pouvoir s'appuyer sur un cadre unique de protection de la vie privée pour assurer la conformité dans tous les États membres de l'UE - même si cela a mieux fonctionné en théorie qu'en pratique.

Catalyser la réforme mondiale de la protection des données

La marée montante soulève tous les navires, et les législateurs de plus de 120 pays s'inspirent du GDPR pour rédiger leur propre législation pour le secteur technologique - ce mouvement mondial vers des droits des consommateurs plus forts étant un témoignage supplémentaire de l'ambition du GDPR.

Amérique du Nord

Aux États-Unis, seuls trois États disposent actuellement de lois sur la protection de la vie privée similaires au GDPR, à savoir le Colorado, la Virginie et le Connecticut. Mais ce chiffre va bientôt grimper en flèche, puisque plus de 30 États sont en train de rédiger des projets de loi.

À l'avenir, cela pourrait être toute la pression dont le gouvernement américain a besoin pour intensifier ses efforts en vue d'introduire une loi fédérale qui lui soit propre, et un remplacement de l'accord Privacy Shield entre l'UE et les États-Unis, aujourd'hui disparu, est attendu depuis longtemps.

Les États-Unis peuvent s'inspirer de la législation nationale canadienne en matière de protection de la vie privée, la PIPEDA ayant été reconnue par la Commission européenne comme répondant à de nombreuses exigences du GDPR, malgré - principalement - une compréhension différente du consentement comme base juridique du traitement des données.

Afrique

L'Afrique est à la traîne derrière les pionniers occidentaux. L'Union africaine s'est efforcée de catalyser l'adoption d'une législation similaire au GDPR sur le continent et la moitié des 54 pays du continent ont introduit leurs propres lois sur la confidentialité des données.

L'Afrique du Sud a finalement adopté sa loi sur la protection des informations personnelles(POPI) après cinq ans de travail.

Mais si nombre d'entre elles partagent les principes clés du GDPR, le continent dans son ensemble manque de mécanismes d'application et les disparités plus larges constituent des défis pour les organisations multinationales qui y opèrent.

Le financement de la formation des fonctionnaires en matière de confidentialité des données est également insuffisant, tandis que la dépendance du continent à l'égard des cybercafés plutôt que des appareils personnels rend plus difficile le contrôle de l'utilisation abusive des données personnelles.

Dans l'ensemble, cependant, les lois sur la confidentialité des données en Afrique se sont considérablement développées au cours des trois dernières années et la tendance générale est positive.

Amérique du Sud

La législation du continent en matière de confidentialité des données remonte à plus loin que celle des États-Unis et le rythme des réformes de ces dernières années a été frappant.

Mais si l'Amérique latine a longtemps calqué ses lois sur les précédents européens pour faciliter les affaires, l'absence d'un cadre global pour le continent constitue un défi pour les organisations multinationales.

Dans le cadre d'un accord avec le MERCOSUR, le transfert de données vers l'UE dépend de l'adoption par les pays membres d'Amérique latine d'une législation similaire au GDPR, mais seule une poignée de pays - Argentine. Paraguay, Uruguay et Brésil - ont fait les démarches nécessaires jusqu'à présent.

Asie

L'Asie a également renforcé ses lois sur la confidentialité des données, et plusieurs pays de la région ont mis à jour leur législation pour la rendre plus conforme au modèle européen.

La Chine domine la région et a introduit sa propre loi sur la protection des informations personnelles(PIPL).

Les réglementations japonaises et sud-coréennes répondent aux normes du GDPR en matière de confidentialité des données, et la tendance générale est positive. Cependant, les prochaines années seront une période de test pour le cadre de confidentialité des données de la région, car les violations de données continuent d'augmenter et les régulateurs ont du mal à faire appliquer la loi.

Accroître le pouvoir des particuliers

La loi a également permis à des particuliers d'attaquer des entreprises devant les tribunaux.

Max Schrems en est l'exemple le plus célèbre, mais il y a désormais beaucoup plus de personnes qui utilisent les droits d'action privés et les recours collectifs pour amener les entreprises sur le devant de la scène judiciaire.

L'application de la loi se développe

Comme toutes les nouvelles lois, le GDPR a connu des problèmes de démarrage et a eu du mal à trouver ses marques.

Selon une étude de DLA Piper, au moins quelques-uns des États membres de l'UE sont de plus en plus disposés à affronter les grandes entreprises technologiques, et les amendes GDPR ont augmenté de 700 % en 2021 - et cette tendance devrait se poursuivre en 2022 également.

Le nombre de notifications de violation de données reçues par les autorités de protection des données n'a également cessé d'augmenter année après année, depuis l'arrivée du GDPR sur la scène en 2018.

Les amendes GDPR ont également été l'étincelle de changements positifs.

Après avoir été frappé par une amende de 35,3 millions d'euros en octobre 2020, H&M a réagi en introduisant une flopée de nouvelles mesures pour protéger les données personnelles des consommateurs.

Elle a notamment nommé un nouveau coordinateur de la protection des données et créé une stratégie de protection des données à long terme.

H&M s'efforce également de verser des indemnités aux employés concernés.

Les difficultés rencontrées jusqu'à présent

Malgré ces succès, des difficultés subsistent.

Manque d'harmonisation entre les pays

Si le GDPR est presque entièrement déployé dans l'UE, la profondeur de l'intégration varie d'un pays à l'autre.

Les autorités de surveillance varient également dans la façon dont elles interprètent le GDPR, et l'application peut entrer en conflit avec différentes lois locales dans chaque État.

Les enquêtes transfrontalières sont également lentes à se mettre en place pour le moment.

Ce manque d'harmonie en matière de protection des données entre les États membres de l'UE est une véritable frustration pour les professionnels de la protection de la vie privée. Il rend également difficile l'élaboration de directives normalisées.

La nature confuse de la conformité

L'incertitude qui plane encore sur le monde des affaires en matière de conformité ne donne pas une bonne image du GDPR.

La formulation de la loi est très ambiguë et de nombreuses entreprises sont peu enclines à dépenser des sommes considérables pour remanier leurs systèmes de données de fond en comble, si elles ne sont pas certaines d'échapper aux amendes pour utilisation abusive des données.

Les entreprises ont également été mises en difficulté par la définition trop large du GDPR de ce qu'est une violation de données personnelles.

La notification de la violation dans un délai de 72 heures a également posé des problèmes aux entreprises, car les autorités chargées de la protection des données ont été submergées de notifications inutiles, les entreprises ayant sauté le pas avant de bien comprendre ce qui se passait.

La résistance des grandes entreprises technologiques

De nombreuses multinationales de la tech s'en tiennent encore à des modèles économiques fondés sur des revenus tirés de l'exploitation des données.

Cette approche se heurte à la résistance d'un lobby technologique très puissant et les violations du GDPR restent un élément essentiel de l'actualité quotidienne. Les conflits dans cette guerre des données très publique ont inclus :

Des efforts d'application à la traîne par rapport aux demandes

L'optimisme initial entourant ce projet de loi a été lentement remplacé par la frustration liée à la lenteur de la mise en œuvre.

Le nombre de violations de la vie privée dépasse ce que les régulateurs peuvent faire respecter, et un grand nombre d'entre elles ne sont pas traitées.

En 2021, les régulateurs du GDPR ont été informés de plus de 130 000 violations de données personnelles(DLA Piper).

Les APD sont surchargées de travail. Entre mai 2018 et mars 2020, les autorités de protection des données n'ont distribué que 231 amendes et sanctions - une goutte d'eau à côté des 144 376 plaintes déposées pendant cette période.

Elles sont également sous-financées. Une étude réalisée par le navigateur web Brave a conclu que les régulateurs n'ont pas reçu le financement nécessaire pour appliquer efficacement le GDPR.

En conséquence, les autorités chargées de la protection des données sont réticentes à prendre les grandes entreprises à partie en raison des énormes budgets juridiques dont disposent Facebook et Google, par exemple.

Fait crucial, le nombre d'employés chargés de la protection des données travaillant dans l'UE a à peine augmenté depuis 2019 - là encore en raison du manque de financement.


L'Irlande et la règle du guichet unique

Le bureau irlandais de la DPC est sous-financé depuis plus de vingt ans maintenant et la charge de travail est élevée. Il a actuellement des enquêtes ouvertes sur au moins 17 énormes entreprises multinationales.

Cela s'explique par la règle du "guichet unique" du GDPR, selon laquelle les entreprises doivent être poursuivies dans l'État membre où elles choisissent d'établir leur siège.

L'Irlande est la destination numéro 1 des entreprises technologiques américaines - ce qui signifie que le DPC irlandais mène des enquêtes sur certaines des entreprises les plus riches et les plus puissantes de la Silicon Valley, au nom de toute l'Europe.


Restriction de la croissance des entreprises et de l'innovation

Les conflits entre l'innovation et la protection des droits individuels et le GDPR semblent sérieusement entraver la capacité de l'UE à développer de nouvelles technologies.

La connaissance de nombreuses technologies importantes pour l'avenir était déjà largement répandue au moment de la rédaction du GDPR, mais les règlements rendent pratiquement impossible leur développement ou même leur utilisation.

Cela arrive à un moment où le continent a désespérément besoin de solutions numériques, et il n'y a aucune orientation pratique sur la façon dont le GDPR peut s'adapter aux nouvelles technologies en allant de l'avant.

L'intelligence artificielle (IA)

L'intelligence artificielle est entravée par les exigences strictes du GDPR en matière de consentement au traitement des données, ce qui désavantage les entreprises européennes par rapport à leurs concurrents nord-américains et asiatiques.

Blockchain

La blockchain est une base de données numérique contenant des informations (comme les enregistrements de transactions financières) qui peuvent être utilisées et partagées sur un réseau décentralisé et accessible au public.

Cette technologie est considérée comme un outil puissant pour accroître la sécurité des données et peut être appliquée à tout, du partage sécurisé des données médicales et des mécanismes de vote aux places de marché NFT et aux paiements transfrontaliers.

L'une des principales caractéristiques de la technologie blockchain est que les données personnelles intrinsèques ne peuvent être modifiées sans le consentement de toutes les personnes concernées.

Ainsi, bien que la blockchain ait le potentiel de répondre aux objectifs du GDPR - comme le flux sécurisé de données et d'informations - la loi exige que les consommateurs puissent demander la suppression des informations personnelles, ce qui rend les deux incompatibles à l'heure actuelle.

Santé

Les exigences du GDPR en matière de minimisation des données, de limitation de la finalité et de transfert de données pseudonymisées en dehors de l'UE rendent difficile le partage des données de santé.

Il a également agi comme un contrôle puissant de la gestion de la santé pendant la pandémie de COVID, puisqu'il a restreint l'utilisation des données de suivi et l'échange de données entre les autorités sanitaires locales.

Gouvernance électronique

Au cours de la dernière décennie, les mesures de gouvernance électronique ont eu un impact profond sur la qualité de la prestation des services publics aux citoyens, bien que les questions de confidentialité et de sécurité - au cœur du GDPR - fassent perdre l'élan.

Comment le GDPR va-t-il évoluer à l'avenir ?

Facilité de mise en conformité

La Commission européenne souhaite que les petites entreprises puissent se conformer plus facilement à la réglementation du GDPR.

Cela impliquerait de leur fournir des conseils, un soutien et des outils supplémentaires - comme les clauses contractuelles types, que les entreprises peuvent simplement coller dans leurs propres contrats clients.

Facilité d'exercice des droits liés au GDPR

Il s'agit notamment de voir la portabilité des données au-delà des seules banques et télécoms.

Poursuites judiciaires privées

Le droit privé d'action et les recours collectifs sont des moyens évidents de faire progresser la manière dont les citoyens de l'UE peuvent exercer leurs droits en vertu du GDPR.

Ces actions privées devraient devenir plus courantes, et ces décisions auront un impact important sur la façon dont le GDPR sera interprété dans les années à venir.

Une approche proactive plutôt que réactive

Dans l'ensemble, l'application du GDPR au cours des trois premières années de la loi a été réactive - résultat soit des notifications de violation de données, soit des plaintes des personnes concernées.

Cependant, les autorités de protection des données deviennent maintenant beaucoup plus proactives en ciblant les entreprises avant que des problèmes de non-conformité n'aient été déposés.

Cette sophistication de l'application du GDPR ne peut que s'accroître dans les années à venir.

Efficacité des autorités de protection des données

Il existe une volonté d'améliorer le fonctionnement des autorités de protection des données, notamment en raison de la façon dont l'affaire Whatsapp a illustré la nature alambiquée des mécanismes d'application du GDPR.

L'amélioration de l'efficacité passe par une meilleure collaboration entre les autorités de protection des données des États membres, les discussions se poursuivant sur la manière dont elles peuvent mieux travailler ensemble pour faire appliquer le GDPR. Il existe également un soutien pour une approche plus centralisée de l'application.

Cette harmonisation comprend la cohérence régionale et l'adéquation des ressources au nombre croissant de demandes.

Que réserve l'avenir aux entreprises ?

Législation future à surveiller

Règlement européen sur la vie privée et les communications électroniques

Ce règlement remplacera la directive "vie privée et communications électroniques" et introduira de nouvelles règles en matière de communications électroniques. Un projet de proposition vu en avril 2021 comprenait des réglementations pour l'intelligence artificielle qui étaient conformes au GDPR.

Remplacement du Privacy Shield

Le Privacy Shield permettait aux entreprises américaines de traiter les données des citoyens de l'UE, à condition qu'elles adoptent les normes de confidentialité plus strictes du GDPR. Cependant, la loi américaine signifiait que le gouvernement américain pouvait toujours surveiller ces données.

Après que Max Schrems a contesté ce conflit juridique, le Privacy Shield a été annulé. Il serait dans l'intérêt de tous de convenir d'un remplacement,

Une loi qui évolue

Compte tenu de son impact sismique sur les lois mondiales en matière de protection de la vie privée, il n'est pas étonnant que le GDPR mette du temps à se mettre en place.

Cependant, depuis son introduction en 2018, il a incontestablement renforcé les mesures de sécurité et la protection des consommateurs.

On a également beaucoup appris sur les domaines dans lesquels le GDPR a réussi et sur ceux où des améliorations peuvent être apportées à l'avenir.

Il ne fait aucun doute que les améliorations apportées par d'autres pays à la législation sur la confidentialité des données influenceront également la réglementation et l'application de cette dernière en Europe.

7. Analyse des visiteurs - données web conformes à la réglementation GDPR et respectueuses de la vie privée.

Qu'est-ce qui fait que Visitor Analytics privilégie la confidentialité ?

Pour nous, la confidentialité des données est un principe indiscutable.

Nous ne vendons pas les données et ne les transmettons pas à des tiers.

Les données sont agrégées et anonymisées, et ne sont utilisées que pour fournir au propriétaire du site Web les statistiques et les informations nécessaires à l'amélioration des performances du site. Ces données ne peuvent être rattachées à aucun individu.

Quelles sont les lois sur la protection des données et la confidentialité auxquelles nous nous conformons ?

Depuis la toute première version de notre application, notre priorité a toujours été la protection et la confidentialité des données que nos clients nous confient. C'est pourquoi nous nous efforçons de nous tenir au courant de toutes les lois sur la confidentialité des données et de nous assurer que nous sommes conformes à chacune d'entre elles : BDSG, CCPA, CPA, DPA, ePrivacy, GDPR, LGPD, PECR, PIPEDA, PIPL, PDP, POPI, VCDPA et TTDSG.

Quelles sont les données Web que nous traitons ?

Les types et les quantités de données personnelles que nous traitons sont limités à ceux indiqués dans le contrat avec le client. Nous ne les partageons pas avec des tiers. Nous ne traitons les données personnelles que de la manière décrite dans notre politique de confidentialité.

Pourquoi et comment traitons-nous les données Web ?

Chez Visitor Analytics, nous sommes conscients de la confiance que nos clients accordent à notre produit et à notre équipe, et de notre responsabilité de préserver la sécurité de vos données et de votre vie privée.

Par conséquent, nous sommes transparents en ce qui concerne les informations que nous recueillons lorsque vous utilisez nos produits et services, pourquoi nous les recueillons et comment nous les utilisons pour améliorer le service pour vous !

Nos conditions d'utilisation et notre accord de traitement des données décrivent comment nous traitons les données personnelles dans le cadre de l'utilisation de notre App et comment nous en prenons soin.

Qui a accès aux données Web ?

Toutes les données que nous recueillons pour nos clients sont des informations confidentielles.

Les contrôles d'accès des employés de Visitor Analytics protègent les données des clients contre tout accès non autorisé, et nous utilisons un script spécial pour accéder aux données d'un propriétaire de site Web (à la fois les données de son compte et celles de ses visiteurs) et effectuons des audits pour nous assurer que les contrôles sont appliqués.

Qu'est-ce que la norme ISO 27001 ?

Nous sommes fiers d'être certifiés ISO 27001.

ISO 27001 est une norme internationalement reconnue qui garantit que notre application respecte les meilleures pratiques en matière de système de gestion de la sécurité de l'information.

Celles-ci aident notre organisation à gérer la sécurité des actifs tels que les informations financières, la propriété intellectuelle, les coordonnées des employés ou les informations qui nous sont confiées par des tiers - tels que des sites web et d'autres clients ou partenaires.

Comment aidons-nous les clients à gérer la confidentialité de leurs données Web ?

Grâce à l'approche innovante de Visitor Analytics en matière de suivi sans consentement, les entreprises n'ont plus besoin de cookies ou de bannières de consentement.

Pour ce faire, l'application dispose d'un centre de confidentialité, où les utilisateurs peuvent choisir parmi quatre modes de confidentialité différents :

  1. Confidentialité par défaut
  2. Confidentialité de base
  3. Suivi sans cookies
  4. Protection complète

Qu'est-ce que le mode de confidentialité par défaut ?

Il s'agit du paramètre de confidentialité par défaut lorsque vous configurez l'application pour la première fois. Avec ce mode, rien n'est anonymisé. Vous pourrez accéder aux types de données suivants : Adresse IP, historique des pages, visiteurs qui reviennent, localisation approximative des visiteurs et résolution d'écran. Aucun cookie n'est utilisé, mais nous utilisons l'empreinte numérique. Une bannière de consentement est requise sur le site.

Qu'est-ce que le mode de confidentialité de base ?

Grâce à ce mode, les adresses IP sont rendues anonymes. Vous pourrez accéder aux types de données suivants : Historique des pages, visiteurs qui reviennent, localisation approximative des visiteurs et résolution d'écran. Aucun cookie n'est utilisé, mais nous utilisons des empreintes digitales. Une bannière de consentement est requise sur le site.

Qu'est-ce que le mode de suivi sans cookie ?

Dans ce mode, les adresses IP sont rendues anonymes. Vous ne pourrez plus accéder à l'historique des pages, mais vous pourrez toujours accéder aux données sur les visiteurs qui reviennent, la localisation approximative des visiteurs et la résolution de l'écran. Aucun cookie n'est utilisé, mais nous utilisons des empreintes digitales. Une bannière de consentement n'est plus nécessaire, car aucune donnée n'est stockée.

À partir du mode de suivi sans cookie, les entreprises peuvent commencer à accéder à davantage de données, de manière légale et éthique, sans perdre les refus de bannière de consentement aux cookies.

Cette approche utilise des empreintes digitales numériques qui peuvent être reconnues ultérieurement.

Contrairement aux cookies, les empreintes digitales ne sont pas stockées sur l'appareil de l'utilisateur et ne peuvent donc pas fournir de données sur ce que fait le visiteur en dehors des sessions sur ce site particulier. Le suivi croisé est donc impossible.

Certaines données anonymes sont stockées, mais uniquement dans l'environnement d'analyse et sous une forme agrégée, ce qui rend impossible de les associer aux habitudes et à l'historique d'une personne en particulier.

Qu'est-ce que le mode de protection complète ?

Dans ce mode, les adresses IP sont rendues anonymes, l'historique des pages n'est pas affiché, les visiteurs qui reviennent ne sont que devinés et les résolutions d'écran sont approximatives. Vous pourrez toujours accéder à la localisation approximative des visiteurs. Il s'agit de notre mode le plus sûr, car aucun cookie, aucune empreinte digitale ni aucune autre donnée n'est stockée. Cela signifie qu'une bannière de cookies n'est pas nécessaire.

Grâce à la protection complète, aucune donnée de suivi ni aucun cookie n'est généré ou stocké et les détails de l'appareil d'un utilisateur ne sont jamais accessibles.

Il n'y a pas d'empreinte numérique du tout. Aucune donnée personnelle n'est stockée. Aucun cookie n'est utilisé. Seul un identifiant unique est utilisé.

Il n'est donc pas nécessaire d'obtenir le consentement de l'utilisateur - un souci de moins pour la gestion d'un site web.

Cela signifie également que 100 % des données statistiques et analytiques éthiques sont disponibles pour les utilisateurs, sur lesquelles ils peuvent s'appuyer pour prendre des décisions concernant l'amélioration du site Web.

FAQs

Les données d'enregistrement de session et de carte thermique sont-elles considérées comme des données personnelles ?

Ces données ne sont pas considérées comme des informations personnelles tant qu'elles ne sont pas liées à une adresse IP spécifique. En utilisant le mode de suivi sans cookie et le mode de protection complète, les adresses IP sont rendues anonymes.

Comment fonctionne l'empreinte numérique ?

Contrairement aux cookies (qui sont placés par les services dans la mémoire du navigateur de l'utilisateur), l'empreinte digitale est déjà définie pour chaque navigateur, comme une sorte d'identifiant de l'agent utilisateur (nom du navigateur, version, résolution d'écran, etc.).

Quelle est la différence entre l'empreinte digitale et l'identifiant unique ?

L'empreinte digitale ne change pas souvent, tandis que l'identifiant unique est un identifiant différent généré par nous, sous forme de hachage sur le serveur pour chaque session.

Où sont stockées les données d'empreintes digitales ? Combien de temps sont-elles conservées ? Que se passe-t-il avec ces données ?

L'empreinte digitale n'est stockée nulle part sur le navigateur. Elle ne change généralement pas, sauf en cas de mise à jour de la version du navigateur ou de désinstallation et réinstallation. Elle est toujours calculée à la volée.

En quoi la collecte de données sans utiliser de cookies ou de bannières de consentement est-elle légale ?

Le GDPR et les autres lois sur la protection de la vie privée sont très spécifiques lorsqu'il s'agit de données pouvant créer un profil individuel approximatif. En ne stockant aucune donnée et en n'utilisant pas les adresses IP, les modèles d'activité comme l'historique des pages, ou les emplacements exacts ou les paramètres des appareils, il n'y a aucun moyen d'identifier un profil individuel.