Le Règlement général sur la protection des données (RGPD) de l'UE entre en vigueur le 25 mai 2018.
Mais qu'est-ce que cela signifie pour les entreprises de commerce électronique, sachant que les achats en ligne utilisent le plus d'outils susceptibles d'interférer avec les règles.
Qu'est-ce que le RGPD ?
GDPR est un nouveau règlement avec l'Union européenne, qui obligera toutes les entreprises basées ou faisant des affaires dans l'UE, à se conformer à de nouvelles règles strictes concernant la collection, stockage et utiliser de données client.
Toutes les formes de données client : photos, publications sur les réseaux sociaux, adresses IP, coordonnées bancaires et tout numéro d'identification tel que NI ou SSN sont également importants. Toutes toutes ces données, quelle que soit leur origine devrait être opt-in seulement, stockées en toute sécurité et utilisées uniquement avec l'autorisation du client.
Cependant, les règles du RGPD ne sont pas immuables. Ils ont demandé qu'un niveau de sécurité «raisonnable» soit fourni, laissant une zone grise quant à savoir si les données des médias sociaux doivent être traitées de la même manière que les informations d'identification bancaires. Une chose est claire, les utilisateurs doivent donner un consentement explicite pour que leurs données soient stockées et utilisées de quelque manière que ce soit.
Les cases à cocher de consentement pré-remplies (par exemple dans les formulaires d'abonnement par e-mail) et le consentement caché dans de longues conditions générales appartiendront au passé.
Le RGPD distingue trois profils en matière de traitement des données :
- La personne concernée : Le client, l'utilisateur, l'employé, le visiteur du site - toute personne fournissant des données personnelles d'identification.
- Le responsable du traitement : Les entreprises offrant des services ou des biens qui contrôlent ces données. Ils sont responsables de la sécurité du stockage et de l'utilisation des données, et doivent indiquer comment et pourquoi les données sont utilisées.
- Le sous-traitant : Il s'agit généralement de fournisseurs de services, tels que les systèmes ERP, Vibetrace, les plates-formes de commerce électronique, UPS et toutes les équipes internes employées pour effectuer un travail similaire, comme une équipe de comptes internes.
Comment cela affectera-t-il les entreprises de commerce électronique ?
Le RGPD s'applique à toutes les bases de données, marketing, commercial, RH, comptabilité ; Toute manière dont les données sont stockées ou traitées relèvera de la nouvelle réglementation.
En savoir plus sur ces découvertes Déclaration RGPD
Consentement clair pour les activités de marketing
Comme mentionné ci-dessus, personnes concernées (clients/employés/utilisateurs) doivent participer activement aux activités de marketing. Les cases à cocher pré-remplies ou le consentement sous le pli ou caché à l'intérieur des CGU ne fonctionneront plus. Bien que cela ait été la meilleure pratique de nombreux spécialistes du marketing, ce qui peut avoir un impact sur certains, c'est la case à cocher « Utilisation des données pour des tiers », qui doit désormais répertorier les tiers qui peuvent avoir accès à leurs données en particulier.
Tout ce qui précède aura un impact sur l'industrie du marketing, en particulier en ce qui concerne la personnalisation, le profilage et toutes les activités de marketing impliquant le traitement de mégadonnées.
Le droit à l'oubli
Il doit être facile pour les clients non seulement de modifier leurs données et de retirer leur consentement aux activités de marketing, mais aussi de supprimer entièrement leurs informations d'un système. Alors que de nombreuses entreprises proposent la suppression de compte, cela peut être un processus long de nos jours.
Le processus de suppression des données doit être facile à trouver, bien documenté et annoncé pour ceux qui cherchent à supprimer leurs données personnelles.
Réponse immédiate à la violation
À partir de mai de l'année prochaine, les contrôleurs et les sous-traitants des données clients devront se conformer au RGPD. Pour les grandes entreprises, un délégué à la protection des données doit être nommé, dont la première responsabilité est de signaler les violations de données et les fautes à l'ICO. Les entreprises en ligne doivent avoir une procédure stricte à suivre lorsqu'une violation de données est détectée et signaler à la fois l'ICO et les personnes concernées dans les 72 heures.
Augmentation des amendes en cas de non-conformité, de violation et d'abus
La transition peut être plus facile pour les entreprises de commerce électronique opérant dans le cloud. Les grandes entités auront les ressources nécessaires pour s'engager à devenir pleinement conformes et ont commencé à travailler sur une solution lorsque la réglementation a été annoncée il y a plus d'un an. Les entreprises qui s'appuient sur des serveurs internes ou des logiciels sur mesure devront embaucher une équipe pour auditer et tester leur sécurité à la recherche de faiblesses et mettre en place des processus pour protéger les données de l'entrée à la suppression.
La manière dont Vibetrace traite le RGPD sera présentée dans une page dédiée.
