DOCS

Eu gdpr

/

GDPR de l'UE

Découvrez comment Zonos gère l'initiative GDPR de l'UE.

La protection des données devient essentielle dans les affaires quotidiennes. Bien que l'initiative du Règlement Général sur la Protection des Données (GDPR) ne soit pas la première initiative en matière de confidentialité sur le marché, à ce jour - elle a été la force motrice la plus significative dans la compréhension et la gestion des données individuelles et de leurs droits.

Pour faire avancer les choses et attirer l'attention, l'UE permet à ses États membres d'appliquer des amendes, qui incluent une amende maximale pouvant aller jusqu'à 4% du chiffre d'affaires mondial annuel en cas de violation du GDPR ou 20 millions d'euros. La directive exprime également le désir de simplicité et d'un "guichet unique" pour l'administration.

Comment nous gérons le GDPR 

Le GDPR de l'UE est une réglementation complète sur la confidentialité qui a été mise en œuvre le 25 mai 2018. Nous avons apporté des mises à jour à notre technologie qui non seulement gère les initiatives GDPR, mais va également au-delà des frontières de l'UE pour garantir une attention particulière à la confidentialité pour tous les utilisateurs de Zonos.

Zonos propose une technologie de confidentialité de premier plan pour garantir aux acheteurs et aux commerçants le contrôle de leurs données et de leurs processus - répondant au cadre du GDPR de l'UE.

Les objectifs de Zonos pour votre entreprise continuent d'être :

  • Vous aider à décoder le commerce transfrontalier.
  • Vous donner le contrôle sur la chaîne d'approvisionnement mondiale.
  • Offrir une expérience sécurisée et fantastique à vos acheteurs internationaux.

Principaux éléments de la directive GDPR 

Amendes

Les amendes peuvent s'élever à 4% du chiffre d'affaires mondial annuel en cas de violation du GDPR ou 20 millions d'euros. Il s'agit de l'amende maximale pouvant être imposée pour les infractions les plus graves, par exemple le défaut de consentement suffisant des clients pour traiter les données ou la violation des concepts fondamentaux de "Protection de la vie privée par la conception".

Définition des données personnelles

Les données personnelles sont toutes les informations qui peuvent être utilisées pour identifier directement ou indirectement une personne, telles qu'un nom, une photo, une adresse e-mail, des coordonnées bancaires, des publications sur des sites de réseaux sociaux, des informations médicales ou une adresse IP d'ordinateur.

Consentement

Le consentement doit être donné sous une forme intelligible et facilement accessible, avec l'objectif du traitement des données attaché à ce consentement. Il doit être sans équivoque, facilement identifiable et utiliser un langage clear et facilement compréhensible. Il doit également être aussi facile de retirer son consentement que de le donner. Lors du traitement de données personnelles sensibles, rien de moins qu'un "opt-in" ne suffira.

Si la personne concernée a moins de 16 ans, le consentement parental sera nécessaire pour traiter les données personnelles de l'enfant. Les États membres peuvent abaisser l'âge du consentement parental, mais pas en dessous de 13 ans.

Délégué à la protection des données (DPD)

Les DPD doivent être nommés dans le cas de (a) autorités publiques, (b) organisations qui pratiquent une surveillance systématique à grande échelle ou le traitement de données personnelles sensibles à grande échelle (Art. 37). Si votre organisation ne rentre pas dans l'une de ces catégories, vous n'avez pas besoin de nommer un DPD.

Droits des personnes concernées

Notification des violations

Selon le GDPR, la notification des violations deviendra obligatoire dans tous les États membres où une violation de données est susceptible de "présenter un risque pour les droits et libertés des individus". La notification doit se faire dans les 72 heures suivant la prise de conscience de la violation. Les sous-traitants devront également notifier les responsables du traitement "sans délai excessif" après avoir pris connaissance d'une violation de données.

Droit d'accès

Les personnes concernées ont le droit d'obtenir du responsable du traitement la confirmation que des données personnelles les concernant ont été traitées, où et dans quel but. Le responsable du traitement doit fournir une copie des données personnelles, gratuitement, dans un format électronique.

Droit à l'oubli

Connu sous le nom d'effacement des données, le droit à l'oubli permet à la personne concernée de demander au responsable du traitement d'effacer ses données personnelles, de cesser de les diffuser et éventuellement de demander à des tiers de cesser de traiter les données. Les données ne doivent plus être pertinentes pour les finalités initiales du traitement ou si une personne retire son consentement. Il convient également de noter que ce droit oblige les responsables du traitement à comparer les droits de la personne concernée à "l'intérêt public à la disponibilité des données" lors de l'examen de telles demandes.

Portabilité des données

La personne concernée peut recevoir les données personnelles la concernant, qu'elle a fournies précédemment, dans un format "couramment utilisé et lisible par machine" et a le droit de transmettre ces données à un autre responsable du traitement.

Protection de la vie privée par la conception

La protection des données doit être au cœur des systèmes technologiques que les responsables du traitement et les sous-traitants utilisent pour gérer les informations des personnes concernées, et non pas simplement un ajout.

Informations sur les personnes concernées

Les informations qui doivent être mises à la disposition d'une personne concernée lors de la collecte de données ont été précisément définies et comprennent :

  • L'identité et les coordonnées du responsable du traitement et du DPD
  • Les finalités du traitement, pour lesquelles les données personnelles sont destinées
  • La base légale du traitement
  • Le cas échéant, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers
  • Le cas échéant, les destinataires ou les catégories de destinataires des données personnelles
  • La durée pendant laquelle les données personnelles seront stockées, ou si cela n'est pas possible, les critères utilisés pour déterminer cette durée
  • L'existence du droit d'accès, de rectification ou d'effacement des données personnelles
  • Le droit à la portabilité des données
  • Le droit de retirer son consentement à tout moment
  • Le droit d'introduire une réclamation auprès d'une autorité de contrôle

Il est important de noter que lorsque les données n'ont pas été obtenues directement auprès de la personne concernée (peut-être en utilisant une liste de tiers), la liste varie et inclut la source d'origine des données personnelles :

  • L'existence de tout profilage et des informations significatives sur la logique impliquée ainsi que l'importance et les conséquences envisagées d'un tel traitement pour la personne concernée.
  • Le GDPR représente un problème significatif pour les marketeurs qui obtiennent des données à partir de listes de tiers.

Intérêt légitime

L'article 6 du règlement GDPR stipule qu'un collecteur de données ne peut traiter les données légalement que s'il a un intérêt légitime ou un consentement, entre autres. Déterminer si vous avez un intérêt légitime nécessite une "évaluation minutieuse" des attentes et du contexte des données que vous collectez.

Il est tentant d'utiliser une interprétation large de l'intérêt légitime pour contourner la nécessité de consentement. Nous déconseillons d'utiliser une vision ouverte de l'intérêt légitime comme moyen de justifier la collecte de données. Le GDPR fournit quelques exemples tels que le traitement des données personnelles pour prévenir la fraude, à des fins administratives internes liées aux employés et aux clients, à la sécurité du réseau et à la signalisation d'activités criminelles possibles ou de menaces à la sécurité publique.

Il existe encore une zone grise autour de l'intérêt légitime, et la définition deviendra plus évidente avec le temps. La recommandation à court terme est de prendre l'habitude de se demander : "est-ce que le même objectif peut être atteint sans traiter les données personnelles ?" Si la réponse est oui, alors la meilleure pratique est de s'éloigner de l'intérêt légitime comme base de traitement des données ; vous devriez obtenir un consentement.

Recommandations 

Zonos recommande ce qui suit pour se conformer au GDPR de l'UE :

Étapes pour la conformité au RGPD

  1. Mettez en place un plan proactif pour votre conformité au RGPD.
  2. Révisez les avis et politiques de confidentialité, et assurez-vous qu'ils respectent les niveaux de conformité au RGPD.
  3. Préparez un plan en cas de violation de sécurité.
  4. Auditez vos consentements.
  5. Rendez les consentements marketing opt-in.
  6. Passez en revue la partie sur l'intérêt légitime de la directive avec votre conseiller juridique pour vous assurer qu'elle couvre votre organisation pour l'utilisation des données de l'acheteur afin de traiter et gérer cette commande.
  7. Rendez votre langage de consentement facile à trouver et à comprendre sur l'utilisation des données personnelles.
  8. Créez un plan d'action pour les demandes des sujets de données à votre organisation pour l'utilisation de leurs données.
  9. Soyez responsable de votre conformité.
  10. Formez vos employés.
  11. Ayez des processus clear en place, rédigés et audités.
  12. Nommez un DPO si nécessaire.
  13. Assurez-vous que vos partenaires de contrôle/traitement sont conformes.

Questions fréquemment posées 

Qui est concerné par cela?

Le RGPD s'applique aux organisations, contrôleurs et processeurs situés à l'intérieur et à l'extérieur de l'UE, qui proposent des biens ou des services aux sujets de données de l'UE. Le RGPD s'applique également aux organisations, telles que les organisations marketing ou celles qui fournissent ou utilisent des données qui surveillent le comportement des sujets de l'UE.

Quelle est la différence entre un contrôleur et un processeur?

Un contrôleur détermine les finalités, les conditions et les moyens du traitement des données personnelles, tandis que le processeur traite les données personnelles pour le compte du contrôleur.

Cette page était-elle utile?


Des questions ?

Contactez-nous.