Qu'est-ce que c'est que le GDPR? (et comment vous assurer que votre blog est compatible) • Smart blogger

https://ift.tt/2OV5Thx

Avez-vous déjà eu le sentiment que quelque chose attendait de vous mordre le cul?
Une perturbation de la force que vous ne pouvez tout simplement pas signaler?
Êtes-vous bien n’est-ce pas votre anniversaire?
Récital de piano de votre fils?
Peut-être que c’est la facture de câble.
Zut.
Vous ne pouvez pas placer ce que c’est, mais quelque chose brandissant un drapeau rouge.
Pour les blogueurs, ce ver de cerveau pourrait être le GDPR.
Vous grignotez comme une démangeaison indéchiffrable.
En un sens, c’est bien: Vous en savez assez sur le GDPR pour vous inquiéter .
Mais si vous êtes dans la catégorie « heureusement inconscient », nous verrons en quoi consiste le RGPD. [19659002] Et pourquoi cela PEUT vous affecter, vous et votre blog.

Avertissement: Je ne suis pas avocat. Les informations suivantes ne constituent en aucun cas un conseil juridique. Mais cela pourrait vous épargner beaucoup de soucis et de dépenses.

GDPR 101

Le GDPR s’empare de l’Europe.
Il s’agit du règlement général sur la protection des données, une nouvelle loi sur la confidentialité des données introduite par l’Union européenne – et il s’agit en quelque sorte d’un changement radical.
Entrée en vigueur le 25 mai 2018.
Oui, cette échéance imminente pourrait éclairer votre radar.
Cela touche des personnes partout dans le monde, pas seulement en Europe. Et certaines personnes qui ont une vision de l’avenir ont travaillé pour se préparer au cours des deux dernières années.
Bien joué. Directement au sommet de la classe.
Mais la vérité, c’est que beaucoup de gens ont été les moindres  » demain, demain » sur toute la question.
Maintenant que le compte à rebours peut être mesuré en jours, certaines personnes commencent à avoir un contact, eh bien, le panique .
C’est comme si vous aviez un an à écrire pour faire vos devoirs.
Vous voici « T-moins-un et compter » et vous regardez une page blanche.
Et cela est dû en grande partie au fait que le GDPR semble complexe et qu’il subsiste quelques zones d’ombre.
Nous avons tous du mal à interpréter certains détails du règlement.
Mais certaines choses sont claires. Par conséquent, dans le cas où GDPR est complètement nouveau pour vous, examinons les bases.

Les cinq concepts de base du GDPR que vous devez absolument connaître

  1. S’applique à toute personne qui traite des « données à caractère personnel » – La chose la plus évidente est que ngs est un nom, une adresse email et d’autres types d’informations. d’identification personnelle « ;
  2. Crée de nouvelles responsabilités importantes – Si vous traitez des données à caractère personnel, vous êtes désormais responsable et de votre sécurité et de son utilisation;
  3. Il a une portée mondiale – Ce pourrait être une loi de l’UE, mais peut être appliqué à n’importe qui quel que soit l’endroit;
  4. Non seulement les entreprises traditionnelles – Les principes se réfèrent à ce que vous faites avec les données d’autres personnes, et non qui vous êtes ou de tu fais quoi
  5. Il y a des amendes qui la poussent à réclamer le non-respect – jusqu’à 20 millions d’euros (24 millions de dollars) ou 4% du revenu mondial, selon le montant le plus élevé.

Donc, le GDPR Le champ d’application est étonnamment large. Cela pourrait facilement s’appliquer à vous.
Donne le pouvoir aux régulateurs de données d’appliquer des sanctions financières sans précédent.
Et, plus important encore, cela devient extrêmement important. Le scandale de Facebook / Cambridge Analytica a uniquement soulevé la question de la confidentialité des données au cours du débat général.
Par conséquent, il est utile de prendre un peu de temps pour essayer de comprendre les principes clés que le GDPR tente de réaliser. [19659038] Les six principes de base du GDPR
Les principes centraux du GDPR ne sont pas nouveaux.
Ils développent les réglementations existantes en matière de protection des données dans l’Union européenne et la plupart des gens considèrent généralement qu’elles entrent dans la catégorie « plutôt bon ». idée, en réalité « (du moins du point de vue du consommateur).
Décomposons-les donc un par un.

Principe n ° 1: Légalité, impartialité et transparence


Vous devez traiter les données à caractère personnel de manière legal fair et transparent .
« Légalité » a un sens spécifique dans le RPG. Il existe six motifs légitimes et légaux pour le traitement de données à caractère personnel. Vous devez répondre à au moins un de ces six critères avant que votre traitement de données ne soit « légal ».
Le premier et le plus évident fondement juridique du traitement de données à caractère personnel est le consentement, c’est-à-dire lorsque la personne a expressément donné son accord ( plus souvent sur le consentement
. La plupart des autres raisons juridiques seront moins pertinentes pour les blogueurs. Ils incluent des situations dans lesquelles il est essentiel que vous traitiez des données personnelles pour exécuter un contrat avec le consommateur, ou si la loi vous oblige à collecter des données spécifiques (telles que les informations requises pour les enregistrements fiscaux).
Mais la sixième et dernière base légale est pertinente :
Il peut être légal de traiter des données à caractère personnel sans le consentement de la personne s’il est dans l’intérêt légitime de votre contrôleur de le faire .
Cela fait l’objet d’un débat houleux, car semble offrir un lieu commode aux conducteurs. (Plus d’informations sur les pilotes plus tard, mais supposons pour l’instant que le pilote, c’est vous!)
Eh bien, ce n’est certainement pas ça, mais c’est une reconnaissance du fait que la confidentialité des données n’est pas absolue.
Il doit y avoir un équilibre entre les droits de l’individu à la confidentialité des données et l’intérêt légitime du responsable du traitement dans de gérer son entreprise de blog ou autre.
Il est plus probable que le terme « intérêt légitime » soit utilisé lorsque le consentement n’est pas approprié ou .

Des exemples peuvent inclure:

  • Stockage des adresses IP dans les journaux du serveur pour la détection et la prévention des fraudes.
  • Utilisation de cookies de confidentialité non intrusifs (tels que Google Analytics).
  • Stockage de données personnelles dans des copies de sauvegarde pour permettre la restauration d’un blog après un problème technique.

Ces scénarios montrent que dans certaines situations (telles que la prévention de la fraude), les consommateurs ne devraient pas être autorisés à faire obstacle aux poursuites. Dans d’autres, il serait tout simplement impossible d’essayer d’obtenir un consentement préalable.
En règle générale, il sera appliqué lorsque le traitement des données implique un risque ou un impact minimal sur la vie privée de la personne et est d’un type auquel la personne pourrait raisonnablement s’attendre.

Cela dit, nous pouvons préciser que « l’intérêt légitime » est no :

  • Carte blanche pour faire ce qu’il veut à l’insu des consommateurs.
  • Une justification pour la collecte de données pour laquelle vous savez très bien que vos consommateurs ne consentiraient pas.

Ces scénarios ne seraient pas légaux, équitables ou transparents.
Quiconque envisage de s’appuyer sur la base juridique de « l’intérêt légitime » devrait se familiariser avec les détails du règlement car il existe des exigences spécifiques, telles que la nécessité de procéder à une évaluation de l’intérêt légitime. [19659002] « L’équité » n’est pas spécifiquement définie dans le règlement, mais dans toute définition, elle recoupe de manière significative la légalité et la transparence.
Toutes les indications du règlement donnent à penser que des poursuites équitables impliquent de s’assurer qu’il n’ya pas d’effet négatif injustifié sur la personne et que les données sont utilisées de manière que la personne puisse raisonnablement s’attendre, compte tenu de leurs relations avec elles .
En résumé, si vous êtes ouvert et transparent sur la façon dont vous traitez les données, vous les traiterez presque inévitablement « équitablement ».

Des exemples de traitement inéquitable peuvent inclure:

  • Tromper les consommateurs sur leur véritable identité.
  • Essayez de cacher le véritable but de votre traitement de données derrière des bandes de petits caractères ou un langage juridique inutilement formel.
  • Essayer de tromper les consommateurs de quelque manière que ce soit pour fournir leurs données. [19659058] La « transparence » est un thème fondamental et récurrent dans l’ensemble du règlement. devrait manifestement être ouvert et honnête au sujet des données qu’il collecte et de ce qu’il compte en faire. Plus d’informations sur la transparence ci-dessous.

    Principe n ° 2: Les données ne sont utilisées que pour spécifier des objectifs légitimes


    Vous ne devez utiliser les données à caractère personnel qu’aux fins que vous avez énoncées.
    Étroitement lié au concept de transparence, ce principe implique que vous ne pouvez pas collecter de données à des fins spécifiques, puis continuer à les utiliser de manière différente.
    Prenons l’exemple d’une offre « Inscrivez-vous pour recevoir ce rapport gratuit ».
    Compte tenu de cela, la personne fournit son adresse électronique afin de pouvoir lui envoyer le rapport. C’est tout.
    Vous ne pouvez pas ajouter votre adresse électronique à votre liste de diffusion et leur envoyer du matériel promotionnel à moins que vous n’ayez clairement indiqué au moment de votre inscription que c’est ce que vous aviez l’intention de faire .

    Principe n ° 3: Limité à ce qui est nécessaire pour atteindre les objectifs énoncés


    Vous ne devez collecter que le minimum de données à caractère personnel nécessaires à la réalisation de votre objectif déclaré.
    C’est le concept de minimisation des données.
    Si vous collectez des données personnelles pour permettre à d’envoyer des notifications de blog par courrier électronique les informations minimales dont vous avez besoin sont une adresse électronique. « Nom » convient probablement aussi (pour personnaliser vos courriels), mais collecter autre chose pourrait être considéré comme excessif.
    Donc, si dans le même scénario, vous collectez également le numéro de téléphone portable, le sexe et l’âge, il devrait être très clair pourquoi ces informations sont nécessaires pour vous permettre d’envoyer des notifications de blog.

    Principe n ° 4: exact et mis à jour


    Vous devez prendre toutes les mesures raisonnables pour vous assurer que les données que vous collectez sont exactes et à jour.
    Les risques pour la confidentialité des données des personnes augmentent clairement lorsque celles-ci contiennent des inexactitudes. Les adresses électroniques incorrectes sont un bon exemple de cas où d’autres données personnelles peuvent être divulguées ou divulguées sans que vous vous en rendiez compte.
    Par conséquent, vous devez corriger sans tarder les inexactitudes: les données incorrectes doivent être rectifiées ou supprimées.
    En pratique, si quelqu’un vous contacte pour mettre à jour votre adresse électronique, vous devez agir sans retard indu.
    Mais il est également important d’être proactif, par exemple, si vous recevez des adresses renvoyées régulièrement sur votre liste de diffusion, vous devez le consulter afin de vous informer des résultats. Il est vivement recommandé de consulter votre liste et de supprimer les adresses renvoyées.

    Principe n ° 5: durée limitée


    Vous ne devez conserver vos données personnelles que le temps nécessaire à la réalisation de l’objectif déclaré.
    Il est essentiel dans le concept de justice que les données ne soient pas conservées plus longtemps que nécessaire pour atteindre le but pour lequel elles ont été collectées.
    La conservation des données a également des conséquences sur la précision. Si vous stockez toujours les données d’adresses de clients que vous avez collectées il y a cinq ans, il est probable qu’une grande partie de ces données obsolètes soient maintenant inexactes.

    Principe n ° 6: le traitement des données doit être sécurisé


    Vous devez traiter les données à caractère personnel de manière à garantir une sécurité adéquate.
    La sécurité des données que vous possédez est clairement essentielle pour l’objectif même du RGPD. Il vous incombe de veiller à ce que des mesures techniques et organisationnelles adéquates soient mises en place pour vous protéger contre les accès non autorisés, les pertes, les modifications et la divulgation.
    Cela dit, on ne s’attend pas à ce que ce soit Fort Knox.
    Mais on s’attend à ce qu’il prenne des mesures proportionnées à la confidentialité des données collectées, et le risque pour les personnes concernées est celui des données qui seront perdues ou divulguées.

    Les précautions de base comprennent:

    • Ne stockez pas de données de consommateurs sur un appareil portable tel qu’un smartphone (surtout si vous êtes du genre à le laisser régulièrement dans une cabine le vendredi soir).
    • Ne partagez jamais les informations de connexion du système avec d’autres personnes.
    • Un mot de passe protège tout fichier Office contenant des données personnelles.
    • Utiliser des connexions cryptées (https) pour votre blog (bien que cela ne soit pas spécifiquement requis par le GDPR, c’est une bonne idée générale).

    Ce n’est évidemment pas une liste exhaustive, mais vous comprenez le point.
    Toutes les exigences spécifiques contenues dans le RGPD reposent sur ces six principes.
    Lors de l’examen de ces principes, vous ne devez jamais trop vous éloigner de ce que le RGPP attend de vous, même si vous n’êtes pas un expert des détails de la réglementation.
    Le problème, c’est qu’il existe une certaine quantité de désinformation GDPR faisant également le tour.

    Avertissement: Faites attention à ces trois mythes dangereux concernant le RPGD.

    Le RPGD est nouveau. On s’interroge beaucoup sur la manière dont il sera appliqué dans la pratique.
    Parlons donc de certains des mythes émergents.

    Mythe n ° 1: Je ne suis pas basé dans l’Union européenne, donc cela ne me concerne pas


    Ne vous laissez pas berner. Ce n’est pas le but.
    Le règlement protège les consommateurs au sein de l’UE quel que soit l’endroit du monde où la personne qui collecte leurs données est basée.
    Toute personne qui crée un blog et le met à la disposition des consommateurs de tous les États membres de l’UE est concernée .
    Il existe des règles différentes pour les contrôleurs situés en dehors de l’UE, mais que vous exerciez des activités en dehors de Londres, de Milan ou de New York, le RDPP doit figurer sur votre radar.
    Au minimum, vous devrez prendre position de manière éclairée sur le sujet, ce qui signifie avoir un plan.

    Mythe n ° 2: Je suis un blogueur, pas une entreprise, donc cela ne s’applique pas


    Une torsion et une faute.
    Bien que certaines dispositions s’adressent spécifiquement aux organisations, la responsabilité centrale s’applique à toute personne considérée comme un « responsable du traitement de données ».
    Un responsable de traitement est la personne chargée de « déterminer l’objectif du traitement.
    Et il peut s’agir de toute personne, personne ou entreprise.
    Tout simplement, si vous êtes la personne qui décide collectez les données, ou décidez quelles données sont collectées et pourquoi, alors vous êtes un contrôleur de données, que vous fonctionniez comme une entreprise au sens normal du mot.
    Blogueurs, microentreprises, organisations à but non lucratif. Amateur Charities.
    Tous potentiellement couverts.
    Je vais expliquer pourquoi je dis « potentiellement » plus tard.

    Mythe n ° 3: Une exemption est prévue pour les personnes de moins de 250 employés [19659113] Non.

    J’ai vu celui-ci faire de nombreuses rondes et il repose sur une interprétation très vague des règles.
    Si vous traitez des données à caractère personnel et que vous avez moins de 250 employés, vous pouvez bénéficier d’une exemption des règles. exigence d’information et administrative très spécifique.
    Ce n’est pas absolument une exemption générale.
    Le GDPR peut être appliqué si vous n’avez aucun employé.

    Quatre activités de blogging courantes susceptibles de vous faire renvoyer GDPR

    En tant que blogueur, vous pouvez avoir le sentiment que vous n’avez pas l’habitude de collecter des données personnelles.
    À partir de là, il est très facile de vous convaincre que le RGPD ne vous concerne pas.
    Mais détrompez-vous: il existe un certain nombre d’activités de blog très courantes qui peuvent vous mettre dans la ligne de mire du GDPR.

    N ° 1. Collection d’adresses électroniques


    Il s’agit sans aucun doute du scénario le plus clair permettant d’appliquer le GDPR aux blogueurs.
    Bien sûr, les œufs sont des œufs, les noms et les adresses électroniques sont des données personnelles .
    Si vous invitez des personnes à vous fournir ces informations, telles que l’enregistrement d’une liste de diffusion ou l’utilisation d’un formulaire de contact en ligne, vous êtes responsable de ces données.
    Comme nous le verrons plus tard, cela ne garantit pas à lui seul que toute la force du RPG sera appliquée, mais cela signifie que vous êtes potentiellement affecté.

    # 2. Utilisation de WordPress (ou d’un autre système de gestion de contenu)


    Ne vous méprenez pas, je suis un grand fan de WordPress.
    L’un de ses principaux arguments de vente est son aide directe.
    Mais cela peut être une arme à double tranchant: Savez-vous si WordPress collectait / traitait des données à caractère personnel en arrière-plan?
    Peut-être pas.
    Eh bien, c’est possible, et c’est le cas:

    • Lorsque les commentaires de blog sont activés, WordPress exigera par défaut que tous les commentateurs envoient leur nom et leur adresse email avant de pouvoir commenter. Ce sont des données personnelles.
    • WordPress définira des cookies Web pour toute personne se connectant à votre site ou proposant un commentaire. Le GDPR indique spécifiquement que les cookies sont potentiellement des données personnelles.
    • Tous les add-ons que vous installez sur votre site WordPress vous fournissent des fonctionnalités supplémentaires (c’est pourquoi vous les utilisez), et chacun de ces add-ons peut potentiellement collecter des données personnelles. [19659152] # 3. Utilisation de tout type de suivi ou de création de profils Web

      Utilisez-vous le pixel Facebook pour suivre les visites et les conversions de page?
      Suivi des personnes qui ouvrent leurs e-mails de campagne MailChimp ou AWeber?
      Utilisez Google Analytics pour comprendre le trafic Web
      Chacun de ces éléments, d’une manière ou d’une autre, implique de décrire le comportement de personnes identifiables et est potentiellement dans champ d’application du GDPR.

      # 4. Utilisation d’un serveur Web enregistrant les adresses IP des visiteurs


      Il est extrêmement courant que votre serveur Web enregistre dans l’adresse de votre serveur les adresses IP de quiconque visite votre blog.
      Maintenant, rien ne se passe comme ça, car cela peut réellement aider à se protéger contre les attaques malveillantes et les accès non autorisés.
      Mais les adresses IP sont des données à caractère personnel relatives au GDPR.
      Ainsi, même si vous ne considérez pas que vous collectez activement des données personnelles, vous avez de très bonnes chances de le faire.

      Comment certains blogueurs peuvent esquiver la balle GDPR

      Nous avons déjà vu que le facteur déterminant pour déterminer si le GDPR s’applique à vous est de savoir si vous traitez ou non des données à caractère personnel. C’est ce que le GDPR appelle le « champ d’application matériel » de la réglementation.
      Mais ce n’est pas la seule considération.
      Nous devons également prendre en compte ce que le GDPR appelle « portée territoriale » – et il s’agit d’une portée territoriale qui pourrait permettre à certains blogueurs d’esquiver la balle GDPR.
      Le champ d’application territorial est un discours de l’UE en faveur de la limitation géographique du RGPD.
      Nous en avons déjà parlé dans notre premier mythe précédent dangereux.
      Le règlement protège les intérêts des consommateurs de l’UE – que la personne / société qui collecte leurs données soit ou non basée dans l’UE.
      La vraie question n’est donc pas de savoir si avez-vous son ​​siège social, mais plutôt l’endroit où se trouvent vos consommateurs visés .
      Un blog basé aux États-Unis. UU. Il peut entrer dans le champ du GDPR s’il ne s’adresse en aucun cas aux consommateurs de l’UE .
      Mais il est clair que si vous pouvez légitimement prétendre que votre blog est en dehors du champ d’application territorial du RGPD, le règlement ne s’appliquera pas à vous et aucune des exigences, responsabilités ou amendes ne s’appliquera.
      Il est compréhensible que certaines personnes voient cela comme un GDPR sortir de la carte de prison gratuite .
      Faites attention …
      Le RPGD établit une distinction claire entre les contrôleurs de données (rappelez-vous, c’est probablement vous) qui sont basés dans l’UE et ceux basés en dehors de l’UE. Cela se résume à ceci:

      • Les contrôleurs de données dans l’UE sont dans la portée territoriale et le GDPR est appliqué.
      • Les contrôleurs de données situés en dehors de l’UE sont soumis aux règles du GDPR s’ils « offrent des biens et des services » à des particuliers au sein de l’UE.

      Cette distinction sera cruciale pour de nombreux blogueurs.
      Introduit le concept de son public cible .
      Si votre blog est vraiment destiné à un public de pays tiers et que vous ne l’êtes pas & # 39; En fait, t traite les données des consommateurs de l’UE, il peut alors être exempté de l’ensemble du RGPD.
      Mais il est important de comprendre qu’il s’agit d’une zone grise.
      Le libellé même du règlement indique si « le contrôleur envisage de proposer des biens et des services aux personnes intéressées par l’Union ».
      Si vous bloguez sur les services de garde à San Francisco, je dirais que vous êtes sur un terrain relativement solide. Cela n’a aucune pertinence évidente pour les consommateurs de l’UE et il semblerait juste de dire que vous « n’avez pas l’intention de leur offrir un service ».
      D’autre part, il blogue sur un sujet qui n’est pas limité par la localisation (telles que de nouvelles fonctionnalités intéressantes sur l’iPhone X), et cet argument risque de ne pas fonctionner. Son contenu est aussi pertinent pour les consommateurs européens que pour toute autre personne, et il n’a probablement pas l’intention de limiter ses lecteurs.
      Par conséquent, cela dépendra beaucoup de la nature de votre blog.

      Facteurs à prendre en compte:

      • Bien qu’il n’existe pas de définition de ce qui constitue un « service », il est très probable que les blogs en fassent partie (le régulateur britannique des données a laissé entendre que les blogs sont clairement un « service » de informations).
      • Peu importe que vos consommateurs vous paient pour leurs services.
      • Le fait que vous ayez un blog auquel est accessible à partir de l’UE ne signifie pas nécessairement que vous avez l’intention de proposer vos services dans l’Union.
      • Certains facteurs spécifiques impliqueront fortement que vous avez l’intention d’offrir vos services dans l’UE, tels que les paiements en devise européenne, les noms de domaine localisés (tels que .eu ou .co.uk) ou les services locaux. Options de numéro de téléphone.

      Il est important de noter que si vous traitez réellement les données à caractère personnel des consommateurs de l’UE (supposons que vous avez des personnes avec des adresses électroniques .co.uk sur votre liste de messagerie), il est alors difficile de soutenir que imaginez en leur offrant un service.
      Parce que le fait déjà .

      La question de 64 000 $: votre blog est-il à la portée de la main?

      Vous êtes le seul à pouvoir déterminer si votre blog entre dans le champ d’application du RPG.
      dépend de la nature exacte de votre blog, des données que vous capturez et de votre public cible.
      Et il y a des zones qui ne sont pas parfaitement définies lorsque vous les appliquez à des blogs.
      N’oubliez pas qu’il est naturel d’essayer d’adapter votre propre blog à l’une des exceptions limitées aux règles.
      Si vous proposez un service aux consommateurs de l’Union européenne et que, ce faisant, vous traitez des informations qualifiées de « données personnelles », le RPGD s’appliquera alors à sa valeur nominale.
      Si vous avez des questions, il est prudent de prévoir un plan pour y remédier.

      Trois approches tout à fait légitimes pour aborder le RGPD (y compris une super facile)

      supposent que le RGPD s’applique à vous et à votre blog.
      Que se passe-t-il maintenant?
      Je suis surpris que les gens adoptent l’une des trois approches qui vont au-delà du simple fait de prétendre que cela ne se produit pas.

      Approche n ° 1: ne rien faire (aussi appelé « attendre et voir »)


      Soyons clairs: « ne rien faire » n’est pas la même chose que « l’ignorer ».
      L’ignorer serait une mauvaise chose. Cela doit être sur votre radar.
      Mais selon votre approche du risque, vous pouvez bien choisir la méthode « attendre et voir ».
      Le respect du RGPP au premier jour serait incroyable, mais pragmatique, cela peut prendre du temps, des efforts et des dépenses potentielles.
      De manière réaliste, il est peu probable que les responsables de la réglementation des données attirent l’attention des utilisateurs, à moins que vous ne subissiez une violation des données ou que quelqu’un choisisse de porter plainte contre vous.
      Alors, pourquoi ne pas attendre que la poussière se dépose et voir ce que font les autres?

      Pour:

      • Vous gagnez du temps.
      • Chaque fois que vous gardez l’oreille attentive, vous verrez comment les autorités réglementaires appliquent les règles dans la pratique.
      • Les détails sur la manière de se conformer ne deviendront clairs qu’au fil du temps, vous pourrez ainsi éviter de tomber dans une variété de terriers de lapins entre-temps.

      Contre:

      • C’est sans aucun doute une option à risque plus élevé.
      • Techniquement, vous ne rencontrerez pas le premier jour (bien qu’avec une grande partie du reste du monde).
      • Techniquement, vous pourriez recevoir une amende en cas de violation de données, telle que le piratage de votre site WordPress.
      • En fonction de la visibilité de votre marque, votre réputation est menacée si vous n’êtes simplement pas préparé à des demandes telles que des demandes individuelles d’accès à des données, ce qui pourrait attirer l’attention des autorités de réglementation.
      • Les autorités de réglementation ressentiront probablement peu de sympathie pour les personnes qui n’ont apparemment fait aucun effort pour se conformer.

      Il est difficile pour moi de défendre sincèrement l’approche « attendre et voir » – parce qu’elle est réactive et que je crains peut-être un peu le risque.
      Mais on pourrait dire qu’il y a une place pour cela si vous comprenez et acceptez les risques.
      Cela dit, certains des risques peuvent être atténués, ce qui m’amène à la deuxième approche.

      Approche n. 2: Montrer de la disposition en mettant en œuvre des victoires rapides


      Bien que la conformité totale au RGPD soit complexe pour certains, il est vraisemblable que certains fruits seront faciles à obtenir.
      Non seulement vous allez le lancer sur la voie de la conformité totale, mais il témoigne également d’un engagement en matière de confidentialité des données et vous serez peut-être surpris de ce que vous faites déjà.
      Si vous ne faites que revisiter vos processus de consentement et publier une politique de confidentialité sur votre blog, vous continuerez à faire un pas important vers la conformité.
      (Voir mon Sept étapes faciles vers le respect du RPGD ci-dessous, suggérant à quoi pourraient ressembler certaines de ces approches.)

      Pour:

      • Risque considérablement moindre que ne rien faire.
      • Effort, temps et coût relativement faibles.
      • Un simple examen de vos risques pour la vie privée vous permettra de mieux contrôler votre situation.
      • Encourage une mentalité de confidentialité des données qui éclairera vos décisions futures.
      • En pratique, il est encore moins susceptible d’attirer l’attention des régulateurs.

      Contre:

      • Les victoires rapides à elles seules sont peu susceptibles de rendre votre blog totalement compatible.
      • Vous devrez consacrer du temps et des efforts pour évaluer vos risques et vos responsabilités.

      J’imagine que le « spectacle » sera le lieu de nombreux blogueurs et petites entreprises lors de l’entrée en vigueur du GDPR.

      Approche n. ° 3: Ve por los Nueve Yardas y Apunta a un cumplimiento total del GDPR


      En un mundo ideal, el cumplimiento total del GDPR desde el primer día es claramente el lugar para estar .
      Minimiza el riesgo y, para aquellos que saben qué buscar, demuestra su credibilidad y su profesionalismo.
      Para blogs simples y pequeñas empresas en línea, el cumplimiento total puede ser perfectamente alcanzable, porque la simplicidad es tu amigo.

      Pros:

      • Todos los riesgos de privacidad serán manejados de cerca.
      • No será sorprendido con la guardia baja en caso de una consulta de datos personales o, peor aún, una queja.
      • Todas las demás cosas son iguales, puede llegar a dormir por la noche.

      Contras:

      • Requerirá tiempo y esfuerzo para comprender todos los requisitos del RGPD.
      • Puede implicar un costo para poner en línea los procesos y la tecnología.

      Siete pasos fáciles hacia el cumplimiento del RGPD

      La regulación GDPR en sí misma es un documento horriblemente impenetrable.
      Tiene más de 250 páginas, con 99 disposiciones principales (« Artículos ») y 173 « recitales » complementarios.
      Y se preguntan por qué la gente no lo lee.
      A menos que seas un abogado, es probable que te sientas un poco abrumado.
      Pero si puedes dominar los conceptos y los seis principios básicos, verás que hay una serie de cosas discretas y tangibles que puede hacer para cumplir.
      Y algunas de ellas son bastante indoloras.

      # 1. Haga un inventario de datos personales


      Dedique 30 minutos a una lluvia de ideas y documente los tipos de datos personales que recopila.
      Luego comenzará a comprender dónde están sus responsabilidades reales.

      Asegúrese de considerar:

      • La información que realmente le pide a la gente en particular nombres y correos electrónicos a través de formularios de contacto y suscripciones de blog.
      • La información que podrían recopilar sus sistemas, si utiliza Google Analytics o el remarketing de Facebook , tendrá que pensar en el hecho de que estas aplicaciones usan cookies. Si usa WordPress u otro CMS, vale la pena investigar si está configurando cookies que no conoce.

      Solo cuando haya identificado cómo recolecta los datos puede comenzar a abordar si necesita tomar más medidas.

      # 2. Publicar una política de privacidad que cumpla con GDPR


      Publicar una política de privacidad es lo más tangible que puede hacer para demostrar su compromiso con la privacidad de datos.

      Es su oportunidad de:

      • Describe qué tipos de datos recopilas y específicamente cómo piensas usarlos, incluyendo con quién podrían compartirse esos datos.
      • Detalla qué tipos de cookies se usan en tu blog.
      • Describe qué pasos tomas to ensure that the data is secure.
      • Highlight exactly what individuals are consenting to, how they provide consent and, importantly, how they may withdraw their consent in the future.
      • Explain the rights that individuals have over their data ( the GDPR gives individuals a range of new rights, including the rights to access and the data and the “right to be forgotten”).

      If you already have a privacy policy, you may already have much of this covered. But it’s unlikely that your policy will be GDPR-compliant without some form of amendment. If nothing else, you will need to add the range of data access rights that consumers have.
      And just publishing your privacy policy is not enough.
      You need to stick to it.
      And make sure that anyone else working on your behalf sticks to it, too.
      Your GDPR protection is only as strong as its weakest link.
      Feel free to check out my own privacy policy as a guide to what should be included. You’ll find other great examples on the web, but I’m confident mine is firmly on the right track.

      That disclaimer again: I’m not a lawyer, and this is not legal advice. (And please don’t just copy my policy — it’s not polite, and your policy needs to reflect what you do, not what I do!)

      #3. Be Crystal-Clear about Consent


      A lot of people who talk about GDPR seem to think that consent is the silver bullet for all GDPR problems.
      It’s not.
      Consent is just one of six lawful grounds for collecting personal data under the GDPR, and it won’t always be the most appropriate one to rely on.
      That said, it IS important.
      Where consumers are volunteering personal information (such as online contact forms and blog sign-ups) you must ask for their specific consent if there is no other legal ground for processing that data.
      This will usually mean having one or more checkable “consent” boxes on all sign-up forms.

      Important things to consider:

      • People must be able to tell what they’re consenting to — vague and generalized statements about what you intend to do with the data will not cut it. (The days of “we collect data to improve your experience” are gone!).
      • Your privacy policy is the place for this information, and your readers must have the opportunity to read the policy before they are asked for consent.
      • Consent must be given as an “affirmative action” — so it is not acceptable to use a pre-checked consent box. Any consent checkbox must be unchecked by default (Some email providers like MailChimp make this easy with built-in GDPR features).
      • You must only use the information gained via consent for the reasons you gave when consent was given.
      • You should always take advantage of the “double opt-in” options that are found within campaign management tools like MailChimp. Double opt-in requires the individual to confirm their initial request before their data is added to your mailing list. It will also usually give you a means of demonstrating when consent was given.

      #4. Stop Collecting Data You Don’t Need


      Data minimization is the way to go.
      Do you really need someone’s cell phone number to send them blog updates?
      Probably not.
      The more data you collect, the more data you’re responsible for.
      If you can’t justify why you’re asking for a particular piece of data, don’t ask for it.
      And if you already hold data that you don’t need (or can’t justify), now is the time to dispose of it. (Securely, of course!)

      #5. Make Sure Your Blog Is Super-Secure


      One of the core objectives of the GDPR is to keep personal data secure.

      You can directly influence this by making sure that you are taking basic, common-sense security precautions such as:

      • Never sharing your blog’s login credentials with anyone else.
      • Always using strong passwords.
      • Removing the default “admin” user account on WordPress blogs.
      • Using a reputable security plugin to prevent unauthorised access.
      • Physically protecting data stored on removable storage such as USB sticks and external hard drives.

      All of these things form the basis of the “how we protect your data” section of a privacy policy.

      #6. Use a Reputable Web Host


      You are most likely using some form of third-party web hosting for your blog — either shared hosting or maybe VPS.
      By providing the servers that your blog runs on, that 3rd party hosting company becomes a “Data Processor” in GDPR terms — because they are processing data on your behalf.
      You are effectively subcontracting the technical hosting activities to them.
      As a result, they have access to any personal data that is stored on your blog — and they are therefore quite capable of being the weak link in the chain.
      A reputable web host will be only too happy to talk to you about the security processes that they have in place, their security accreditations, and so on.
      The best ones already have GDPR-compliant conditions within their standard terms of service, or will offer you a personalized data processing agreement on request.
      This is important, because the GDPR expects you to have a written agreement with anybody who acts as a Data Processor on your behalf — especially if it involves processing that takes place outside the EU.
      So choose your web host wisely.
      And be prepared to find a different provider if you don’t get the answers you need.

      #7. Check Your Google Analytics Configuration


      Okay, this is a bit specific, but it might be the difference between compliance and non-compliance for some simple blogs.
      Google Analytics uses cookies to track when people visit your blog. They enable GA to distinguish one visitor from another.
      But, when set up correctly, GA cookies are likely to be seen as “non-privacy intrusive,” which means that you do not need to get prior specific consent to use them (which, believe me, would be a technical minefield).
      For this exclusion to apply, though, you need to be careful:

      • It’s important that you haven’t implemented the (optional) User ID functionality within GA. User ID allows you to identify a particular individual even if they view your blog from different devices. You should know if you’re using this functionality, because it’s not enabled by default, and you would have had to implement it manually.
      • You should take advantage of the “anonymizeIP” function that GA provides, which has the effect of obscuring part of visitors’ IP addresses when the data is stored at Google. Note that this is switched OFF by default, but can be activated by adding a simple parameter to your GA tracking code (the exact code depends on which version of the Google Analytics code you’re using — analytics.js or gtag.js). If you’re using a plugin for analytics, you might find this option in the plugin settings.
      • You should make sure that you never (intentionally or inadvertently) include personal data within page URLs that are sent to GA. Not only is this bad for GDPR, it’s also a breach of Google’s Terms of Service.

      For a handy visual reminder of the seven steps, check out the image below (click to see a larger view):

      Embed This Infographic On Your Site

      Stop Hiding Under the Pillow and Get Ahead of GDPR

      Like it or not, the GDPR could affect you.
      Even if you’re not in the EU.
      While regulators are extremely unlikely to start handing out huge fines on Day 1, smart bloggers will see this as an opportunity get their data processes properly nailed down.
      Get on the front foot and you’ll have a better, deeper understanding of the value of the data that you hold, and the responsibility (and accountability) that you have for that information.
      And frankly, even if the GDPR doesn’t apply to you, it’s a strong indication of where data privacy is going — so why not embrace the principles anyway?
      It may seem a million miles away from why you pour your heart and soul into blogging. You blog to inform, to inspire, to share your passion.
      But you’re also responsible to your loyal followers for the information they entrust to you.
      So don’t lose sleep over it. Get ahead of it.
      Because when you do, your blog will be stronger than ever.

Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *