Divulgation complète: aucun des conseils suivants n'est un avis juridique. Ceci est destiné à inciter la conversation au sein de notre communauté sur les implications du RGPD.
Qu'est-ce que le RGPD?
Le RGPD («règlement général sur la protection des données») a débuté le 25 mai dans l'Union européenne. Il s'agit d'une loi destinée à protéger les citoyens de l'UE en réglementant le traitement, le transfert et le stockage des données considérées comme privées ou personnellement identifiables. La protection des données à caractère personnel est considérée comme un droit fondamental en vertu du droit de l'Union.
Toute entreprise ou propriété d'entreprise, comme un site Web, accessible par un citoyen européen, relève de la compétence du RGPD. Permettez-moi de souligner cela à nouveau: accès par un citoyen européen. Peu importe qu'ils soient physiquement en Europe ou non. Ainsi, le blocage des visiteurs en provenance d'Europe ne vous fera aucun bien si un citoyen de l'UE visite votre site de Barrie.
Les pénalités pour non-respect sont abruptes: jusqu'à 20 millions euros (~ 30,6 millions dollars canadiens) ou 4% des recettes mondiales. Il est sûr de dire que cela est destiné à faire pression sur les sociétés mondiales à l'étape dans la ligne. Mais comme le dit le dicton, il vaut mieux être sûr que Désolé.
Bon nombre des questions entourant l'application et la conformité sont ouvertes à l'interprétation. Nous ne les creusons pas ici parce que c'est au-delà de la portée de notre Meetup et, plus important encore, nous ne sommes pas des professionnels légaux. Mais ce que nous avons vu, c'est que les organisations du monde entier prennent des mesures pour devenir conformes au RGPD.
Astuce: c'est ce que ces "nous avons mis à jour notre politique de confidentialité" e-mails étaient environ.
La conformité est difficile à déterminer. Le texte officiel est cryptique et difficile à comprendre. Faites une recherche rapide de Google pour le RGPD et vous trouverez des dizaines de millions de billets de blog, des listes de contrôle, des résumés, etc. des cabinets juridiques et des consultants qui ont surgi pour remédier à la confusion.
Malgré l'ambiguïté, l'esprit global et l'intention derrière le RGPD est une bonne chose. Nos informations personnelles sont réparties sur tout le Web sur les applications, les appareils et les serveurs. Le RGPD met en place un cadre pour guider la façon dont ces informations sont acquises, stockées, déplacées et gérées.
Un démarrage rapide du RGPD
Le Bureau du commissaire à l'information (ICO) du Royaume-Uni a compilé un guide de démarrage rapide en douze étapes pour aider les organisations à se préparer au RGPD. Les étapes sont les suivantes:
1. reconnaître que la loi évolue, l'importance de celui-ci et l'impact sur votre organisation. Nous en avons déjà couvert l'essentiel. Le RGPD est une affaire importante, affectant les organisations à l'échelle mondiale.
2. documentez les données personnelles que vous possédez déjà, d'où elles proviennent et avec qui vous les partagez. Il peut être utile d'effectuer un audit de l'information. Cela pourrait également être un bon moment pour consolider vos informations dans un seul endroit, comme un CRM.
Le RGPD vous oblige à tenir des registres de vos activités de traitement.
3. Examinez et mettez à jour votre politique de confidentialité et les avis de confidentialité. Encore une fois, c'est ce que ces "nous avons mis à jour notre politique de confidentialité" e-mails ont été pour.
4. Vérifiez, mettez à jour et documentez vos procédures de travail avec les données à caractère personnel. La documentation, même au sein d'une petite organisation, est extrêmement utile. Ainsi, si vous travaillez dans ou avec une petite entreprise et qu'elle ne dispose pas encore d'une base de connaissances d'équipe, c'est le bon moment pour en créer une. Elle peut être aussi simple qu'un dossier Google Docs ou aussi élaborée qu'un site personnaliséWordPress .
5. Vérifiez, mettez à jour et documentez vos procédures de traitement des demandes de données en temps opportun. Les demandes doivent être remplies sans frais dans un délai d'un mois, mais elles peuvent être refusées ou payantes si elles sont excessives ou non fondées. Encore une fois, c'est quelque chose que vous devriez couvrir dans une base de connaissances de l'équipe interne-que faites-vous quand quelqu'un soumet une demande?
6. documentez comment et pourquoi vous traitez les données personnelles que vous faites. En d'autres termes, vous devriez avoir une raison légitime pour collecter les données que vous demandez. C'est un autre point à couvrir dans la base de connaissances de l'équipe, de sorte que tout le monde est informé.
7. Examinez et mettez à jour la façon dont vous recherchez, enregistrez et gérez le consentement. Actualisez le consentement existant s'ils ne sont pas conformes au RGPD. Connexe: conseils détaillés pour recueillir le consentement (via ICO)
8. identifiez si vous devez vérifier les âges des utilisateurs et, dans l'affirmative, comment vous obtiendrez le consentement parental ou tuteur si vous traitez des données personnelles appartenant à des mineurs. Si vous construisez un site avec des jeunes comme le public visé (pensez enfants 16 et moins), cela s'appliquera probablement à vous.
9. Assurez-vous que des processus documentés sont en place pour détecter, signaler et enquêter sur les violations de données. Il s'agit également d'une exigence La législation canadienne sur la LPRPDE, et autre chose à ajouter à votre base de connaissances d'équipe.
10. examiner et mettre en œuvre les évaluations d'impact sur la vie privée. «Une DPIA est requise dans les situations où le traitement des données risque d'entraîner des risques élevés pour les individus.» Si vous travaillez avec une organisation plus importante ou si vous traitez des données sensibles, consultez le Guide de l'OIC pour les DPIAs.
11. désigner une personne de l'organisation responsable de la conformité. Comme pour les DPIA, le fait d'avoir un délégué à la protection des données est crucial pour les grandes organisations qui traitent un volume élevé de données à caractère personnel, ou des organisations qui traitent des données sensibles telles que l'information sur les soins de santé.
12. si l'Organisation opère dans plusieurs États membres de l'UE, il doit y avoir une autorité de contrôle responsable de l'ensemble du traitement des données dans l'organisation. Fondamentalement, "le Buck s'arrête ici"-ils sont en charge de la façon dont l'organisation gère les données personnelles.
C'est beaucoup, même pour un guide de démarrage rapide, afin de résumer encore plus loin:
- Comprenez la portée et l'impact du RGPD.
- Effectuez un audit des données personnelles que vous possédez déjà.
- Mettez à jour votre politique de confidentialité et vos avis de confidentialité.
- Mettez à jour et documentez vos procédures pour travailler avec des données personnelles.
- Avoir une personne ponctuelle responsable de la gestion de la confidentialité des données.
Maintenant, nous allons entrer dans les implications pratiques pour le travail que nous faisons en ligne.
Une vue d'ensemble (très) de haut niveau du RGPD par rapport aux sites Web
D'un côté, vous avez une entreprise avec un site Web. Ils utilisent ce site Web pour présenter leurs services, partager des mises à jour et des annonces, et recevoir des demandes de renseignements par le biais de formulaires de contact.
De l'autre côté, vous avez les utilisateurs du site. Ils vont sur le site pour en savoir plus sur l'entreprise, lire des informations, et peut-être même entrer en contact.
L'entreprise utilise une poignée d'outils de 3ème partie sur leur site. Ils ont des analyses Web; chat en direct; capture d'e-mails pour leurs newsletters; et le suivi des publicités.
Entre les formulaires et les outils tiers, l'entreprise pourrait collecter un grand nombre de données personnelles de leurs utilisateurs. Mais avant qu'ils ne le recueillent, ils doivent obtenir le consentement. C'est là que la politique de confidentialité intervient. Il indique aux utilisateurs quelles données sont collectées, avec qui il est partagé (où il est stocké), et comment il est utilisé.
Dans le cadre du RGPD, l'entreprise est considérée comme le responsable du traitement. Si un utilisateur veut apporter une modification, exporter ou effacer ses données personnelles, l'entreprise est responsable de donner à l'utilisateur un moyen de faire cette demande. L'entreprise est également responsable de remplir cette demande en temps opportun.
Les outils 3ème partie sont considérés comme des processeurs de données. Ils stockent des données, mais le contrôleur de données (l'entreprise) est responsable de la gestion. Les processeurs donneront également au contrôleur (l'entreprise) les moyens de modifier, d'exporter et d'effacer les données si nécessaire.
En outre, grâce à l'utilisation des avis de confidentialité et des contrôles d'autorisation, le site Web permet à l'utilisateur de fournir et de modifier son consentement.
Comment l'appliquer en tant WordPress qu'utilisateurs ?
Lorsque nous construisons des sites web avec WordPress, nous mettons en place de nouvelles applications où les données personnelles des personnes peuvent être stockées. Et en tant que développeur ou propriétaire de ces applications, nous avons la responsabilité de protéger les données de nos utilisateurs.
Dans un site de baseWordPress , sans aucun plugin, les données personnelles peuvent être acquises et stockées par l'enregistrement et les commentaires des utilisateurs. Au fur et à mesure que nous installons des plugins supplémentaires, la quantité d'informations que nous recueillons peut augmenter de manière exponentielle. Par exemple :
- Plugins de sécurité qui utilisent les adresses IP des visiteurs pour blacklister le trafic.
- Plugins Analytics qui suivent le comportement des utilisateurs.
- Plugins de formulaire de contact qui sauvegardes entrées.
- les plugins eCommerce qui stockent les adresses d'expédition.
- Plugins marketing qui collectent des adresses e-mail.
- Plugins publicitaires et de médias sociaux qui se connectent à des trackers tiers.
Ces plugins stockeront les données localement sur le serveur de notre site Web, ou ils se connecteront à un service tiers («processeur de données») pour stocker les données.
Dans la dernière version de WordPress, nous avons maintenant la possibilité d'identifier une page de la politique de confidentialité. Il s'agit de la page où nous divulguons toutes les données que nous recueillons, la manière dont nous les utilisons, les personnes avec lesquelles les données sont partagées (le cas échéant) et la procédure permettant aux utilisateurs de demander la modification, l'exportation ou la suppression de données.
WordPress Sont également inclus dans la nouvelle version de deux nouveaux outils pour répondre aux demandes d'exportation et de suppression de données. Par défaut, ces outils ne concernent que les données collectées par le WordPress logiciel de base, comme les comptes d'utilisateurs et les commentaires. D'autres plugins interviennent pour traiter les demandes de données pour des services de tiers, l'autogestion des données et pour aider à la rédaction des avis de consentement. Nous y jetterons un coup d'œil dans un instant.
En attendant, vos plats à emporter sont les suivants: créer votre politique de confidentialité page. Dites à vos utilisateurs exactement ce que vous faites avec leurs données. Et leur donner un moyen de soumettre des demandes de données. Un formulaire de contact simple est très bien pour commencer.
WordPress Plugins GDPR
Bien. Parlons des plugins GDPR qui peuvent nous aider.
Le RGPD a été développé ici à Toronto par l'équipe de Trew Knowledge. C'est un plugin assez complet. Il fournit la gestion du consentement; gestion des préférences de confidentialité de front-end; double-opt-in e-mails pour le droit à l'effacement; réaffectation des données utilisateur; recherche back-end & administration; journalisation suivi de télémétrie; et plus encore. Il est bien documenté et se sent comme une extension de WP Core.
Un autre plugin GDPR populaire, bien que moins bien documenté, et qui ne prend en charge que le WordPress noyau, les commentaires, WooCommerce, les formulaires de gravité et le formulaire de contact 7 prêt à l'emploi. La feuille de route ne couvre rien au-delà du 3 juin, il est donc difficile de savoir quels sont leurs plans pour une compatibilité future. Il ressemble aussi beaucoup à un plugin boulonné.
Privacy WP adopte une approche différente. Au lieu de gérer les données stockées sur votre serveur, Privacy WP intègre les outils intégrés d'exportation/effacement de la confidentialité avec les données stockées sur les fournisseurs tiers (les processeurs de données couverts plus tôt). Consultez le message d'annonce de Scott Deluzio.
Cookiebot n'est pas un WordPress plugin, mais je le vois apparaître sur de plus en plus de sites web comme une solution d'appoint pour traiter le consentement de la GDPR. Il scanne le site pour détecter la présence de cookies et gère les contrôles de permission. Ils ont un plan gratuit qui convient aux petits sites (moins de 100 pages), mais le prix augmente rapidement à partir de là.
Lectures connexes
Ce Meetup n'aurait pas été possible sans se pencher sur les ressources suivantes:
Règlement général sur la protection des données (wikipedia)
Qu'est-ce que le RGPD? Le guide récapitulatif de la conformité au RGPD au Royaume-Uni (WIRED)
Protection des données dans l'UE (Commission européenne)
Guide du règlement général sur la protection des données (RGPD) (ICO)
Préparation au RGPD: 12 étapes à prendre maintenant (ICO)
RGPD pour les marketeurs canadiens: s'applique-t-elle? (Art & science)
Meilleures pratiques de marketing par courriel pour CASL & GDPR (art & science)
Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)
***
Vous avez des questions ou des commentaires à propos de ce Meetup? Faites-nous savoir sur la page de l'événement, dans notre groupe Facebook, ou laissez un commentaire ci-dessous.
C'était super Andy.
Comme promis ici est le lien vers les ressources de la Digital Analytics Association. J'ai assisté à l'atelier organisé par leur chapitre de Toronto. Et bien sûr, les analystes sont très préoccupés par le RGPD parce qu'ils sont en train de gérer les données!
https://community.digitalanalyticsassociation.org/blogs/marilee-yorchak/2018/05/29/gdpr-daa-resources-for-you
Merci Heather!
Salut Andy, merci de mentionner Cookiebot. Nous avons un wordpress plugin - veuillez le voir : https://wordpress.org/plugins/cookiebot/. Toutefois, il ne définit que la zone de consentement. Vous devez marquer tous vos cookies manuellement pour vous assurer que vous êtes conforme.