Sommaire
Attention, cela sera un peu lourd – mais toujours important: le 4 mai 2016, le règlement de l'UE sur la protection des données négocié depuis longtemps a été publié. Il s'appliquera à partir du 25 mai 2018.
Les entreprises en ligne doivent-elles gérer le problème maintenant? Et quelle est la réglementation?
Une réglementation en matière de protection des données – qu'est-ce que c'est quand même?
Le règlement général sur la protection des données (DSGVO) s'appliquera de manière uniforme dans tous les États membres de l'Union européenne à compter du 25 mai 2018. Il n'y a pas de période de transition. Ceux qui violent les dispositions du RGPD du 26 mai 2018 doivent craindre de lourdes amendes.
Les amendes sont ce dont la plupart ont entendu parler auparavant. Jusqu'à 20 millions de dollars, soit 4% du chiffre d'affaires annuel mondial d'une entreprise, constituent une menace de violation de la vie privée. Mais les effets de la nouvelle réglementation sont plus importants que les amendes:
Plus important encore, le GDPR établit la loi commune dans l'UE. Le règlement s'applique directement dans tous les États membres – y compris en Allemagne. La loi allemande existante sera adaptée ou abolie. Les entreprises en ligne doivent simplement se préoccuper de la confidentialité lorsqu’elles s’installent à l’international. Le besoin d’ajustement pour les entreprises allemandes peut être moins important que pour les entreprises étrangères. De nombreux principes de la loi allemande actuelle sur la protection des données peuvent également être trouvés dans le GDPR.
1. Le GDPR en un coup d'œil
Comme dans la loi fédérale sur la protection des données, le principe d'interdiction s'applique également à DSGVO. Cela signifie que tout type de traitement de données à caractère personnel est interdit, sauf autorisation légale ou justification par consentement.
La notion de référence personnelle dans le nouveau droit est plutôt plus large que dans la situation juridique actuelle. En fait, la référence personnelle peut également résulter de l'attribution d'un identifiant en ligne. Une inférence à une personne physique spécifique et à son nom n'est plus nécessaire. En outre, les principes de minimisation des données, d’exactitude factuelle, de stockage limité, de transparence et du principe de ciblage continuent de s’appliquer. Une nouvelle justification est nécessaire lorsque les données collectées dans un but particulier doivent désormais servir à un autre objectif.
1.1 Consentement
Le consentement s'applique à des règles similaires à celles d’avant. Toutefois, l'exigence de forme écrite est révoquée, ce qui signifie que le consentement peut également être donné par voie électronique et par coche. Les consentements incorporés dans les termes et conditions doivent être mis en évidence et tout consentement sera révocable à l'avenir.
Pour beaucoup de discussions, il y aura aussi l'aspect que chaque consentement doit être donné volontairement. Cela ne devrait être le cas que si la personne consentante a un choix authentique et libre. Il devrait pouvoir refuser son consentement ou se retirer sans subir aucun désavantage. Que cela signifie qu'un portail d'informations financé par la publicité doit également proposer une variante sans ciblage personnalisé reste ouvert. Le GDPR contient de nombreux impondérables.
Une autre innovation concerne le consentement des enfants. Les enfants et les jeunes de moins de 16 ans ne peuvent donner leur consentement qu'avec le consentement de leurs parents. Les consentements qui ont maintenant été accordés restent en vigueur si les principes de base de la nouvelle situation juridique sont respectés. Cela a même été explicitement déclaré par les autorités de protection des données.
1.2 Utilisation des données à des fins contractuelles
Comme auparavant, les données personnelles peuvent être utilisées si nécessaire pour l'exécution d'un contrat. Ainsi, par exemple, les données d'adresse d'une personne peuvent être stockées afin d'y livrer des marchandises. Le transfert de données à une agence de collecte ou à un avocat pour le recouvrement des créances est légitime.
1.3 Intérêt légitime
Toutefois, la disposition la plus importante du règlement sera l'article 6, paragraphe 1, point f). Après ça aussi intérêt légitime justifier le traitement des données dans certains cas. Ce qui est nécessaire, c’est un intérêt légitime et le traitement des données est nécessaire pour atteindre cet intérêt. En outre, les intérêts légitimes de la personne concernée ne doivent pas prédominer.
Il est donc nécessaire de mettre en balance les intérêts en jeu, ce qui devrait dépendre des attentes raisonnables des personnes concernées. Un utilisateur qui peut s’attendre à traiter ses données dans une situation donnée mérite moins d’être protégé que s’il n’y était pas obligé. Le règlement lui-même stipule que le publipostage peut également constituer un intérêt légitime. Le règlement soutient le travail avec des pseudonymes. Si possible, ils devraient être utilisés.
1.4 Option de désinscription
Il est important qu'une option de désinscription soit mise en œuvre pour chaque mesure marketing. L'utilisateur a le droit, à tout moment, de s'opposer au traitement de ses données personnelles à des fins de marketing direct. En outre, l'utilisateur doit également être informé de manière transparente. Cela se fait généralement dans une politique de confidentialité transparente sur le site Web.
1.5 Sujets de conformité
Le DSGVO contient, en tant que loi déjà applicable, l’obligation de tenir une liste de procédures. Bien qu'il existe des exceptions pour les entreprises de moins de 250 employés. Les procédures qui ne sont pas seulement appliquées occasionnellement doivent cependant apparaître dans l'annuaire. Que le suivi permanent ou le ciblage des utilisateurs en fasse partie est ouvert.
Un risque de conformité important est l'obligation d'effectuer une évaluation d'impact sur la vie privée à l'avance. Cela est particulièrement vrai lors du profilage. Enfin, l'analyse d'impact est une description détaillée de la procédure de traitement prévue, qui comprend également une évaluation des besoins et de la proportionnalité du traitement des données. Les mesures de protection et les précautions de sécurité doivent également être décrites en détail.
Ceux qui ne respectent pas les règles, les lois contraires aux règlements et les amendes menacent.
1.6 amendes
Les amendes mentionnées ci-dessus sont graves. Amende pouvant aller jusqu'à 10 millions d'euros pour violation grave menaçant 20 millions de personnes et moins grave, jusqu'à 300 millions d'euros, jusqu'à concurrence de 300 000 euros. Pour les grandes entreprises, il est parfois considérablement plus élevé, car 4% ou 2% du chiffre d'affaires annuel mondial peut être dû. Les autorités disposent d'un pouvoir discrétionnaire très limité quant à l'opportunité d'imposer une amende. Le montant des amendes à régler est actuellement complètement ouvert. Le montant des amendes a certainement été considérablement étendu.
2. Suivi selon le GDPR
Bien que les principes de base du RGPD soient raisonnablement clairs, l'application à des cas concrets reste très vague dans la pratique. Dans quelle mesure le suivi reste-t-il admissible, par exemple, n’est pas encore complètement clarifié?
Les autorités de protection des données verront dans l’adresse IP une date personnelle à l’avenir et maintiendront la loi sur la protection des données facilement applicable. Il en va de même pour les cookies et les méthodes d'empreinte digitale, où une affectation à des identifiants internes est possible. Cependant, si une procédure de masquage IP est utilisée, avec laquelle le dernier octet de l'adresse IP est supprimé avant le stockage, une affectation à une personne physique n'est plus possible. Ensuite, il manque la référence personnelle.
DSGVO mentionne le publipostage comme un intérêt légitime possible. Dans le suivi lui-même n'est toujours pas de marketing direct. L'analyse n'est que l'étape préliminaire du publipostage. Cela indique que le suivi sans consentement peut être possible. Cependant, il est nécessaire que les données spécifiques collectées soient nécessaires à la réalisation de l'objectif spécifique et que les intérêts des utilisateurs ne soient pas prédominants.
Quelles données doivent être collectées et stockées est une affaire de cas individuel. Le fait qu'il soit suffisant pour certains types de suivi de stocker des adresses IP raccourcies suggère que le stockage de l'adresse IP complète n'est pas nécessaire. Dans des cas individuels, cela peut être différent. Dans tous les cas, une évaluation préalable est nécessaire.
allusion: Sans justification, seule la collecte de données nécessaire au suivi spécifique peut être justifiée. La première étape doit donc consister à définir précisément le but de la collecte de données.
Dans tous les cas, les utilisateurs doivent aujourd'hui s'attendre à un suivi partiel anonyme. En revanche, le suivi inter-appareils, qui permet aux utilisateurs d'être reconnus sur plusieurs appareils, n'est actuellement pas censé répondre à leurs attentes. Dans tous les cas, une clarification transparente et l'octroi d'une option de retrait sont nécessaires.
Il est concevable que le consentement (supplémentaire) soit obtenu. Cela doit être fait volontairement. Cependant, cela peut être donné implicitement. Il est possible de demander un tel consentement lors de l'ouverture d'un compte utilisateur. Une intégration du consentement dans une bannière de cookie est envisageable à l'avenir. De la même manière que l'utilisation de cookies est signalée, l'utilisation d'outils de suivi pourrait également être indiquée. Si l'utilisateur continue à surfer, cela peut être considéré comme un accord.
allusion: Il est concevable d'intégrer un consentement dans le suivi du comportement des utilisateurs sur le site Web dans une bannière de cookie.
3. Ciblage selon le GDPR
Le ciblage sera également soumis aux données personnelles en vertu de la nouvelle loi. En règle générale, il existe une option de fusion avec un login ou un cookie. La question de savoir si une justification peut légitimer des intérêts légitimes dépend du processus de suivi spécifique et des données collectées pour le ciblage.
Un intérêt légitime existe en principe: adapter la publicité à l'utilisateur a du sens et constitue un intérêt économique légitime. Selon la définition de l’intérêt, la collecte de données sera également nécessaire.
L’équilibre des intérêts dépend du niveau de technologies de ciblage dans les attentes raisonnables de l’utilisateur. Bien que les utilisateurs s’attendent à un reciblage sur le même appareil parce que leur utilisation (sous un pseudonyme) est depuis longtemps chose courante, il est peu probable qu’il soit reciblé par plusieurs appareils. Cela pourrait changer dans un avenir prévisible.
Dans la publicité comportementale, où les bannières sont distribuées en fonction d'informations agrégées sur l'utilisateur, les utilisateurs s'attendent à ce que les réseaux de publicité expliquent pendant des années. Si les directives des principaux groupes d’intérêts (par exemple, IAB Europe) sont respectées, l’OBA peut certainement être fondée sur des intérêts légitimes.
Il est également possible d'obtenir un consentement (supplémentaire) aux différentes procédures de ciblage. Par exemple, l’opérateur d’une boutique en ligne peut expressément confirmer l’utilisation d’une méthode de reciblage lors de l’ouverture d’un compte client. La mention dans une barre de cookies – semblable au suivi – est envisageable. Dans ce cas, le processus de ciblage devrait être décrit brièvement et associé à un passage correspondant de la politique de confidentialité.
Le DSGVO fournit des réglementations pour le profilage. Si le ciblage est un profilage au sens du règlement, un consentement est requis. Cependant, les règles ne s'appliquent que si le profilage menace considérablement la personne affectée. Cela devrait être manquant, en règle générale. En fonction de la méthode de ciblage et du résultat immédiat du ciblage, vous pouvez également obtenir un résultat différent ici.
Figure 1: Mesures de ciblage: Prérequis selon le DSGVO (Source: npridik.de).
4. Marketing par courrier électronique selon la DGSVO
Le RGPD ne change pas le fait que la publicité par courrier électronique nécessite le consentement du destinataire. Le consentement à la protection des données est inclus dans l'opt-in. Cependant, il est nécessaire que les exigences de protection des données répondent également aux nouvelles exigences en matière d’information.
4.1 Publicité auprès des clients existants
Aussi pour la publicité de client existant ne résulte pas selon le nouveau DSGVO. Les adresses électroniques qui peuvent être utilisées à des fins publicitaires en vertu du droit de la concurrence peuvent également être utilisées à des fins de protection des données. Il faut également une possibilité de désabonnement et le client doit signaler toute possibilité de contradiction. Cette note devrait – non seulement dans la déclaration de confidentialité, mais immédiatement lors de la collecte de l'adresse de messagerie.
allusion: Ceux qui s'appuient sur des clients existants conformément au § 7, alinéa 3, UWG, devraient déjà adapter leur politique de confidentialité et établir un lien clair avec le droit à la protection des données, de sorte qu'il soit certain que même après l'entrée en vigueur du DSGVO, un recours à la règle d'exception est possible.
4.2 Personnalisation de la publicité
Le marketing par courriel est d'autant plus efficace qu'il est personnalisé pour le destinataire. Un problème est l'utilisation de données entrées volontairement de l'utilisateur. Si l'abonné entre volontairement son nom, il peut également être utilisé comme adresse. En raison de l'exigence de minimisation des données, qui est également inscrite dans la nouvelle loi, seule l'adresse électronique doit être un champ obligatoire pour s'abonner à un bulletin d'information. Si le bulletin d'information doit être personnalisé en fonction d'informations connues sur le destinataire (par exemple, comportement d'achat précédent, déménagement dans le magasin), la situation juridique est plus complexe. Que ce ciblage soit autorisé sans consentement dépend des attentes raisonnables des utilisateurs. Un intérêt légitime de l'annonceur est néanmoins présent. Le fait que les bulletins d’information soient suivis et que l’information reçue par l’expéditeur se trouve probablement dans la plage attendue. Ceci est d’autant plus vrai s’il est clarifié de manière transparente. Toutefois, si des profils de clients complets sont créés et que les données sont comparées aux autres, les intérêts de l’utilisateur prévalent et le traitement des données sera irrecevable.
Cependant, il est possible d'obtenir un consentement (supplémentaire). Le problème est l'interdiction de couplage. Si un consentement volontaire ne doit être disponible qu'avec un choix réel, on peut affirmer qu'il doit également exister deux variantes du bulletin d'information. Toutefois, s’abonner à la newsletter personnalisée reste une décision libre de l’utilisateur. Par conséquent, il n’est pas possible de suggérer qu’une variante dépourvue de suivi et de ciblage ne doit pas être proposée. Mais important est une information transparente sur la personnalisation.
allusion: La publicité personnalisée dans le bulletin est également concevable sans consentement. Si le consentement à la personnalisation est demandé, la politique de confidentialité doit être adaptée. Cela doit être lié à la référence à la newsletter.
Les entreprises allemandes sont insuffisamment préparées pour le GDPR
Selon une étude commandée par l'association numérique Bitkom, le DSGVO ne représente pas encore un problème pour près de la moitié des entreprises de la République fédérale. 509 responsables de la protection des données ont été interrogés dans des entreprises de plus de 20 employés. Alors que dans d’autres entreprises, des équipes entières travaillaient sur la personnalisation depuis des mois, mais de nombreuses entreprises ne l’avaient pas encore fait. Il y a beaucoup à faire, en particulier pour les entreprises en ligne et en particulier pour les fournisseurs de services de suivi. Déjà, par exemple, les déclarations de consentement et de confidentialité peuvent être ajustées.
Même avec les nouveaux registres de procédure et les analyses d'impact, vous ne devriez pas laisser beaucoup de temps. Quiconque attribue un fournisseur de services et a convenu d'une durée minimale de 24 mois entre déjà presque dans le champ d'application du RGPD. Dans tous les cas, les contrats de traitement de données de contrat fermés doivent être conformes à DSGVO. Si, par exemple, un nouveau fournisseur de service CRM est intégré, la conformité à DSGVO doit être obligatoire.
Conclusion – Quand le besoin de révision augmente-t-il?
Après tout, il convient de noter que les entreprises qui traitent des données à caractère personnel devraient déjà accorder une attention particulière au GDPR. Si des données client ou des données d'employé sont traitées, il est essentiel de prêter attention à DSGVO dès maintenant, car on peut supposer que le modèle d'entreprise ne sera pas complètement projeté en 2018. Presque pour tous les modèles d'entreprise ou types de contrat à long terme, ce principe s'applique.
Si une entreprise teste initialement un partenaire potentiellement à long terme dans le secteur des services pendant un court laps de temps, les efforts à fournir pour garantir la conformité avec le GDPR sont également faibles. Toutefois, si le fournisseur de services maintenant bien fondé était lié contractuellement à long terme, l'entreprise devait se conformer aux dispositions du RGPD.
