6 choses que les propriétaires d'entreprise en ligne et les commerçants peuvent faire pour se préparer
6 min de lecture
Les opinions exprimées par les entrepreneurs sont les leurs.
La loi de Union européenne sur le Règlement général sur la protection des données ( GDPR ) est l'une des législations les plus complètes et les plus complètes en matière de données sensibles sur les consommateurs. – et il est sur le point d'entrer en vigueur. Quand cela arrivera, le 25 mai, cela changera la façon dont les données des consommateurs sont protégées, non seulement en Europe, mais dans le monde entier.
Selon GDPR, les informations telles que les adresses IP des clients et même les cookies web seront soumises aux mêmes normes de sécurité strictes que les adresses physiques et les numéros de sécurité sociale.
Même si vous n'êtes pas basé Europe, si vous y faites des affaires ou si vous recueillez des informations personnellement identifiables (PII) auprès des citoyens de l'UE via votre site web, vous serez soumis à la réglementation GDPR
. Des amendes allant jusqu'à 20 millions d'euros (environ 25 millions de dollars), soit 4% du chiffre d'affaires annuel mondial, seront prélevées sur les entreprises dont les données sont insuffisamment protégées par les dispositions législatives
. Cela a conduit à une certaine confusion parmi les propriétaires d'entreprises ici aux États-Unis alors qu'ils tentent de comprendre l'impact des changements de l'UE sur leur stratégie de marketing – en particulier dans les affaires situées en dehors de l'Europe. De nombreux propriétaires ne sont pas sûrs de la meilleure façon de se conformer au GDPR au moindre coût. Selon une étude de RealWire, seulement 16% des entreprises interrogées dans les Amériques ont déclaré qu'elles croyaient qu'elles devaient se conformer au GDPR – un pourcentage bien inférieur au nombre d'entreprises effectivement assujetties à la législation.
La date de début de GDPR approchant rapidement, voici quelques mesures que vous pouvez prendre pour vous assurer que votre entreprise est conforme.
1. Nommer un délégué à la protection des données
Désigner une personne dans votre organisation comme votre agent de protection des données (DPO). Cette personne, au minimum, devrait être familier avec le GDPR et ce que votre entreprise fait pour se conformer. Le DPD sera chargé de traiter avec les organismes de réglementation ainsi que les membres du public avec des demandes liées à l'utilisation de leurs informations d'identification (PII).
2. Effectuer un audit de données.
L'une des choses les plus importantes que votre entreprise puisse faire pour assurer la conformité est d'effectuer un audit de données complet. Commencez par poser les questions suivantes:
Quelles données personnelles votre entreprise utilise-t-elle et conserve-t-elle actuellement?
Cette information est-elle nécessaire pour votre entreprise? Sinon, supprimez-le. Moins vous avez de PII, moins il y a de risque de violation
Avez-vous des documents pour montrer que vos clients ont consenti à l'utilisation de ces informations?
Est-ce que des processeurs ou contrôleurs de données tiers ont accès aux PII? effectuer des services à votre demande? Si oui, ces fournisseurs sont-ils également conformes à GDPR? De nombreux contrôleurs de données tierces réputés ont mis à la disposition des clients des informations sur leur voyage vers la conformité GDPR . Obtenir un consentement sans ambiguïté.
Le GDPR place la barre très haut pour ce qui est considéré comme un consentement à l'utilisation de PII. Le consentement doit être affirmé par "une déclaration ou une action affirmative claire", par exemple un client qui vérifie une boîte lors de la visite d'un site web, conformément à la législation . Le GDPR ne considère explicitement pas le silence, les cases pré-cochées ou l'inactivité comme constituant un consentement. Les données qui sont conservées et la façon dont elles seront utilisées doivent être expliquées d'une manière facilement compréhensible par les consommateurs, et les consommateurs doivent être aussi indulgents que possible pour retirer leur consentement.
Bien sûr, les spécialistes du marketing voudront savoir: Et qu'en est-il de mes données clients existantes? Malheureusement, le consentement ne peut pas être acquis. La plupart des entreprises devront obtenir un nouveau consentement de leurs clients, d'après BlueSheep . Par exemple, un audit de données effectué par W8 Data a estimé que 75% des données clients existantes au Royaume-Uni seraient rendues obsolètes par le GDPR.
Profitez de cette occasion pour discuter avec vos lecteurs et expliquer les avantages de continuer à recevoir des communications de votre entreprise. Dites-leur comment le fait de consentir à l'utilisation de PPI se traduira par des avantages tangibles, tels que des offres personnalisées et des recommandations de produits. Demandez-leur de mettre à jour leurs préférences de marketing d'une manière qui vous donne autant de latitude que possible pour utiliser leur IPP à des fins de marketing à l'avenir.
4. Le droit à l'oubli
C'est l'un des droits du client les plus puissants que le GDPR confère. En théorie, cela permet aux citoyens de l'UE d'effacer l'empreinte digitale qu'ils ont laissée au fil du temps. Le responsable de la protection des données doit prendre des mesures pour effacer les PII ou toutes les données antérieures d'un utilisateur sur demande; il est donc essentiel que vos protocoles de stockage et de traitement soient activés pour que cela soit possible.
5. Considérez que l'envoi de courriels à froid est effectivement mort.
Le GDPR rend effectivement l'envoi de courriels «froids» mort dans l'UE. Afin d'envoyer légalement un email marketing à un citoyen de l'UE, vous avez besoin d'une preuve documentée qu'il a consenti à le recevoir.
Alternativement, vous devrez faire preuve de créativité et examiner l'utilité d'autres plateformes pour le marketing. LinkedIn par exemple, est une mine d'or potentielle pour les spécialistes du marketing. En tant que membre de la plate-forme, vous avez donné votre accord pour entrer en contact avec d'autres utilisateurs, laissant la porte ouverte aux entreprises pour atteindre les autres membres de LinkedIn grâce à des initiatives de marketing.
6. Préparez-vous à une brèche.
Soyez prêt. Si le pire se produit et que vous rencontrez une violation de données sensibles, l'autorité de surveillance compétente doit être informée de toute violation dans les 72 heures suivant la découverte. À quelques exceptions près, il est également de votre responsabilité d'informer les personnes concernées de toute violation qui pourrait mettre en péril les "droits et libertés des personnes".
Réflexions finales
Alors que certaines entreprises aiment le SQL Le consultant, Brent Ozar, abandonne complètement le marketing dans l'UE en raison de GDPR, ce n'est pas idéal de se fermer à plus de 500 millions d'habitants disponibles sur le marché de l'UE.
des pratiques rigoureuses pour protéger les données sensibles des clients peuvent aider à se défendre contre des violations coûteuses comme celle subie par le bureau de crédit Equifax qui a exposé plus de 143 millions d'Américains à la perte de renseignements sensibles. Federal Trade Commission.
Saisissez l'opportunité d'atteindre vos clients, à la fois pour mettre à jour leurs préférences de marketing et pour obtenir le consentement conforme GDPR. S'ils finissent par se désabonner ou ne consentent pas à l'utilisation de leurs IPI, ils ne sont peut-être pas du tout adaptés à vos efforts marketing.
Source link