Fermer

mai 21, 2018

Ce que les efforts de conformité GDPR de Google signifient pour vos données: deux actions urgentes


Il devrait être assez évident pour quiconque me connaît que je ne suis pas avocat, et par conséquent, ce qui suit n'est pas un avis juridique. Pour ceux qui ne me connaissent pas: je ne suis pas avocat, je ne suis certainement pas votre avocat et ce qui suit n'est certainement pas un avis juridique.

Cela étant dit, je voulais vous donner quelques informations qui pourraient nourrir votre planification du GDPR, car elles proviennent plus du marketing que de l'interprétation juridique pure de vos obligations et responsabilités en vertu de cette nouvelle législation. . Alors que la plupart des services juridiques examineront les impacts directs du GDPR sur leurs propres opérations, beaucoup pourraient manquer les impacts que les actions de conformité d'autres entreprises (en l'occurrence, dans ce cas, Google) ont sur vos données.

Mais je deviens peut-être un peu en avance sur moi-même: il est tout à fait possible que vous ne sachiez pas tous ce qu'est le GDPR, et pourquoi ou si vous devriez vous en soucier. Si vous savez ce que c'est, et vous voulez juste obtenir à mes opinions, allez-y et sautez la page .

La version de tweet-length est que le GDPR (General Data Protection Regulation) est une nouvelle législation européenne couvrant la protection des données et la vie privée des citoyens de l'UE, et il s'applique à toutes les entreprises offrant des biens ou des services à les gens dans l'UE.

Même si vous n'êtes pas basé dans l'UE, il s'applique à votre entreprise si vous avez des clients qui le sont, et il a des dents (amendes allant jusqu'à 4% du chiffre d'affaires global ou 20 millions d'euros). Il entre en vigueur le 25 mai. Vous en avez probablement entendu parler par le biais de la myriade d'organisations qui vous ont mis sur leur liste de diffusion sans vous demander et qui vous envoient maintenant un courriel pour vous «réactiver».

Dans la plupart des entreprises, il n'appartiendra pas à l'équipe de marketing de rechercher tout ce qui doit changer et atteindre la conformité, même si cela vaut la peine de se familiariser avec au moins le contour de haut niveau et en particulier ses exigences autour du consentement éclairé, qui est:

"… toute indication librement donnée, spécifique, informée et non équivoque des souhaits de la personne concernée par laquelle, par une déclaration ou par une action affirmative claire, elle marque son accord sur le traitement de données à caractère personnel le concernant ou elle. "

Comme toujours, quand les lois sont faites sur la nouvelle technologie, il y a beaucoup de questions à résoudre, et en effet, des blagues à faire:

Mais mon message aujourd'hui ne porte pas sur ce que vous devriez faire pour être conforme – c'est spécifique à votre situation – et une tonne a déjà été écrite à ce sujet:

Mon intention n'est pas d'écrire un guide général, mais plutôt de vous avertir de deux choses spécifiques que vous devriez faire avec l'analytique (Google Analytics en particulier) à la suite des changements que Google fait à cause du GDPR.

Conséquences inattendues du GDPR

Lorsque vous traitez directement avec une personne dans l'UE, et qu'elle vous donne des informations personnellement identifiables (PII) sur vous, vous êtes généralement dans ce qu'on appelle le rôle de "contrôleur de données". Le GDPR identifie également un autre rôle, qu'il appelle "processeur de données", qui est toute autre société que votre entreprise utilise en tant que fournisseur et qui gère ces informations. Lorsque vous utilisez un produit tel que Google Analytics sur votre site Web, Google joue le rôle de processeur de données. Bien que la plupart des restrictions du RGPD s'appliquent à vous en tant que contrôleur, le processeur doit également s'y conformer, et c'est là que nous voyons des conséquences potentiellement inattendues (mais peut-être prévisibles) de la législation.

Google cherche sans surprise à minimiser leur risque (je dis que ce n'est pas surprenant parce que ces amendes du GDPR pourraient atteindre 4,4 milliards de dollars sur la base des revenus de l'année dernière s'ils se trompent). Ils le font d'abord en imposant autant que possible l'obligation sur vous (le responsable du traitement des données) et ensuite, en allant plus loin que le GDPR et en étant plus agressifs que la réglementation l'exige pour fermer les comptes qui enfreignent leurs conditions (indépendamment du fait que l'infraction viole également le GDPR).

C'est tout à fait rationnel – GA étant dans la plupart des cas un produit offert gratuitement, et la valeur revenant entièrement à Google dans son ensemble, il est parfaitement logique de limiter leurs risques de manière à ne pas dégrader leur valeur, et de lancer des configurations risquées sur la plate-forme plutôt que de prendre le risque financier extrême pour les comptes gratuits individuels.

En passant, ce n'est pas seulement Google. Il y a d'autres fournisseurs qui font des choses similaires qui nécessiteront sans doute des actions similaires, mais je me concentre sur Google ici simplement parce que GA est omniprésente dans le monde du marketing web. Certaines entreprises vont même jusqu'à fermer complètement pour les citoyens de l'UE (comme unroll.me) . Voir aussi Twitter des autres .

Conséquence 1: Les paramètres de conservation des données par défaut pour GA supprimeront vos données

À compter du 25 mai, Google modifiera la valeur par défaut pour la conservation des données. vous n'intervenez pas, certaines données antérieures à la coupure seront automatiquement supprimées.

Vous pouvez en savoir plus sur les détails du changement sur le blog personnel de Krista Seiden (Krista travaille chez Google, mais ce billet est écrit à titre personnel).

La raison pour laquelle je dis que ce n'est pas strictement une chose GDPR est qu'elle est liée aux changements que Google fait de son côté pour s'assurer qu'ils se conforment à leurs obligations en tant que processeur de données. Il vous donne les outils dont vous avez besoin mais n'est pas strictement lié à votre conformité GDPR. Il n'y a pas de «bonne» réponse à la question de savoir combien de temps vous devez / devriez conserver ces données stockées dans l'AG sous le GDPR, mais en les lisant, étant donné qu'il ne devrait pas s'agir de PII (voir ci-dessous) ce n'est pas vraiment une question GDPR pour la plupart des organisations. En particulier, il n'y a pas de raison particulière de penser que la valeur par défaut de Google est le paramètre correct / mandaté / unique que vous pouvez choisir dans le cadre du GDPR.

Action: Passez en revue les promesses faites par votre équipe juridique et votre nouvelle politique de confidentialité afin de comprendre le bon calendrier pour votre organisation. En l'absence de promesses explicites à vos utilisateurs, je crois comprendre que vous pouvez conserver toutes les données que vous étiez en mesure de capturer en premier lieu, à moins que vous ne receviez une demande de suppression à leur encontre. Alors que la plupart des organisations auront au moins quelques modifications à apporter aux politiques de confidentialité, la plupart des utilisateurs de GA peuvent revenir en arrière pour conserver indéfiniment ces données.

Conséquence 2: Google supprime les comptes GA pour la capture PII

Il a longtemps été contre les Conditions d'utilisation de stocker des informations personnelles identifiables (PII) dans Google Analytics. Récemment, cependant, il semble que Google est devenu beaucoup plus diligent en vérifiant la présence de PII et robuste dans leur gestion des comptes trouvés pour en contenir. Plus simplement, Google supprimera votre compte s'il trouve des PII.

Il est impossible de savoir avec certitude si c'est lié au GDPR, mais si nécessaire de démontrer aux régulateurs qu'ils prennent des mesures strictes. Les actions contre toute personne qui viole ses termes relatifs à l'IPI constituent un moyen évident pour Google de réduire le risque auquel il est confronté en tant que responsable du traitement des données. Cela prend tout son sens dans un domaine où la grande majorité des comptes sont des comptes gratuits. Tout comme le point précédent, et la raison pour laquelle je dis que cela est lié à la réponse de Google à l'entrée en vigueur du GDPR, c'est qu'il serait parfaitement possible d'obtenir la permission de vos utilisateurs d'enregistrer leurs données -party services comme GA, et se conformer pleinement à la réglementation. Quelles que soient les autorisations que vos utilisateurs vous accordent, la répression liée à GDPR de Google (et l'application plus stricte des termes associés présents depuis un certain temps) signifient qu'il s'agit d'un risque nouveau et plus important qu'auparavant.

Action: auditer votre profil GA et sa mise en œuvre pour les risques PII:

  • Il existe plusieurs façons de rechercher dans AG même des données qui pourraient être identifiées personnellement dans des endroits comme les titres de page, URL, données personnalisées, etc. (voir ces deux excellents guides )
  • Vous pouvez également auditer votre implémentation en examinant les règles dans le gestionnaire de balises et / ou en examinant le code présent sur les pages clés. Les suspects les plus probables sont les endroits où les gens se connectent, prennent des actions clés sur votre site, vous donnent des informations personnelles supplémentaires, ou vérifient.

Ne prenez pas votre avis sur les lois européennes. et la coordination nécessaire à Google pour faire leur part pour se conformer même "juste" que le traitement des données est important. Malheureusement, il y a de forts arguments selon lesquels ce type de règlement ostensiblement convivial qui impose une lourde charge de conformité aux petites entreprises va cimenter le duopole et la domination de Google et Facebook et leur permettre de faire passer les coûts et les fardeaux de la conformité sur des secteurs déjà en difficulté .

Quelles que soient les conséquences intentionnelles ou involontaires de la réglementation, il me semble clair que nous ne devrions pas fonder la conformité de nos propres entreprises (et de celles de nos clients) sur des conseils et des actions personnelles des géants de la technologie. Même si leur propre respect est impressionnant, j'ai été extrêmement déçu par le contenu d'orientation qu'ils ont publié. Voir, par exemple, "Liste de contrôle" GDPR de Google – pas exactement ce que j'espérais:

Liste de contrôle du client: En tant que distributeur, nous savons que vous devez sélectionner des produits conformes et utiliser les données personnelles de manière conforme. Nous nous engageons à respecter le GDPR et nous vous encourageons à vérifier les plans de conformité au sein de votre propre organisation. Points clés à prendre en compte: Comment votre organisation assure-t-elle la transparence et le contrôle de l'utilisateur en ce qui concerne l'utilisation des données? Expliquez-vous à vos utilisateurs les types de données que vous collectez et à quelles fins? Êtes-vous sûr que votre organisation a les bons consentements en place lorsque ceux-ci sont nécessaires dans le cadre du GDPR? Avez-vous tous les consentements pertinents dans votre chaîne d'approvisionnement publicitaire? Votre organisation dispose-t-elle des bons systèmes pour consigner les préférences et les consentements des utilisateurs? Comment allez-vous montrer aux régulateurs et aux partenaires que vous respectez les principes du GDPR et êtes une organisation responsable?

Donc, même si je ne suis pas avocat, certainement pas votre avocat, et ce n'est pas un avis juridique, Si vous n'avez pas encore reçu de conseil, je peux vous dire que vous ne pouvez probablement pas suivre la liste de contrôle de Google pour être conforme. Mais vous devez, comme indiqué ci-dessus, prendre les mesures spécifiques que vous devez prendre pour vous protéger, vous et votre entreprise, de leurs activités de conformité.

Le meilleur outil 2023 pour ta croissance Instagram !



Source link