Exigences européennes en matière de confidentialité: considérations pour les détaillants

Lorsque les détaillants à travers l'Europe adopteront une nouvelle série de règles de confidentialité et de sécurité cette semaine, ce sera la première révision majeure des directives de protection des données dans plus de 20 ans. Les règlements de 2018 traitent des données personnelles et financières et exigent que les détaillants utilisent des systèmes déjà conçus pour assurer ces protections par défaut.

En 1995, la Commission européenne a adopté une directive sur la protection des données qui réglemente le traitement des données à caractère personnel. Syndicat. Cela a donné lieu à 27 réglementations nationales différentes en matière de données, qui restent intactes aujourd'hui. En 2012, la CE a annoncé qu'elle remplacerait ces réglementations nationales et unifierait la législation sur la protection des données dans l'UE en adoptant un nouvel ensemble d'exigences appelé le Règlement général sur la protection des données (GDPR).

consommateurs. Le GDPR, qui entrera en vigueur le 25 mai 2018, concerne toute entreprise faisant des affaires dans l'Union européenne, ou avec des citoyens de l'Union européenne, ainsi que les produits et services nouveaux et existants. Les organisations jugées en violation du GDPR devront faire face à une forte pénalité de 20 millions d'euros ou 4% de leurs revenus annuels bruts, selon le montant le plus élevé.

Les détaillants doivent protéger les consommateurs tout en personnalisant les offres

Les réglementations GDPR engloberont des données personnelles et financières, y compris une grande partie des données trouvées dans un solide système d'engagement des clients, de CRM ou de programme de fidélisation. Il comprend également des informations qui ne sont pas historiquement considérées comme des données personnelles: identifiants d'appareils, adresses IP, données de consignation, données de géolocalisation et, très probablement, cookies

Pour la majorité des détaillants qui s'appuient sur les données client pour personnaliser leurs offres, Il est important de comprendre comment satisfaire aux exigences du GDPR et exécuter les opérations de base de détail, client et marketing. Développer une relation intime avec les consommateurs et offrir des offres personnalisées signifie exploiter une myriade de sources de données.

Cela peut être fait, mais les systèmes doivent être compatibles GDPR par conception et par défaut. Un concept clé qui sous-tend le GDPR est la confidentialité par conception (PBD), qui stipule essentiellement que les systèmes doivent être conçus pour minimiser la quantité de données personnelles qu'ils collectent. À compter de cette semaine, les fonctionnalités Privacy by Design deviendront une exigence réglementaire pour Oracle et nos clients, et GDPR stipule que ces protections sont, par défaut, activées.

Implémentation des fonctionnalités de contrôle de sécurité

Bien que le GDPR exige «une sécurité et une confidentialité appropriées», les contrôles de sécurité exacts ne sont pas spécifiés. Cependant, un certain nombre de caractéristiques de contrôle de sécurité sont discutées dans le texte et seront probablement nécessaires pour certains types de données ou de traitement. Parmi celles-ci figurent l'authentification multifacteur pour les services cloud, la liste blanche IP configurable par le client, les contrôles d'accès granulaires (par enregistrement, élément de données, type de données ou journaux), le cryptage, l'anonymisation et la tokenisation. sont requis la «séparation des tâches» (une option client nécessitant deux personnes pour effectuer certaines tâches administratives); options du client pour marquer certains champs comme sensibles et restreints; accès limité de la part du contrôleur de données (c'est-à-dire Oracle) aux informations client; afficher seulement une partie d'un champ de données; et la suppression permanente de parties d'un élément de données.

Résumé des exigences critiques du GDPR

Le GDPR comprend un certain nombre de recommandations et d'exigences régissant l'approche globale des utilisateurs en matière de collecte et d'utilisation des données. Parmi les plus importants sont:

• Minimisation. Les utilisateurs sont tenus de minimiser la quantité de données utilisées, la durée de conservation, le nombre de personnes qui y ont accès et l'étendue de cet accès.
• Rétention et purge. Les données ne peuvent être conservées que le temps nécessaire. Cela s'applique en particulier aux données personnelles, qui ne devraient être traitées que si l'objectif du traitement ne peut raisonnablement être rempli par d'autres moyens. Les services doivent supprimer les données des clients à la fin des services.
• Exportations et portabilité. Les utilisateurs finaux doivent recevoir des copies de leurs données dans un format numérique structuré et couramment utilisé. Les clients devront autoriser les utilisateurs finaux à envoyer des données directement à un fournisseur de services concurrent pour certains services.
• Accès, correction et suppression. Demandes de l'utilisateur final concernant l'accès, la correction et la suppression de données pour les données qu'ils stockent dans un service. Les utilisateurs peuvent avoir un «droit d'être oublié» – un droit d'effacer toutes leurs données.
• Avis et consentement. Lorsque des informations sont collectées, l'avis de l'utilisateur final et le consentement pour le traitement des données sont généralement requis.
• Sauvegarde et reprise après sinistre. La disponibilité des données de l'utilisateur final doit être assurée en temps voulu.

Êtes-vous prêt?

Oracle est préparé pour le règlement général sur la protection des données de l'UE (GDPR) qui a été adopté par le Parlement européen en avril 2016 et qui entrera en vigueur le 25 mai 2018. Nous nous félicitons des changements positifs qu'il devrait apporter nos offres de services en fournissant un régime de protection des données cohérent et unifié pour les entreprises à travers l'Europe. Oracle s'engage à aider ses clients à répondre aux nouvelles exigences du GDPR relatives à nos offres de services, y compris les exigences de responsabilité des processeurs applicables.

Nos clients peuvent être assurés que la suite omnicanal d'Oracle Retail leur permettra de continuer à proposer des expériences client personnalisées. répondre aux réglementations mondiales complexes en matière de confidentialité des données. Contactez Oracle Retail pour en savoir plus sur les systèmes Oracle, les services et la conformité GDPR: oneretailvoice_ww@oracle.com

Source link