Le RGPD
En 2018, la protection de la vie privée des internautes prend un nouveau tournant. L’individu est mieux protégé et des amendes jusqu’à 130 fois supérieures aux plafonds antérieurs sanctionnent les entreprises responsables d’actes frauduleux. Cette révolution légale se cache sous le sigle du RGPD (ou GDPR en anglais).
Adopté en avril 2016 par le parlement européen, le RGPD est le Règlement Général sur la Protection des Données. Il est officiellement entré en vigueur le 25 mai 2018 et concerne toutes les entreprises qui exploitent les données personnelles de citoyens européens.
Avertissement : Kameleoon n’a pas la prétention de vous conseiller légalement quant au RGPD. Cette page vous rappelle en revanche les enjeux du RGPD et comment la solution de personnalisation de Kameleoon est compliant.
Toute entreprise qui ne respecte pas les règles du RGPD s’expose à une sanction financière à hauteur de 4% de son chiffre d’affaires mondial, ou jusqu’à 20 millions d’euros (la pénalité la plus importante étant appliquée si le cas le justifie).
La récolte et l'exploitation des données personnelles
Sous le régime du RGPD, vous n’avez plus le droit de posséder les données d’un visiteur qui ne vous y a pas spécifiquement autorisé. Cela signifie que vous devez faire preuve de transparence envers vos clients et visiteurs quant à votre politique de gestion de la donnée. Vous n’avez le droit d’exploiter les données personnelles d’un visiteur que s’il y a explicitement consenti.
Le transfert des données personnelles hors UE
Le RGPD interdit le transfert des données personnelles d’un client hors de l’Union Européenne. Cela signifie qu’une entreprise présente sur plusieurs continents qui utilise une solution où les données clients sont centralisées sera en infraction sous le RGPD. Aussi, si une entreprise implantée en France utilise une solution dont les serveurs se trouvent hors UE, elle sera également en infraction sous le RGPD.
Obligation de rapporter une faille de sécurité et un vol de données
Yahoo, MySpace, Ebay, Sony, Ashley Madison, Dropbox, Tumblr, LinkedIn, Adobe, etc. : les vols de données sont devenus monnaie courante. Or, jusque-là, le vol des données personnelles n’était rendu public que lorsque l’entreprise n’était plus en mesure de garder le secret. Avec le RGPD, chaque entreprise dispose de 72h, à partir du moment où l’infraction est constatée, pour en informer les autorités compétentes. Dans cette situation, il est également obligatoire d’en informer les utilisateurs concernés, bien que la règle ne fasse pas mention d’un laps de temps à respecter. Le bon sens veut évidemment que vous n’attendiez pas trop longtemps pour ne pas perdre la confiance de vos clients.
LE DROIT POUR L’UTILISATEUR DE RÉCUPÉRER LES DONNÉES RÉCOLTÉES (PORTABILITÉ)
Sous le RGPD, vous devez être en mesure de reconstituer, sur demande, l’ensemble des données d’un visiteur sous un format accessible et non crypté.
Le droit à l'oubli
Une personne dont vous détenez des données personnelles peut vous demander de les supprimer intégralement. Le cas échéant, vous n’avez d’autre solution que de vous en séparer.
LA NÉCESSITÉ DE NOMMER UN DPO (DATA PRIVACY OFFICER)
La désignation d’un DPO est obligatoire dès lors qu’une entreprise effectuera des traitements de données à grande échelle ou un suivi régulier et systématique des personnes ou d’informations sensibles. La nomination d’un DPO est également obligatoire pour le secteur public, quelle que soit la nature du traitement.
Conformité de la plateforme
- Collecte des données
Dans sa configuration initiale, la plateforme Kameleoon ne récolte et ne traite aucune Donnée Personnelle au sens du RGPD. Les données récoltées sont toutes des données de navigation anonymisées ne permettant pas d’identifier le visiteur. Cependant, le Client a la possibilité de remonter des Données Personnelles existantes dans son écosystème (CRM, DMP…) dans la solution Kameleoon pour enrichir ses analyses et résultats. Dans ce cas, le Client contrôle à tout moment ces informations et ne sélectionne que les Données autorisées. Kameleoon traite alors les Données Personnelles dans le strict respect du RGPD et conformément aux instructions écrites du Client et à la description du Traitement.
- Anonymisation IP
Puisque l’adresse IP peut être considérée comme une Donnée Personnelle, Kameleoon l’anonymise totalement en la remplaçant par un ID créé aléatoirement. L’anonymisation est totale, garantissant un meilleur niveau de protection de données.
- Cryptage
Kameleoon respecte les standards de sécurité et permet de crypter les informations sous certaines conditions. Le tag JavaScript de Kameleoon communique en HTTPS avec Kameleoon.com, si la page d’origine (client) est en HTTPS également.
- Portabilité
Kameleoon permet de livrer l’ensemble des Données Personnelles récoltées d’un visiteur à sa demande.
- Droit à l’oubli
Kameleoon permet d'effacer toute Donnée Personnelle à la demande du Client dans un délai de 72h. Au delà, vos visiteurs ont la possibilité d'opt-out des expériences que vous leur proposez. Si un visiteur demande à ce que ses données ne soient plus utilisées pour personnaliser son expérience de visite, il a accès à un lien lui permettant de ne plus être suivi et désactivant tout type d’exploitation de ses données personnelles. Pour ce faire, il suffit d’ajouter un lien sur votre page d’information de respect de la vie privée. Notre méthode "Disable Legal Consent" est appelée dès que le visiteur refuse l'utilisation de Kameleoon. Elle désactive entièrement Kameleoon. Pour plus d'informations, veuillez vous référer à cet article.
Conformité organisationnelle
- Nomination d’un DPO
Notre programme de sécurité et conformité RGPD est supervisé par un Data Protection Officer nommé en Janvier 2018.
- Réponse en cas d’incident
Si besoin, notre programme de gestion des incidents nous permet de répondre aux brèches de sécurité 24/7. En cas d’incident impactant les données de vos visiteurs et clients, vous serez informé dans les plus brefs délais comme stipulé dans notre contrat.
- Plan d’assurance sécurité
Les mesures de sécurité mises en place par Kameleoon tiennent compte de l’état de l’art technologique et des obligations imposées par le RGPD. Notamment, Kameleoon garantit la confidentialité, l’intégrité, la disponibilité et la traçabilité des Données du Client et tient à jour une documentation écrite décrivant les mesures de sécurité techniques et organisationnelles mises en œuvre.
- Serveurs localisés en UE
Les serveurs de Kameleoon se situent en Europe. Aucune Donnée Personnelle ne circule en dehors de l’Union Européenne. Nos clients ne s’exposent donc à aucun risque quant aux restrictions de circulation des données imposées par le RGPD.
- Évolution produit et nouvelles fonctionnalités
Toutes les nouvelles fonctionnalités développées font l’objet d’une mise en conformité RGDP et respectent des guidelines strictes pour s’assurer du respect des données personnelles.