mise-en-conformite-de-votre-site-avec-le-rgpd

RGPD – Ce que l’on peut en comprendre

Blog

Règlement Général sur la Protection des Données

Entrée en vigueur le 25 mai 2018

En tant que Conseil web marketing et partenaire de mes clients sur le plan de la création ou de la refonte de leur site web, je me dois  d’informer mes interlocuteurs  sur la mise en place d’une nouvelle réglementation européenne pour la protection des données personnelles des citoyens, intitulée RGPD. Elle nécessite une mise en conformité pour chaque site existant et devient obligatoire lors de la création de nouveaux sites et ce à compter du 25 mai 2018.

 

Ce document vise àmise-en-conformite-de-votre-site-avec-le-rgpd

• vous faire prendre conscience de l’importance et de l’utilité de cette réglementation européenne.
• vous engager dans une démarche de conformité le plus rapidement possible.

l’Union Européenne a décidé de renforcer la protection des données personnelles des citoyens en mettant au point le Règlement Général sur la Protection des Données personnelles (RGPD) entré en vigueur le 25 Mai 2018.
Ce règlement impose des obligations à tous ceux (personne physique ou morale – publique ou privée – associations) qui collectent des données personnelles et/ou qui en font le traitement, dans le cadre de leur activité professionnelle. Ces obligations vous et nous concernent en tant que responsable et/ou sous-traitants.
Cette loi s’applique à toute personne vivant dans l’un des 28 pays de l’Union Européenne.

En quelques points voici en quoi consiste ce nouveau règlement

Pourquoi ce document a-t-il été mis en place et ce à quoi vous vous exposez en cas de non conformité ?

Le développement du numérique et des nouvelles technologies a révolutionné les usages et les traitements effectués par les entreprises des données dites personnelles (collectées, stockées, utilisées, archivées, transférées, vendues, classées, et parfois même non utilisées). Pour 35% des consommateurs français, les marques et enseignes vont trop loin dans leur collecte d’informations. Les entreprises demandent des données qui n’ont souvent aucun rapport avec le produit ou le service initialement acheté.

Définition de la donnée personnelle

• Vos noms, prénoms, e-mail, adresse, téléphone, données démographiques, géographiques… toute donnée qui permet de vous identifier directement ou indirectement.
• Données informatiques, IP de votre ordinateur, ou data comportementales (actions sur les visites de site, clics…), les données partagées, photos, likes….
Une nuance est faite pour les données dites sensibles.

Définition d’une donnée sensible

Information concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. Actuellement, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes.…

Quelle est la mission finale du RGPD ?

La mise en place du RGPD va permettre clarifier les processus et les usages. Il s’agit là d’un cadre de réglementation qui ne sera pas forcément atteint à 100 % pour chaque entité.

Ce règlement concerne toute l’Europe, que vous soyez une TPE ou PME également. Les grands groupes s’y sont préparés, ils seront en conformité au 25 mai prochain, ce ne sera probablement pas le cas pour 67 % des entreprises européennes. Néanmoins jugez rapidement de l’intérêt d’être ou pas en conformité.
En cas de contrôle par la CNIL (c’est l’organisme chargé de cette action) et de non conformité vous devrez régler une amende de 4 % de votre C.A mondial ou 20 Millions d’Euros, sur l’exercice précédent.

De quelle manière cela va se concrétiser ?

• Amélioration du contentement de l’utilisateur (formulaires de contact et récolte d’information sur votre site web) et connaître l’utilisation des données
• Responsabilité du collecteur et protection du stockage des données (on voit un durcissement des lois existantes en cas de failles de sécurité).
• Le droit pour l’internaute de faire rectifier, modifier ou supprimer ou de pouvoir recueillir ses données, à tout moment

Les actions à mener en 6 étapes

1 – Nommer un pilote ou DPO (Délégué à la Protection des Données)

Il sera parfois obligatoire selon la taille de votre entreprise (+ 250 personnes) ou la nature des données que vous recueillez (données sensibles – data…).
Quoiqu’il en soit il sera le chef d’orchestre (si TPE, ce sera forcément le gérant). C’est lui qui sera amené à coopérer avec la CNIL, il contrôle, il conseille.
Il pourra aussi s’agir d’un délégué externe, comme pour un organisme public, une entreprise qui assure un suivi régulier de ses clients (banque – assurance…), quand des données sont recueillies à grande échelle, ou bien pour les données sensibles relatives à des condamnations pénales, ou des infractions.

2 – Cartographier le traitement des données sur un Registre

Il s’agit de rédiger un document interne sur le traitement des données personnelles et de s’assurer qu’elles respectent les nouvelles obligations légales. Afin de mesurer l’impact du règlement sur votre activité et vérifier qu’il réponde aux exigences, un recensement est nécessaire.
• Quelles sont les traitements des données personnelles (collecte, enregistrement, conservation, extraction, communications….)
• Quelles sont les catégories de ces données (personne physique identifiée et identifiable)
• Quels sont les objectifs recherchés (finalité)
• Identifier les acteurs internes et externes (sous-traitants) afin d’actualiser les clauses de confidentiablité
• Identifier les flux pour les transferts externes vers l’UE
Pour chaque traitement il est nécessaire de se poser les questions suivantes

Qui ?

Indiquer dans le registre qui est le responsable et ses coordonnées, les responsables des services opérationnels, la liste des sous-traitants.

Quoi ?

Identifier les catégories des données traitées et celles dites sensibles (santé, infraction)
Pourquoi ?
Quelle est la finalité de la collecte de ces données (gestion de la relation commerciale, gestion RH…)

Où ?

Où sont hébergées les données, également le pays s’il y a des transferts
Jusqu’à Quand ?
Combien de temps les conservez-vous, la nouvelle législation implique des durées de conservation maximale selon les données personnelles concernées

Comment ?

Quelles mesures de sécurité ont été mises en œuvre pour minimiser les accès non autorisés (impact sur la vie privée des personnes concernées)

3 – Prioriser

Identifier les actions à mener pour être en conformité avec la nouvelle loi et peser les risques qui pèsent sur la liberté des personnes concernées.
Minimiser en ne recueillant que les informations strictement nécessaires
• Obtenir le consentement des contacts
• Réviser vos mentions d’informations
• Gérer et bien choisir les sous-traitants
• Documenter le processus pour faire disparaître les informations à la demande du client
• Vérifier les mesures de sécurité

4 – Gérer les risques

Vous devez élaborer une Analyse d’impact si le traitement des données personnes est susceptible d’engendrer des risques élevés pour les droits et les libertés des personnes concernées.

5 – Organisation du Processus interne

• Mettre en place les procédures internes qui garantissent à tout moment la protection des données (failles de sécurité, gestion des demandes de rectification…)
• Sensibiliser les collaborateurs en les formant et en communiqaunt
• Traiter les rectifications et les demandes des personnes par rapport à l’exercice de leurs droits
• Anticiper la violation des données, notification à la CNIL dans les 72 heures ainsi qu’aux personnes concernées dans les meilleurs délais.

6 – Documenter la conformité de votre RGPD

Afin de prouver la conformité avec le règlement, vous devez constituer et regrouper la documentation nécessaire, indiquer les actions pour chaque étape, le réexamen régulier pour assurer en continu la protection des données.