Guide pratique

Guide pratique du RGPD

Comment savoir si vous êtes conforme ?

Le RGPD, quesako ?

Les données personnelles de mes clients représentent la richesse de mon entreprise. Dans un monde 100% connecté et dans lequel les clients se préoccupent de plus en plus de leurs données, le RGPD m’explique comment sécuriser et pérenniser ces dernières afin de limiter la survenue d’incidents. Ainsi, la bonne application du règlement constitue un avantage concurrentiel pour l’entreprise puisque les personnes concernées vont se tourner naturellement vers des acteurs en qui elles peuvent avoir confiance.
La mise en place du RGPD est susceptible d’entrainer une modification des procédés internes de l’entreprise. Une telle réorganisation peut ainsi participer à une réduction des coûts engendrés par celle-ci.

Ce règlement s’apparente à une responsabilité civile professionnelle : il constitue une ceinture de sécurité financière afin de limiter les problématiques de sécurité informatique et en cas de contrôle de la CNIL.

Le Règlement Général sur la Protection des Données est un texte européen applicable depuis 2018. Il est le texte de référence en matière de sécurisation des données à caractère personnel et a été adopté pour harmoniser la législation au sein de l’Union Européenne. L’objectif est de responsabiliser les entreprises qui traitent les données personnelles de leurs clients et salariés afin d’accroître la protection et la sécurisation de celles-ci pour éviter que les personnes concernées courent des risques.
Pour en savoir plus : EUR-Lex – 32016R0679 – EN – EUR-Lex (europa.eu)

Comment appliquer le RGPD à mon site web ?

Mon site internet est la vitrine de mon entreprise. Son interface est visible publiquement par tous. Il contribue à la première impression que les utilisateurs auront de mes activités et donc de mon entreprise. C’est la raison pour laquelle il doit contenir toutes les mentions obligatoires.
Plusieurs textes doivent être insérés tels que les mentions légales, les conditions générales de vente, les mentions d’informations, le bandeau cookies, et enfin les politiques de cookies et de confidentialité. Ces textes ont pour but d’expliquer aux utilisateurs ce que mon entreprise fait de leurs données, et comment je les sécurise : il s’agit du principe de transparence prévu par le RGPD.
Attention, il est fortement déconseillé de réaliser des copier-coller des textes d’autres sites web, qui pourraient être sanctionnables au titre de la propriété intellectuelle.

Afin que mon site web soit en totale conformité au RGPD, la CNIL publie des recommandations relatives à plusieurs sujets. Voici quelques exemples :
Concernant les bandeaux cookies, elle précise que l’utilisateur doit pouvoir refuser les cookies aussi simplement que de les accepter (Cookies et autres traceurs : la CNIL publie des lignes directrices modificatives et sa recommandation | CNIL).
Concernant les cookies de mesures d’audience, la CNIL précise que l’utilisation de Google Analytics est désormais illégale au sens du RGPD et qu’il convient de trouver des alternatives (Questions-réponses sur les mises en demeure de la CNIL concernant l’utilisation de Google Analytics | CNIL).
Concernant les antibot, l’utilisation de Google reCAPTCHA est déconseillée car ce logiciel transfère lui aussi des données à Google et donc hors de l’Union européenne.

Comment appliquer le RGPD au sein de mon entreprise ?

Il est essentiel que je mette en place des pratiques visant à réellement sécuriser les données à caractère personnel que je traite. Les mesures techniques et organisationnelles peuvent être informatiques, logicielles, matérielles, managériales, contractuelles, etc.
Tous les acteurs concourant au traitement des données doivent les respecter tels que les salariés, collaborateurs, responsable de traitement, et prestataires.

Le RGPD m’informe que je dois réaliser et mettre à jour certains documents afin de :

  • retracer les traitements effectués mais aussi les éventuelles problématiques rencontrées ;
  • instaurer un cadre contractuel concernant les traitements de données personnelles réalisés par les prestataires auxquels je les transfère ;
  • informer les personnes concernées des traitements réalisés sur leurs données personnelles
  • prouver ma conformité au RGPD à la CNIL en cas de contrôle.

Le rôle du DPO est de veiller à la conformité de l’entreprise en assistant et conseillant le responsable de traitement. Il a un rôle de conseil, et la responsabilité relative au respect du RGPD pèse sur l’entreprise.
Faire appel à un DPO est fortement conseillé, et même obligatoire dans certains cas.

Les prestataires et fournisseurs avec qui je travaille doivent être conformes au RGPD

Un sous-traitant est une entité ou une personne à laquelle le responsable de traitement transfère des données à caractère personnel pour effectuer une mission précise.

Attention la définition du sous-traitant est à entendre au sens du RGPD seulement : un sous-traitant au sens du droit des affaires peut ne pas être un sous-traitant au sens du RGPD.

En tant que responsable de traitement, je dois m’assurer que je contractualise avec des prestataires qui présentent des garanties suffisantes en termes de protection des données personnelles. En effet, si je dois leur transférer des données que j’ai moi-même collectées, je dois être certain qu’ils les sécurisent aussi bien que je le fais, afin que mes clients et collaborateurs ne courent aucun risque.

Si c’est au responsable de traitement de se renseigner sur le niveau de conformité des prestataires avec lesquels il traite, ces derniers doivent également mettre à disposition du responsable de traitement toute information nécessaire pour prouver leur conformité au RGPD.

La tenue du registre des traitements

Ce document recense détaille tous les traitements de données qui ont lieu au sein de l’entreprise. Il permet d’avoir une vision d’ensemble sur le fonctionnement de mon entreprise et de retracer le cycle de vie d’une donnée pour connaître les traitements dont elle a fait l’objet. Il est un outil de pilotage et de démonstration de ma conformité au RGPD me permettant d’identifier et de hiérarchiser les risques que peuvent courir les données personnelles.

Important à savoir : un sous-traitant doit tenir deux registres de traitement : un pour ses propres traitements, et un pour les traitements qui lui sont délégués par le responsable de traitement.

Il doit contenir plusieurs informations obligatoires telles que les catégories de données traitées et de personnes concernées, la présence ou non de transferts hors UE, les finalités, les destinataires, les mesures de sécurité mises en place, etc…

Ne pas oublier de le mettre à jour ! Dès qu’un nouveau traitement est mis en place ou qu’un traitement disparaît, il faut le faire apparaître sur le document.

Pour le réaliser, je peux faire appel à un DPO ou m’inspirer de l’exemple proposé par la CNIL (registre-traitement-simplifie.ods (live.com)) qu’elle invite toutefois à enrichir.

Cookies
Ce site utilise des cookies. Pour tous les accepter, cliquez sur "Tout accepter". Vous pouvez également choisir les types de cookies autorisés en cliquant sur "Personnaliser" Lire notre politique de cookies
Personnaliser Tout refuser Tout accepter
Cookies
Choisissez les types de cookies à accepter. Votre choix sera enregistré pour 6 mois. Lire notre politique de cookies
Enregistrer Tout refuser Tout accepter