RGPD : Pensez à vous mettre en conformité !

Mai 2, 2018

Le RGPD prend effet le 25 mai 2018

C’est certainement l’acronyme le plus en vogue en ce moment…
Mais savez-vous seulement ce qu’il veut dire ?

Vous êtes membre de l’UE, quels seront les incidences sur votre vie privée ?

Dirigeants, Entrepreneurs, Présidents d’Association, que signifie « se mettre en conformité ? »

l

RGPD : La Définition…

RGPD signifie Règlement Général sur la Protection des Données.

Nous voilà bien avancé…

En fait, il s’agit d’un nouveau règlement européen destiné à protéger la vie privée des membres de l’Union Européenne. Promulgué en avril 2016, sa mise en application est fixée au 25 mai 2018.

RGPD : Son but…

Le RGPD est destiné à protéger la vie privée des membres de l’Union Européenne

Oui d’accord, mais encore ?!?…

Cela concerne la protection de toutes les données personnelles, dont le consentement éclairé & volontaire, la sécurité, la modification de ses données ainsi que le droit à l’oubli.

Cela signifie, qu’à partir du 25 mai 2018, une entité, quelle qu’elle soit,
ne pourra plus récupérer, vous demander, ni utiliser vos données personnelles
sans respecter un certain nombre de règles.

A savoir qu’il ne lui sera plus possible de récupérer vos données, on line (sur le web) ou offline (questionnaire de satisfaction, santé sur papier, …) afin d’établir un fichier sans votre accord explicite et volontaire ;

Et que le traitement de ces données devra avoir une finalité(1) bien précise avec des règles d’utilisation très strictes

(1) Finalité = la raison pour laquelle cette donnée est nécessaire au traitement.

RGPD | Données personnelles - Le nom du hamster - Photo by the courtesy of Ricky Kharawala on Unsplash

En d’autres termes, il ne sera plus possible de vous demander le nom de votre hamster juste au cas où…

Prenons l’exemple de l’inscription à une Newsletter… En fait, la seule donnée rééllement utile pour la diffusion est votre adresse mail ; votre nom, votre prénom ou votre date de naissance ne sont absolument pas nécessaires à une bonne diffusion. Ils ne pourront donc plus vous être demandés…

Données personnelles : définition

Est considéré comme donnée personnelle, tout élément concernant un individu qui permet de l’identifier.

Cela peut être, le nom, le prénom mais également l’adresse mail ou postale, le téléphone et même l’adresse IP (l’adresse informatique de votre ordinateur ou de votre téléphone…), ou encore les photos de vous, postées sur les réseaux sociaux…

RGPD : qui est concerné ?

Toute entité, association ou entreprise, française, européenne ou internationale, dès lors qu’elle collecte des données à caractère personnel d’un membre de l’Union Européenne.

Si votre siège social est aux Etats-Unis mais que vous avez un site internet hébergé au Canada, il est certainement visité par des membre de l’UE, vous êtes donc concernés.

U

RGPD : Qui contrôle et quels sont les risques ?

En France, c’est la CNIL (Commission Nationale de l’Informatique & des Libertés) qui effectuera des contrôles aléatoires mais également sur dépôt de plaintes (attention si vous vous êtes fâchés avec un de vos concurrents…)

La sanction encourue est de 2 à 4% du Chiffre d’Affaires annuel mondial pouvant aller jusqu’à 20 millions d’Euros pour les plus grosses structures.

RGPD | La question des Cookies - Cookies Photo by the courtesy of Alex on Unsplash

Et les Cookies dans tout ça ?!?

Les cookies, qui, je vous le rappelle, ne sont pas des petits gâteaux sur le web, mais bien de petits fichiers textes permettant au serveur de récupérer des données statistiques sur vos habitudes de navigation, ne sont pas concernés par cette nouvelle règlementation.

La règlementation sur les cookies sera traitée via le e-privacy, qui aurait dû prendre effet également le 25 mai… mais dont la mise en place a pris du retard faute d’accord entre certaines parties. Cette nouvelle règlementation devrait voir le jour d’ici 2019.

Par ailleurs, il est fort probable que les cookies seront gérés directement via les navigateurs.

Dirigeants de sociétés, Micro (ou Auto) Entrepreneur, Freelances ou encore Présidents d’Association…
– – Vous êtes tous concernés par cette mise en conformité – –

La question est : comment procéder concrètement ?

Côté pratique, il en ressort que cette mise en conformité sera plus ou moins lourde à mettre en place selon la grandeur de la structure et le type de données que vous traitez.

Ici, je ne parlerai que pour des PME voire même plutôt des TPE ou des petites associations.

RGPD : les 6 grandes étapes

Dans les grandes lignes, sans entrer dans des détails trop techniques qui donnerait à cet article une longueur trop imposante, il est conseillé de suivre les 6 étapes suivantes (un grand merci à Nicolas Richer pour cette méthodologie) :

Etape 1 - Désigner

Désignation d’un Responsable RGPD :
Il s’agit de désigner un Pilote, personne physique ou morale, qui va gérer la mise en conformité mais également le suivi. Il sera le contact avec les personnes qui voudront faire jouer leurs droits et avec la CNIL en cas de contrôle.

T

Etape 2 - Cartographier

Cartographier les collectes et le traitement des données personnelles :
Il va s’agir d’identifier et de répertorier toutes les sources (mails, sites web, téléphones,…) qui récupèrent des données, d’indiquer où et comment elles sont stockées et à quelles finalités elles vont servir.

Z

Etape 3 - Consentement

Veiller au consentement et à l’information du traitement :
Il s’agit à cet étape de reprendre l’inventaire (ce qui a été cartographié) afin d’ajouter les dispositifs de consentement ainsi que les mentions d’information qui dirige vers la page Politique de Confidentialité.

Etape 4 - Rectification - Droit à l'oubli

Permettre la rectification et le droit à l’oubli :
C’est la phase de création des procédures à mettre en place indiquant la méthodologie à appliquer en cas de demande de rectification ou d’effacement des données personnelles, le fameux droit à l’oubli.

~

Etape 5 - Sécurisation

Sécuriser à bloc :
C’est à la fois prévoir une sécurité maximum pour vos sites, mail et tous les espaces de stockages (hébergeurs, stockage cloud, login et mot de passe fort) mais également bien choisir vos sous-traitants.

Etape 6 - Nettoyage

Mise en place des automatismes de nettoyage :
C’est la mise en place des procédures de nettoyage (où, quand et comment effacer les données) sur tous les supports en tenant compte des durées de stockage.

Conclusion : Ce n’est pas gagné mais pas infaisable…

RGPD | Se mettre en conformité - Un tunnel de livre - Photo by the courtesy of Healthymond on Unsplash

Ce n’est pas gagné pour les PME/TPE, propriétaire d’un site ou non ou les Présidents d’association mais pas infaisable.

C’est une démarche qui peut prendre beaucoup de temps suivant les entités, parfois peu. Il faut juste être rigoureux pour ne rien omettre.

Le plus important dans un premier temps, est de ne pas se précipiter sur les premières propositions de prestataires qui apparaissent actuellement.

Toutes ne sont pas forcément légales mais surtout risquent de ne pas être adaptées à la taille de votre entité et au volume du travail à effectuer.

Mon conseil ?

Vous ne vous sentez pas de le faire vous-même ou n’avez pas le temps ?

Rapprochez-vous de votre Webmaster, lancez un appel à vos adhérents pour les associations en espérant qu’un de vos membres ait été formé pour la mise en place du RGPD mais surtout, en dernier recours, ne faites pas appel à un ami !

Confiez ce travail à une personne ou entité sérieuse mais surtout bien formée qui saura vous éviter les pièges sans plomber votre budget…

Pour tous les propiétaires de sites Web...

En qualité de propriétaire de votre site internet,
vous êtes, de fait, le Responsable de cette mise en conformité.

Vous n’avez pas le temps, ni les compétences et vous souhaitez déléguer
la mise en oeuvre de cette nouvelle loi ?

Je suis bien entendu à votre disposition pour étudier votre situation
et ainsi vous faire la proposition la mieux adapté à votre besoin réél.

Bien à Vous.

A bientôt !

Logo MissK - Koralyn Krea | Freelance Création Site Internet