Vous entrez dans un espace virtuel nous permettant de vous présenter nos activités, et vous offrant la possibilité d'entrer en contact avec notre accueil commercial dans le cadre d'une relation BtoB.
Notre site collecte des informations sur votre visite et utilise des modules strictement nécessaires. Ces informations ne nous permettent pas d'identifier les visiteurs et d'utiliser les données à des fins commerciales.
Afin de vous proposez d'entrer en contact avec nous, et des réaliser des statistiques plus précises, nous devons vous demander l'autorisation pour utiliser des modules complémentaires.
Il s'agit de données vous assurant un affichage correct des pages selon votre appareil, permettant d'assurer la sécurité du notre site, et la réalisation de statistiques anonymes sans suivi individualisé.
Le stockage ou l’accès technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou la personne utilisant le service.
Ils s'agit de données nous permettant de réaliser des analyses statistiques anonymes plus précises et notamment l'ordre des pages qu'un visiteur consulte
Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Il s'agit des données de statistiques individuelles précédentes et des informations que vous acceptez de communiquer en utilisant les moyens de contact engendrant un transfert des données à notre prestataire hors Europe (CRM Hubspot, utilisant les police Google (fonts).
Comment se mettre en conformité RGPD ?
Tout savoir pour
Se mettre en conformité RGPD
Avant tout, c'est une démarche progressive qui nécessite une analyse approfondie des traitements de données au sein de votre organisation.
Les étapes à suivre pour se mettre en conformité.
I - Cartographie des traitements de données.
Identifier les activités de traitements.
Pour commencer à se mettre en conformité RGPD, il est nécessaire de définir les traitements de données. C’est-à-dire, pour chaque activité de l’organisation, recenser ses tâches et missions. Dans un second temps, vous pourrez identifier les traitements de données personnelles impliqués.
Le RGPD définit de manière très large ce qu’est un “traitement de données”. Il s’agit de toute opération ou ensemble d’opérations portant sur des données personnelles, quel que soit le procédé utilisé.
Voici quelques exemples de traitements de données :
Collecte : recueillir des informations auprès d’un individu (formulaire de contact, création de compte, etc.).
Enregistrement : stocker les données dans une base de données, un fichier, ou tout autre support.
Organisation : structurer, classer ou ordonner les données.
Conservation : garder les données pendant une certaine durée.
Adaptation ou modification : mettre à jour, corriger ou transformer les données.
Extraction : retirer les données d’un ensemble de données.
Consultation : accéder aux données pour les lire ou les utiliser.
Utilisation : employer les données pour une finalité spécifique (analyse, décision, etc.).
Communication : transmettre les données à un tiers (par exemple, à un sous-traitant).
Diffusion : rendre les données accessibles à un public (par exemple, publication sur un site web).
Rapprochement : combiner des données provenant de différentes sources.
Effacement : supprimer définitivement les données.
Il est important de noter que cette liste n’est pas exhaustive. Tout processus qui implique l’utilisation de données personnelles peut être considéré comme un traitement.
Au début de la mise en conformité, il faut éviter de créer une “usine à gaz” RGPD. Ainsi, soyez pragmatique, regroupez les traitements en ensembles de traitements. Le but étant de limiter la taille de votre registre de traitements, afin de retrouver les informations facilement.
Dans un second temps, identifiez les données personnelles.
Il s’agit de répertorier toutes les données personnelles collectées, utilisées et stockées au sein de votre organisation (Lire notre infographie sur les différentes catégories de données personnelles).
Une fois le recensement des activités et données effectué, définissez les finalités des traitements. Vos traitements doivent avoir une ou plusieurs raisons d’être. Pour ce faire, il suffit de répondre à la question “pourquoi faire ?”.
Enfin, interrogez vos finalités avec les données que vous traitez. C’est alors que vous devrez répondre à la question “est-ce proportionné ?”. À la lumière des réponses, vous devrez faire du tri dans les données inutiles.
Afin d’assurer la mise en conformité RGPD, la minimisation des données est indispensable. Cependant, cette démarche n’est pas réalisable en une fois. Vous continuerez régulièrement à identifier des données inutiles au regard des finalités.
Après cela, il vous faudra déterminer les responsables et sous-traitants impliqués dans chaque traitement.
Voici quelques exemples de traitements :
Ressources humaines : gestion des dossiers du personnel, paie, recrutement, formation.
Marketing : gestion de la relation client, campagnes publicitaires ciblées, études de marché.
Vente en ligne : commande en ligne, gestion des paiements, suivi de livraison.
Santé : dossiers médicaux, gestion des rendez-vous, recherche médicale.
Finance : gestion de comptes bancaires, opérations de paiement, lutte contre la fraude.
Attention, le concept de traitement de données est très vaste et couvre toutes les opérations que vous pouvez réaliser sur des données personnelles. Il est essentiel de comprendre la nature des traitements que vous mettez en œuvre afin de vous assurer de respecter les obligations du RGPD.
II - Évaluer les risques pour se mettre en conformité
Cette étape est importante dans la mise en conformité RGPD. Il sera nécessaire de :
Les risques pesant sur les données sont nombreux et variés, et peuvent avoir des conséquences importantes pour les individus et les organisations. En outre, cette étape permet de prioriser le plan d’action RGPD.
Quelles sont les menaces qui pèsent sur les données personnelles ?
Dans le cadre de la mise en conformité RGPD, et donc de la sécurisation des données personnelles, l’identification des menaces potentielles est nécessaire.
La première des menaces est connue de tous, nous en entendons de plus en plus parler. La menace cyber peut être de diverses origines :
Piratage : accès non autorisé aux systèmes pour voler des données.
Malware : logiciels malveillants (virus, ransomwares, etc.) qui endommagent les systèmes ou chiffrent les données.
Phishing : tentatives d’obtenir des informations sensibles en usurpant l’identité d’une personne ou d’une organisation.
Ingénierie sociale : manipulation psychologique ou relationnelle, via les outils numériques, pour obtenir des informations confidentielles.
La seconde menace la plus connue a pour origines les utilisateurs des services et systèmes informatiques. Nous parlons communément d’erreurs humaines, comme par exemple :
La perte de données : destruction accidentelle de données.
La divulgation involontaire : partage de données confidentielles avec des personnes non autorisées.
Enfin, une dernière menace existe, il s’agit tout simplement des pannes matérielles. De la panne des équipements de stockage (disques durs, serveurs), aux catastrophes naturelles (incendies, inondations, etc.)
L’ensemble de ces menaces font peser des risques pouvant revêtir différents aspects.
Quels sont les risques qui pèsent sur les données personnelles ?
L’analyse des risques est une étape nécessaire pour se mettre en conformité RGPD. Conformément à l’article 32, les responsables ont obligation de protéger les données contre ces trois types de risques :
Divulgation non autorisée : publication de données sensibles sans le consentement de la personne concernée.
Utilisation abusive : utilisation des données à des fins non conformes à celles pour lesquelles elles ont été collectées.
Profilage illégal : création de profils détaillés sur les individus sans leur consentement.
Modification non autorisée : altération des données sans autorisation.
Falsification : introduction de données fausses ou erronées.
Indisponibilité : impossibilité d’accéder aux données lorsque cela est nécessaire.
Dégradation de la performance : ralentissement des systèmes informatiques affectant l’accès aux données.
Ainsi, les risques pesant sur les données sont multiples et complexes. Une approche globale de la sécurité des données est nécessaire, dans le but de protéger les informations sensibles, mais aussi maintenir la confiance des utilisateurs, des clients et des partenaires.
Se mettre en conformité RGPD au regard de l'analyse des risques.
III - Mise en œuvre des mesures de sécurité
Pour minimiser les risques, il est essentiel de mettre en place des mesures de sécurité adaptées. Il s’agit de mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données.
Par exemple :
Le chiffrement des données : pour protéger les données en transit et au repos.
Les contrôles d’accès : pour limiter l’accès aux données aux personnes autorisées.
Les sauvegardes régulières : pour pouvoir restaurer les données en cas de perte.
La formation des employés : pour sensibiliser les collaborateurs aux risques et aux bonnes pratiques.
La mise à jour des logiciels : pour corriger les vulnérabilités.
Les plans de continuité ou reprise d’activité : pour assurer la continuité des services en cas d’incident.
Ici aussi, il est important de noter que cette liste n’est pas exhaustive. Les mesures à mettre en place dépendent de l’analyse des risques. C’est sur la base de cette analyse que l’on réussira à se mettre en conformité RGPD.
IV - Information des personnes concernées
La transparence, dans le cadre de la mise en conformité RGPD, signifie que les personnes concernées doivent être informées. Cette information doit être claire, concise et compréhensible. Il s’agit de leur donner les moyens de comprendre les traitements auxquels elles sont soumises et d’exercer leurs droits.
Mais la transparence ne doit pas être orientée uniquement vers les personnes concernées par les traitements. Il ne faut pas oublier que les autorités (CNIL) ou les partenaires sont en droit d’attendre de la transparence.
Se mettre en conformité RGPD, c'est être transparent.
La transparence apporte de multiples bénéfices qui participent à la mise en conformité RGPD. Ces bénéfices sont les suivants :
Confiance : la transparence est essentielle pour instaurer un climat de confiance entre les organisations et les individus. En sachant comment leurs données sont utilisées, les personnes sont plus enclines à accepter les traitements. De plus, en sachant valoriser la démarche de conformité, une organisation renforce ses relations avec les autres organisations.
Consentement éclairé : pour qu’un consentement soit valide, il doit être éclairé. La transparence permet aux individus de donner leur consentement en connaissance de cause.
Exercice des droits : la transparence facilite l’exercice des droits des personnes concernées (accès, rectification, effacement, etc.). Si les individus savent comment leurs données sont traitées, ils peuvent mieux comprendre et faire valoir leurs droits. De plus, en étant transparente, une organisation répond au premier des droits des citoyens : le droit à l’information.
Conformité : le respect du principe de transparence est une condition essentielle pour se conformer au RGPD et éviter les sanctions. Les organisations ont en effet obligations de coopérer avec la CNIL dans le cadre de ses missions.
Les éléments clés des mentions d'information.
Le RGPD impose aux responsables de traitement de fournir aux personnes concernées un certain nombre d’informations, notamment :
L’identité et les coordonnées du responsable du traitement : qui est responsable du traitement des données ?
Les finalités du traitement : pourquoi les données sont-elles collectées et utilisées ?
L’ensemble des données concernées : quelles données sont collectées ?
Les destinataires des données : à qui les données sont-elles communiquées ?
La durée de conservation des données : pendant combien de temps les données sont-elles conservées ?
Les droits des personnes concernées : quels sont les droits des personnes concernées (accès, rectification, effacement, etc.) et comment les exercer ?
Ces informations doivent figurer dans une mention spécifique à un traitement, comme lors de l’inscription à une newsletter.
Toutefois, une bonne pratique est de réunir l’ensemble des mentions d’information dans un document unique, publiquement accessible : la politique d’information. Cela étant, il est important que ce document soit le plus efficace possible. Les informations doivent être facile à trouver, et dans un langage accessible au plus grand nombre.
Adopter le mode "facile à lire et à comprendre" (FALC).
Après avoir vu le fond de la transparence, abordons la forme. Principe essentiel à la mise en conformité RGPD d’une organisation, le “Google Style” est à proscrire.
Le concept “FALC” permet d’assurer l’inclusivité, voilà ce qu’il englobe :
Les informations doivent être rédigées dans un langage clair et compréhensible, évitant le jargon technique.
Les informations doivent être facilement accessibles, par exemple en étant publiées sur un site internet ou en étant fournies dans un document clair.
Le niveau de détail des informations, et le format, peuvent varier en fonction du public visé. Par exemple, à destination d’enfants une vidéo pourrait être judicieux.
Attention, la transparence est un pilier fondamental du RGPD. En respectant ce principe, les organisations peuvent renforcer la confiance des individus, améliorer leur image et se conformer à la réglementation.
Se mettre en conformité RGPD, c'est savoir coopérer.
Enfin, nous avons intégré cette obligation dans la rubrique “transparence”, compte tenu du fait que les objectifs et les moyens sont les mêmes.
Bien qu’il s’agisse en réalité de capacité à collaborer :
Collaboration avec la CNIL : coopérer avec l’autorité en cas de contrôle ou de violation de données.
Collaboration avec les donneurs d’ordres : répondre à une demande d’audit d’un responsable de traitement.
Collaboration avec les partenaires : traiter efficacement les demandes des citoyens en cas de coresponsabilité de traitement.
V - Se mettre en conformité RGPD, c'est respecter les droits des citoyens.
Lorsque le traitement repose sur la base légale du consentement, il est primordial d’obtenir le consentement libre, spécifique, éclairé et univoque des personnes concernées.
Quels sont les droits des citoyens en matière de vie privée ?
Le règlement européen a renforcé certains droits et en a apporté de nouveaux. Dorénavant, les citoyens peuvent exercer leurs droits, c’est-à-dire effectuer une demande auprès d’un responsable de traitement.
Les citoyens peuvent exercer :
Ce droit permet de savoir quelles données sont détenues à leur sujet et comment elles sont utilisées. Il permet en outre de pouvoir obtenir une copie des données, afin que la personne constate elle-même.
Il s’agit de demander la suppression des données.
Si les informations sont inexactes ou incomplètes, la personne concernée peut demander leur modification. Ce droit peut être particulièrement sensible dans certains secteurs (santé), ou dans une relation contractuelle (livraison).
Ce droit permet de refuser un traitement de données, par exemple à des fins de marketing direct.
Il s’agit d’une nouveauté issue du RGPD. C’est en quelque sorte le petit frère du droit d’accès, en cela qu’il permet d’obtenir une copie des données, mais afin le but de les transmettre à un autre responsable de traitement. Les données doivent donc être dans un format lisible par machine.
Il s’agit ici de demander à ce que le traitement des données soit limité dans certaines circonstances.
En clair, ce droit permet de refuser d’être évalué, voire profilé, uniquement par une machine. Ce droit s’applique dans les situations susceptibles d’avoir des effets juridiques ou significatifs sur les personnes. Par exemple, dans le cadre d’une demande de prêt bancaire, ou de fourniture d’assurance.
Comment gérer les demandes des personnes concernées ?
Ceci étant dit, il n’est pas question de répondre favorablement à toute demande reçue. En réalité, il est nécessaire d’analyser les demandes afin d’y apporter une réponse appropriée. Les réponses aux demandes d’exercices de droits peuvent donc être de plusieurs types, par exemple :
L’aspect le plus important de la gestion des droits est l’organisation préalable. Il est donc nécessaire de mettre en place des procédures afin d’y répondre. En général, toute demande doit obtenir réponse dans les 30 jours.
Se mettre en conformité RGPD, c'est être capable de démontrer la démarche.
VI - Documenter pour justifier
Il existe un terme fort au sein du règlement général sur la protection des données en anglais : “Accountability”.
En français, ce mot peut être traduit par “Responsabilité”, et même “Imputabilité”. Il est question de la capacité à démontrer la mise en conformité RGPD a posteriori. C’est pourquoi il est indispensable de développer une culture de la documentation au sein de l’organisme.
Comme vous l’avez compris, la profondeur de la tâche nécessite un processus d’amélioration continue. Rome ne s’est pas construite en un jour. Ainsi, dans le but d’identifier les points d’amélioration et mettre en œuvre les actions correctives nécessaires, la création documentaire est indispensable. Non seulement indispensable pour les opérationnels et le DPO, les employés pouvant être remplacés, il est nécessaire de laisser les informations à leurs successeurs. Mais également indispensable à l’obligation de coopération avec l’autorité.
Le premier document a créer est le registre des activités de traitement. Elément indispensable qui vous permettra de suivre la mise en conformité RGPD.
C’est un peu l’état des lieux et la photographie de vos activités de traitements. Il est nécesssaire dès le recenssement et la cartographie des données. C’est la colonne vertébrale de votre action de conformité RGPD.
De plus, le registre devra faire l’objet d’une évaluation régulière, au même titre que les AIPD éventuelles.
Mais ce n’est pas tout. La documentation doit comprendre, l’ensemble des mesures de sécurité mises en œuvre, les contrats en cours comme passés, les demandes d’information adressées aux sous-traitants, etc.
VII - Désignation d'un DPO
Il est obligatoire de désigner un DPO si l’activité principale :
Enfin et surtout, la désignation d’un DPO est obligatoire pour toute organisation publique, ou privée bénéficiant de fonds publics, comme des associations reconnues d’utilité publique, ou des groupements d’intérêt public (GIP).
Attention ! Cette désignation n’est pas à prendre à la légère.
En effet, la personne désignée auprès de la CNIL doit être compétente et détachée de potentiels conflits d’intérêt, sous peine de sanction. Pour en savoir encore plus sur comment se mettre en conformité, nous vous invitons à lire notre article sur le Délégué à la protection des données – DPO.
Voilà, vous savez (presque) tout sur comment se mettre en conformité RGPD !
Mais ne vous y trompez pas, il s’agit d’un processus continu qui nécessite une implication de toute l’organisation. Il est recommandé de faire appel à des experts en protection des données pour vous accompagner dans cette démarche. Opt-on est le 1er cabinet de Digital Ethic Officer en France.
Recent Post
Thèmes
Categories