Les articles de l'auteur L'Expert rgpd

Guide d’actions : Vérifier la conformité RGPD du sous-traitant hébergeur de votre site Internet et de vos applications web

1. Identifier le statut du sous-traitant

Avant toute chose, il faut savoir si votre hébergeur (comme OVH, AWS, ou Azure) est considéré comme un sous-traitant dans le cadre du RGPD. Un sous-traitant est une entreprise qui traite des données personnelles en votre nom et selon vos instructions. Il doit donc suivre vos indications sur la manière dont ces données sont gérées et protégées. Par exemple, si vous confiez à l’hébergeur la gestion des informations des utilisateurs de votre site, il est responsable de la sécurité de ces données tout en agissant sous vos ordres.

2. Examiner le contrat de sous-traitance

Assurez-vous qu’un contrat de sous-traitance est en place. Ce contrat doit respecter l’article 28 du RGPD, qui impose des règles strictes. Vous devez vérifier les points suivants :

  • Les objectifs et la durée de la gestion des données. Cela doit être clair dans le contrat. Par exemple, si l’hébergeur doit conserver les données pendant 5 ans, cela doit être précisé.
  • Les types de données que l’hébergeur va traiter (par exemple, des données personnelles des utilisateurs de votre site). Il peut s’agir d’adresses e-mail, de numéros de téléphone ou d’historique d’achat.
  • Les obligations de l’hébergeur, notamment en matière de sécurité et de confidentialité. Par exemple, l’hébergeur doit garantir qu’il met en place des mesures de sécurité pour prévenir l’accès non autorisé aux données.
  • Les mesures de sécurité mises en place pour protéger les données. Cela peut inclure des technologies comme le chiffrement pour rendre les données illisibles sans la clé appropriée.
  • Les procédures à suivre en cas de violation de données personnelles, comme une fuite d’informations. Le contrat doit prévoir des délais pour signaler cette violation.
  • Les conditions dans lesquelles l’hébergeur peut sous-traiter à son tour (c’est-à-dire faire appel à d’autres prestataires). Il faut s’assurer que l’hébergeur ne fasse pas appel à des tiers sans vous en avertir.

3. Vérifier la localisation des données

Il est important de savoir où vos données sont stockées. Cela peut avoir des implications légales, surtout si elles sont stockées en dehors de l’Union Européenne. Si les données sont stockées en dehors de l’UE, des protections supplémentaires doivent être mises en place pour assurer leur sécurité, comme des Clauses Contractuelles Types (CCT). Par exemple, un transfert de données vers les États-Unis doit respecter des mécanismes de protection comme les CCT.

4. Contrôler les mesures de sécurité

Demandez à l’hébergeur de vous fournir un détail des mesures de sécurité techniques et organisationnelles qu’il met en place pour protéger vos données. Ces mesures peuvent inclure :

  • Le chiffrement des données (c’est-à-dire leur codage pour qu’elles ne puissent être lues que par les personnes autorisées).
  • L’utilisation de pare-feu et de systèmes de détection des intrusions pour éviter les attaques. Par exemple, les pare-feu protègent contre les tentatives de piratage.
  • Des mécanismes de contrôle d’accès pour s’assurer que seules les personnes autorisées peuvent accéder aux données. Cela peut inclure des mots de passe forts ou des authentifications à deux facteurs.
  • Des politiques de sauvegarde régulières et des procédures pour restaurer les données en cas de problème. Par exemple, l’hébergeur peut avoir un système pour récupérer les données en cas de panne technique.
  • Des tests de sécurité réguliers pour détecter d’éventuelles vulnérabilités.

5. Examiner les engagements de confidentialité

L’hébergeur doit s’engager à respecter la confidentialité des données. Vérifiez que :

  • Le personnel de l’hébergeur est bien formé à la protection des données personnelles.
  • Une clause de confidentialité est présente dans le contrat, garantissant que les informations sensibles ne seront pas partagées sans votre accord.

6. Vérifier la gestion des violations de données

En cas de violation de données, comme une fuite d’informations, il est essentiel que l’hébergeur ait une procédure pour vous en informer rapidement. Vous devez vérifier :

  • Que l’hébergeur s’engage à vous notifier la violation dans un délai de 24 à 72 heures.
  • Si l’hébergeur a un plan de gestion des incidents pour résoudre le problème et limiter les impacts.

7. Audit et droit de contrôle

Vous devez avoir la possibilité de vérifier que l’hébergeur respecte bien le RGPD. Pour cela :

  • Vous devez pouvoir effectuer des audits réguliers pour contrôler la conformité de l’hébergeur.
  • Assurez-vous que l’hébergeur accepte de vous fournir des rapports de sécurité régulièrement, afin que vous puissiez vérifier qu’il met en place les bonnes pratiques de protection des données.

8. Garantir le respect des droits des personnes concernées

Les droits des personnes concernées (par exemple, les utilisateurs de votre site) doivent être respectés. Cela inclut leur droit à :

  • Accéder à leurs données pour savoir quelles informations sont stockées à leur sujet.
  • Les rectifier si elles sont incorrectes afin que les erreurs puissent être corrigées.
  • Les supprimer dans certains cas, notamment si elles ne sont plus nécessaires.
  • Les transférer ailleurs (portabilité des données) si la personne souhaite utiliser un autre service.
  • S’opposer au traitement de leurs données si elles ne veulent plus que l’hébergeur conserve ces informations.

Vérifiez que l’hébergeur propose un moyen simple et rapide de répondre à ces demandes, comme un formulaire en ligne ou une adresse e-mail dédiée.

9. Prendre en compte la fin de contrat

Lorsque le contrat avec l’hébergeur prend fin, vous devez vous assurer que :

  • Les données personnelles sont restituées ou supprimées de manière sécurisée.
  • L’hébergeur a bien une procédure pour garantir que les données sont supprimées définitivement à la fin de la relation contractuelle, sans risque de récupération par des tiers.

10. Suivi et mise à jour régulière

La protection des données est un sujet dynamique. Il est donc essentiel de :

  • Effectuer une réévaluation périodique des pratiques de l’hébergeur pour vérifier que tout reste conforme au RGPD.
  • Mettre à jour le contrat et les mesures de sécurité en fonction de l’évolution des normes légales ou techniques.

 

Si vous souhaitez de l’aide sur le sujet, contactez-nous.

Désignation d’un DPO dans les cabinets d’expertise comptable

Un cabinet d’expertise comptable n’a pas obligatoirement besoin de désigner un Délégué à la Protection des Données (DPO), sauf dans certains cas précis définis par le RGPD.

Quand un DPO est-il obligatoire ?

Selon l’article 37 du RGPD, la désignation d’un DPO est obligatoire si :

1️⃣ L’organisme est une autorité publique ou un organisme public
Non concerné pour un cabinet comptable privé.

2️⃣ L’organisme réalise un suivi régulier et systématique des personnes à grande échelle
Non concerné, sauf si le cabinet analyse régulièrement et en masse des données personnelles.

3️⃣ L’organisme traite des données sensibles ou des données judiciaires à grande échelle
Possiblement concerné, si le cabinet comptable gère des données de santé, des condamnations pénales ou d’autres données à caractère sensible pour ses clients.

Un cabinet d’expertise comptable doit-il désigner un DPO ?

DPO obligatoire si le cabinet :

  • Gère des données sensibles à grande échelle (exemple : clients dans le secteur médical).
    • Traite de nombreuses données financières couplées à des informations personnelles dans des volumes importants.
    • Fait partie d’un grand réseau ou groupe réalisant des analyses complexes sur les données des clients.

DPO non obligatoire si le cabinet :

  • Se limite à la gestion comptable classique des clients.
    • Ne traite pas de données sensibles à grande échelle.
    • N’effectue pas de profilage ou d’analyse systématique des clients.

Recommandation : DPO interne ou externe ?

➡ Même si le DPO n’est pas obligatoire, un cabinet d’expertise comptable manipule des données personnelles sensibles (nom, revenus, situation fiscale…). Il est donc fortement recommandé de désigner un référent RGPD interne ou de faire appel à un DPO externe pour assurer :

La conformité aux obligations légales (registre des traitements, sécurisation des données).
Une bonne gestion des risques liés aux données clients.
L’application des droits des personnes (accès, rectification, suppression, etc.).

Conclusion
Un DPO n’est pas obligatoire pour un cabinet comptable dans la plupart des cas.
Cependant, pour éviter les risques et garantir la conformité, il est conseillé de nommer un référent RGPD ou de s’appuyer sur un DPO externe.

Besoin d’aide pour évaluer votre conformité ou d’un DPO externe ? RGPD49.fr peut vous accompagner !

Les durées de conservation des données dans le RGPD : obligations et bonnes pratiques

La durée de conservation des données personnelles est un élément essentiel de la conformité au Règlement Général sur la Protection des Données (RGPD). Le principe de limitation de la conservation impose aux organismes de ne pas conserver les données au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées. Voici un tour d’horizon des durées de conservation applicables à différents domaines et les justifications associées.

1. Ressources humaines

Dans le cadre de la gestion du personnel, les entreprises doivent respecter des durées de conservation spécifiques :

  • Dossier du salarié : 5 ans après le départ de l’employé (prescription des actions en justice en matière sociale).
  • Bulletins de paie : 5 ans pour l’employeur, 3 ans pour le salarié.
  • Données relatives au recrutement : 2 ans après le dernier contact avec le candidat non retenu, sauf consentement pour une conservation plus longue.

Ces durées permettent de respecter les obligations légales en matière de droit du travail, de fiscalité et de contentieux potentiel.

2. Relations commerciales et clients

Dans le cadre de la relation client, les entreprises doivent concilier obligations contractuelles et protection des données :

  • Données clients (contrats, factures, etc.) : 10 ans après la clôture de l’exercice comptable (obligation légale en matière fiscale et comptable).
  • Données prospects (informations collectées via formulaires, échanges commerciaux) : 3 ans après le dernier contact.
  • Enregistrements des conversations téléphoniques à des fins de formation ou d’amélioration de service : 6 mois maximum sauf en cas de nécessité particulière.

Ces durées permettent d’assurer le suivi contractuel, la gestion des réclamations et la conformité aux réglementations fiscales.

3. Santé et données médicales

Les données de santé sont particulièrement sensibles et bénéficient d’une protection renforcée :

  • Dossier médical des patients : 20 ans après le dernier passage du patient dans un établissement de santé (obligation légale en France).
  • Données des patients mineurs : jusqu’à leurs 28 ans (10 ans après leur majorité).
  • Imagerie médicale et analyses biologiques : 5 ans en général, sauf exceptions spécifiques.

Ces durées assurent la continuité des soins et la protection des patients.

4. Vidéosurveillance et contrôle d’accès

Les systèmes de vidéosurveillance et de contrôle d’accès doivent respecter des durées strictes :

  • Images de vidéosurveillance : 30 jours maximum sauf nécessité de conservation pour enquête judiciaire.
  • Registres des accès aux locaux : 3 mois.

Ces durées permettent de prévenir les infractions tout en limitant les risques d’atteinte à la vie privée.

5. Données liées au marketing et à la communication

Les entreprises utilisant des données à des fins de prospection doivent respecter des limites temporelles :

  • Consentement pour l’envoi de newsletters : jusqu’au retrait du consentement ou 3 ans après le dernier contact.
  • Cookies et traceurs : 13 mois maximum après leur dépôt sur le terminal de l’utilisateur.

Ces durées garantissent un équilibre entre efficacité marketing et respect des droits des individus.

Bonnes pratiques pour la gestion des durées de conservation

  • Mettre en place une politique de conservation des données claire et documentée.
  • Automatiser l’effacement ou l’archivage des données à l’expiration des délais.
  • Informer les personnes concernées des durées de conservation dans les politiques de confidentialité.
  • Assurer une veille juridique pour adapter les durées aux évolutions réglementaires.

En respectant ces principes, les organismes garantissent une gestion responsable des données et limitent les risques juridiques liés à une conservation excessive.

Conformité RGPD avec un site sous woocommerce

La mise en conformité d’un site e-commerce sous WooCommerce avec le RGPD implique plusieurs actions pour garantir la protection des données personnelles des clients. Voici les principales étapes à suivre :

1. Informer clairement les utilisateurs

  • Rédiger une politique de confidentialité détaillant la collecte, le traitement et la conservation des données personnelles.
  • Ajouter des mentions légales précisant l’identité du responsable du traitement.
  • Afficher un bandeau de consentement aux cookies, conforme aux recommandations de la CNIL (avec possibilité de les paramétrer).

Extension recommandée : Complianz pour gérer la conformité des cookies.

2. Collecter uniquement les données nécessaires

  • Configurer WooCommerce pour limiter la collecte aux informations essentielles (nom, adresse, email, etc.).
  • Ajouter des cases à cocher explicites (non pré-cochées) pour le consentement aux newsletters ou au partage de données avec des tiers.

Extension recommandée : WooCommerce Checkout Field Editor pour gérer les champs du formulaire de commande.

3. Gérer les droits des utilisateurs

  • Mettre en place des outils permettant aux clients de :
  • Accéder à leurs données personnelles.
  • Modifier ou rectifier leurs informations.
  • Supprimer leur compte (droit à l’oubli).
  • Télécharger leurs données (portabilité).

Extension recommandée : GDPR Data Request Form pour automatiser ces demandes.

4. Sécuriser les données et les transactions

  • Installer un certificat SSL pour crypter les connexions (HTTPS).
  • Utiliser des mots de passe forts et l’authentification à deux facteurs pour les administrateurs.
  • Mettre en place des sauvegardes régulières et surveiller les accès aux données sensibles.

Extension recommandée : Wordfence Security pour renforcer la sécurité du site.

5. Gérer la conservation et la suppression des données

  • Définir une politique de conservation des données clients et commandes.
  • Automatiser la suppression des comptes inactifs ou des commandes obsolètes.

Extension recommandée : WP GDPR Compliance pour gérer la durée de conservation des données.

6. Vérifier la conformité des plugins et services tiers

  • Choisir des plugins compatibles RGPD.
  • Vérifier les pratiques des solutions de paiement (Stripe, PayPal) et des outils de marketing (Google Analytics, Facebook Pixel).

Extension recommandée : Burst Statistics pour une alternative RGPD-friendly à Google Analytics.

7. Documenter les actions et être prêt en cas de contrôle

  • Maintenir un registre des traitements des données personnelles.
  • Être en mesure de signaler une violation de données sous 72h à la CNIL.

Outil recommandé : Utiliser un registre RGPD pour documenter vos pratiques.

Besoin d’aide ?

La mise en conformité peut sembler complexe, mais des solutions existent pour vous accompagner. Contactez un expert RGPD pour auditer et sécuriser votre site WooCommerce.

Avez-vous mis en place ces mesures sur votre site ? Partagez votre expérience en commentaire !

Projet de Conformité RGPD – Gestion du Cycle de Vie des Données : Une Obligation et un Enjeu Stratégique

Pourquoi un projet de gestion du cycle de vie des données personnelles ?

Le Règlement Général sur la Protection des Données (RGPD) impose aux entreprises de maîtriser l’ensemble du cycle de vie des données personnelles qu’elles collectent et traitent. Cette exigence se traduit par plusieurs obligations :

  • Limitation de la conservation : une donnée ne peut être conservée au-delà de la durée strictement nécessaire à l’accomplissement de sa finalité.
  • Droits des personnes concernées : les entreprises doivent être en mesure de répondre aux demandes de droit d’accès, de rectification, d’effacement (« droit à l’oubli ») et de portabilité des données.
  • Transparence et traçabilité : chaque traitement de données doit être documenté dans un registre et justifié par une base légale.
  • Sécurisation des données : mise en place de mesures techniques et organisationnelles pour garantir l’intégrité et la confidentialité des informations.

Sans une cartographie précise des données et une gestion rigoureuse de leur cycle de vie, le respect de ces obligations devient impossible, exposant ainsi l’entreprise à des risques de non-conformité et de sanctions de la CNIL.

Comment mener un projet efficace de gestion du cycle de vie des données ?

La mise en œuvre d’un Projet de Conformité RGPD – Gestion du Cycle de Vie des Données repose sur plusieurs étapes clés :

  1. Audit et cartographie des données
    • Identification des données personnelles traitées.
    • Localisation des bases de données et des flux de transmission.
    • Analyse des durées de conservation en fonction des obligations légales et opérationnelles.
  2. Mise en place d’une gouvernance des données
    • Définition des politiques de gestion et de conservation des données.
    • Structuration des processus pour répondre aux demandes des personnes concernées.
  3. Automatisation et optimisation des processus
    • Intégration d’outils de gestion des données et des droits des personnes.
    • Implémentation de solutions pour le suivi et l’effacement automatisé des données obsolètes.
  4. Sensibilisation et formation des équipes
    • Accompagnement des collaborateurs pour une meilleure compréhension des enjeux du RGPD.
    • Mise en place de bonnes pratiques au sein des équipes opérationnelles et IT.
  5. Pilotage et amélioration continue
    • Mise en place d’indicateurs de suivi de la conformité.
    • Réalisation de contrôles réguliers et mise à jour des politiques en fonction des évolutions réglementaires.

Faites appel aux experts de Pixalia pour garantir votre conformité

La gestion du cycle de vie des données est une démarche complexe nécessitant une expertise juridique, technique et organisationnelle. Pixalia, cabinet spécialisé en protection des données et conformité RGPD, accompagne les entreprises dans ce processus à travers :

  • Un diagnostic personnalisé pour évaluer votre niveau de conformité et identifier les actions prioritaires.
  • Une méthodologie éprouvée pour structurer votre projet et assurer une mise en conformité efficace et durable.
  • Des solutions sur-mesure adaptées aux spécificités de votre secteur et de votre organisation.
  • Un accompagnement continu pour garantir la pérennité de vos actions et anticiper les évolutions réglementaires.

Ne laissez pas la gestion des données personnelles devenir une contrainte : transformez-la en un levier de confiance et de performance. Contactez Pixalia dès aujourd’hui pour sécuriser votre conformité RGPD !