Les articles de l'auteur L'Expert rgpd

Le RGPD Pour qui et pourquoi ?

Depuis le 25 mai 2018, votre structure doit être en conformité avec le RGPD. Théoriquement, vous risquez des sanctions pénales et une amende pouvant atteindre 4% de votre chiffre d’affaires annuel  La CNIL est en mesure d’effectuer des contrôles dans votre établissements et notamment suite à des plaintes. Nous vous expliquons ici l’approche à adopter pour cette mise en conformité.

Notions clés RGPD

Qu’est ce que le RGPD ?

Entré en vigueur le 25 mai 2018, 2 ans après l’adoption du texte, le RGPD encadre juridiquement la collecte et le traitement des données personnelles sur le territoire de l’Union Européenne. Ce règlement fait suite à la Loi française Informatique et Libertés de 1978. L’objectif est d’uniformiser et de renforcer la réglementation autour de l’utilisation des données personnelles des professionnels dans l’ensemble des pays européens. Selon la CNIL, une « donnée personnelle » correspond à « toute information se rapportant à une personne physique identifiée ou identifiable ».

Dans un monde toujours plus connecté et digitalisé, il est nécessaire d’instaurer un cadre juridique précis et strict afin que chaque donnée soit utilisée à bon escient et protégée. L’objectif est de rassurer l’internaute dans son utilisation du web afin qu’il n’ait de craintes quant au traitement de ses données personnelles. Le RGPD permet donc aux entreprises de développer leurs activités numériques au sein de l’Union Européenne tout en s’assurant de la confiance des utilisateurs.

Aussi, le “gendarme des données personnelles”, la CNIL, surveille de près le respect de ce nouveau règlement. En cas de non-respect des règles du RGPD, les entreprises risquent une amende de 2 à 4% du chiffre d’affaires annuel. En 2018, depuis l’entrée en vigueur du règlement, la CNIL a enregistré plus de 1 200 cas de violations de données personnelles. Cette situation reflète que les entreprises sont trop peu sensibilisées à la problématique de la cybersécurité et n’appliquent pas strictement le RGDP.

Comment se mettre en conformité

Une fois la loi RGPD et sa philosophie comprises, comment se mettre en conformité ? Existe t’il un mode d’emploi, des exemples, des guides ? L’application et l’interprétation de la loi est en constante évolution, s’adaptant sans cesse aux cas particuliers et au contexte.

Appliquer cette loi pour toutes les formes d’entreprise nécessite d’être pragmatique avec le niveau des efforts pour respecter la loi, les investissements pour sécuriser les processus et la formation du personnel, intervenant dans les processus de l’organisme.

Nous avons souhaité vous donner ici les bonnes pratiques et les bonnes questions à se poser pour vous mettre en conformité. 

Faire la démarche seul n’est pas impossible mais l’expérience d’un expert RGPD, pragmatique vous aidera à aller à l’essentiel et à trouver les solutions adaptées pour sécuriser vos processus de collecte, de stockage, de traitement et de conservation des données personnelles

Cartographier et anticiper les risques

Dans le cadre de leur plan d’action pour se mettre en conformité au règlement européen sur la protection des données (RGPD), les organismes doivent tenir une documentation interne complète sur leurs traitements de données personnelles et s’assurer qu’ils respectent bien les nouvelles obligations légales.

Pour être en capacité de mesurer l’impact du règlement sur votre activité et de répondre à cette exigence, vous devez au préalable recenser précisément :

  • Les différents traitements de données personnelles, 
  • Les catégories de données personnelles traitées ;
  • Les objectifs poursuivis par les opérations de traitements de données ;
  • Les acteurs (internes ou externes) qui traitent ces données. Vous devrez notamment clairement identifier les prestataires sous-traitants afin d’aualiser les clauses de confidentialité ;
  • Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

Se faire accompagner pour gagner du temps

Cette démarche nécessite de définir les processus de l’entreprise, de formaliser l’audit de conformité pour chacun d’eux, notamment au niveau des moyens de sécurisation des informations personnelles manipulées.

Le modèle du Registre des Activités de traitement, dont le modèle est fourni par la CNIL, est d’une structure assez simple mais nécessite des connaissances informatiques et une approche de votre métier. En effet, les données personnelles sont captées, stockées et archivées le plus souvent sur vos outils informatiques. C’est notamment le moment d’auditer vos outils pour connaître leur niveau de sécurité.

La conformité concerne aussi les sous-traitants, co-responsables au regard du RGPD. Les contrats fournisseurs devront comprendre une clause précisant leurs nouvelles obligations et responsabilités. Cela concerne également les prestataires basés hors de l’Union Européenne (Google, Dropbox, …) pour peu qu’ils gèrent des données de citoyens européens.

Se faire accompagner par un expert RGPD est un moyen de gagner du temps et de réaliser cette démarche de manière efficace et complète.

Attention aux arnaques, car les soit disant experts peu scrupuleux vous proposent des documents types sans prendre en compte vos spécificités et l’état de vos outils, sans même se déplacer chez vous.

Vérifiez les références de votre auditeur et ses références. Un appel aux clients déjà traités est une bonne démarche pour vérifier la qualité du travail.

Pour plus d’informations : https://rgpd49.fr
Stéphane PARIS
Expert RGPD

RGPD – Protégez correctement les données personnelles que vous manipulez

RGPD – Protégez correctement les données personnelles que vous manipulez

La démarche de mise en conformité RGPD vous incite à faire le point sur les moyens de protection des données personnelles que vous manipulez.
Pour effectuer cela, vous devez au préalable identifier les applications et les lieux de captage et de stockage des données.

  • Vos applications de gestion métier qu’elles soient en mode Web (application en ligne accessible depuis votre navigateur) ou installées sur votre poste ou votre serveur
  • Votre application de messagerie comme Outlook, Thunderbird, Apple Mail ou encore en mode Web comme Gmail, Office 365, Webmail OVH, …
  • La liste de vos postes de travail ou vos ordinateurs portables, ou encore votre ou vos serveurs
  • Les systèmes de stockage de données comme clef usb, NAS, …

Evidemment, faites vous aider de votre informaticiens ou bien d’un expert en informatique

Ensuite, vous devez définir pour chacun des dispositifs :

  • Les accès aux données depuis ce dispositif (Accès sécurisé par identifiant et mot de passe personnel)
  • Le niveau de mise à jour des logiciels sur ces dispositifs
  • La sauvegarde des données
  • Les solutions de scan antivirus ou anti spams installés
  • Le chiffrement des données sur les disques afin d’éviter la récupération en cas de perte ou de vol du support

Ici aussi, faites vous aider d’un expert en informatique pour faire le tour des différents sujets.

Vous devez pouvoir cartographier tous les éléments utilisés dans le cycle de vie des données personnelles que vous manipulez

C’est une des démarches à réaliser pour la mise en conformité RGPD.

En cas de besoin ou de conseils, n’hésitez à nous contacter.

RGPD Protection des données

RGPD : Mettez en conformité vos formulaires de site web et les cookies

RGPD : Mettez en conformité vos formulaires de site web et les cookies

Le Règlement Général sur la Protection des Données de l’Union européenne (RGPD) a pris effet en mai 2018. Cette loi apporte des changements fondamentaux aux pratiques de collecte de données et de sécurité informatique. Le RGPD impose également de fortes pénalités en cas de non-conformité (Les pénalités en cas de non-respect, pouvant coûter jusqu’à 4 % du chiffre d’affaires).

Depuis le 25 mai 2021, 3 ans après l’application de la loi RGPD, la CNIL a initié des vérifications en ligne pour constater d’éventuels manquements en matière de cookies.

Le RGPD est une étape majeure dans la protection des données. Il vise à renforcer l’importance de cet enjeu auprès de ceux qui traitent les données et à responsabiliser les professionnels. Il consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs données.

Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.). Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL.

Pour la plupart des entreprises possédant un site Internet et un ou plusieurs formulaires en ligne doivent respecter quelques règles à mettre en oeuvre rapidement.

La gestion des cookies doit répondre à des règles précises 

Au niveau de la gestion des cookies sur votre site et pour être conforme au RGPD, vous devez : 
  • Informez vos visiteurs en langage clair de la finalité de vos cookies et traceurs avant de paramétrer des cookies autres que strictement nécessaires (ePR)
  • Offrir au visiteur des options pour modifier ou retirer son consentement (RGPD/ePR)
  • Avoir un mécanisme en place pour enregistrer et prouver les consentements (RGPD)
  • Cartographier et documenter les flux de données réalisés par des tiers (RGPD)
  • Configurez votre méthode de consentement pour utiliser le consentement explicite lors du traitement de données personnelles sensibles sur votre site Web (RGPD)
  • Informer de la survenance de décisions automatiques, y compris le profilage (RGPD)

Vous devez également procéder comme suit, par exemple en l’intégrant dans la politique de confidentialité de votre site Web :

  • Fournissez l’identité et les coordonnées du responsable du traitement de votre entreprise (RGPD)
  • Divulguer que le visiteur dispose d’un droit d’accès, de rectification, de suppression et de limitation du traitement des données personnelles (RGPD)
  • Divulguer que le visiteur a le droit de recevoir des données personnelles afin qu’elles puissent être utilisées par un autre sous-traitant (RGPD)
  • Divulguer que le visiteur a le droit de déposer une plainte auprès d’une autorité de contrôle (RGPD)
  • Si vous avez des logs de visite avec des adresses IP, vous devez vous assurer de la protection de ses fichiers, de l’archivage sécurisé et du traitements des logs pour les stats en anonymisant les adresses IP, le cas échéant.

Pour approfondir : https://www.cnil.fr/fr/nouvelles-regles-cookies-et-autres-traceurs-bilan-accompagnement-cnil-actions-a-venir 

Mieux informer sur la collecte des données

Avec le RGPD, vous devrez clairement informer le visiteur de la collecte de données que vous effectuez.Le “bandeau cookies” comme on en voit pratiquement sur tous les sites est l’une des première fonctionnalité à mettre en oeuvre.  Il faut aussi s’intéresser aux pages où sont situées des formulaires : contact, demande de devis…

Vous devez, pour chacun de ces formulaires préciser :

  • Les données collectées
  • La finalité de la collecte
  • La durée de conservation des données (qui ne peut pas excéder 13 mois)

Vous devez par ailleurs informer l’internaute qu’il a un droit d’accès à ses données et la manière dont il peut y accéder : par e-mail, téléphone, courrier… Vous pouvez préciser ses informations soit sur chaque page individuellement ou par le biais des d’un page sur la politique de confidentialité.

Obtenir un consentement explicite

Le consentement explicite de l’internaute est l’un des points essentiels du règlement. Le message du type “En poursuivant votre navigation, vous acceptez…” n’est plus valable.

L’internaute doit avoir clairement le choix de refuser ou d’accepter la collecte de données avec une case ou un bouton approprié. Il faut également mettre à disposition une page détaillant la collecte des données comme par exemple dans la page « Politique de confidentialité ». Bien entendu, vous devez faire en sorte de désactiver tous les services concernées tant qu’il n’y a pas eu de clic sur “Accepter” ou que le visiteur à cliquer sur refuser, comme par exemple :

  • Google Analytics
  • Un mur Facebook
  • Une Twitter Card
  • Une carte Google Map
  • ….

Le consentement doit être enregistré comme une preuve (en base de données).

Protéger la transmission des données personnelles

Lorsqu’un visiteur transmet des informations personnelles comme son nom, son prénom, son adresse email ou son téléphone, son adresse, … vous devez assurer la sécurité dans la transmission des données. Votre site doit donc être en https:// et non en http://.

Comment modifier votre site pour respecter les contraintes de cette loi ?

Vous avez un site en wordpress ou dans un autre système, faites appel aux professionnels comme PIXALIA pour vous aider à vous mettre en conformité.

Selon la technologies utilisées, nous proposons des prestations forfaitées ou sur mesure pour vous aider.

Contactez-nous !

Stéphane PARIS.

    Pour connaitre et exercer vos droits , notamment de retrait de votre consentement à l'utilisation de données collectés par ce formulaire, veuillez consulter notre politique de confidentialité.

    La CNIL ne vous appellera jamais pour vous mettre en conformité à la loi RGPD

    La CNIL ne vous appellera jamais pour vous mettre en conformité à la loi RGPD

    De nombreuses entreprises m’appellent car ils ont reçu un appel de la CNIL (le numéro présenté correspond à la CNIL) pour les inciter à acheter une prestation chez un fournisseur soi disant référencé pour se mettre en conformité.

    C’EST UNE ARNAQUE OU UN INCITATION FRAUDULEUSE A LA CONSOMMATION !!

    La CNIL ne vous appellera jamais  pour vous inciter à vous mettre en conformité !!

    Des arnaqueurs ou des sociétés se font passer pour la CNIL en présentant le numéro de la CNIL lorsqu’ils vous appellent. Ils se font passer pour un agent de la CNIL afin de vous orienter vers leurs complices pour vous inciter à acheter une prestation qui ne sera pas à la hauteur du travail a effectuer.

    La CNIL a publié une procédure pour expliquer les modalités de contrôle.

    https://www.cnil.fr/fr/comment-se-passe-un-controle-de-la-cnil

    Dans cette procédure, il n’y a aucune procédure concernant l’appel de la CNIL vers la société auditée.

    Si vous souhaitez des conseils sur le sujet, vous pouvez me contacter afin d’avoir tous les éléments vous permettant de prendre les bonnes décisions sans contrainte.

    Stéphane PARIS
    PIXALIA – ExpertCybert certifié
    RGPD49 – Expert RGPD

     

    Whatsapp et RGPD

    RGPD – Faut il encore faire confiance à WhatsApp pour ses données personnelles ?

    RGPD – Faut il encore faire confiance à WhatsApp pour ses données personnelles ?

    La signature en début d’année 2021 des nouvelles conditions d’utilisation de la célèbre application WhatsApp fait parler d’elle dans les tabloïdes numériques. Ces nouvelles conditions vont lui permettre de partager plus de données avec Facebook, qui a racheté la petite application en 2017.
    En octobre 2020, Facebook a présenté sa nouvelle stratégie pour l »application de messagerie instantanée pour en faire une application orientée vers le service client des entreprises.

    Facebook cherche donc a monétiser WhatsApp en permettant aux annonceurs de contacter les utilisateurs de WhatsApp et de leur vendre des solutions ou des produits. C’est d’ailleurs déjà le cas en Inde.

    Selon Facebook, les données qui pourront être partagées sont les contacts et les informations de profil. le contenu des message ne sera pas exploité car ce contenu est chiffré.
    « WhatsApp ne partage pas les données de ses utilisateurs en Europe avec Facebook dans le but que Facebook les utilise pour améliorer ses produits ou ses publicités », a assuré un porte-parole de la messagerie.

    Je me suis donc intéressé aux informations de mon profil dans WhatsApp. Seuls, mon numéro de téléphone, mon nom et prénom et ma photo sont indiqués. Rien de plus que ce que possède déjà Facebook. Seuls mes contacts dans WhatsApp sont une données intéressantes pour le roi du réseau social

    Comme je suis un home affuté sur le RGPD, je me suis intéressé au respect de la loi RGPD et j’ai pu demandé mes informations personnelles avec le formulaire utile.

    Réponse dans 3 jours.

    Si vous avez un doute et comme le préconise Elon Musk, vous pouvez changer d’application et utiliser l’application concurrente Signal.

    A noter que la justice américaine a validé au printemps dernier une amende de 5 milliards de dollars infligée à Facebook pour ne pas avoir su protéger les données personnelles. Heureusement qu’elles ne sont pas stockées au Parlement américain !!

     

    Stéphane PARIS
    PIXALIA – ExpertCybert certifié
    RGPD49 – Expert RGPD

     

    Whatsapp et RGPD