Réglementation Générale de la Protection de Données, êtes-vous prêt ?

Vous avez sur votre site un formulaire de contact ou d’inscription client par exemple, vous récoltez donc des données personnelles. Sans action spécifique de votre part, le 25 Mai vous serez dans l’illégalité.

La balance de la justice concernant la RGPD
Êtes-vous prêt pour la réglementation générale de la protection de données ?

En effet, la réglementation générale de la protection des données personnelles (RGPD) entre en application le 25 Mai 2018. C’est un peu technique, mais ICE DEVELOPMENT vous explique tout : vos responsabilités, les risques et surtout ce que vous devez absolument faire d’ici le 25.

Pourquoi la Commission européenne met-elle en place la RGPD ?

Renforcer les droits des internautes

Dès le 25 Mai, les internautes auront la possibilité d’exercer les 4 droits fondamentaux suivants :

  • Le droit de regard : Ils doivent être informés de la nature des données récoltées et de leur exploitation.
  • Le droit d’opposition : Ils peuvent demander à tout moment l’effacement total de leurs données.
  • Le droit de récupérer ces données pour les transmettre à un tiers.
  • Le droit d’accès : Ils peuvent avoir accès à leurs données quand ils le souhaitent.

Co-responsabiliser :

Vous êtes clients de Ice Development et nous stockons les données de vos clients dans nos serveurs, vous êtes donc un responsable de traitement de données et nous sommes, non seulement votre partenaire, mais aussi votre sous-traitant.

La RGPD co-responsabilise le responsable de traitement de données et son sous-traitant. Ce dernier aura autant de responsabilités et d’obligations que l’entreprise responsable du traitement de données. La transparence et la confiance seront les piliers de cette relation.

À qui s’applique la RGPD ?

La RGPD cible toutes les organisations, privées ou publiques, qui réalisent du traitement de donnée à partir du moment où :

  • L’organisation est établie en Europe
  • L’organisation traite les données de citoyens européens

Quelles sont vos obligations en termes d’informations ?

Les mentions obligatoires

Le formulaire proposé par la CNIL regroupant l'ensemble des informations à obligatoirement mettre à disposition du client pour qu'il soit en pleine connaissance de ses droits et des acteurs dans la récupération et le traitement de ses données
 

Pour générer vos mentions obligatoires, vous pouvez utiliser le générateur de la CNIL, en cliquant ici.

Les cookies

Lors de l’ouverture d’une page web, il n’est plus autorisé d’obliger l’internaute à accepter les cookies. Des boutons « accepter » ou « refuser » doivent être visibles et le message lié doit être compréhensible par un enfant. Un lien vers les mentions légales qui expliquent pourquoi, et comment sont utilisés les cookies est recommandé.


L'affichage d'une bannière concernant les cookies qui n'est pas aux normes
L’affichage d’une bannière concernant les cookies qui n’est pas aux normes
L'affichage d'une banière concernant les cookies qui est aux normes
L’affichage d’une bannière concernant les cookies qui est aux normes

Les formulaires

Pour chaque donnée personnelle récoltée vous devez définir un objectif clair et précis et définir une limitation dans le temps pour la conservation des données. Ces objectifs et limite de conservation doivent figurer sur le site et les termes utilisés doivent être compréhensibles par un enfant.


Un formulaire de contact pas aux normes de la RGPD sans les informations légales et aucun accés aux pages de politiques de confidentialité
Un formulaire de contact non conforme à la RGPD sans les justificatifs des mentions obligatoires et sans liens vers la politique de confidentialité

Un formulaire de contact aux normes de la RGPD avec les informations légales et un accés aux pages de politiques de confidentialité
Le même formulaire de contact aux normes de la RGPD avec les informations légales et un accès aux pages de politiques de confidentialité

Le délégué responsable de la protection de données

La nomination d’un délégué responsable de la protection de données est obligatoire si votre structure :

  • Est une entité publique.
  • Réalise un suivi régulier et systématique des personnes à grande échelle.
  • Réalise des traitements sensibles ou liées à des condamnations pénales et infractions.

Il est tout de même conseillé de nommer un délégué responsable de la protection de données que vos clients, ou employés, pourront contacter à tout moment pour faire valoir leurs droits.

Ce délégué peut être :

  • Un salarié.
  • Un prestataire contractuel.
  • Une entreprise spécialisée.

Vos responsabilités et obligations

Prioriser les actions à mener

Une entreprise qui traite des données se doit d’être organisée pour être en conformité avec la loi. Pour cela, la structure doit lister et prioriser toutes les actions de traitement de données qu’elle entreprend. Cette liste est ensuite mise à disposition dans les mentions légales du site.

Lister les événements qui peuvent intervenir

Comme le protocole d’alerte incendie, il faut toujours anticiper le pire. Une structure qui récupère ou traite des données doit être en alerte sur une faille potentielle. Lister les événements qui peuvent survenir est un moyen de mettre en place des protocoles d’actions et ainsi régler les problèmes de façon organisée et rapide.

Les deux documents obligatoires en cas de contrôle

1. Contrat liant votre entreprise et un sous-traitant

Le contrat doit comprendre des clauses obligatoires :

  • L’objet du traitement
  • La nature et la finalité du traitement
  • Le type de données personnelles et les catégories de personnes concernées
  • Les obligations et les droits du responsable de traitement de données
  • Au terme de la prestation, il est nécessaire de supprimer toutes les données ou les renvoyer à votre client
  • Au terme de la prestation, il est nécessaire de détruire toute les copies existantes sauf obligation légale de les conserver (Si le pays concerné en a fait une loi)

2. Registre de traçabilité

Le registre de traçabilité est obligatoire. Il doit regrouper, l’ensemble des informations liées à la récupération et au traitement de données. Vous devez lister toutes les activités de votre entreprise qui nécessitent un traitement de données (formations, gestion des payes, prospection…).
Pour chaque activité de traitement de données, vous devez définir :

  • L’objectif poursuivi
  • Lister les données recueillies par catégorie
  • Qui a accès aux données
  • La durée de conservation des données

Téléchargez le modèle de registre proposé par la CNIL.

Le traitement de données à risques

Le traitement de données sensibles est considéré comme un traitement de données risqué, puisque ce traitement peut avoir un impact direct sur la vie privée des personnes concernées.

Les données sensibles

Une donnée est dite sensible lorsqu’elle :

  • est liée à l’orientation sexuelle
  • porte sur l’appartenance politique, religieuse ou syndicale
  • concerne les données biométriques, génétiques,
  • révèle les origines raciales ou ethniques

Le traitement de données à risques

Le traitement de données a des effets qui peuvent être considérés risqués lorsque le traitement :

  • Conduit à la notation d’une personne.
  • Concerne une base de données à grande échelle.
  • Vise l’exclusion d’un droit, d’un bénéfice, ou d’un service.
  • Permet une innovation ou l’application de nouvelles technologies (exemple : objets connectés).
  • Cible des personnes vulnérables (exemple : mineurs).
  • Met en place une prise de décision automatisée.
  • S’applique à un service de surveillance des personnes.
  • S’inscrit dans le domaine de la santé.

Ces types de traitement nécessitent la rédaction d’un document d’analyse de l’impact de votre traitement de données.

L’analyse de l’impact de votre traitement de données

Il est de votre responsabilité de le rédiger, il est de notre devoir de vous accompagner dans la démarche et de tout mettre en œuvre pour vous fournir les informations nécessaires.

Ce document doit comprendre :

  • La description de toutes les opérations de traitement envisagées et leurs finalités.
  • Une évaluation et un classement des risques pour les droits et libertés des personnes concernées.
  • Les mesures envisagées pour faire face aux risques, grâce à des mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel.

La sous-traitance

Qui sont les sous-traitants ?

  • Les prestataires de services informatiques (hébergement, maintenance,…), les intégrateurs de logiciels, les sociétés de sécurité informatique, les entreprises de services du numérique qui ont accès aux données.
  • Les agences de marketing ou de communication qui traitent des données personnelles pour le compte de clients.
  • Tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme.
  • Un organisme public ou une association peut également être amené à recevoir une telle qualification.

Les obligations du sous-traitant

Un devoir de transparence et de traçabilité :

  • Le traitement doit se faire uniquement sur instructions documentées du responsable de traitement de données
  • Mettre à disposition du responsable de traitement de données toutes les informations nécessaires pour démontrer le respect des obligations
  • Créer un registre de traçabilité des échanges et actions menées, en cas de contrôle des autorités.

Garantir un respect des exigences légales :

  • S’assurer que les personnes autorisées à traiter les données sont soumises à des normes de confidentialité
  • Garantir que seule les données traitées sont nécessaires au regard de la quantité et l’étendue de leur traitement et La durée de conservation et du nombre de personne qui y aura accès.

Garantir la sécurité des données stockées :

  • La notification au responsable du traitement de donnée de quelconque violation est obligatoire
  • Prendre toutes les mesures nécessaires pour garantir un niveau de sécurité adapté aux risques

Un devoir d’assistance, d’alerte et de conseil :

  • Assistance : Lorsqu’une personne souhaite appliquer ses droits concernant une donnée, le sous-traitant doit tout mettre en œuvre pour aider le responsable du traitement de données à donner suite à cette demande
  • Alerte : Si la demande du responsable de traitement de données constitue une violation, le sous-traitant doit l’en informer immédiatement
  • Conseil : Le devoir d’aider le responsable du traitement de données à garantir le respect des obligations en matière de sécurité du traitement.

Consultez le guide du sous-traitant sur le site la CNIL.

Les sanctions

2 types de sanctions applicables en fonction de votre CA, sachant que la plus grosse somme des deux sera appliquée :

  • En cas de manquement aux principes de base, l’amende peut atteindre 10 Millions d’Euros ou 2% de votre chiffre d’affaires mondial.
  • Dans le cas de non-respect des droits des utilisateurs, l’amende peut atteindre 20 Millions d’Euros ou 4% de votre chiffre d’affaires mondial.

Êtes-vous prêt pour la RGPD ?

  1. Avez-vous désigné une personne responsable de la gouvernance des données de votre structure ?
  2. Avez-vous mis en place un registre de traçabilité de toutes les actions liées au traitement de données ?
  3. Si oui, avez-vous intégré au registre de traçabilité la liste des actions réalisées et priorisé ces dernières concernant le traitement des données de vos clients ?
  4. Avez-vous rédigé l’analyse d’impact de votre traitement de données en cas de traitement de données « risquées » ?
  5. Si oui, avez-vous identifié et pris en compte l’intégralité des événements qui peuvent survenir au cours d’un traitement ? (failles de sécurité, modification des données collectées, changements de prestataires…)
  6. Si oui, avez-vous identifié les risques élevés liés à votre traitement de données ?

Si vous n’avez pas coché « oui » à toutes les questions

contactez-nous immédiatement pour préparer votre mise en conformité en vue du 25 Mai.