Bienvenue chez Rouen-Webmaster
Respecter les 4 principes-clé du RGPD
Démontrer sa conformité au RGPD par les mesures appliquées au sein de l'entreprise
La notion d'accountability
Mettre en place le registre des traitements [Art 30]
- Quels sont les objectifs du traitement de ces données ?
- Quelles sont les catégories de données utilisées ?
- Qui a accès à ces données et quels sont les destinataires ?
- La durée de la conservation est-elle pertinente ?
- Quelle est la base légale justifiant la collecte ?
- Quelles sont les mesures de protection mises en place ?
Un registre pour quels traitements ?
- Traitements non-occasionnels (Gestion de la paie, des clients, des prospects, des fournisseurs…) ;
- Traitements susceptibles de comporter un risque pour les droits et libertés (vidéosurveillance, géolocalisation…) ;
- Traitements de données sensibles (données de santé, judiciaires…)
Designer un DPO
Il est obligatoire uniquement pour les organismes publics ; s’il y a traitement de données dites “particulières” ; ou lorsque les activités de l’entreprise exigent un suivi régulier et systématique de données personnelles à grande à échelle (voir Art 37 désignation d’un DPO)
-> Toutefois la désignation d’un DPO reste fortement conseillée, dès lors que vous avez une activité commerciale en ligne ou que vous recueillez des données personnelles sur vos clients
Notifier et informer en cas de violation
- Notifier impérativement à la CNIL dans les 72h
- Notifier aux personnes concernées si le risque est élevé dans les meilleurs délais.
Sécuriser les données personnelles
Notion de responsabilité des entreprises
Toutes les entreprises ont une obligation légale d’assurer la protection des données personnelles qu’elles détiennent. Les mesures prises sont à adapter en fonction de la sensibilité des données et des risques pour la personne concernée.
Mise à jour des logiciels antivirus ; changement régulier de mots de passe et utilisation de mots de passe complexes ; pseudonymisation ou chiffrement des données ; protection physique des serveurs, gestion des accès aux archives.
Notions de "Privacy by Design" et de "Privacy by Default"
- Privacy by Design : Il s’agit de garantir le plus haut niveau de protection des données personnelles de tout projet, de sa conception à son application
Exemples : Réduire au minimum le traitement de données personnelles et garantir une transparence du traitement ; donner la possibilité à la personne de contrôler le traitement de ses données ; pseudonymiser les données ; mettre en place des mesures de sécurité ou les améliorer.
- Privacy by Default : le responsable de traitement assure par défaut le plus haut taux de protection des données des personnes concernées
Exemple : limiter la quantité de données personnelles collectées , ne les traiter qu’au regard de finalité spécifique, limiter la durée de conservation et leur accessibilité
Pour prouver votre conformité au RGPD, la CNIL a mis en place des labels de certification. Voir les labels CNIL
Respecter les droits des personnes
Notions d'information et de transparence
Mise en conformité des formulaires
Si vous faites de la prospection par mail, veillez à la bonne conformité de vos formulaires de collecte en indiquant les mentions d’information :
- Obtenir le consentement explicite du client (pas de cases pré-cochées ou trompeuses de type « cocher cette case pour ne pas recevoir… »)
- Bien définir la finalité de la collecte (distinguer par exemple l’inscription à une newsletter de l’envoi d’offres promotionnelles)
- Ajouter un lien redirigeant vers votre politique de confidentialité
- Indiquer une adresse de contact par laquelle le client pourra facilement exercer ses droits.
Obtenir et conserver une trace du consentement
Note : Le consentement n’est pas toujours obligatoire pour traiter des données personnelles. Il existe 6 bases légales qui peuvent justifier le traitement de données personnelles (l’exécution d’un contrat, l’obligation légale, l’exécution d’une mission d’intérêt public, l’intérêt vital, l’intérêt légitime, le consentement)
Dans le cas d’une demande de suppression des données personnelles :
Leur effacement ne signifie pas leur destruction totale mais que ces données ne pourront plus être utilisées dans votre base active. Elles devront être stockées dans un lieu sécurisé et dont l’accès est autorisé uniquement à des fins contentieuses ou de respect du droit du travail.
-> La CNIL distingue 3 types d’archives : la base active (ou archives courantes) ; archives intermédiaires (accès restreint, étape intermédiaire avant la suppression) ; archives définitives (archives historiques, scientifique, présentant un intérêt légitime justifiant l’impossibilité d’une destruction)
Permettre aux personnes d'exercer leurs droits facilement
- Le RGPD accorde de nouveaux droits aux utilisateurs : Le droit d’accès, de rectification, de limitation, d’opposition, le droit à l’oubli, le droit à la portabilité, le droit de refuser une décision automatique.
- Préciser dans tous les formulaires de contact, une adresse mail, un numéro de téléphone ou une adresse postale par lesquels le client peut exercer ses droits
- Prévoir un processus interne afin de répondre aux demandes d’exercice des droits (en définissant les acteurs et les modalités).