Comment se mettre en conformité RGPD ?

Bienvenue chez Rouen-Webmaster

Respecter les 4 principes-clé du RGPD

Le Principe de responsabilité

Le consentement

La Transparence

Le respect des droits des personnes

Démontrer sa conformité au RGPD par les mesures appliquées au sein de l'entreprise

La notion d'accountability

Mettre en place le registre des traitements [Art 30]

Le registre a pour objectif une réflexion sur l’utilisation des données personnelles en se posant les questions suivantes :

  • Quels sont les objectifs du traitement de ces données ? 
  • Quelles sont les catégories de données utilisées ? 
  • Qui a accès à ces données et quels sont les destinataires ? 
  • La durée de la conservation est-elle pertinente ? 
  • Quelle est la base légale justifiant la collecte ? 
  • Quelles sont les mesures de protection mises en place ? 

 

Un registre pour quels traitements ?

  • Traitements non-occasionnels (Gestion de la paie, des clients, des prospects, des fournisseurs…) ;
  • Traitements susceptibles de comporter un risque pour les droits et libertés (vidéosurveillance, géolocalisation…) ;
  • Traitements de données sensibles (données de santé, judiciaires…

Designer un DPO

Le DPO a pour missions d’informer, de conseiller et d’assister les différents acteurs dans la mise en place des mesures de sécurité.

 

Il est obligatoire uniquement pour les organismes publics ; s’il y a traitement de données dites  “particulières” ; ou lorsque les activités de l’entreprise exigent un suivi régulier et systématique de données personnelles à grande à échelle (voir Art 37 désignation d’un DPO)

 

-> Toutefois la désignation d’un DPO reste fortement conseillée, dès lors que vous avez une activité commerciale en ligne ou que vous recueillez des données personnelles sur vos clients  

Notifier et informer en cas de violation

S’il y a une faille, une violation ou une fuite de données : 

  • Notifier impérativement à la CNIL dans les 72h
  • Notifier aux personnes concernées si le risque est élevé dans les meilleurs délais. 

Sécuriser les données personnelles

Notion de responsabilité des entreprises

Toutes les entreprises ont une obligation légale d’assurer la protection des données personnelles qu’elles détiennent. Les mesures prises sont à adapter en fonction de la sensibilité des données et des risques pour la personne concernée. 

Mise à jour des logiciels antivirus ; changement régulier de mots de passe et utilisation de mots de passe complexes ; pseudonymisation ou chiffrement des données ; protection physique des serveurs, gestion des accès aux archives. 

Notions de "Privacy by Design" et de "Privacy by Default"

  • Privacy by Design : Il s’agit de garantir le plus haut niveau de protection des données personnelles de tout projet, de sa conception à son application

Exemples : Réduire au minimum le traitement de données personnelles et garantir une transparence du traitement ; donner la possibilité à la personne de contrôler le traitement de ses données ; pseudonymiser les données ; mettre en place des mesures de sécurité ou les améliorer.  

 

  • Privacy by Default : le responsable de traitement assure par défaut le plus haut taux de protection des données des personnes concernées 

Exemple : limiter la quantité de données personnelles collectées , ne les traiter qu’au regard de finalité spécifique, limiter la durée de conservation et leur accessibilité 

Pour prouver votre conformité au RGPD, la CNIL a mis en place des labels de certification. Voir les labels CNIL 

Respecter les droits des personnes

Notions d'information et de transparence

Mise en conformité des formulaires

Si vous faites de la prospection par mail, veillez à la bonne conformité de vos formulaires de collecte en indiquant les mentions d’information :

  • Obtenir le consentement explicite du client (pas de cases pré-cochées ou trompeuses de type « cocher cette case pour ne pas recevoir… »)
  • Bien définir la finalité de la collecte (distinguer par exemple l’inscription à une newsletter de l’envoi d’offres promotionnelles)
  • Ajouter un lien redirigeant vers votre politique de confidentialité
  • Indiquer une adresse de contact par laquelle le client pourra facilement exercer ses droits.

Obtenir et conserver une trace du consentement

Obtenir et conserver la preuve de consentement sur votre site internet mais également de vos employés pour l’utilisation de certaines de leurs données.

Note : Le consentement n’est pas toujours obligatoire pour traiter des données personnelles. Il existe 6 bases légales qui peuvent justifier le traitement de données personnelles (l’exécution d’un contrat, l’obligation légale, l’exécution d’une mission d’intérêt public, l’intérêt vital, l’intérêt légitime, le consentement)

 

Dans le cas d’une demande de suppression des données personnelles :

Leur effacement ne signifie pas leur destruction totale mais que ces données ne pourront plus être utilisées dans votre base active. Elles devront être stockées dans un lieu sécurisé et dont l’accès est autorisé uniquement à des fins contentieuses ou de respect du droit du travail.

-> La CNIL distingue 3 types d’archives : la base active (ou archives courantes) ; archives intermédiaires (accès restreint, étape intermédiaire avant la suppression) ; archives définitives (archives historiques, scientifique, présentant un intérêt légitime justifiant l’impossibilité d’une destruction) 

Permettre aux personnes d'exercer leurs droits facilement

  • Le RGPD accorde de nouveaux droits aux utilisateurs : Le droit d’accès, de rectification, de limitation, d’opposition, le droit à l’oubli, le droit à la portabilité, le droit de refuser une décision automatique. 
  • Préciser dans tous les formulaires de contact, une adresse mail, un numéro de téléphone ou une adresse postale par lesquels le client peut exercer ses droits 
  • Prévoir un processus interne afin de répondre aux demandes d’exercice des droits (en définissant les acteurs et les modalités). 

Qu'est-ce qui rend Rouen-Webmaster si différent ?

Nous travaillons à offrir aux utilisateurs de votre site web un sentiment d’appartenance ainsi qu’une expérience utilisateur agréable. En effet, il est important que votre site vitrine ou e-commerce soit en accord avec votre identité visuelle, celle de votre entreprise ou de votre marque, afin que les clients puissent s’y identifier et vous reconnaître. Les visuels que nous fournissons sont exploitables pour d’autres supports (notamment print, flyer et kakémono) que vous pourrez utiliser pour diverses occasions, comme par exemple un salon.
Rouen Webmaster : web-design et charte graphique à Rouen
Design site web et charte graphique à Rouen

Nos approches

01
Compréhension de vos valeurs
La charte graphique de votre entreprise et le design de votre site web sont des éléments uniques qui vous définissent auprès de vos clients. Nous avons donc besoin de comprendre parfaitement vos valeurs et celles que vous souhaitez faire passer à travers ces outils.
02
Elaboration de la charte graphique
Afin d'uniformiser l'ensemble de vos visuels et outils de communication et d'avoir une réelle identité graphique, il est essentiel d'avoir une charte graphique. En accord avec vos valeurs et vos besoins, nous choisissons les couleurs, typographies et autres éléments qui seront à utiliser sur tous vos supports. Nous imaginons et concevons votre logo ainsi que ses déclinaisons au besoin.
03
Intégration
Une fois que le design de votre site web et votre charte graphique sont prêts, il ne reste plus qu'à les intégrer à votre site. Pour cela, nous utilisons le Template choisi puis nous le personnalisons à l'aide des couleurs définis ensemble et des éléments créés par nos soins. Votre charte graphique se retrouve donc bien visible sur votre site et vos clients vous reconnaitront lorsque vous l'utiliserez sur d'autre supports.
Nous appeler