Les articles de l'auteur L'Expert rgpd

Linkeo et le RGPD : Analyse de son rôle en tant qu’hébergeur et créateur de sites web

Introduction

Linkeo est une entreprise française spécialisée dans la création et l’hébergement de sites internet, notamment des sites vitrines et e-commerce. Dans un contexte où la protection des données personnelles est devenue une obligation majeure pour toute entreprise traitant des données de résidents européens, il est essentiel de s’interroger sur le rôle d’un hébergeur comme Linkeo au regard du Règlement Général sur la Protection des Données (RGPD).

Cet article propose une analyse de la conformité de Linkeo avec le RGPD, en particulier sur son rôle de responsable conjoint du traitement. Nous verrons également ce que tout client doit vérifier avec son hébergeur pour garantir la conformité de son site web aux exigences légales.

Linkeo et le RGPD : une conformité partielle ?

Un hébergeur et un créateur de sites soumis au RGPD

En tant qu’entreprise opérant en France et offrant des services impliquant la collecte et le traitement de données personnelles (formulaires de contact, inscriptions, commandes en ligne, etc.), Linkeo est directement concerné par le RGPD. Dans ses mentions légales (https://www.linkeo.com/mentions-legales.php), Linkeo évoque bien le RGPD, mais uniquement en tant qu’hébergeur et prestataire technique, sans préciser clairement son rôle dans la gestion des données collectées sur les sites qu’elle crée et héberge.

Le rôle d’un hébergeur : simple sous-traitant ou responsable conjoint du traitement ?

Un hébergeur de site web peut être soit :

  • Un simple sous-traitant, qui stocke et sécurise les données, mais ne décide pas des finalités et moyens du traitement.
  • Un responsable conjoint du traitement, s’il participe à la détermination des objectifs et des méthodes de traitement des données personnelles collectées sur les sites qu’il héberge.

Si Linkeo se contente d’héberger les sites sans influencer la collecte ou le traitement des données personnelles, elle peut être considérée comme un sous-traitant. Cependant, si elle met en place des outils de collecte (formulaires préconfigurés, solutions de gestion des cookies, outils de suivi des visiteurs) ou propose des solutions e-commerce clés en main, elle pourrait être co-responsable du traitement.

Un manque de clarté sur la responsabilité des données collectées

À la lecture des mentions légales de Linkeo, il n’est pas clairement établi si l’entreprise se positionne comme simple sous-traitant ou si elle est responsable conjoint du traitement avec ses clients. Or, l’article 26 du RGPD impose que lorsque plusieurs entités partagent la responsabilité d’un traitement, elles doivent définir de manière transparente leurs obligations respectives.

Il serait donc souhaitable que Linkeo précise son rôle en matière de protection des données :

  • Quels traitements de données relèvent de sa responsabilité ?
  • Quels engagements prend-elle vis-à-vis de la sécurisation des données ?
  • Dans quels cas peut-elle être considérée comme responsable conjoint du traitement ?

Les obligations d’un hébergeur de sites web au regard du RGPD

Tout hébergeur de sites web, qu’il soit responsable du traitement ou simple sous-traitant, doit respecter un ensemble d’exigences légales pour assurer la conformité de ses services au RGPD.

1. Sécurisation des données

Un hébergeur est responsable de la protection des données personnelles stockées sur ses serveurs. Il doit mettre en place :

  • Des protocoles de chiffrement pour protéger les données en transit et au repos.
  • Des mesures de sauvegarde et de restauration des données en cas de perte ou d’incident.
  • Des protocoles d’accès sécurisé pour empêcher tout accès non autorisé.

2. Gestion des sous-traitants

Si un hébergeur sous-traite une partie de son activité (par exemple, en hébergeant ses données sur un cloud tiers), il doit s’assurer que ses propres prestataires respectent le RGPD et signer des contrats de sous-traitance conformes.

3. Information et transparence

L’hébergeur doit informer ses clients sur :

  • Les types de données personnelles qu’il traite.
  • Les finalités du traitement.
  • Les mesures mises en place pour garantir la protection des données.

4. Assistance aux clients dans leur mise en conformité

L’hébergeur doit être en mesure de fournir à ses clients :

  • Des outils permettant de gérer les consentements et les cookies.
  • Des solutions pour répondre aux demandes des utilisateurs (accès, rectification, suppression des données).
  • Un support en cas de violations de données.

Ce que les clients doivent vérifier avec leur hébergeur

En tant qu’entreprise ou entrepreneur utilisant un site web pour collecter des données personnelles, il est essentiel de s’assurer que votre hébergeur respecte le RGPD. Voici les points clés à vérifier :

1. Clauses contractuelles et responsabilités

  • Le contrat précise-t-il clairement les rôles de chaque partie ?
  • L’hébergeur agit-il uniquement comme sous-traitant ou est-il co-responsable du traitement ?
  • Les responsabilités en matière de protection des données sont-elles bien définies ?

2. Lieu d’hébergement des données

  • Les données sont-elles stockées dans l’UE ou transférées hors de l’UE ?
  • Si elles sont transférées en dehors de l’UE, quelles garanties sont mises en place (Clauses Contractuelles Types, Data Privacy Framework, etc.) ?

3. Sécurité et confidentialité

  • L’hébergeur applique-t-il des mesures de protection conformes aux standards du marché ?
  • Dispose-t-il d’un plan de gestion des incidents de sécurité ?
  • En cas de violation de données, quelle est sa procédure de notification ?

4. Gestion des droits des utilisateurs

  • L’hébergeur offre-t-il des outils pour gérer les demandes de suppression ou de portabilité des données ?
  • Comment gère-t-il les demandes liées aux cookies et aux consentements des visiteurs ?

Conclusion

Linkeo, en tant qu’hébergeur et créateur de sites web, a des obligations importantes en matière de protection des données personnelles. Si ses mentions légales abordent le RGPD, elles ne clarifient pas son rôle potentiel de responsable conjoint du traitement, une question cruciale pour ses clients.

Les entreprises utilisant Linkeo pour la création et l’hébergement de leur site doivent donc s’assurer que leur contrat définit clairement les responsabilités et que Linkeo leur apporte les garanties nécessaires en matière de sécurité, transparence et conformité RGPD.

Dans un contexte où la réglementation sur la protection des données se durcit, les clients doivent être particulièrement vigilants sur la gestion des données personnelles et sur leur relation contractuelle avec leurs prestataires numériques. Un site non conforme peut exposer son propriétaire à des sanctions, même si l’hébergement est externalisé.

Pour toute entreprise souhaitant être en conformité avec le RGPD, une analyse approfondie de son hébergeur et de son rôle dans le traitement des données est donc essentielle.

Le RGPD appliqué aux salons professionnels : enjeux et bonnes pratiques pour les organisateurs et les exposants

Les salons professionnels sont des événements incontournables pour promouvoir des entreprises, développer des réseaux et conclure des affaires. Cependant, ces manifestations impliquent une collecte massive de données personnelles, tant pour les organisateurs que pour les exposants. Le Règlement Général sur la Protection des Données (RGPD) s’applique pleinement à ces activités, imposant des règles strictes pour protéger les informations des visiteurs, partenaires, et participants.

Cet article explore les obligations du RGPD pour les organisateurs et exposants, ainsi que les pratiques à adopter pour garantir la conformité tout en maximisant les opportunités commerciales.

Les enjeux du RGPD dans les salons professionnels

Les salons professionnels impliquent plusieurs types de traitements de données personnelles :

  • Pour les organisateurs :
    • Inscriptions des visiteurs et exposants.
    • Gestion des badges d’accès (noms, prénoms, entreprises, photos).
    • Suivi des visiteurs via des applications ou des QR codes.
    • Envoi d’emailings promotionnels et newsletters.
  • Pour les exposants :
    • Collecte de données des visiteurs (via des cartes de visite, formulaires, scans de badges).
    • Envoi d’offres commerciales ou de documents de suivi.
    • Utilisation des données pour des campagnes marketing.

Ces données sont précieuses, mais leur utilisation doit respecter les droits des personnes et répondre aux exigences du RGPD.

Obligations pour les organisateurs de salons professionnels

1. Identifier les données collectées et leur finalité

Les organisateurs doivent recenser les données personnelles collectées :

  • Données des visiteurs (nom, email, numéro de téléphone, entreprise, poste).
  • Données des exposants (informations sur les entreprises et leurs représentants).
  • Données collectées via des outils technologiques (applications, vidéosurveillance, plateformes de gestion).

Chaque collecte doit répondre à une finalité légitime : gestion des inscriptions, suivi des interactions, mesures de sécurité, etc.

2. Informer les participants

Les participants (visiteurs et exposants) doivent être informés de manière claire et transparente sur :

  • Les données collectées et leur utilisation.
  • La durée de conservation des informations.
  • Les droits des participants (accès, rectification, suppression, opposition).

Les mentions d’information peuvent être affichées sur les formulaires d’inscription, le site web de l’événement ou les contrats avec les exposants.

3. Obtenir le consentement pour les actions marketing

Le RGPD impose un consentement explicite pour :

  • L’envoi de newsletters ou d’invitations à des événements futurs.
  • Le partage des données des visiteurs avec des partenaires ou exposants.

Les organisateurs doivent prévoir une case à cocher non préremplie pour recueillir ce consentement.

4. Sécuriser les données

Les bases de données contenant les informations des participants doivent être protégées :

  • Mesures techniques : Utilisation de logiciels sécurisés, chiffrement des données.
  • Mesures organisationnelles : Limitation de l’accès aux données aux personnes autorisées.

5. Respecter les droits des participants

Les visiteurs et exposants ont des droits sur leurs données personnelles :

  • Droit d’accès et de rectification.
  • Droit à l’effacement (« droit à l’oubli »).
  • Droit à la portabilité des données.
  • Droit d’opposition à l’utilisation des données à des fins marketing.

Les organisateurs doivent mettre en place une procédure claire pour répondre à ces demandes.

Obligations pour les exposants

1. Collecter les données de manière transparente

Les exposants doivent informer les visiteurs de manière claire lorsqu’ils collectent leurs données :

  • Explication de l’objectif de la collecte (suivi commercial, envoi de catalogues, etc.).
  • Mention des droits des visiteurs sur leurs données.

2. Obtenir un consentement explicite

Le simple fait de scanner un badge ou de collecter une carte de visite ne suffit pas pour envoyer des communications commerciales. Le visiteur doit donner un consentement explicite, par exemple en cochant une case sur un formulaire ou en acceptant verbalement, ce qui doit être documenté.

3. Gérer les données de manière sécurisée

Les exposants doivent protéger les données collectées :

  • Stockage sécurisé des informations, notamment pour les formulaires papier ou les bases de données numériques.
  • Limitation de l’accès aux données aux équipes concernées.

4. Respecter les durées de conservation

Les données collectées ne doivent pas être conservées indéfiniment. Si un contact ne donne pas suite après une première interaction, ses données doivent être supprimées dans un délai raisonnable.

Exemples concrets de mise en conformité

Pour un organisateur :

  • Créer un registre des traitements détaillant toutes les données collectées et leur utilisation.
  • Mettre en place une politique de confidentialité accessible sur le site web du salon.
  • Installer une solution de gestion des consentements pour les inscriptions et les newsletters.

Pour un exposant :

  • Installer un outil de collecte numérique (tablette ou application) permettant aux visiteurs de donner leur consentement directement sur place.
  • Fournir un document d’information clair expliquant l’utilisation des données collectées.
  • Détruire les formulaires papier une fois les données numériques enregistrées.

Les risques de non-conformité

En cas de non-respect du RGPD, les organisateurs et exposants s’exposent à :

  • Des amendes administratives : Jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
  • Une perte de confiance : Les visiteurs et exposants pourraient se détourner des salons perçus comme non sécurisés.
  • Des poursuites judiciaires : En cas de plainte pour mauvaise gestion ou utilisation abusive des données.

Bonnes pratiques pour un salon professionnel conforme au RGPD

  • Former les équipes : Sensibilisez vos collaborateurs au RGPD et à la gestion des données personnelles.
  • Collaborer avec des prestataires conformes : Choisissez des plateformes d’inscription et de gestion des données qui respectent les normes de sécurité.
  • Mettre en place un plan de réponse en cas de fuite de données : Préparez une procédure pour gérer rapidement les incidents éventuels.

Conclusion

Les salons professionnels, qu’ils soient physiques ou numériques, nécessitent une gestion rigoureuse des données personnelles. Pour les organisateurs et exposants, le respect du RGPD est non seulement une obligation légale, mais aussi une opportunité de renforcer la confiance des participants et de se démarquer en tant qu’acteurs responsables.

Avec des pratiques adaptées et des outils conformes, il est possible de transformer cette contrainte réglementaire en un levier stratégique pour le succès des événements professionnels. Pour vous faire aider, faites appel à PIXALIA / RGPD77

RGPD : Ce que les petites entreprises du BTP doivent savoir

Depuis l’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données) en 2018, toutes les entreprises, quelle que soit leur taille ou leur secteur, doivent protéger les données personnelles qu’elles collectent. Les petites entreprises du secteur du BTP ne font pas exception, bien qu’elles soient souvent moins préparées face à cette obligation légale.

Pourquoi le RGPD concerne-t-il le BTP ?

Les entreprises du BTP collectent régulièrement des données personnelles :

  • Données clients : noms, adresses, coordonnées téléphoniques, etc.
  • Données des salariés : fiches de paie, contrats de travail, horaires, etc.
  • Données des sous-traitants et fournisseurs : contrats, informations bancaires.

Toute manipulation de ces informations, qu’il s’agisse de les stocker, de les utiliser ou de les transmettre, doit être conforme au RGPD.

Les principaux enjeux pour les petites entreprises du BTP

  1. Tenir un registre des traitements : Même pour une petite structure, il est nécessaire de documenter les données personnelles collectées, leur usage et leur durée de conservation.
  2. Protéger les données : Assurer la sécurité des informations (mot de passe pour les fichiers, antivirus, stockage sécurisé).
  3. Informer les personnes concernées : Les clients et employés doivent savoir quelles données sont collectées et à quelles fins. Une mention légale ou une clause dans les contrats peut suffire.
  4. Gestion des droits : Être capable de répondre à une demande d’accès, de rectification ou de suppression de données.

Pourquoi se conformer ?

Outre le respect de la loi, être conforme au RGPD renforce la confiance des clients et partenaires. Une fuite ou une mauvaise gestion des données peut entraîner des sanctions financières importantes, mais aussi ternir votre image.

Des solutions adaptées au secteur BTP

La mise en conformité n’a pas besoin d’être complexe. Des experts locaux, comme Pixalia via RGPD77.fr, proposent des services accessibles pour accompagner les TPE dans leur démarche : diagnostic, création de registre, formation, etc.

Conclusion

Les petites entreprises du BTP ont tout à gagner à se conformer au RGPD : éviter les risques juridiques, sécuriser leurs données, et améliorer leur réputation.

Commencez dès aujourd’hui en réalisant un audit simplifié pour identifier vos obligations.

Le RGPD Pour qui et pourquoi ?

Depuis le 25 mai 2018, votre structure doit être en conformité avec le RGPD. Théoriquement, vous risquez des sanctions pénales et une amende pouvant atteindre 4% de votre chiffre d’affaires annuel  La CNIL est en mesure d’effectuer des contrôles dans votre établissements et notamment suite à des plaintes. Nous vous expliquons ici l’approche à adopter pour cette mise en conformité.

Notions clés RGPD

Qu’est ce que le RGPD ?

Entré en vigueur le 25 mai 2018, 2 ans après l’adoption du texte, le RGPD encadre juridiquement la collecte et le traitement des données personnelles sur le territoire de l’Union Européenne. Ce règlement fait suite à la Loi française Informatique et Libertés de 1978. L’objectif est d’uniformiser et de renforcer la réglementation autour de l’utilisation des données personnelles des professionnels dans l’ensemble des pays européens. Selon la CNIL, une « donnée personnelle » correspond à « toute information se rapportant à une personne physique identifiée ou identifiable ».

Dans un monde toujours plus connecté et digitalisé, il est nécessaire d’instaurer un cadre juridique précis et strict afin que chaque donnée soit utilisée à bon escient et protégée. L’objectif est de rassurer l’internaute dans son utilisation du web afin qu’il n’ait de craintes quant au traitement de ses données personnelles. Le RGPD permet donc aux entreprises de développer leurs activités numériques au sein de l’Union Européenne tout en s’assurant de la confiance des utilisateurs.

Aussi, le “gendarme des données personnelles”, la CNIL, surveille de près le respect de ce nouveau règlement. En cas de non-respect des règles du RGPD, les entreprises risquent une amende de 2 à 4% du chiffre d’affaires annuel. En 2018, depuis l’entrée en vigueur du règlement, la CNIL a enregistré plus de 1 200 cas de violations de données personnelles. Cette situation reflète que les entreprises sont trop peu sensibilisées à la problématique de la cybersécurité et n’appliquent pas strictement le RGDP.

Comment se mettre en conformité

Une fois la loi RGPD et sa philosophie comprises, comment se mettre en conformité ? Existe t’il un mode d’emploi, des exemples, des guides ? L’application et l’interprétation de la loi est en constante évolution, s’adaptant sans cesse aux cas particuliers et au contexte.

Appliquer cette loi pour toutes les formes d’entreprise nécessite d’être pragmatique avec le niveau des efforts pour respecter la loi, les investissements pour sécuriser les processus et la formation du personnel, intervenant dans les processus de l’organisme.

Nous avons souhaité vous donner ici les bonnes pratiques et les bonnes questions à se poser pour vous mettre en conformité. 

Faire la démarche seul n’est pas impossible mais l’expérience d’un expert RGPD, pragmatique vous aidera à aller à l’essentiel et à trouver les solutions adaptées pour sécuriser vos processus de collecte, de stockage, de traitement et de conservation des données personnelles

Cartographier et anticiper les risques

Dans le cadre de leur plan d’action pour se mettre en conformité au règlement européen sur la protection des données (RGPD), les organismes doivent tenir une documentation interne complète sur leurs traitements de données personnelles et s’assurer qu’ils respectent bien les nouvelles obligations légales.

Pour être en capacité de mesurer l’impact du règlement sur votre activité et de répondre à cette exigence, vous devez au préalable recenser précisément :

  • Les différents traitements de données personnelles, 
  • Les catégories de données personnelles traitées ;
  • Les objectifs poursuivis par les opérations de traitements de données ;
  • Les acteurs (internes ou externes) qui traitent ces données. Vous devrez notamment clairement identifier les prestataires sous-traitants afin d’aualiser les clauses de confidentialité ;
  • Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

Se faire accompagner pour gagner du temps

Cette démarche nécessite de définir les processus de l’entreprise, de formaliser l’audit de conformité pour chacun d’eux, notamment au niveau des moyens de sécurisation des informations personnelles manipulées.

Le modèle du Registre des Activités de traitement, dont le modèle est fourni par la CNIL, est d’une structure assez simple mais nécessite des connaissances informatiques et une approche de votre métier. En effet, les données personnelles sont captées, stockées et archivées le plus souvent sur vos outils informatiques. C’est notamment le moment d’auditer vos outils pour connaître leur niveau de sécurité.

La conformité concerne aussi les sous-traitants, co-responsables au regard du RGPD. Les contrats fournisseurs devront comprendre une clause précisant leurs nouvelles obligations et responsabilités. Cela concerne également les prestataires basés hors de l’Union Européenne (Google, Dropbox, …) pour peu qu’ils gèrent des données de citoyens européens.

Se faire accompagner par un expert RGPD est un moyen de gagner du temps et de réaliser cette démarche de manière efficace et complète.

Attention aux arnaques, car les soit disant experts peu scrupuleux vous proposent des documents types sans prendre en compte vos spécificités et l’état de vos outils, sans même se déplacer chez vous.

Vérifiez les références de votre auditeur et ses références. Un appel aux clients déjà traités est une bonne démarche pour vérifier la qualité du travail.

Pour plus d’informations : https://rgpd77.fr
Stéphane PARIS
Expert RGPD

RGPD – Protégez correctement les données personnelles que vous manipulez

RGPD – Protégez correctement les données personnelles que vous manipulez

La démarche de mise en conformité RGPD vous incite à faire le point sur les moyens de protection des données personnelles que vous manipulez.
Pour effectuer cela, vous devez au préalable identifier les applications et les lieux de captage et de stockage des données.

  • Vos applications de gestion métier qu’elles soient en mode Web (application en ligne accessible depuis votre navigateur) ou installées sur votre poste ou votre serveur
  • Votre application de messagerie comme Outlook, Thunderbird, Apple Mail ou encore en mode Web comme Gmail, Office 365, Webmail OVH, …
  • La liste de vos postes de travail ou vos ordinateurs portables, ou encore votre ou vos serveurs
  • Les systèmes de stockage de données comme clef usb, NAS, …

Evidemment, faites vous aider de votre informaticiens ou bien d’un expert en informatique

Ensuite, vous devez définir pour chacun des dispositifs :

  • Les accès aux données depuis ce dispositif (Accès sécurisé par identifiant et mot de passe personnel)
  • Le niveau de mise à jour des logiciels sur ces dispositifs
  • La sauvegarde des données
  • Les solutions de scan antivirus ou anti spams installés
  • Le chiffrement des données sur les disques afin d’éviter la récupération en cas de perte ou de vol du support

Ici aussi, faites vous aider d’un expert en informatique pour faire le tour des différents sujets.

Vous devez pouvoir cartographier tous les éléments utilisés dans le cycle de vie des données personnelles que vous manipulez

C’est une des démarches à réaliser pour la mise en conformité RGPD.

En cas de besoin ou de conseils, n’hésitez à nous contacter.

RGPD Protection des données