06 85 33 46 44 expert@rgpd77.fr

Les articles de l'auteur L'Expert rgpd

Privacy shield : Utiliser des applications américaines !

Nous vous disons la vérité ici

Dans le cadre du RGPD et lorsque vous manipulez des données personnelles, vous vous demandez certainement si vous pouvez utiliser des applications américaines comme Dropbox, Google Drive ? La réponse se trouve dans le Privacy Shield.

Le Privacy Shield a été mis en place pour garantir la conformité de l’usage de ces applications pour les types de données autorisées. En effet, deux types de données sont autorisées ou pas : Les données RH et non-RH (RH voulant dire Ressources Humaines).

Par exemple, si vous interrogez la liste du Privacy Shield (https://www.privacyshield.gov/welcome) pour trouver le logiciel Cloud Dropbox, vous trouverez ces informations :

Privacy Shield - Dropbox - RGPD

La dernière colonne concernant les données couvertes (Covered data) indique uniquement « non-HR ». Cela signifie que Dropbox ne peux contenir des données RH, c’est à dire les données concernant les salariés d’une entreprise.
Evidemment, dans le cas de l’usage de Dropbox comme solution de sauvegarde externe ou de stockage, vous devez indiquer que les données sortent de l’UE, puisque les données sont susceptibles d’aller au USA. Pas contre, si vous sauvegardez ou stockez des données RH, vous n’êtes pas conforme à la loi RGPD.

Il va falloir trouver une autre solution, soit française, soit dans l’UE, soit autorisée par le Privacy Shield.

 

RGPD : Vous accompagner pour être conforme au RGPD

Depuis le 25 mai 2018, votre structure doit être en conformité avec le RGPD.
Théoriquement, vous risquez des sanctions pénales et une amende pouvant atteindre 4% de votre chiffre d’affaires annuel !
La CNIL est en mesure d’effectuer des contrôles dans votre établissements et notamment suite à des plaintes.

Afin de vous accompagner dans les meilleures conditions, nous vous proposons un programme sur mesure :

 

Etape 1 : L’état des lieux

Pour mesurer concrètement l’impact du règlement européen sur la protection des données de votre activité, nous commençons par recenser de façon précise les traitements de données personnelles que vous mettez en œuvre dans votre activité. Ce référencement est effectué sur le Registre des Traitements.

Nos experts identifient avec vous les processus concernés par le RGPD afin de calculer leur niveau de conformité et vous donnent les recommandations pour les modifications à apporter à vos outils et à vos processus.

Etape 2 : Plan d’actions et gestion des risques

Une fois l’audit effectué, il faut mettre en œuvre le plan d’action. Face à l’importance et à la diversité des travaux à mener, il importe de prioriser les actions en fonction de vos budgets.

Des travaux informatiques seront engagés pour la sécurisation des données les plus critiques de type anonymisation ou chiffrement. Il s’agit aussi de revoir les modalités d’exercice des droits des individus concernés, du recueil consentement au droit à l’oubli. La finalité de chaque traitement et la durée de la conservation des données doivent être établies. Ceci entraîne une révision en profondeur de la politique de confidentialité.

Par ailleurs, la conformité concerne les sous-traitants, co-responsables au regard du RGPD. Les contrats fournisseurs devront comprendre une clause précisant leurs nouvelles obligations et responsabilités. Cela concerne également les prestataires basés hors de l’Union Européenne (Google, Dropbox, …) pour peu qu’ils gèrent des données de citoyens européens.

Pour connaitre et exercer vos droits , notamment de retrait de votre consentement à l'utilisation de données collectés par ce formulaire, veuillez consulter notre politique de confidentialité.

RGPD : Mettez en conformité vos formulaires de site web

Le Règlement Général sur la Protection des Données de l’Union européenne (RGPD) prendra effet en mai 2018. Cette loi apportera des changements fondamentaux aux pratiques de collecte de données et de sécurité informatique. Le RGPD impose également de fortes pénalités en cas de non-conformité (Les pénalités en cas de non-respect, pouvant coûter jusqu’à 4 % du chiffre d’affaires).

Le RGPD est une étape majeure dans la protection des données. Il vise à renforcer l’importance de cet enjeu auprès de ceux qui traitent les données et à responsabiliser les professionnels. Il consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs données.

Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.). Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL.

Pour la plupart des entreprises possédant un site Internet et un ou plusieurs formulaires en ligne doivent respecter quelques règles à mettre en oeuvre rapidement.

Mieux informer sur la collecte des données

Avec le RGPD, vous devrez clairement informer le visiteur de la collecte de données que vous effectuez.Le “bandeau cookies” comme on en voit pratiquement sur tous les sites est l’une des première fonctionnalité à mettre en oeuvre.  Il faut aussi s’intéresser aux pages où sont situées des formulaires : contact, demande de devis…

Vous devez, pour chacun de ces formulaires préciser :

  • Les données collectées
  • La finalité de la collecte
  • La durée de conservation des données (qui ne peut pas excéder 13 mois)

Vous devez par ailleurs informer l’internaute qu’il a un droit d’accès à ses données et la manière dont il peut y accéder : par e-mail, téléphone, courrier… Vous pouvez préciser ses informations soit sur chaque page individuellement ou par le biais des d’un page sur la politique de confidentialité.

Obtenir un consentement explicite

Le consentement explicite de l’internaute est l’un des points essentiels du règlement. Le message du type “En poursuivant votre navigation, vous acceptez…” n’est plus valable.

L’internaute doit avoir clairement le choix de refuser ou d’accepter la collecte de données avec une case ou un bouton approprié. Il faut également mettre à disposition une page détaillant la collecte des données comme par exemple dans la page « Politique de confidentialité ». Bien entendu, vous devez faire en sorte de désactiver tous les services concernées tant qu’il n’y a pas eu de clic sur “Accepter” ou que le visiteur à cliquer sur refuser, comme par exemple :

  • Google Analytics
  • Un mur Facebook
  • Une Twitter Card
  • Une carte Google Map
  • ….

Le consentement doit être enregistré comme une preuve (en base de données).

Protéger la transmission des données personnelles

Lorsqu’un visiteur transmet des informations personnelles comme son nom, son prénom, son adresse email ou son téléphone, son adresse, … vous devez assurer la sécurité dans la transmission des données. Votre site doit donc être en https:// et non en http://.

Comment modifier votre site pour respecter les contraintes de cette loi ?

Vous avez un site en wordpress ou dans un autre système, faites appel aux professionnels comme DIGITAL-IN pour vous aider à vous mettre en conformité.

Selon la technologies utilisées, nous proposons des prestations forfaitées ou sur mesure pour vous aider.

Contactez-nous !

Stéphane PARIS.

Pour connaitre et exercer vos droits , notamment de retrait de votre consentement à l'utilisation de données collectés par ce formulaire, veuillez consulter notre politique de confidentialité.