Les articles de l'auteur L'Expert rgpd

RGPD : Mettez en conformité vos formulaires de site web et les cookies

Le Règlement Général sur la Protection des Données de l’Union européenne (RGPD) a pris effet en mai 2018. Cette loi apporte des changements fondamentaux aux pratiques de collecte de données et de sécurité informatique. Le RGPD impose également de fortes pénalités en cas de non-conformité (Les pénalités en cas de non-respect, pouvant coûter jusqu’à 4 % du chiffre d’affaires).

Depuis le 25 mai 2021, 3 ans après l’application de la loi RGPD, la CNIL a initié des vérifications en ligne pour constater d’éventuels manquements en matière de cookies.

Le RGPD est une étape majeure dans la protection des données. Il vise à renforcer l’importance de cet enjeu auprès de ceux qui traitent les données et à responsabiliser les professionnels. Il consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs données.

Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.). Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL.

Pour la plupart des entreprises possédant un site Internet et un ou plusieurs formulaires en ligne doivent respecter quelques règles à mettre en oeuvre rapidement.

La gestion des cookies doit répondre à des règles précises

Au niveau de la gestion des cookies sur votre site et pour être conforme au RGPD, vous devez :

Informez vos visiteurs en langage clair de la finalité de vos cookies et traceurs avant de paramétrer des cookies autres que strictement nécessaires (ePR)
Offrir au visiteur des options pour modifier ou retirer son consentement (RGPD/ePR)
Avoir un mécanisme en place pour enregistrer et prouver les consentements (RGPD)
Cartographier et documenter les flux de données réalisés par des tiers (RGPD)
Configurez votre méthode de consentement pour utiliser le consentement explicite lors du traitement de données personnelles sensibles sur votre site Web (RGPD)
Informer de la survenance de décisions automatiques, y compris le profilage (RGPD)

Vous devez également procéder comme suit, par exemple en l’intégrant dans la politique de confidentialité de votre site Web :

Fournissez l’identité et les coordonnées du responsable du traitement de votre entreprise (RGPD)
Divulguer que le visiteur dispose d’un droit d’accès, de rectification, de suppression et de limitation du traitement des données personnelles (RGPD)
Divulguer que le visiteur a le droit de recevoir des données personnelles afin qu’elles puissent être utilisées par un autre sous-traitant (RGPD)
Divulguer que le visiteur a le droit de déposer une plainte auprès d’une autorité de contrôle (RGPD)
Si vous avez des logs de visite avec des adresses IP, vous devez vous assurer de la protection de ses fichiers, de l’archivage sécurisé et du traitements des logs pour les stats en anonymisant les adresses IP, le cas échéant.

Pour approfondir : https://www.cnil.fr/fr/nouvelles-regles-cookies-et-autres-traceurs-bilan-accompagnement-cnil-actions-a-venir

Mieux informer sur la collecte des données

Avec le RGPD, vous devrez clairement informer le visiteur de la collecte de données que vous effectuez.Le “bandeau cookies” comme on en voit pratiquement sur tous les sites est l’une des première fonctionnalité à mettre en oeuvre. Il faut aussi s’intéresser aux pages où sont situées des formulaires : contact, demande de devis…

Vous devez, pour chacun de ces formulaires préciser :

Les données collectées
La finalité de la collecte
La durée de conservation des données (qui ne peut pas excéder 13 mois)

Vous devez par ailleurs informer l’internaute qu’il a un droit d’accès à ses données et la manière dont il peut y accéder : par e-mail, téléphone, courrier… Vous pouvez préciser ses informations soit sur chaque page individuellement ou par le biais des d’un page sur la politique de confidentialité.

Obtenir un consentement explicite

Le consentement explicite de l’internaute est l’un des points essentiels du règlement. Le message du type “En poursuivant votre navigation, vous acceptez…” n’est plus valable.

L’internaute doit avoir clairement le choix de refuser ou d’accepter la collecte de données avec une case ou un bouton approprié. Il faut également mettre à disposition une page détaillant la collecte des données comme par exemple dans la page « Politique de confidentialité ». Bien entendu, vous devez faire en sorte de désactiver tous les services concernées tant qu’il n’y a pas eu de clic sur “Accepter” ou que le visiteur à cliquer sur refuser, comme par exemple :

Google Analytics
Un mur Facebook
Une Twitter Card
Une carte Google Map
….

Le consentement doit être enregistré comme une preuve (en base de données).

Protéger la transmission des données personnelles

Lorsqu’un visiteur transmet des informations personnelles comme son nom, son prénom, son adresse email ou son téléphone, son adresse, … vous devez assurer la sécurité dans la transmission des données. Votre site doit donc être en https:// et non en http://.

Comment modifier votre site pour respecter les contraintes de cette loi ?

Vous avez un site en wordpress ou dans un autre système, faites appel aux professionnels comme DIGITAL-IN pour vous aider à vous mettre en conformité.

Selon la technologies utilisées, nous proposons des prestations forfaitées ou sur mesure pour vous aider.

Contactez-nous !

Stéphane PARIS.

La CNIL ne vous appellera jamais pour vous mettre en conformité à la loi RGPD

De nombreuses entreprises m’appellent car ils ont reçu un appel de la CNIL (le numéro présenté correspond à la CNIL) pour les inciter à acheter une prestation chez un fournisseur soi disant référencé pour se mettre en conformité.

C’EST UNE ARNAQUE OU UN INCITATION FRAUDULEUSE A LA CONSOMMATION !!

La CNIL ne vous appellera jamais pour vous inciter à vous mettre en conformité !!

Des arnaqueurs ou des sociétés se font passer pour la CNIL en présentant le numéro de la CNIL lorsqu’ils vous appellent. Ils se font passer pour un agent de la CNIL afin de vous orienter vers leurs complices pour vous inciter à acheter une prestation qui ne sera pas à la hauteur du travail a effectuer.

La CNIL a publié une procédure pour expliquer les modalités de contrôle.

https://www.cnil.fr/fr/comment-se-passe-un-controle-de-la-cnil

Dans cette procédure, il n’y a aucune procédure concernant l’appel de la CNIL vers la société auditée.

Si vous souhaitez des conseils sur le sujet, vous pouvez me contacter afin d’avoir tous les éléments vous permettant de prendre les bonnes décisions sans contrainte.

Stéphane PARIS
DIGITAL’IN – ExpertCybert certifié
RGPD77 – Expert RGPD

RGPD – Faut il encore faire confiance à WhatsApp pour ses données personnelles ?

La signature en début d’année 2021 des nouvelles conditions d’utilisation de la célèbre application WhatsApp fait parler d’elle dans les tabloïdes numériques. Ces nouvelles conditions vont lui permettre de partager plus de données avec Facebook, qui a racheté la petite application en 2017.
En octobre 2020, Facebook a présenté sa nouvelle stratégie pour l »application de messagerie instantanée pour en faire une application orientée vers le service client des entreprises.

Facebook cherche donc a monétiser WhatsApp en permettant aux annonceurs de contacter les utilisateurs de WhatsApp et de leur vendre des solutions ou des produits. C’est d’ailleurs déjà le cas en Inde.

Selon Facebook, les données qui pourront être partagées sont les contacts et les informations de profil. le contenu des message ne sera pas exploité car ce contenu est chiffré.
« WhatsApp ne partage pas les données de ses utilisateurs en Europe avec Facebook dans le but que Facebook les utilise pour améliorer ses produits ou ses publicités », a assuré un porte-parole de la messagerie.

Je me suis donc intéressé aux informations de mon profil dans WhatsApp. Seuls, mon numéro de téléphone, mon nom et prénom et ma photo sont indiqués. Rien de plus que ce que possède déjà Facebook. Seuls mes contacts dans WhatsApp sont une données intéressantes pour le roi du réseau social

Comme je suis un home affuté sur le RGPD, je me suis intéressé au respect de la loi RGPD et j’ai pu demandé mes informations personnelles avec le formulaire utile.

Réponse dans 3 jours.

Si vous avez un doute et comme le préconise Elon Musk, vous pouvez changer d’application et utiliser l’application concurrente Signal.

A noter que la justice américaine a validé au printemps dernier une amende de 5 milliards de dollars infligée à Facebook pour ne pas avoir su protéger les données personnelles. Heureusement qu’elles ne sont pas stockées au Parlement américain !!

Stéphane PARIS
DIGITAL’IN – ExpertCybert certifié
RGPD77 – Expert RGPD

RGPD et professionnels de santé libéraux, praticiens et thérapeutes,mettez-vous en conformité en atelier

Depuis le 25 mai 2018, les professionnels de santé et du bien-être doivent être en conformité avec le RGPD.
Théoriquement, vous risquez des sanctions pénales et une amende pouvant atteindre 4% de votre chiffre d’affaires annuel si vous ne faite pas le nécessaire. La CNIL est en mesure d’effectuer des contrôles dans votre cabinet et notamment suite à des plaintes.

Un article spécifique de la CNIL est dédié aux professionnels de santé : https://www.cnil.fr/fr/rgpd-et-professionnels-de-sante-liberaux-ce-que-vous-devez-savoir

Dans le 77, notre expert RGPD, également fondateur de MaxSenss, centre de thérapies complémentaires à Lagny-usr-Marne et Bussy-Saint-Georges, organise des ateliers pour former, informer et aider les praticiens, thérapeutes et personnels de santé à se mettre en conformité par rapport à cette loi.

Des ateliers spécialisés pour les professionnels de santé, d’accompagnement et de soins

Comprenant que la notion de protection des données personnelles est loin d’intéresser les professionnels de santé, de soins et de bien-être, notre expert a préparé un atelier spécialisé pour ces professions afin de traiter le sujet.

Il vous expliquera l’application de cette loi dans votre métier, dans vos activités et vous délivrera les documents nécessaires pour vous mettre en conformité. Registre des activités de traitement, politique de confidentialité, outils de stockage des données, de prise de rendez-vous. L’ensemble des points importants seront abordés durant l’atelier pour vous permettre de comprendre le sujet et d’être serein par rapport à la loi.

Ces ateliers sont organisés à lagny sur Marne ou dans votre région si un nombre de participants suffisants et un lieu est défini. Notre expert anime cet atelier pour expliquer les exigences et les actions à mener pour répondre à la loi européenne RGPD.

Vos patients et clients méritent que leurs données personnelles soient traitées en toute sécurité et que vous sachiez répondre aux exigences de la loi.

Si vous souhaitez participer à cet atelier, demandez les prochaines dates !

Nous vous disons la vérité ici

Dans le cadre du RGPD et lorsque vous manipulez des données personnelles, vous vous demandez certainement si vous pouvez utiliser des applications américaines comme Dropbox, Google Drive ? La réponse se trouve dans le Privacy Shield.

Le Privacy Shield a été mis en place pour garantir la conformité de l’usage de ces applications pour les types de données autorisées. En effet, deux types de données sont autorisées ou pas : Les données RH et non-RH (RH voulant dire Ressources Humaines).

Par exemple, si vous interrogez la liste du Privacy Shield (https://www.privacyshield.gov/welcome) pour trouver le logiciel Cloud Dropbox, vous trouverez ces informations :

Privacy Shield - Dropbox - RGPD

La dernière colonne concernant les données couvertes (Covered data) indique uniquement « non-HR ». Cela signifie que Dropbox ne peux contenir des données RH, c’est à dire les données concernant les salariés d’une entreprise.
Evidemment, dans le cas de l’usage de Dropbox comme solution de sauvegarde externe ou de stockage, vous devez indiquer que les données sortent de l’UE, puisque les données sont susceptibles d’aller au USA. Pas contre, si vous sauvegardez ou stockez des données RH, vous n’êtes pas conforme à la loi RGPD.

Il va falloir trouver une autre solution, soit française, soit dans l’UE, soit autorisée par le Privacy Shield.

Cookie	Durée	Description
_gat	1 minute	Ces cookies sont installés par Google Universal Analytics pour ralentir le taux de demande afin de limiter la collecte de données sur les sites à fort trafic.
sib_cuid	6 months	Ce cookie est défini par le fournisseur SendInBlue. Ce cookie est utilisé pour envoyer des données à sendinblue. Il aide à connecter les visiteurs à l'équipe de réservation et à suivre les visiteurs pour qu'ils restent sur le portail.

Cookie	Durée	Description
_ga	2 years	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour calculer les données de visiteur, de session, de campagne et pour suivre l'utilisation du site pour le rapport d'analyse du site. Les cookies stockent des informations de manière anonyme et attribuent un numéro généré de manière aléatoire pour identifier les visiteurs uniques.
_gid	1 day	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour stocker des informations sur la façon dont les visiteurs utilisent un site Web et aide à créer un rapport d'analyse sur la façon dont le site Web fonctionne. Les données collectées, y compris le nombre de visiteurs, la source d'où ils viennent et les pages visitées sous une forme anonyme.

Cookie	Durée	Description
_gat_gtag_UA_78293287_2	1 minute	No description
cookielawinfo-checkbox-functional	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-others	1 year	No description