RGPD : Où en êtes-vous ?

Le Règlement Général sur la Protection de Données (RGPD) à caractère personnel entré en vigueur le 25 mai 2018. Beaucoup de questions nous sont remontées auxquelles nous allons tâcher de répondre en récapitulant ce qu’il faut faire. Nous espérons que cela facilitera votre propre mise en conformité RGPD.

À qui s’adresse le RGPD ?

Le Règlement général sur la protection des données (RGPD) s’applique depuis le 25 mai 2018 :

  • à toute organisation, publique et privée, quels que soient sa taille (entreprise, ministère, administration, collectivité, association, etc.);
  • qui traite des données personnelles pour son compte ou non;
  • établie sur le territoire de l’Union européenne;
  • ou qui, non établie sur le territoire de l’Union européenne, cible directement des résidents européens (par exemple, un site internet suisse qui propose un service de livraison en France avec paiement en euros).
    (source : cnil.fr)

Faut-il déclarer mon site web à la CNIL ?

Non.

Si votre site web permet de collecter des données personnelles (questionnaire en ligne, commande en ligne, création d’un compte en ligne, etc.), vous devez alors vous conformer aux règles de protection des données personnelles.

La plupart des fichiers de données personnelles n’ayant plus à être déclarés à la CNIL depuis le 25 mai 2018, date d’entrée en application du RGPD, vous devez donc, dans cet objectif de conformité :

  • Demander conseil et assistance à votre Délégué à la protection des données (DPO) si vous en avez un.
  • Informer les personnes des conditions dans lesquelles vous traitez leurs données.
  • Prévoir des mesures de sécurité adaptées au regard des risques.
  • Inscrire votre fichier dans le Registre des activités de traitement tenu par votre société.
  • Vérifier, en fonction de votre projet, si vous devez effectuer une analyse d’impact sur la protection des données (PIA).

A noter ! La CNIL vous propose des outils pour vous aider dans ces démarches :

Pour vous aider à respecter vos obligations, vous pouvez vous appuyer sur l’ancienne norme simplifiée n°48 concernant les fichiers relatifs à la gestion des clients et des prospects pour les site de e-commerce. (source : cnil.fr)

RGPD : Par où commencer ?

Lister ses sous-traitants, rédiger les traitements, construire son registre, expliquer les mises en sécurité, les procédures, etc. autant de tâches a effectuer qui conduit les entrepreneurs et les entreprises à se poser la question de l’organisation du travail afin de se mettre en conformité. A cette fin, SG autorépondeur a édité un fascicule qui vous explique, en 4 étapes simples, comment vous mettre en conformité. Vous pouvez télécharger gratuitement le document en cliquant ici (téléchargement direct – pas d’inscription).

1- Lister vos sous-traitants

C’est la première étape (et probablement la plus simple). Vous devez lister tous vos sous-traitants et, pour chacun, spécifier la finalité. Paypal, par exemple peut être un sous-traitant dont la finalité est la « gestion des paiements » ou encore on hébergeur (OVH, Gandi, 1and1, etc.) dont la finalité serait la « gestion de vos serveurs ». La finalité des traitements sera mentionnée dans les fiches de registre (voir point 2).

Une fois vos sous-traitants listés, il est judicieux, si ce n’est pas déjà fait, de leur écrire un courrier pour leur demander de vous confirmer qu’ils sont bien (ainsi que leurs propres sous-traitants) en conformité RGPD. Dans le fascicule cité plus haut, vous trouverez un modèle de lettre qui vous est offert.

Pour rappel, vous êtes responsable de la conformité RGPD de vos sous-traitants ainsi que des sous-traitants de vos sous-traitants. L’envoi (et surtout la réponse) au courrier vous dégagera de cette responsabilité en cas de non-conformité RGPD de vos sous-traitants.

Par ailleurs, si vos sous-traitants communiquent déjà d’une façon publique sur leur conformité, vous n’avez pas besoin de leur envoyer ce courrier.

2- Lister tous les traitements

Il vous faut alors créer un « Registre des traitements ». Cela peut être fait sur Excel ou sur tout autre documents.

A cette étape, il faut faire une liste des traitements que vous effectuez en termes de gestion de :

  1. de vos sous-traitants
  2. des échanges avec votre blog (les commentaires notamment)
  3. des relations avec vos prospects (commerciale)
  4. de la relation commerciale avec vos clients
  5. de votre politique de sécurité des données

Chaque traitement doit faire l’objet d’une fiche de Registre. Vous devrez donc ainsi constituer votre Registre RGPD qui vous sera demandé en cas de contrôle de la CNIL.

Ci-dessus, un exemple d’une de mes propres Fiches de Registre (cliquez sur l’image pour voir en grand).

 

3- Rédaction des documents légaux du site web

Vous devez également revoir le contenu de vos « Mentions légales », de votre « politique de confidentialité » ainsi que de vos « Conditions générales de vente et d’utilisation » (CGVU).

Des modèles personnalisables des documents sont disponibles sur le site www.documentslegaux.fr, ou directement sur le site de la CNIL.

4- Communiquez sur votre mise en conformité RGPD

Il s’agit de rassurer vos visiteurs ainsi que vos prospects sur l’utilisation que vous faites de leurs données personnelles éventuellement récupérées suite à leur consentement.

N’oubliez pas de rendre vos formulaires de capture conformes RGPD. (Les formulaires créés à partir de SG Autorépondeur, quel que soit le forfait, sont déjà 100% compatibles RGPD).

Bonne préparation au RGPD.

5- Conclusion

Vous avez ci-dessus une façon structurée d’approcher votre mise en conformité. Contrairement à ce qu’on voit partout actuellement sur l’urgence de vous mettre en conformité, je vous recommande de… prendre le temps. Il n’y a pas véritablement d’urgence, même si vous lisez cet article après le 25 mais 2018. Et j’écris celà en fonction de 2 critères :

  • La CNIL elle-même nous fait part d’une tolérance durant les premiers mois après le 25 mai, surtout concernant les petites entreprises, à condition de prouver tout de même votre bonne foi en prouvant que vous êtes dans la démarche de mise en conformité. Lire une interview de la directrice du CNIL ici.
  • La quadrature du net, pour ne parler que d’un seul exemple, vient de déposer une plainte collective de 12 000 personnes contre les Gafam (Google, Amazon, Facebook, Apple, Microsoft), ce qui va donner pas mal de travail de contrôle à la CNIL. Et ce n’est que le début… Donc, avant que la CNIL ne vienne faire un contrôle dans votre toute petite entreprise, il peut se passer encore quelques mois.
  • La France est le pays qui inflige les amendes les plus lourdes (source : usine-digitale.fr)

Enfin, sachez qu’il encore possible de bénéficier d’une formation complète, sous la forme d’un MOOC, directement auprès du site de la CNIL. Vous trouverez cette formation en cliquant ici.

En conclusion donc, pas de panique, à condition que vous soyez honnêtement déjà engagé dans la démarche de mise en conformité, vous ne risquez globalement pas grand chose pour les mois qui viennent.

Enfin, n’hésitez pas à poser vos questions en commentaires, je me ferais un plaisir d’y répondre.

Views: 211

Vous avez aimé cet article ? Partagez-le svp...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Un écrin pour votre E-book

• Plusieurs modèles à disposition
• Chaque Couv vous sera fournie en 2 tailles

Avez-vous envie de...

Devenir un,
Entrepreneur Libre

Téléchargez le Livret « Lancer une web entreprise pour moins de 200 €/an » en remplissant ce formulaire :