RGPD
Le 25 mai 2018 à eu lieu la mise en application du Règlement Général sur le Protection des Données. Vous pensiez ne pas être concerné ? ou mieux en être dispensé ? En bien non !
- Sommaire -
Présentation
1. Principes généraux
2. Obligations en matière de Collecte et de traitement
3. Obligations en matière de Droit des personnes
4. Durées de conservation des données personnelles
5. Obligation de sécurisation
6. Obligation de mise en place de Procédures organisationnelles
7. Destinataire des données et Transferts hors de l’UE
8. Responsabilités
9. Sanctions
Présentation
Qu’est-ce que le RGPD
Le Règlement Général de Protection des Données (RGPD) n°2016 / 679 daté du 27 avril 2016, crée un cadre européen unifié en matière de protection des données personnelles. Il vient réaffirmer ou créer des obligations auprès des responsables, qui doivent s’assurer de leurs respects au travers de la mise en place de diverses mesures techniques documentées.
Il est applicable au plus tard le 25 mai 2018.
Qu’est-ce qu’une « donnée à caractère personnel »
" Une donnée personnelle est constituée par toute information se rapportant à une personne physique et permettant de l’identifier directement ou indirectement."
Quels sont les changements
Le RGPD crée de nouveaux Droits et des Obligations en matière de traitement, stockage, utilisation, et conservation des données à caractère personnel. Parmi lesquels
• Garantir la sécurité des données collectées, traitées, et stockées
• Sécuriser les données contre le risque de perte, de vol ou de divulgation
• Garantir aux personnes l’accès, la modification, la restitution et l’effacement de leurs données personnelles
• Documenter les mesures et procédures de protection
• Recueillir et prouver le consentement éclairé des individus
• Notifier dans les 72h à la CNIL une atteinte à la confidentialité des données traitées.
Qui est concerné
Il s’impose à toutes les entreprises et particulièrement aux entreprises qui traitent des « données à caractère personnel ».
Sur quoi s’applique le RGPD
Données collectées par le site internet, et plus particulièrement lors de l’enregistrement d’un compte client, ou l’enregistrement d’une commande en ligne.
Données personnelles collectées et stockées dans les logiciels de gestion, paie, etc. …
Pour les applications de gestion « en ligne » (paie, facturation, …) Vos prestataires respectifs doivent vous fournir les informations techniques sur les données collectées, le niveau de sécurité appliqué, les lieux et durées de stockage.
Pour les applications utilisées sur votre PC vous devez définir vous-même les mesures de protection à appliquer (Contrôle d’accès, sauvegarde, …).
1. Principes généraux
L’article 5 du RGPD énumère les principes relatifs au traitement des données à caractère personnel.
• Les données collectées par le site internet doivent-être collectée de manière licite, loyale et transparente
• Les données doivent être collectées pour une finalité déterminée, explicite, et légitime et ne pas être réutilisée pour une finalité non prévue lors de leur collecte.
• Les données doivent-être adéquates, pertinentes et limitées au regard de leur finalité
• Elles doivent être exactes et tenues à jour
• Conservées pour une durée n’excédant pas la durée nécessaire à la finalité de leur traitement.
• Traitées de façon à garantir leur sécurité.
De ces principes découlent des droits et obligations. En tant que Responsable des traitements, vous devez démontrer que vous remplissez l’ensemble de ces obligations. :
• Obligations en matière de collecte et de traitement.
• Obligations en matière de Droit des personnes
• Obligation en matière de sécurisation de ces données
2. Obligations en matière de Collecte et de traitement
2.1 Conditions de licéité du traitement (art 6)
Un traitement est licite (autorisé) si l’une des conditions suivantes est remplie
La collecte et le traitement sont nécessaires à l’exécution du contrat.
Ex. : Informations collectées lors d’une commande en ligne, ou de la création d’un compte client pour accéder aux pages privées sur site.
La collecte et le traitement sont nécessaires pour répondre à une obligation légale.
Date de naissance pour la vente d’alcool
La collecte et le traitement sont nécessaires à la sauvegarde des intérêts vitaux de la personne.
Domaine médical (pas concerné)
La collecte et le traitement sont nécessaires aux fins des intérêts légitimes poursuivis par le responsable des traitements.
Ce dernier cas est plus flou. Il convient de mettre en balance votre intérêt légitime à utiliser ces données, et l’intérêt de la personne concernée à ce que ces données ne soient pas utilisées . . .
La personne a donnée sont consentement à l’utilisation de ses données, , mais elle doit aussi pouvoir retirer ce consentement à tout moment.
Ex : Newsletter
La personne doit cocher une case pour manifester son consentement à recevoir la Newsletter lors de la création d’un compte client. Mais elle doit aussi pouvoir retirer son consentement (Lien de désinscription)
Tous nos sites internet remplissent une de ces conditions de licéité au moment de l’enregistrement des données personnelles des utilisateurs.
3. Obligations en matière de Droit des personnes
3.1 Obligation d’informer (art 13)
• Il convient d’informer dans le détail et en termes clairs, les personnes concernées, au moment de l’enregistrement de leurs données personnelles. Le document doit être présentée séparément de toute autre information.
C’est le rôle du document « Politique de confidentialité ». Ce document doit détailler : L’identité et coordonnées du destinataire des données. Le fondement du traitement (motifs), L’existence d’’un droit de rectification. L’existence d’un transfert ou pas hors de l’UE. La durée de conservation de ces données. Le droit d’introduire une réclamation auprès de la CNIL
3.2 Droit d’accès et de rectification
• La personne concernée doit disposer d’un droit d’accès (art 15) et de rectification (art 16) de ses données personnelles. Il doit aussi pouvoir en demander l’effacement (art 17 et 18) ou d’en télécharger l’intégralité du contenu (art 20).
• La personne concernée dispose aussi d’un droit d’opposition (art 21) à l’utilisation de ses données à des fins de prospection commerciale.
• Et pour finir La personne dispose d’un Droit de ne pas faire l’objet d’une décision uniquement fondée sur un traitement automatisé (art 22).
3.3 Droit d’opposition (art 7, art 21)
• Dans les cas où le traitement repose sur le consentement, le responsable est en mesure de démontrer que la personne concernée a donné son consentement. La personne concernée a le droit de retirer son consentement à tout moment. Elle en est informée avant de donner son consentement.
C'est typiquement le cas de la Newsletter. Toutefois il convient de distinguer les emails envoyés dans le cadre normal de la relation commerciale (qui ne nécessitent pas de consentement), et les emails envoyés à des fins de prospection.
4. Durées de conservation des données personnelles
• Les durées de conservation sont librement déterminées par le responsable des traitements sans toutefois excéder celles nécessaire au regard des finalités pour lesquelles elles sont traitées. En dehors de certaines obligations légales imposées (Code de commerce, …) les durées de conservation peuvent s’apprécier sur les bases du « Référentiel des durées de conservation » proposés par la CNIL.
4.1 Durées de conservation des données recueillies par le site internet
Pour information quelques durées de conservation conseillées :
Type d’information | Durée légale | Recommandations CNIL |
---|---|---|
Informations de Compte client | Tant que dure la relation commerciale. | Jusqu’à 3 ans après la fin de la relation commerciale. |
Informations sur les Pièces commerciales |
10 ans | 10 ans |
Fichier de Prospection (Hors fichier client) Newsletter |
- | 3 ans |
Cookies de Tracking | - | 6 mois |
5. Obligation de sécurisation
• L’obligation générale de sécurité (Art 32) du RGPD impose au responsable du traitement et à son sous-traitant de mettre en œuvre toute mesures nécessaires permettant d’assurer un niveau de sécurité adapté.
Nous ne pouvons pas ici détailler les mesures de sécurité mises en oeuvre pour des raisons de ... sécurité. Toutefois cela en trace les grandes lignes.
5.1 Mesures de protection générale mises en œuvre
Cryptage des échanges entre le site internet et l’internaute. Les échanges sont chiffrés par le protocole HTTPS (implémentation de SSLv3 ou TLSv1 sur HTTP). Ce protocole permet de chiffrer les échanges afin de s’assurer que les données ne soient pas exploitables en cas d’interception.
5.2 Mesures additionnelles de protection des données
Différentes techniques de protections sont mises en place pour protéger l’accès à la Base de données. Les informations sensibles de type « mots de passe » sont stockées sous forme cryptées, Une surveillance des accès est mise en œuvre et journalisée, et une sauvegarde journalière et hebdomadaire est réalisée.
5.3 Protection des comptes authentifiés
Lors de l’enregistrement des données personnelles de l’utilisateur, les informations sont transmises chiffrées par le protocole HTTPS, cryptées à leur arrivées, et stockées sous forme cryptées. Le cryptage est de type « asymétrique non réversible ».
5.4 Sensibilisation des utilisateurs
Il est rappelé à l’internaute dans la « Politique de confidentialité », qu’en tant qu’utilisateur authentifié, il est responsable de la confidentialité des accès à son compte, et que nous déclinons toute responsabilité en cas d’utilisation abusive consécutive à la perte de confidentialité de son accès.
5.5 Protection des accès administratifs
Votre site internet dispose d’une interface d’administration privée.
Une surveillance automatisée des accès est mise en œuvre et journalisée. Une alerte par email est déclenchée lorsqu’un accès est considérés comme suspects, et la connexion est aussitôt bloquée.
6. Obligation de mise en place de Procédures organisationnelles
• Documenter les mesures et les procédures mises en œuvre en matière de sécurité, et pouvoir rendre comptes auprès des autorités de contrôle des mesures prises.
6.1 Désignation d’un « Délégué à la Protection des Données » (art 37)
Le rôle du Délégué à la Protection des Données (DPD) est d’informer et conseiller les décideurs sur les mesures de sécurisation à mettre en œuvre, d’assurer de leur conformité avec la réglementation, et répondre aux demandes et réclamations reçues.
La désignation d’un « Délégué à la Protection des Données » est facultative (Excepté dans certains cas précis), mais cela est fortement recommandée par la CNIL du fait du niveau technique demandé.
Nous pouvons prendre en charge pour vous ce rôle de « Délégué à la Protection des Données ».
6.2 Tenue d’un Registre des activités de traitement (art 30)
Ce « Registre des activités de traitement » doit se présenter sous forme écrite, il répertorie les données stockées, la finalité du traitement, les mesures de protection appliquées, etc. … .
Le Registre des activités de traitement est facultatif pour les entreprises de moins de 250 salariés, mais il devient obligatoire si les traitements sont réguliers (… appréciation très large ... faut attendre la jurisprudence pour y voir clair).
6.3 Gestion de la Sous-traitance (art 28)
Le règlement impose la conclusion d’un contrat écrit entre le sous-traitant et le Responsable des traitements. En plus des informations relatives au traitement en lui-même (finalité, objet, durée, …) Le contrat doit prévoir que le sous-traitant s’engage à n’agir que sur autorisation du Responsable des traitements, et assurer la confidentialité et la sécurité des données.
7. Destinataire des données et Transferts hors de l’UE
Lorsque des données personnelles sont collectée, le responsable des traitements doit fournir à la personne concernée un certain nombre d’informations parmi lesquelles le(s) destinataire(s) des données, et la mention d’un transfert de ces données hors de l’UE ou pas.
(Eviter les stockage de type Cloud ... )
Chez nous, vous êtes le seul et unique détenteur des données personnelles qui sont collectées. Aucune donnée collectée n’est transmise, ni revendue à un tiers extérieur. Aucune donnée personnelle ne fait l’objet d’un transfert hors de l’Union Européenne.
8. Responsabilités
Dans tous les cas, vous êtes le « Responsable de traitement », que vous traitiez les données vous-même ou que vous fassiez appel à un sous-traitant (prestataires de services informatiques, agences de communication, cabinets comptables…)
En tant que tel, vous devez démontrer que vous remplissez l’ensemble de ces obligations. Vous devez aussi être en mesure de documenter l’ensemble des mécanismes et procédures interne mise en œuvre.
9. Sanctions
Respecter ce règlement est vital pour votre entreprise. Pour chaque manquement, qu’il y ait eu ou non dommage matériel ou moral, vous risquez une amende jusqu’à 4% de votre chiffre d’affaires annuel.
- O -
Nous voici arrivé au terme de ces explications sur le RGPD dont on parle beaucoup en ce moment. Comme vous avez pu le constater le règlement RGPD est assez dense (88 pages).
En l’état actuel, votre site internet satisfait à 100% des obligations imposées par le RGPD.
Nous sommes à votre disposition pour toute question relative à la mise en application du RGPD.
Nous vous remercions de votre confiance et de votre fidélité
D. FOREST
- O –
Ce document est un document de synthèse. Il ne traite pas de tous les aspects du RGPD
mais de la conformité du Site internet avec le RGPD.
Plus d'informations : 03.23.82.32.64