LA CONFORMITÉ LÉGALE – LE RGPD
[Règlement Général de Protection des Données – 25/05/2018]
Cet article a été rédigé, dans le but de faire prendre conscience de l’importance du RGPD.
Certes, la lecture de cet article pourra sembler ardue, mais pour ceux qui souhaitent comprendre, elle est essentielle.
Par ailleurs, sachez que Pictopagina a « LA » Solution afin que vous soyez en totale conformité juridique, en proposant des ateliers aux professionnels.
Exclusif : Plus d’infos sur une page spéciale, en cliquant sur ce lien : Ateliers de Conformité Juridique
Bonne lecture…
Le RGPD Règlement Général de Protection des Données
Depuis le 25/05/2018, il est obligatoire, pour tout professionnel, collecteur de données personnelles de tiers (nom, email, adresse, tél, photo, etc.),
de préciser quelle est sa politique vis-à-vis de sa mise en conformité envers la protection de ces Données Personnelles.
SOMMAIRE
A – Préambule et Avertissements
B – Comment réfléchir à la mise en place du RGPD
C – Kit minimal à tenir imprimé en vos locaux, à détenir, et déclarations à la CNIL ?
E – Si vous possédez un site internet lié à votre entité
F – Formation RGPD : Où s’adresser ?
G – PHISHING, SPAM, et autres Piratages
H – Le RGPD, nouvelle manne pour l’état ?
I – RGPD et emails, quelles pratiques à tenir ?
J – Bonus – Kit de Documentation
Commentaires : Merci d’avance pour vos commentaires
A – Préambule et Avertissements
Depuis le 25/05/2018, il est obligatoire, pour tout professionnel, collecteur de données personnelles (nom, email, adresse, tél, photo, etc.), de préciser quelle est sa politique vis-à-vis de sa mise en conformité envers le Règlement Général de Protection des Données : le « RGPD ».
Le RGPD, qui doit s’y conformer ?
Tout professionnel (en gros, qui possède un numéro de SIREN), agissant envers des citoyens européens, collecteur de données personnelles de tiers (nom, email, adresse, tél, photo, etc.).
Liste non exhaustive : Les Entrepreneurs, les artisans, les commerçants, les médecins, les écoles, les administrations (Mairie, etc.)
Également tout éditeur de contenu public, et qui recueillie des données de tiers.
Le RGPD, dérogation pour les entreprises de moins de 250 salariés.
Attention, cette dérogation n’est pas totale. En vérité, il s’agit d’un aménagement de la rédaction des Registres, et notamment celui des Données Personnelles.
De fait, le RGPD est dû pour tous ceux énumérés plus haut, mais avec une intensité de remplissage plus ou moins relative.
Voir le site de la CNIL : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement
Le RGPD, pour quelles juridictions ?
Le RGPD n’est pas une loi mais un règlement. Quelle est la différence me direz-vous ?
Prenons l’exemple d’une entreprise à Dallas. Sur ses mentions légales il sera notifié que la juridiction compétente en cas de litiges, sera celle de Dallas (ou celle la plus proche).
Alors qu’avec un Règlement, la juridiction « locale » n’est plus prégnante, mais c’est celle du Règlement qu’il y aura lieu de considérer.
Donc, si une entreprise étrangère fait des affaires avec des ressortissants européens, elle sera tenue de respecter le règlement RGPD, et non la juridiction légale du tribunal de commerce en principe compétent.).
Le RGPD, pour quels types de données ?
Pour toutes ! Aussi bien obtenues ou non via internet, aussi bien tenues ou non sur informatique, internet, papier, etc.
Exemples de collectes de données : lors d’un recueil par formulaire de Contact, de mise en place de Google Analytics, et même, dans un magasin, lors de la récupération de données « papier », mais qui seront ensuite détenues dans un système informatique, qu’il conviendra donc de protéger, etc.
On admet 2 grands types de données : Les directes (nom, prénom, adresse, etc.), et les indirectes : N° d’identifiant, plaque d’immatriculation, etc.
Lien pour télécharger le texte de ce règlement RGPD : https://www.pictopagina.com/rgpd/RGPD_CELEX_32016R0679_FR_TXT.pdf
La Politique du « Château »
J’ai appelé cela comme ça, pour vous faire comprendre, que le plus qu’il vous est possible, il faut adopter une politique de conservation de ses données, comme si elles restaient murées en « votre » château.
Effectivement, si un assaillant attaque « votre » château, et que vous avez laissé votre stock de provisions éloigné du chateau, l’assaillant se précipitera tout naturellement en premier sur ce stock.
À l’encontre, si votre stock est en « votre » chateau, vous serez plus à même de le défendre.
Prenons un exemple précis et qui parlera à tous, les médecins
Mais allons plus loin. Prenons un exemple (parmi tant d’autres…) : les médecins, les professions paramédicales, etc., détiennent aussi des données personnelles (sensibles qui plus est) de tiers (les patients par exemple)… et de fait, doivent se caler à la conformité RGDP.
Imaginons que les données de tiers soient détenues sur un ordinateur portable et non partagées en réseau (= OK, bien), mais que malencontreusement, l’ordinateur vient à être volé = fuite de Données = Violation de Données Personnelles !
Vous avez des doutes ? Voyez ce document de la CNIL concernant les cabinets médicaux et paramédicaux.
Toujours pas convaincu ? Voici un Guide édité par le Conseil National des Médecins, Url pour ce guide : Guide CNOM CNIL
Prendre conscience du RGPD
En France, il est dit « Nul n’est censé ignorer la loi » !
Mais voilà, le sujet est hyper complexe !
Je dis souvent, que « ce n’est pas parce que l’on peut faire, que l’on sait faire ».
Chacun sait, que pour conduire un véhicule, il faut obtenir le permis de conduire. Ce qui sous-entend le fait de suivre les leçons de code et de passer l’examen de code. Puis ensuite de suivre des leçons de conduite (un certain nombre, comme disait Fernand Raynaud), puis de passer x fois l’examen du permis.
C’est seulement une fois tout ceci fait, que vous pourrez vous installer dans votre belle auto et sillonner les routes de votre liberté, en prenant soin de ne pas amputer celle des autres…
Des amendes commencent à tomber… et les montants sont faramineux. Voir le chapitre J – Amendes déjà infligées
Extrait d’une page de la CNIL : « Avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. »
Bon, vu comme ça, on pourrait avoir peur…
Alors voici deux vidéos qui vont vous expliquer simplement les enjeux du RGPD.
La première est une vidéo réalisée par Pictopagina, la seconde a été réalisée en collaboration avec la CNIL.
Depuis le 25/05/2018, il est obligatoire, pour tout professionnel, collecteur de données personnelles (nom, email, adresse, tél, photo, etc.), de préciser quelle est sa politique vis-à-vis de sa mise en conformité envers le Règlement Général de Protection des Données : le « RGPD ».
Le RGPD, qui doit s’y conformer ?
Tout professionnel (en gros, qui posséde un numéro de SIREN), agissant envers des citoyens européens, collecteur de données personnelles de tiers (nom, email, adresse, tél, photo, etc.).
Liste non exhaustive : Les Entrepreneurs, les artisans, les commerçants, les médecins, les écoles, les administrations (Mairie, etc.)
Également tout éditeur de contenu public, et qui recueillie des données de tiers.
Le RGPD, dérogation pour les entreprises de moins de 250 salariés.
Attention, cette dérogation n’est pas totale. En vérité, il s’agit d’un aménagement de la rédaction des Registres, et notamment celui des Données Personnelles.
De fait, le RGPD est dû pour tous ceux énumérés plus haut, mais avec une intensité de remplissage plus ou moins relative.
Voir le site de la CNIL : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement
Le RGPD, pour quelles juridictions ?
Le RGPD n’est pas une loi mais un règlement. Quelle est la différence me direz-vous ?
Prenons l’exemple d’une entreprise à Dallas. Sur ses mentions légales il sera notifié que la juridiction compétente en cas de litiges, sera celle de Dallas (ou celle la plus proche).
Alors qu’avec un Règlement, la juridiction « locale » n’est plus prégnante, mais c’est celle du Règlement qu’il y aura lieu de considérer.
Donc, si une entreprise étrangère fait des affaires avec des ressortissants européens, elle sera tenue de respecter le règlement RGPD, et non la juridiction légale du tribunal de commerce en principe compétent.).
Le RGPD, pour quels types de données ?
Pour toutes ! Aussi bien obtenues ou non via internet, aussi bien tenues ou non sur informatique, internet, papier, etc.
Exemples de collectes de données : lors d’un recueil par formulaire de Contact, de mise en place de Google Analytics, et même, dans un magasin, lors de la récupération de données « papier », mais qui seront ensuite détenues dans un système informatique, qu’il conviendra donc de protéger, etc.
On admet 2 grands types de données : Les directes (nom, prénom, adresse, etc.), et les indirectes : N° d’identifiant, plaque d’immatriculation, etc.
Lien pour télécharger le texte de ce règlement RGPD : https://www.pictopagina.com/rgpd/RGPD_CELEX_32016R0679_FR_TXT.pdf
La Politique du « Château »
J’ai appelé cela comme ça, pour vous faire comprendre, que le plus qu’il vous est possible, il faut adopter une politique de conservation de ses données, comme si elles restaient murées en « votre » château.
Effectivement, si un assaillant attaque « votre » château, et que vous avez laissé votre stock de provisions éloigné du chateau, l’assaillant se précipitera tout naturellement en premier sur ce stock.
À l’encontre, si votre stock est en « votre » chateau, vous serez plus à même de le défendre.
Prenons un exemple précis et qui parlera à tous, les médecins
Mais allons plus loin. Prenons un exemple (parmi tant d’autres…) : les médecins, les professions paramédicales, etc., détiennent aussi des données personnelles (sensibles qui plus est) de tiers (les patients par exemple)… et de fait, doivent se caler à la conformité RGDP.
Imaginons que les données de tiers soient détenues sur un ordinateur portable et non partagées en réseau (= OK, bien), mais que malencontreusement, l’ordinateur vient à être volé = fuite de Données = Violation de Données Personnelles !
Vous avez des doutes ? Voyez ce document de la CNIL concernant les cabinets médicaux et paramédicaux.
Toujours pas convaincu ? Voici un Guide édité par le Conseil National des Médecins, Url pour ce guide : Guide CNOM CNIL
Prendre conscience du RGPD
En France, il est dit « Nul n’est censé ignorer la loi » !
Mais voilà, le sujet est hyper complexe !
Je dis souvent, que « ce n’est pas parce que l’on peut faire, que l’on sait faire ».
Chacun sait, que pour conduire un véhicule, il faut obtenir le permis de conduire. Ce qui sous-entend le fait de suivre les leçons de code et de passer l’examen de code. Puis ensuite de suivre des leçons de conduite (un certain nombre, comme disait Fernand Raynaud), puis de passer x fois l’examen du permis.
C’est seulement une fois tout ceci fait, que vous pourrez vous installer dans votre belle auto et sillonner les routes de votre liberté, en prenant soin de ne pas amputer celle des autres…
Des amendes commencent à tomber… et les montants sont faramineux. Voir le chapitre J – Amendes déjà infligées
Extrait d’une page de la CNIL : « Avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. »
Bon, vu comme ça, on pourrait avoir peur…
Alors voici deux vidéos qui vont vous expliquer simplement les enjeux du RGPD.
La première est une vidéo réalisée par Pictopagina, la seconde a été réalisée en collaboration avec la CNIL.
ATTENTION : Via cet article, en aucun cas je ne me positionne ni me positionnerai en tant que conseiller, pour la simple et unique raison que celui qui rédige le contenu et registres afférents à cette loi, sera considéré comme responsable de ceux-ci (DPO). Tout au plus, je vous donne ici quelques – informations – clés pour vous frayer un chemin dans cette jungle qu’est le RGPD.
Nb : Pour l’instant (au 30/01/2019), la CNIL ne délivre pas encore de Certification RGPD.
Selon la loi RGPD, il appartient à chacun, de se préoccuper de la mise en place des effets de cette loi concernant son entité.
Je sais, cela vous parait aberrant… parce que peu de personnes sont en mesure de comprendre cette « encyclopédie » de textes plus brumeux les uns que les autres.
Mais prenons l’exemple suivant : Lorsque l’on monte une société, qui plus est si la société vend des produits et services, tout un chacun sait qu’il faut passer par un avocat pour établir les CGV, CGU, Mentions Légales, etc…
Le coût de ce passage chez l’avocat ou chez une société spécialisée, se compose (au moins) d’un montant à 4 chiffres…
Eh bien il en est de même pour cette nouvelle réglementation du RGPD. Rappelons que tout professionnel qui rédige cette conformité, engage sa responsabilité de bonne-fin.
La preuve via ce lien (pris au hasard, et sans faire de pub pour cette société pour autant) : https://registre-rgpd.fr
C’est la raison pour laquelle je déclare que cette rédaction du RGPD n’est absolument pas du ressort (en principe) d’une agence web, mais qu’il appartient bien à tout porteur de projet de s’acquitter de cette conformité.
À moins que l’agence en question n’ait reçu une formation spécifique (non certifiée par la CNIL pour l’instant, rappelons-le) l’assurant de fait (en principe ?), de ne pas engager sa responsabilité.
De plus, il n’existe aucun site internet qui vous donnera l’entièreté des informations nécessaires à la rédiger la conformité du RGPD.
Qui plus est, si pour tous 1 + 1 = 2, les textes de cette loi étant tellement flous, qu’il sera sans doute possible, selon l’interprétation de tel ou tel (fonctionnaire, juge, etc.), que le résultat soit différent de = 2
Comme disait Desproges : Étonnant non ?
Résumer cette nouvelle réglementation en une page, tient tout simplement de la gageure.
Mais à coeur vaillant, rien d’impossible. Voyons la suite…
B – Comment réfléchir à la mise en place du RGPD
- Il faut d’abord réfléchir (seul ou en comité) sur les données « sensibles » que détient votre entité ?
- Le Responsable légal du RGPD est en principe le chef d’entreprise (selon la taille de l’entreprise), qui sera alors dénommé le « DPA » (Data Protection Administrator)
- Au besoin (selon la taille de l’entreprise), il faudra désigner un « DPO » (Data Protection Officer). En fait, une personne autre que le DPA, qui sera le relais de la conformité RGPD au sein de votre entité.
- Une fois vos besoins évalués, vous serez mieux à même de savoir ce que vous devez « mettre en route ».
Sachez qu’il vous faudra également tenir compte (le cas échéant) des éléments suivants :
– Logiciel de Facturation / Devis / Gestion, conforme à la loi anti-fraude à la TVA 2018 (voir cet article de Pictopagina).
Là, il ya aurait beaucoup à dire… Alliée au RGPD, la loi Anti-fraude interdit le retouche de toute facturation. De plus, le logiciel doit être lui-même conforme au RGPD et protéger les données de tiers détenues par vous.
Il est à noter que si vous avez un logiciel conforme, vous devrez le déclarer sur le registre des sous-traitants.
Il existe des logiciels commerciaux OffLine agréés (EBP, Sage, etc.), ils peuvent être également dispos en OnLine.
À ce titre, je vous donne des liens d’autres logiciels de gestions diverses, Online ou non, agréés, dont certains fortement orientés bâtiment : Henrri (gratuit), Tolteck, So-Fa, Extrabat, Mediabat, Solti, etc.
Plus d’informations sur le logiciel de gestion Online Henrri, via ce lien Url
– Broyeur de documents papier : Il faut que le broyeur soit conforme RGPD
– Mots de passe gérés sous informatique : Pour être totalement assuré qu’un mot de passe est conforme au RGPD, il suffit de visiter cet article de la CNIL à ce sujet.
Voici de quoi vous aider dans cette réflexion préalable :
Je vous donne un lien qui structure cette élaboration de « plan d’attaque » du RGPD : https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles
Puis, 4 fichiers au format Acrobat.pdf
Pdf1 – Présentation Keynote d’une conférence (France Tour) : https://www.pictopagina.com/rgpd/refl1-api_rgpd_tour_cahors_20181017.pdf
Pdf2 – Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises : https://www.pictopagina.com/rgpd/refl2-bpi-cnil-guide-rgpd-tpe-pme.pdf
Pdf3 – Guide du sous-traitant : https://www.pictopagina.com/rgpd/refl3-rgpd-guide_sous-traitant-cnil.pdf
Pdf4 – Keynote élaborée par le cabinet Haas : https://www.haas-avocats.com/wp-content/uploads/2017/09/Data-RH-PPT13092017-LIVRE-BLANC.pdf
De fait, une petite entité devra rédiger sa conformité, via un DPA (Data Protection Administrator), et une entité plus importante pourra désigner un délégué DPO (Data Protection Officer).
Il est à noter que ce dernier doit être déclaré à la CNIL.
C – Kit minimal à tenir imprimé en vos locaux, à détenir, et déclaration à la CNIL
1 – Important : Il faut établir 3 registres (et les tenir imprimés) :
1a – Un Registre des Données RGPD (responsable de traitement imposé par l’article 30). Guide dispo via ce lien : pdf_6_etapes_interactifv2.pdf)
Modèle type de registre RGPD via ce lien : registre_rgpd_basique.pdf
Selon la liste issue de votre réflexion préalable, c’est dans ce Registre que vous devrez notifier :
- Envers qui détenez-vous des Données Personnelles ?
- Quels types de Données Personnelles, détenez-vous ?
- Comment les détenez-vous ?
- Combien de temps les détenez-vous ?
- Comment ces Données sont-elles sécurisées ?
- etc.
1b – Un Registre des notifications de violations de données personnelles (pdf remplissable) : https://www.pictopagina.com/rgpd/CNIL_Formulaire_Notification_de_Violations.pdf
Voir également ce lien : notifier-une-violation-de-donnees-personnelles
Nb : Si votre entité ne connait n’a pas connu de violations de données à caractère personnel, il faut quand même faire montre de création à minima de ce registre, pré-rempli de vos informations de base et cela, même si le contenu informatif sera finalement égal à néant (dans un premier temps…).
1c – Un Registre de sous-traitant(s)
Dans ce Registre, on indiquera les sous-traitants qui détiennent des Données Personnelles de VOTRE activité.
Entre-autres, l’hébergeur du site internet, un logiciel de Gestion Online, à qui vous permettez d’accéder à des données de tiers de votre activité.
Exemple : Sur le Registre des Données Personnelles, dans l’activité « Clients ».
Il faudra indiquer les sous-traitants en page 3 de cette activité (page 4 du Registre des Données Personnelles, si « Clients » = activité 1)
Puis remplir le Registre des Sous-traitants de façon adéquate.
Scoop : Voici un modèle de Registre Sous-Traitant remplissable
Attention : il s’agit d’une retranscription d’un modèle.xlsx trouvé sur le web, et retravaillé par moi, au format.pdf remplissable. En aucun cas il n’a de valeur définitive et irréfutable. Je le fournis ici, à fin d’exemple.
Guide de la CNIL, dispo via ce lien : rgpd-guide_sous-traitant-cnil.pdf
Information importante : Tous les contrats de sous-traitance en cours d’exécution devront comprendre au 25 mai 2018 les clauses obligatoires prévues par le règlement européen.
Pour info, à minima, ce registre devra contenir les information afférentes à votre hébergeur de site web ou de services. Exemples : OVH, Prestashop, etc.
Le problème étant qu’il existe un modèle type agrée par la CNIL pour les 1er et le 2ème registres cités, mais pas pour le registre des sous-traitants.
2 – Si vous avez désigné un DPO, il faut en faire la déclaration auprès de la CNIL
3 – Sachez, que si votre entité est victime d’une Violations de Données Personnelles, il vous faut le déclarer sur le site CNIL dans les 72h.
4 – Enfin, Il vous faut télécharger le Kit de Documentation proposé au chapitre I de cet article (kit non exhaustif, bien entendu).
Nb : pas forcément l’imprimer, sauf peut-être à minima, le Guide Pratique de Sensibilisation pour les Petites et Moyennes Entreprises : https://www.pictopagina.com/rgpd/kit/cnil-bpi-cnil-guide-rgpd-tpe-pme.pdf
D – Sécurisation des Données
Établir les Registres, c’est bien, mais encore faut-il identifier les actions de sécurisation à adopter, les notifier sur les Registres, et surtout, les appliquer…
On a donc vu qu’il y avait 2 façons de détenir des Données à Caractère Personnel :
– Sur papier (Carnet, Livre, etc.)
– Sur informatique (ex : ordinateur fixe ou portable)
1 – Si vos données sont tenues par écrit, je ne vois pas d’autre solution de les sécuriser, qu’en les enfermant dans un coffre-fort…
2 – Pour les Données détenues sur informatique, là le champ des actions possibles et/ou obligatoires est vaste.
a) Sauvegarde des Données
À minima, il faut faut définir une procédure de sauvegarde de ces données. Les détenir en un seul endroit est plus que scabreux.
Sur Mac, il est facile d’enclencher une sauvegarde automatisée et régulière, via la procédure : TimeMachine.
On pourra aussi envisager l’utilisation d’un serveur RAID ou NAS.
Pour un site internet, il conviendra également de prévoir un système de sauvegarde + une sauvegarde sur un système externe au 1er serveur qui héberge le site internet.
C’est ainsi, que lors de l’incendie du bâtiment d’OVH à Strasbourg, des sites ont été perdus à jamais faute de sauvegarde. Mais le RGPD est clair à ce sujet, c’est au propriétaire du site internet qu’il incombe de s’assurer de la protection apportées aux données de tiers qu’il détient sur son site internet. Donc une sauvegarde externe apparait comme obligatoire.
Le fait de rapatrier ses sauvegardes de temps à autre sur son matériel informatique « en le château », parait également judicieux.
La méthode employée par Pictopagina, qui m’a permis de faire face à des tentatives d’attaques extérieures, est la suivante :
-Sauvegarde programmée 2 fois par semaine (licence professionnelle), à l’intérieur de l’hébergement du site.
-Transfert automatisé de ces sauvegardes vers un coffre-fort numérique extérieur
-Rapatriement fréquents des sauvegardes sur les serveurs internes (NAS) de Pictopagina
-Sauvegarde des fichiers du site interne et de la base de données, sur les serveurs d’O2Switch, à l’aide d’un outil inclus dans e CPanel.
b) Protection des Données
Les Données doivent être protégées par des mots de passe d’au moins 12 caractères, plus étant conseillé.
Vous prendrez soin d’inventer des mots de passe complexes, afin d’éviter que l’on puisse les trouver facilement.
c) Protection des appareils détenant les Données
Sur ordinateur, les mots de passe complexes sont donc à prescrire.
Sur les appareils nomades (ex : ordinateur portable, disque-dur externe) également, mais vous devrez également utiliser une solution de Chiffrement de votre appareil.
Là encore, sur Mac, la solution est incluse de base, et s’appelle : Filevault
d) Antivirus
Inutile de préciser, que la création des virus est devenu un sport planétaire, et que bon nombre de PC en sont infestés..
Il ne sera que trop recommandé, d’utiliser un antivirus de qualité (ex : Bit Defender, Kaperski).
Nota : Les antivirus gratuits ayant leur limite dans leur gratuité.
Travaillant sur Mac, je ne saurais également que trop recommander l’utilisation d’un antivirus. Personnellement, j’utilise BitDefender pour Mac.
Une bonne pratique de sécurisation, consiste à installer les logiciels utiles sur votre informatique, en ouvrant une session Administrateur, puis, de passer en session Utilisateur (sans Droits donc) pour la pratique quotidienne.
De fait, si vous-même, vous n’avez pas accès à des Droits Admin, un éventuel intrus, se retrouvera dans la même situation.
Faites l’essai suivant : Contrôlez votre ordinateur, avec le logiciel Malware Bytes, gratuit durant 14 jours.
Vous serez sans doute surpris du résultat.
e) Destruction des Données
Si vous ne possédez pas de cheminée, où les données papier seront irrémédiablement détruites, le destructeur de papier se doit d’être homologué RGPD.
Il faudra bien entendu décrire toutes ces procédures que vous avez adoptées, sur vos Registres du RGPD.
E – Si vous possédez un site internet lié à votre entité
Si, sur ce site, vous êtes collecteur de données. Exemple : lors d’un formulaire de Contact, de mise en place de Google Analytics, et même, dans un magasin, lors de la récupération de données « papier » mais qui seront ensuite détenues dans un système informatique, et qu’il conviendra de protéger. etc.), vous devez absolument non seulement, posséder les 3 registres dont j’ai parlé plus haut, mais également créer une page spécifique :
a) Page sur votre site internet : Politique de Confidentialité des Données [RGPD]
Attention à la recopie. Car tous les textes tels que : Mentions légales RPGD, etc., sont à considérer comme de la propriété intellectuelle.
Ainsi, certains petits malins ont inséré des groupes de mots ou phrases, leur permettant de retrouver sur la toile, des textes recopiés. Et là, pareil, on débute avec 7500€ d’amende.
b) Https
Il faut que votre site soit présenté comme sécurisé : Https et non Http [un « s » à la fin de Http]
Et encore qu’en ce domaine, ne nous leurrons pas, certains services de Certificats de Sécurité SSL étant gratuits, même les pirates ont désormais leur nom de domaine en https.
Donc, si votre activité internet est importante, il faudra envisager de souscrire à un certificat SSL payant.
c) Google Analytics
Ramenez le délai de rétention des statistiques de 26 à 14 mois.
Procédure via l’espace Google Analytics :
– Sur la colonne de gauche, tout en bas, choisir : Administration
– Puis, dans le 2ème colonne (Propriété), développer « Informations de suivi »
– Choisir enfin la 3ème ligne « Conservation des données », et modifier la valeur de la durée de conservation des données.
d) Placer vos registres sur votre serveur de site
Placez les 3 registres créés, sur votre serveur de site, via Ftp. Personnellement, ils sont placés dans un dossier appelés prosaïquement « rgpd ».
L’intérêt de l’affaire, est, que si l’on cherche à vérifier (…CNIL) à distance que vous avez rédigé vos mentions RGPD, avec une simple recherche comprenant votre « nom de domaine » + « rgpd », on trouvera des résultats… si fait qu’un contrôle à distance permettra rapidement de voir que vous êtes en conformité.
e) Acceptation des formulaires de Contact par l’internaute, par recueil Opt-in
Sur les formulaires de Contact, Il faut ajouter une information, voire une case à cocher, précisant que lorsque l’internaute clique sur le bouton « Envoyer » du formulaire, il accepte la politique de Confidentialité des Données Personnelles du site.
f) Cookies
Un bandeau d’acceptation de la politique des cookies et autres traceurs doit être mis en place.
Ainsi, l’internaute aura loisir d’accepter ou non cette politique, et le cas échéant, de paramètrer ses propres choix.
Attention : Depuis le 1er avril 2021, les règles ont évolué.
Voir la page CNIL en cliquant sur ce lien Url
F – Formation PD, où s’adresser ?
La seule formation agréée, est celle de la CNIL. Ce qui fait que bon nombre de personnes s’investissent du titre de « conseiller RGPD », mais n’en ont finalement ni le droit, ni souvent, les qualités.
Par contre, bon nombre de cabinets divers ayant pignon sur rue, ont bien réalisé la manne que pouvait représenter ce marché.
Mais, le manque de Certification CNIL à un côté négatif. En effet, les cabinets proposant ces services, engagent leur responsabilité vis-à-vis de VOTRE RGPD.
De fait, ils ont bien souvent obligation de souscrire une assurance spécifique pour ce type de proposition.
Donc, comme ces assurances ne sont pas données, cela augmente considérablement le coût de ces propositions. CQFD
À mon sens, en France (hormis Myriam Criquet notamment), il existe une personne qui sait de quoi elle parle et fait autorité en la matière : Thiébaut Devergranne (Docteur en droit privé).
Pour vous en convaincre, il vous suffit d’aller sur ce lien Url : https://donneespersonnelles.fr
Ou sur sa chaine Youtube « Legiscope » : https://www.youtube.com/channel/UCjFsbvcQJWTY_YGo7-kZFNQ
Thiébaut Devergranne organise régulièrement des sessions de formation au RGPD, pour la somme de 1779 € HT pour 2 jours (tarif au 08/11/2018).
Au vu des sanctions possibles, ce n’est « pas cher payé ». Nb : si votre entité à la trésorerie nécessaire, bien sûr.
Voir ici : https://www.donneespersonnelles.fr/formation-gdpr
Thiébaut Devergranne a la confiance de très grands acteurs économiques, comme vous pourrez le constater sur la page en question.
Quoi qu’il en soit, je ne saurai trop vous recommander de vous abonner à ses fils de discussion et autres Newletters.
Quant à votre serviteur, je reste en étroite communication et collaboration, avec Myriam Criquet, juriste, qui a assuré la présentation d’une conférence – à laquelle j’ai assisté – qui s’est tenue à Cahors le 17/10/2018.
Rappel concernant la présentation de cette conférence : https://www.pictopagina.com/rgpd/refl1-api_rgpd_tour_cahors_20181017.pdf
G – Phishing, Spam, et autres piratages
Le flou artistique de cette nouvelle réglementation, va faire le bonheur de hackers en tout genre.
Ainsi, j’ai reçu un mail de quelqu’un me demandant de lui assurer que Pictopagina ne possédait aucunes données le concernant.
Vu le nom, la réponse était évidemment : Non !
Mais voilà, en bas du mail (auquel je n’ai bien entendu pas répondu), il se trouvait un texte – écrit en petit caractères – avec un lien proposant de ne plus recevoir de mails de la part de cette personne. (lien de désabonnement)
Et c’est dans l’étude de ce lien que se tient le danger principal. Si l’internaute y répond, il sera assuré de s’engouffrer dans un « vortex » infernal.
Bonus sécurité
Un Kit intéressant : Kit de sensibilisation aux risques numériques
Édité par : Cybermalveillance.gouv.fr
H – Le RGPD, nouvelle manne pour l’état ?
Si, en tant que citoyen lambda, je suis tout à fait heureux de voir que mes informations personnelles sont mieux protégées, je subodore que les pouvoirs publics ont pressenti là (et ce peut-être suite à un constat après la mise en place du RGPD) matière à récupérer de l’argent à bon compte. L’avenir nous le dira…
Pour info, consultez le chapitre : K – Amendes déjà infligées
I – RGPD et Emails, quelle pratique à tenir ?
On a vu dans les chapitres précédents, qu’on a pensé à mettre en place la conformité RGPD en ce qui concerne les formulaires de contact, les cookies, etc.
Mais qu’en est-il de la pratique à tenir en ce qui concerne les emails, et plus précisément, de la sauvegarde des carnets d’adresses de nos contacts ?
Wahaahhhh, là y’a du boulot…
Retournez lire, dans le Chapitre A : La Politique du « Château »…
Je ne cesse de le dire : « Ne jamais stocker son carnet de contacts sur un portail webmail. »
Le carnet d’adresses doit rester en local, sur VOTRE système informatique.
Par exemple, chez Apple, le logiciel ad-hoc s’appelle prosaïquement « Carnet d’adresses », et il est en relation avec le logiciel de mail « Apple Mail ».
Attention : Microsoft, dans Office 365, propose des addons CRM (Calendrier, Contacts) dont les données seront stockées sur le Cloud.
Donc, encore une fiche sous-traitants serait à remplir… (préférable, pour se préserver de fuites chez le Sous-Traitant)
Nb : Microsoft n’a aucun scrupule à avouer avoir « laissé une back door » dans Office 365… ça n’a pas l’air de les inquiéter outre-mesure !
Retournez lire, dans le Chapitre A : La Politique du « Château »…
Il suffira de se rappeler le nombre de compte emails dérobés chez Yahoo (+ 1500000), chez Orange (800000 en 2014), 533 millions chez Facebook, 500 millions chez Linkedin, etc.
La problématique, c’est qu’au regard de la réglementation RGPD, vous serez irrémédiablement tenu pour responsable quant à la façon dont vous avez (non) protégé vos adresses de contacts mails… car en effet, il s’agira là en l’occurence, d’une violation de données personnelles : « Une violation de données peut donc non seulement être constituée par une fuite de données, mais également par la perte définitive de données ».
Du coup, cela entre dans le traitement du Registre des Violations de Données.
Donc (selon la Politique du « Château »)
- 1 – Les contacts doivent être sauvés en interne et non sur un portail.
- 2 – Signalez que vous adoptez cette pratique (sauvegarde en local), sur le Registre de Traitement des Données, au chapitre : « Mesures de Sécurité », sous-chapitre « Sauvegarde des Données ».
- 3 – Lors d’envoi de mail à des destinataires multiples, adoptez la pratique suivante : Règle pour envoi d’émails en masse
Plus d’infos sur ce post : https://www.darvis.fr/rgpd-et-les-emails/
Nb : On fera l’impasse sur le nombre de fautes de français… : (
J – Bonus – Kit de documentation
Ici, je mets à votre disposition un kit de documentation, composé de textes, d’informations, de liens Url, de fichiers, glanés ça et là sur le web :
– Le règlement général sur la protection des données (RGPD), mode d’emploi.
Par Bercy Infos : https://www.economie.gouv.fr/entreprises/reglement-general-protection-donnees-rgpd#
– Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 : https://www.pictopagina.com/rgpd/kit/ue-Reglement-UE-2016/679-Parlement-Europeen-et-du-Conseil-20160427.pdf
– Journal officiel L119 de l’Union européenne : https://www.pictopagina.com/rgpd/kit/ue-Journal-Officiel-de-l’Union-Europeenne-L119-20160504.pdf
– CNIL : Comprendre le RGPD (page web) : https://www.cnil.fr/fr/comprendre-le-rgpd
– CNIL : Check List – Avez-vous pensé à ? : https://www.pictopagina.com/rgpd/kit/cnil-check_list.pdf
– CNIL : Guide Pratique de Sensibilisation pour les Petites et Moyennes Entreprises : https://www.pictopagina.com/rgpd/kit/cnil-bpi-cnil-guide-rgpd-tpe-pme.pdf
– CNIL : Guide de la sécurité des données personnelles (page web) : https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles
– CNIL : Guides de la CNIL – Sécurité des Données Personnelles : https://www.pictopagina.com/rgpd/kit/cnil_guide_securite_personnelle.pdf
– CNIL : Guide Pratique sur la Protection des Données Personnelles : https://www.pictopagina.com/rgpd/kit/cnil-guide-cnom-cnil.pdf
– CNIL : Guide du Sous-traitant – édition septembre 2017 : https://www.pictopagina.com/rgpd/kit/cnil-guide_sous-traitant-cnil.pdf
– CNIL : Guide de Sensibilisation pour les Collectivités Territoriales : https://www.pictopagina.com/rgpd/kit/cnil-guide-collectivite-territoriale.pdf
– CNIL : Guide de la pratique de la publication en ligne : https://www.pictopagina.com/rgpd/kit/guide-open-data.pdf
– CNIL : La CNIL en bref: https://www.pictopagina.com/rgpd/kit/cnil_en_bref_2019.pdf
– OVH : RGPD : https://www.pictopagina.com/rgpd/kit/ovh-rgpd-ovh-20180525.pdf
Car en effet, si avez bien mis en place votre conformité vis-à-vis du RGPD, il vous faut prouver de la compréhension de l’affaire, et tenir à disposition en cas de contrôle, un minimum de documents afférents au RGPD..
Ainsi, avec un kit de documentation, vous faites preuve de cette compréhension, et posséderez des documents dans lesquels vous pourrez « piocher » à convenance, en cas de besoin.
K – Amendes déjà infligées, faits les plus marquants
– Page web des sanctions infligées par la CNIL (cliquer ici)
– 10 jours après l’entrée en vigueur du RGPD, la CNIL rend la plus importante sanction jamais prononcée (250.000€)
– 3 semaines après l’entrée en vigueur du RGPD, une association écope de 75.000€ d’amende, pour non respect des obligations de sécurité informatique. (à lire par ici)
– Récemment, Bouygues s’est vu infliger une amende de 250000€ (Nb : elle devait être de 500000€).
Voir cet article sur le site la CNIL à ce sujet.
– Le Groupe Optical Center a été condamné à une amende de 250 000 eurospour atteinte à la protection des données de ses clients (à lire par ici)
– Une mairie varoise victime d’une cyberattaque risque une amende de 10 millions d’euros (à lire par ici)
– Challenges.fr condamné à 25.000 euros d’amende du fait du paramétrage de ses « cookies » (à lire par ici)
– La CNIL inflige une amende de 75000 € à l’ADEF. (à lire par ici)
– Facebook sous la menace d’une amende record de 1,6 milliards de dollars ? (à lire par ici
– Google condamné à une amende de 50 millions d’euros par la CNIL (à lire par ici)
– La CNIL inflige une amende record de 400.000 euros à Uber (à lire par ici)
– La CNIL met à l’amende l’OPH de Rennes sur la question des APL (à lire par ici)
– La CNIL met en demeure Humanis et Malakoff-Médéric pour avoir violé le RGPD (à lire par ici)
– Les start-up Fidzup et Teemo épinglées par la CNIL pour non-respect des données clients (à lire par ici)
– etc.
Et pour mieux comprendre comment la sanction peut tomber, voici une présentation de la Chaîne Répressive de la CNIL, où l’on s’aperçoit que la délation y est pour beaucoup…
New : Ça vient de tomber (début juillet 2021)
- Grandes entreprise :
- Carrefour – 3M€ – mauvaise information des personnes
- H&M – 35M € : surveillance illégale de leurs employés
- British Airways – 22M€ : faille de sécurité informatique
- Mariott – 20M€ : faille de sécurité informatique
- NotebookBiller – 10M€ – surveillance illégale
- Google/Amazon – 135M€ – cookies
- ETI/PME
- Vente en ligne de chaussures 250.000€ – collecte illégale de données
- 500.000€ pour démarchage téléphonique illégal
- 400.000€ défaut de sécurité informatique et conservation trop longue des données
- TPE/individuels/professions libérales
- Une app mobile : 20.000€ pour spam
- Un hôpital : 112.000€ pour défaut de protection des données
- 7500€ – pour une TPE de 2 employés ayant spammé ses utilisateurs
- 9000€ – deux médecins n’ayant pas sécurisé les données client
- 2000€ – un avocat qui a transmis les pièces d’une partie à un tiers
L’article des amendes évoquées plus haut est ici
New : Ça vient de tomber (fin juillet 2023)
Facebook – 1,2 Md€ (milliards). Voir ici
L – Conclusion
On voit bien que la mise en place des ; Mentions Légales, des Conditions Générales d’utilisation, des Conditions Générales de Vente ou d’Utilisation, du règlement RGPD, de la loi Hamon, de la loi Informatique & Liberté, nécessite les conseils de personnes maitrisant le sujet.
En règle générale, ces mises en place étant assurées via des avocats spécialistes en ces domaines, mais à quel coût… un coût bien moindre que celui risqué en cas de manquement au règlement.
Bien entendu, les clefs que je vous ai livrées sur cet article, ne saurait en aucun cas, engager ma responsabilité.
Il appartient à chacun de s’informer et de prendre ses responsabilité en matière de Conformité RGPD.
Mon mot de la fin sera : ATTENTION ! mettez-vous en conformité, les sanctions tombent et ça fait mal.
Nb : En général = chiffre d’affaires de l’année N-1
Alors, Gaulois de la Gaule, vous ne pourrez plus dire… je ne savais pas…
J’espère que cet article pourra vous aider à y voir plus clair sur ce « fameux RGPD »
Merci de revenir fréquemment vérifier, si l’article n’a pas évolué.
Le sujet étant si vaste… et comme on en apprend tous les jours…
Article mis à jour le 17/03/2019 à 11h
– Nouveau chapitrage.
Avec remplacement du Chapitre D (par ; Sécurisation des Données), et donc décalage des autres chapitres jusqu’àu Chapitre L.
Nb : J’ai dû ré-enregistrer les commentaires qui avaient été laissés sur la première version de cet article.
C’est la raison pour laquelle, la date et l’heure de ces commentaires, sont sensiblement les mêmes.
Travail énorme de Stéphane des heures de travail, documentation, recherche et mise à disposition
Un grand merci à Stéphane Caby de Pictopagina pour cet article RGPD
Merci ,
Pour tout ces renseignements qui nous permettent de prendre conscience de l’importance,
à ne pas négliger ,
concernant les paramètres à gérer pour ne pas déroger à la loi RGDP ,
de ses incidences ,sa conformité et ses implications ……….
ILLUSION’S CONCEPTS.
Beau travail d’investigation sur la confidentialité des données et plus précisément le RGPD (Règlement Général sur la Protection des Données).
Nous nous entendons sur le fond : évidemment qu’il faut légiférer, informer, sécuriser, suivre les collectes de données de nos clients.
La tâche est lourde pour les petites structures et ce travail de recherche et de synthèse que vous avez la bonté de partager (parfois, c’est bien de le rappeler !) permet d’y voir plus clair et surtout plus vite !
La partie « conseils sur les registres des données RGPD (c) » est très complète et bien outillée et le rappel des responsabilités de chacun tout à fait judicieux.
Un grand merci pour ces conseils qui vont nous aider à protéger davantage nos données confidentielles mais surtout celles des clients qui nous accordent leur confiance.
Un grand merci à Stéphane Caby de Pictopagina pour cet article RGPD, qui par ses conseils bénévoles, a su me sensibiliser aux implications de la loi RGDP (Politique de protection des données personnelles), et ainsi j’ai pu mettre mon entreprise en conformité.
) :
Merci beaucoup à Stéphane CABY de Pictopagina pour cet article exhaustif sur la RGPD.
Je salue votre professionnalisme, votre pédagogie et votre engagement.
Ce talent s’appuie sur un dévouement et une communication bien établie.
Complètement dingue cet article.
Je viens de prendre conscience de l’importance d’être complètement OK lorsque l’on est un professionnel, d’être totalement conforme aux lois.
Quand je dis dingue, c’est surtout parce qu’en cherchant des agences de création de sites internet dans le département du Lot, je me suis rendu compte qu’aucune ne parlait de cela.
Qui plus est, lorsque je vérifie (manie que j’aurais désormais) la conformité d’autres sites (mentions légales, RGPD, etc.), je m’aperçois que peu sont « aux normes ».
Comment se fait-il ?
De fait, je compte faire appel à Pictopagina pour monter la communication de mon futur projet.
Waow, super merci pour ce commentaire.
Il est un fait que Pictopagina se veut de proposer à ses clients, une communication entièrement conforme, y compris sur le plan légal / juridique.
Eh oui, ce ne serait pas dans son intérêt que les sites de ses clients ne soient pas conformes.
Car j’espère que désormais, les demandeurs de projet, seront plus exigeants à l’avenir, quant à la qualité réelle (finale) de ce qui leur est proposé.
Pour appuyer les dires de mon ami Seb, un peu plus haut…
Je suis artisan, complètement à fond dans mon taf, et donc loin de toutes ces exigences légales (paperasse).
Je n’avais pas idée du problème, mais avec cet article, certes laborieux à lire mais plus qu’instructif, j’ai enfin pris la mesure de l’affaire.
Alors merci Pictopagina pour cet article (aide) sur le RGPD.
Et merci aussi pour la mise en place de mon projet 2019.
Ma demande me semblait juste énorme, je ne voyais pas comment réaliser tout ce que j’avais en tête.
Pictopagina a su me proposer l’entièreté des solutions à même d’être en totale conformité (interrogez-le, vous verrez par vous-même).
Notamment sur la conformité de ma facturation, du coup, j’ai lu son article sur la loi anti fraude à la TVA 2018.
Désormais, je peux facturer sur mes chantiers, en toute légalité (avec Tolteck).
Jeremy, de Quercy Services 46
Ramonage sans poussières