Le Règlement RGPD et ses implications : par Pictopagina

Article dans sa version 1

Cliquer sur ce lien pour accéder à la nouvelle version de cet article

Les chapitres de cet article ne sont pas accessibles par « ancres », et ceci à escient,
« obligeant » ainsi tout un chacun à le lire dans son entièreté, plutôt que de le survoler.

 

A – Préambule et Avertissements :

Depuis le 25/05/2018, il est obligatoire, pour tout professionnel, collecteur de données, de préciser quelle est sa politique en matière de Règlement Général de Protection des Données : le « RGPD ».

 

Pour quelles juridictions ?
Déjà, ce n’est pas une loi mais un règlement. Quelle est la différence me direz-vous ?
Admettons qu’un gars à Dallas, gère une société. Sur ses mentions légales il sera notifié que la juridiction compétente en cas de litiges, sera celle de Dallas (ou celle la plus proche, je ne suis jamais allé à Dallas…).
Alors qu’avec un Règlement, la juridiction « locale » n’est plus prégnante, mais c’est celle du Règlement qu’il y aura lieu de considérer.

Pour quels types de données ?
Pour toutes ! Aussi bien obtenues ou non via internet, aussi bien tenues ou non sur informatique, internet, papier, etc.

Exemples de collectes de données : lors d’un recueil par formulaire de Contact, de mise en place de Google Analytics, et même, dans un magasin, lors de la récupération de données « papier », mais qui seront ensuite détenues dans un système informatique, qu’il conviendra donc de protéger, etc.
Lien pour télécharger le texte de ce règlement RGPD : https://www.pictopagina.com/rgpd/RGPD_CELEX_32016R0679_FR_TXT.pdf

La façon par laquelle sont détenues les données a t-elle une importance ?
Papier, smartphone, ordinateur, internet… toutes les façons sont concernées, dès lors que des Données Personnelles de tiers sont détenues.

Le flux de gestion des données a t-il une importance ?
Là encore. Pas de petit, moyen ou grand flux. Toute grandeur de flux est concernée, dès lors que des Données Personnelles de tiers sont détenues.

Prenons un exemple précis et qui parlera à tous (Ex : les Médecins)
Mais allons plus loin. Prenons un exemple (parmi tant d’autres…) : les médecins, les professions paramédicales, etc., détiennent aussi des données personnelles (sensibles qui plus est) de tiers (les patients par exemple)… et de fait, doivent se caler à la conformité RGDP.
Imaginons que les données de tiers soient détenues sur un ordinateur portable et non partagées en réseau (= OK, bien), mais que malencontreusement, l’ordinateur vient à être volé.
= fuite de Données = Violation de Données Personnelles !
Vous avez des doutes ? Voyez ce document de la CNIL concernant les cabinets médicaux et paramédicaux.
Toujours pas convaincu ? Voici un Guide édité par le Conseil National des Médecins, Url pour ce guide : Guide CNOM CNIL

Nb : En fait, les dispenses accordées avant le 25/05/2018, sont devenues caduques. Certes, la CNIL réfléchit à la modification des textes des « anciens dispensés » en ce qui concerne le RGPD… à suivre donc…

Prendre conscience du RGPD
Je dis souvent, que « ce n’est pas parce que l’on peut faire, que l’on sait faire ».
Chacun sait, que pour conduire un véhicule, il faut obtenir le permis de conduire. Ce qui sous-entend le fait de suivre les leçons de code et de passer l’examen de code. Puis ensuite de suivre des leçons de conduite (un certain nombre, comme disait Fernand Raynaud), puis de passer x fois l’examen du permis.
C’est seulement une fois tout ceci fait, que vous pourrez vous installer dans votre belle auto et sillonner les routes de votre liberté, en prenant soin de ne pas amputer celle des autres…

En France, il est dit « Nul n’est censé ignorer la loi » !
Mais voilà, le sujet est hyper complexe !

Des amendes commencent à tomber… et les montants sont faramineux.
Extrait d’une page de la CNIL : « Avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. »

 

Bon, vu comme ça, on pourrait avoir peur..
Alors voici deux vidéos qui vont vous expliquer simplement les enjeux du RGPD.

La première a été réalisé en collaboration avec la CNIL, la seconde est un screencast réalisé par mes soins.

 

ATTENTION : Via cet article, en aucun cas je ne me positionne ni me positionnerai en tant que conseiller, pour la simple et unique raison que celui qui rédige le contenu et registres afférents à cette loi, sera considéré comme responsable de ceux-ci. Tout au plus, je vous donne ici quelques – informations – clés pour vous frayer un chemin dans cette jungle qu’est le RGPD.

Selon la loi RGPD, il appartient à chacun, de se préoccuper de la mise en place des effets de cette loi concernant son entité.
Je sais, cela vous parait aberrant… parce que peu de personnes sont en mesure de comprendre cette « encyclopédie » de textes plus brumeux les uns que les autres.
Mais prenons l’exemple suivant : Lorsque l’on monte une société, qui plus est si la société vend des produits et services, tout un chacun sait qu’il faut passer par un avocat pour établir les CGV, CGU, Mentions Légales, etc… 
Le coût de ce passage chez l’avocat ou chez une société spécialisée, se compose (au moins) d’un montant à 4 chiffres…
Eh bien il en est de même pour cette nouvelle réglementation du RGPD. Rappelons que tout professionnel qui rédige cette conformité, engage sa responsabilité de bonne-fin.
La preuve via ce lien (pris au hasard, et sans faire de pub pour cette société pour autant) : https://registre-rgpd.fr

C’est la raison pour laquelle je déclare que cette rédaction du RGPD n’est absolument pas du ressort (en principe) d’une agence web, mais qu’il appartient bien à tout porteur de projet de s’acquitter de cette conformité.
À moins que l’agence en question n’ait reçu une formation spécifique (non certifiée par la CNIL pour l’instant, rappelons-le) l’assurant de fait (en principe ?), de ne pas engager sa responsabilité.

De plus, il n’existe aucun site internet qui vous donnera l’entièreté des informations nécessaires à la rédiger la conformité du RGPD.

Qui plus est, si pour tous 1 + 1 = 2, les textes de cette loi étant tellement flous, qu’il sera sans doute possible, selon l’interprétation de tel ou tel (fonctionnaire, juge, etc.), que le résultat soit différent de = 2
Comme disait Desproges : Étonnant non ?

Résumer cette nouvelle réglementation en une page, tient tout simplement de la gageure.
Mais à coeur vaillant, rien d’impossible. Voyons la suite…

 

B – Comment réfléchir à la mise en place du RGPD :

Il faut d’abord réfléchir (seul ou en comité) sur les données « sensibles » que détient votre entité ?
Puis au besoin, désigner un DPO (en fait, un relais en RGPD au sein de votre entité).
Une fois vos besoins évalués, vous serez mieux à même de savoir ce que vous devez « mettre en route ».

Sachez qu’il vous faudra également tenir compte (le cas échéant) des éléments suivants :
– Logiciel de Facturation / Devis / Gestion, conforme (loi anti-fraude à la TVA 2018).
Là, il ya aurait beaucoup à dire… Alliée au RGPD, la loi Anti-fraude interdit le retouche de toute facturation. De plus, le logiciel doit être lui-même conforme au RGPD et protéger les données de tiers détenues par vous.
Il est à noter que si vous avez un logiciel conforme, vous devrez le déclarer sur le registre des sous-traitants.
Il existe des logiciels commerciaux OffLine agréés (EBP, Sage, etc.), ils peuvent être également dispos en OnLine.
À ce titre, je vous donne des liens d’autres logiciels de gestions diverses, Online ou non, agréés, dont certains fortement orientés bâtiment : Hennri (gratuit), Tolteck, So-Fa, Extrabat, Mediabat, Solti, etc.
Plus d’informations sur le logiciel de gestion Online Henrri, via ce lien Url
– Broyeur de documents papier : Il faut que le broyeur soit conforme RGPD
– Mots de passe gérés sous informatique : Pour être totalement assuré qu’un mot de passe est conforme au RGPD, il suffit de visiter cet article de la CNIL à ce sujet.

Voici de quoi vous aider dans cette réflexion préalable :
Je vous donne un lien qui structure cette élaboration de « plan d’attaque » du RGPD : https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles

Puis, 4 fichiers au format Acrobat.pdf
Pdf1 – Présentation Keynote d’une conférence (France Tour) : https://www.pictopagina.com/rgpd/refl1-api_rgpd_tour_cahors_20181017.pdf
Pdf2 – Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises : https://www.pictopagina.com/rgpd/refl2-bpi-cnil-guide-rgpd-tpe-pme.pdf
Pdf3 – Guide du sous-traitant : https://www.pictopagina.com/rgpd/refl3-rgpd-guide_sous-traitant-cnil.pdf
Pdf4 – Keynote élaborée par le cabinet Haas : https://www.haas-avocats.com/wp-content/uploads/2017/09/Data-RH-PPT13092017-LIVRE-BLANC.pdf

De fait, une petite entité devra rédiger sa conformité, via un DPA (Data Protection Administrator), et une entité plus importante pourra désigner un délégué DPO (Data Protection Officer).
Il est à noter que ce dernier doit être déclaré à la CNIL.

 

 

C – « Kit » minimal à tenir imprimé en vos locaux, à détenir, et déclarations à la CNIL ?

Important : Il faut établir 3 registres :
1 – Un Registre des Données RGPD (responsable de traitement imposé par l’article 30). Guide dispo via ce lien : pdf_6_etapes_interactifv2.pdf)
Modèle type de registre RGPD via ce lien : registre_rgpd_basique.pdf

2 – Un Registre des notifications de violations de données personnelles (pdf remplissable) : https://www.pictopagina.com/rgpd/CNIL_Formulaire_Notification_de_Violations.pdf
Voir également ce lien : notifier-une-violation-de-donnees-personnelles
Nb : Si votre entité ne connait n’a pas connu de violations de données à caractère personnel, il faut quand même faire montre de création à minima de ce registre, pré-rempli de vos informations de base et cela, même si le contenu informatif sera finalement égal à néant (dans un premier temps…).

3 – Un Registre de sous-traitant(s)
Scoop : Voici un modèle de Registre Sous-Traitant remplissable.
Attention : il s’agit d’une retranscription d’un modèle.xlsx trouvé sur le web, et retravaillé par moi, au format.pdf remplissable. En aucun cas il n’a de valeur définitive et irréfutable. Je le fournis ici, à fin d’exemple.
Guide de la CNIL, dispo via ce lien : rgpd-guide_sous-traitant-cnil.pdf

Information importante : Tous les contrats de sous-traitance en cours d’exécution devront comprendre au 25 mai 2018 les clauses obligatoires prévues par le règlement européen.
Pour info, à minima, ce registre devra contenir les information afférentes à votre hébergeur de site web ou de services. Exemples : OVH, Prestashop, etc.
Le problème étant qu’il existe un modèle type agrée par la CNIL pour les 1^er et le 2^ème registres cités, mais pas pour le registre des sous-traitants.

4 – Si vous avez désigné un DPO, il faut en faire la déclaration auprès de la CNIL

5 – Sachez, que si votre entité est victime d’une Violations de Données Personnelles, il vous faut le déclarer sur le site CNIL dans les 72h.

6 – Enfin, Il vous faut télécharger le Kit de Documentation proposé au chapitre J de cet article (kit non exhaustif, bien entendu).
Nb : pas forcément l’imprimer, sauf peut-être à minima, le Guide Pratique de Sensibilisation pour les Petites et Moyennes Entreprises : https://www.pictopagina.com/rgpd/kit/cnil-bpi-cnil-guide-rgpd-tpe-pme.pdf

 

D – Si vous possédez un site internet lié à votre entité

Si, sur ce site, vous êtes collecteur de données. Exemple : lors d’un formulaire de Contact, de mise en place de Google Analytics, et même, dans un magasin, lors de la récupération de données « papier » mais qui seront ensuite détenues dans un système informatique, et qu’il conviendra de protéger. etc.), vous devez absolument non seulement, posséder les 3 registres dont j’ai parlé plus haut, mais également créer une page spécifique :
a) Page sur votre site internet : Politique de Confidentialité des Données [RGPD]
Attention à la recopie. Car tous les textes tels que : Mentions légales RPGD, etc., sont à considérer comme de la propriété intellectuelle.
Ainsi, certains petits malins ont inséré des groupes de mots ou phrases, leur permettant de retrouver sur la toile, des textes recopiés. Et là, pareil, on débute avec 7500€ d’amende.

b) Https
Il faut que votre site soit présenté comme sécurisé : Https et non Http [un « s » à la fin de Http]
Et encore qu’en ce domaine, ne nous leurrons pas, certains services de Certificats de Sécurité SSL étant gratuits, même les pirates ont désormais leur nom de domaine en https.

c) Google Analytics
Ramenez le délai de rétention des statistiques de 26 à 14 mois.
Procédure via l’espace Google Analytics :
– Sur la colonne de gauche, tout en bas, choisir : Administration
– Puis, dans le 2ème colonne (Propriété), développer « Informations de suivi »
– Choisir enfin la 3ème ligne « Conservation des données », et modifier la valeur de la durée de conservation des données.

d) Placer vos registres sur votre serveur de site
Placez les 3 registres créés, sur votre serveur de site, via Ftp. Personnellement, ils sont placés dans un dossier appelés prosaïquement « rgpd ».
L’intérêt de l’affaire, est, que si l’on cherche à vérifier à distance que vous avez rédigé vos mentions RGPD, avec une simple recherche comprenant votre « nom de domaine » + « rgdp », on trouvera des résultats… si fait qu’un contrôle à distance permettra rapidement de voir que vous êtes en conformité.

e) Acceptation des formulaires de Contact par l’internaute, par recueil Opt-in
Sur les formulaires de Contact, Il faut ajouter une information, voire une case à cocher, précisant que lorsque l’internaute clique sur le bouton « Envoyer » du formulaire, il accepte la politique de Confidentialité des Données Personnelles du site.

 

E – Formation RGPD : Où s’adresser ?

Il n’existe pas à l’heure actuelle (et à ma connaissance au 08/11/2018), de formation agréée. Ce qui fait que bon nombre de personnes s’investissent du titre de « conseiller RGPD », mais n’en ont finalement ni le droit, ni souvent, les qualités.
Par contre, bon nombre de cabinets divers ayant pignon sur rue, ont bien réalisé la manne que pouvait représenter ce marché.

À mon sens, en France (hormis Myriam Criquet notamment), il existe une personne qui sait de quoi elle parle et fait autorité en la matière : Thiébaut Devergranne (Docteur en droit privé).
Pour vous en convaincre, il vous suffit d’aller sur ce lien Url : https://donneespersonnelles.fr
Ou sur sa chaine Youtube « Legiscope » : https://www.youtube.com/channel/UCjFsbvcQJWTY_YGo7-kZFNQ

Thiébaut Devergranne organise régulièrement des sessions de formation au RGPD, pour la somme de 1779 € HT pour 2 jours (tarif au 08/11/2018).
Au vu des sanctions possibles, ce n’est « pas cher payé ». Nb : si votre entité à la trésorerie nécessaire, bien sûr.
Voir ici : https://www.donneespersonnelles.fr/formation-gdpr

Thiébaut Devergranne a la confiance de très grands acteurs économiques, comme vous pourrez le constater sur la page en question.
Quoi qu’il en soit, je ne saurai trop vous recommander de vous abonner à ses fils de discussion et autres Newletters.

Quant à votre serviteur, je reste en étroite communication et collaboration, avec Myriam Criquet, juriste, qui a assuré la présentation d’une conférence – à laquelle j’ai assisté – qui s’est tenue à Cahors le 17/10/2018.
Rappel concernant la présentation de cette conférence : https://www.pictopagina.com/rgpd/refl1-api_rgpd_tour_cahors_20181017.pdf

 

F – PHISHING, SPAM, et autres Piratages

Le flou artistique de cette nouvelle réglementation, va faire le bonheur de hackers en tout genre.
Ainsi, j’ai reçu un mail de quelqu’un me demandant de lui assurer que Pictopagina ne possédait aucunes données le concernant.
Vu le nom, la réponse était évidemment : Non !
Mais voilà, en bas du mail (auquel je n’ai bien entendu pas répondu), il se trouvait un texte – écrit en petit caractères – avec un lien proposant de ne plus recevoir de mails de la part de cette personne. (lien de désabonnement)
Et c’est dans l’étude de ce lien que se tient le danger principal. Si l’internaute y répond, il sera assuré de s’engouffrer dans un « vortex » infernal.

 

G – Le RGPD, nouvelle manne pour l’état ?

Si, en tant que citoyen lambda, je suis tout à fait heureux de voir que mes informations personnelles sont mieux protégées, je subodore que les pouvoirs publics ont pressenti là (et ce peut-être suite à un constat après la mise en place du RGPD) matière à récupérer de l’argent à bon compte. L’avenir nous le dira…

 

H – RGPD et emails, quelles pratiques à tenir ?
On a vu dans les chapitres précédents, qu’on a pensé à mettre en place la conformité RGPD en ce qui concerne les formulaires de contact, les cookies, etc.

Mais qu’en est-il de la pratique à tenir en ce qui concerne les emails, et plus précisément, de la sauvegarde des carnets d’adresses de nos contacts ?
Wahaahhhh, là y’a du boulot…
Je ne cesse de le dire : « Ne jamais stocker son carnet de contacts sur un portail webmail. »
Le carnet d’adresses doit rester en local, sur VOTRE système informatique.
Par exemple, chez Apple, le logiciel ad-hoc s’appelle prosaïquement « Carnet d’adresses », et il est en relation avec le logiciel de mail « Apple Mail ».

Attention : Microsoft, dans Office 365, propose des addons CRM (Calendrier, Contacts) dont les données seront stockées sur le Cloud.
Donc, encore une fiche sous-traitants à remplir…

Il suffira de se rappeler le nombre de compte emails dérobés chez Yahoo (+ 1500000), chez Orange (800000 en 2014), etc.
La problématique, c’est qu’au regard de la réglementation RGPD, vous serez irrémédiablement tenu pour responsable quant à la façon dont vous avez (non) protégé vos adresses de contacts mails… car en effet, il s’agira là en l’occurence, d’une violation de données personnelles : « Une violation de données peut donc non seulement être constituée par une fuite de données, mais également par la perte définitive de données ».
Du coup, cela entre dans le traitement du Registre des Violations de Données.

Donc :
1 – Les contacts doivent être sauvés en interne et non sur un portail.
2 – Signalez que vous adoptez cette pratique (sauvegarde en local), sur le Registre de Traitement des Données, au chapitre : « Mesures de Sécurité », sous-chapitre « Sauvegarde des Données ».
3 – Lors d’envoi de mail à des destinataires multiples, adoptez la pratique suivante : Règle pour envoi d’émails en masse

Plus d’infos sur ce post : https://www.darvis.fr/rgpd-et-les-emails/
Nb : On fera l’impasse sur le nombre de fautes de français…  : (

 

I – Conclusion

On voit bien que la mise en place des ; Mentions Légales, des Conditions Générales d’utilisation, des Conditions Générales de Vente, du règlement RGPD, de la loi Hamon, de la loi Informatique & Liberté, nécessite les conseils de personnes maitrisant le sujet.
En règle générale, ces mises en place étant assurées via des avocats spécialistes en ces domaines, mais à quel coût… un coût bien moindre que celui risqué en cas de manquement au règlement.

Bien entendu, les clefs que je vous ai livrées sur cet article, ne saurait en aucun cas, engager ma responsabilité.
Il appartient à chacun de s’informer et de prendre ses responsabilité en matière de Conformité RGPD.

Mon mot de la fin sera : ATTENTION ! mettez-vous en conformité, les sanctions vont tomber et ça va faire mal.

 

J – BONUS – Kit de Documentation (le tenir à disposition d’un contrôle, pas forcément l’imprimer)
Ici, je mets à votre disposition un kit de documentation, composé de textes, d’informations, de liens Url, de fichiers, glanés ça et là sur le web.

Car en effet, si avez bien mis en place votre conformité vis-à-vis du RGPD, il vous faut prouver de la compréhension de l’affaire, et tenir à disposition en cas de contrôle, un minimum de documents afférents au RGPD..
Ainsi, avec un kit de documentation, vous faites preuve de cette compréhension, et posséderez des documents dans lesquels vous pourrez « piocher » à convenance, en cas de besoin.

– Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 : https://www.pictopagina.com/rgpd/kit/ue-Reglement-UE-2016/679-Parlement-Europeen-et-du-Conseil-20160427.pdf
– Journal officiel L119 de l’Union européenne : https://www.pictopagina.com/rgpd/kit/ue-Journal-Officiel-de-l’Union-Europeenne-L119-20160504.pdf
– CNIL : Comprendre le RGPD (page web) : https://www.cnil.fr/fr/comprendre-le-rgpd
– CNIL : Check List – Avez-vous pensé à ? : https://www.pictopagina.com/rgpd/kit/cnil-check_list.pdf
– CNIL : Guide Pratique de Sensibilisation pour les Petites et Moyennes Entreprises : https://www.pictopagina.com/rgpd/kit/cnil-bpi-cnil-guide-rgpd-tpe-pme.pdf
– CNIL : Guide de la sécurité des données personnelles (page web) : https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles
– CNIL : Guides de la CNIL – Sécurité des Données Personnelles : https://www.pictopagina.com/rgpd/kit/cnil_guide_securite_personnelle.pdf
– CNIL : Guide Pratique sur la Protection des Données Personnelles : https://www.pictopagina.com/rgpd/kit/cnil-guide-cnom-cnil.pdf
– CNIL : Guide du Sous-traitant – édition septembre 2017 : https://www.pictopagina.com/rgpd/kit/cnil-guide_sous-traitant-cnil.pdf
– OVH : RGPD : https://www.pictopagina.com/rgpd/kit/ovh-rgpd-ovh-20180525.pdf

 

H – EDIT : AMENDES DÉJÀ INFLIGÉES (faits les plus marquants) :

– 10 jours après l’entrée en vigueur du RGPD, la CNIL rend la plus importante sanction jamais prononcée (250.000€)
– 3 semaines après l’entrée en vigueur du RGPD, une association écope de 75.000€ d’amende, pour non respect des obligations de sécurité informatique.
– Récemment, Bouygues s’est vu infliger une amende de 250000€ (Nb : elle devait être de 500000€).
Voir cet article sur le site la CNIL à ce sujet.

Et pour mieux comprendre comment la sanction peut tomber, voici une présentation de la Chaîne Répressive de la CNIL, où l’on s’aperçoit que la délation y est pour beaucoup…

 

Alors, Gaulois de la Gaule, vous ne pourrez plus dire… je ne savais pas…
J’espère que cet article pourra vous aider à y voir plus clair sur ce « fameux RGPD ».