RGPD : implémentation administrative

Carole LAVOCAT

Cheffe de projet web | Co-fondatrice et Présidente de Wexample

Au sommaire :

Introduction
Est-ce obligatoire d’avoir un DPO ?
Lister les traitements des données personnelles
- 1. Les acteurs
- 2. Les traitements
Analyser – optimiser et limiter les traitements
Éditez vos registres
Rédiger la page “Protection des données”
Mentions légales
Conditions générales de vente
Les cookies

Introduction

L’implémentation administrative est la partie la plus importante dans la mise en place du RGPD dans votre projet web. Pour la CNIL, vous devez être parfaitement lucide sur les impacts de l’ensemble de vos traitements de données personnelles.

La charge de travail nécessitera sans doute l’aide d’un DPO (Délégué à la Protection des Données) attitré à votre organisation.

Lister > Analyser > Éditer > Rédiger > À vous de jouer !

Est-ce obligatoire d’avoir un DPO ?

Le Délégué à la Protection des Données n’est pas obligatoire. Mais il est fortement recommandé de former une personne à ce poste pour les organisations qui traitent beaucoup de données personnelles.

Vous avez également le droit de sous-traiter ou de mutualiser cette partie avec d’autres organisations.

Lister les traitements des données personnelles

1. Les acteurs

Vous devez connaître l’identité et les coordonnées des personnes impliquées dans le traitement des données personnelles.

Le responsable du traitement

(ou de son représentant légal)
Le DPO (Délégué à la Protection des données).

Le responsable opérationnel

Identifiez les personnes prêtes à intervenir pour exécuter les droits des utilisateurs et réagir rapidement en cas de violations des données personnelles.

Les administrateurs

Quelles sont les personnes qui ont accès aux données personnelles stockées dans votre site web (webmaster, éditeur…).

Les sous-traitants

Google Analytics, services de newsletter, partage sur les réseaux sociaux… Que ce soit directement ou indirectement, ces entreprises collectent des données personnelles via votre site web.

2. Les traitements

Déterminez la liste des actions qui collectent des données personnelles, (e-commerce, statistiques de ventes, gestion des clients prospects, etc.).

Quels types de données ?
Sont-elles sensibles (comme les données relatives à la santé ou à des infractions) ?

🎯 Les objectifs

Expliquer la ou les finalités pour lesquelles vous collectez ou traitez ces données (e-commerce, CRM, ERP…).

🧭 La destination

Vous devez localiser votre serveur web et ceux de vos sous-traitants ? Il est important de savoir si les données personnelles quittent l’Europe.

⏱ La durée

Les données personnelles ne peuvent être éternellement stockées. C’est le moment de se rendre compte s’il existe des procédures et si vous êtes dans la légalité.

🔒 Protections

Précisez les mesures de sécurité mises en œuvre pour minimiser les risques d’accès non autorisés aux données (accès au backoffice limité, complexité des mots de passes…).

Analyser – optimiser et limiter les traitements

Vous avez maintenant cartographié l’ensemble de vos traitements, c’est le moment d’examiner si l’ensemble de vos prélèvements sont utiles et légitimes.

N’oubliez pas que selon la CNIL vous devez justifier les prélèvements par le service rendu au client.

Vous avez toute la visibilité pour évaluer et planifier vos prochaines optimisations afin de limiter la collecte de données inutiles.

Vous devez également avoir une réflexion sur la sécurité des données que vous hébergez sur votre site, notamment sur les droits d’accès de votre backoffice.

Quelles sont les personnes qui ont accès ? Depuis combien de temps ? Comment se connectent-ils ? Partagez-vous des logins ? Avez-vous la visibilité des logs ? Peuvent-ils se connecter sur leur ordinateur personnel ?

Éditez vos registres

C’est la partie la plus importante de la mise en place du RGPD. Vous êtes tenus de mettre en place et de te tenir à jour trois registres :

Le registre du responsable de traitement
Le registre des sous-traitants
Les notifications des violations des sécurités des données personnelles

Les registres de traitement et de sous-traitants regroupent l’ensemble des informations recueillies dans votre cartographie des traitements des données personnelles.

Rédiger la page “Protection des données”

Cette page est destinée à informer vos utilisateurs sur l’ensemble des traitements effectués sur votre site par vous et vos sous-traitants.

Pour chaque traitement, vous devez :
> Les définir avec des termes compréhensibles par tout le monde
> Préciser leur durée
> Leur localisation
> L’ensemble des données récoltées et pour quelle finalité

Vous devez afficher le nom du responsable des données ainsi qu’un moyen simple et efficace pour le contacter. L’utilisateur doit être en mesure d’exercer ses droits : droits d’accès, de rectification, d’opposition et d’effacement.

Préciser également l’ensemble des mesures de sécurité mise en place pour la protection des données.

Elle doit être rédigée avec des termes simples et compréhensibles par tout le monde et être accessible depuis vos CGU et vos mentions légales.

Mentions légales

La page web relative à la Politique de protection des données doit figurer dans vos mentions légales : voir modèle de service-public.fr

Il est important d’afficher les coordonnées du responsable du traitement des données pour que l’utilisateur puisse exercer ses droits.

Vous devez afficher très clairement les droits de l’utilisateur et un processus clair pour l’aider à les faire respecter.

Conditions générales de vente

Vos conditions générales de ventes doivent également être conforme au RGPD.

Qui est le responsable du traitement et comment le contacter.
Indiquez la liste des traitements de votre module d’e-commerce.
Listez l’ensemble des champs relatifs aux données personnelles et leur utilité.
Votre activité est-elle reliée à des sous-traitants ? Si oui, indiquez le.
Listez les mesures de sécurité mises en place.
Indiquer la durée de conservation et le lieu où sont hébergées les données.

Les cookies

Vous devez être capable de lister tous les cookies qui sont associés à votre site web, y compris ceux qui sont déposés par vos sous-traitants (solutions de statistiques, boutons sociaux, vidéos provenant de plateformes tierces telles que Google, YouTube, Facebook, etc.).

> Voir l’exemple de la page des cookies de Wexample Labs.

Afficher la liste des cookies ainsi que ces principales caractéristiques :

nom
description
usage
duré de vie
destination

Les pages web cookies et Politique de traitement des données sont souvent liées.

Normalement, vous devez permettre à vos utilisateurs d’utiliser vos services en bloquant les cookies traceurs s’ils le souhaitent. Rendez-vous sur l’article implémentation technique pour découvrir l’ensemble des fonctionnalités dédiées au RGPD sur un site web.

La mise en conformité de vos projets web est sans doute fastidieuse mais pas impossible. Elle est devenue inhérente à la gestion de projet web. Au quotidien, j’accompagne les organisations dans leur processus de normalisation avec beaucoup de pédagogie pour éveiller les consciences de chacun et pour aider chaque utilisateur à faire ses propres choix.

Échangeons ensemble sur votre projet !

Carole Lavocat – Cheffe de projet web pour Wexample.
07 82 33 15 14

Mon Calendly !