RGPD : implémentation administrative
Introduction
L’implémentation administrative est la partie la plus importante dans la mise en place du RGPD dans votre projet web. Pour la CNIL, vous devez être parfaitement lucide sur les impacts de l’ensemble de vos traitements de données personnelles.
La charge de travail nécessitera sans doute l’aide d’un DPO (Délégué à la Protection des Données) attitré à votre organisation.
Lister > Analyser > Éditer > Rédiger > À vous de jouer !
Est-ce obligatoire d’avoir un DPO ?
Vous avez également le droit de sous-traiter ou de mutualiser cette partie avec d’autres organisations.
Lister les traitements des données personnelles
Analyser - optimiser et limiter les traitements
N’oubliez pas que selon la CNIL vous devez justifier les prélèvements par le service rendu au client.
Vous avez toute la visibilité pour évaluer et planifier vos prochaines optimisations afin de limiter la collecte de données inutiles.
Vous devez également avoir une réflexion sur la sécurité des données que vous hébergez sur votre site, notamment sur les droits d’accès de votre backoffice.
Quelles sont les personnes qui ont accès ? Depuis combien de temps ? Comment se connectent-ils ? Partagez-vous des logins ? Avez-vous la visibilité des logs ? Peuvent-ils se connecter sur leur ordinateur personnel ?
Éditez vos registres
- Le registre du responsable de traitement
- Le registre des sous-traitants
- Les notifications des violations des sécurités des données personnelles
Les registres de traitement et de sous-traitants regroupent l’ensemble des informations recueillies dans votre cartographie des traitements des données personnelles.
Rédiger la page “Protection des données”
Pour chaque traitement, vous devez :
> Les définir avec des termes compréhensibles par tout le monde
> Préciser leur durée
> Leur localisation
> L’ensemble des données récoltées et pour quelle finalité
Vous devez afficher le nom du responsable des données ainsi qu’un moyen simple et efficace pour le contacter. L’utilisateur doit être en mesure d’exercer ses droits : droits d’accès, de rectification, d’opposition et d’effacement.
Préciser également l’ensemble des mesures de sécurité mise en place pour la protection des données.
Elle doit être rédigée avec des termes simples et compréhensibles par tout le monde et être accessible depuis vos CGU et vos mentions légales.
Mentions légales
Il est important d’afficher les coordonnées du responsable du traitement des données pour que l’utilisateur puisse exercer ses droits.
Vous devez afficher très clairement les droits de l’utilisateur et un processus clair pour l’aider à les faire respecter.
Conditions générales de vente
- Qui est le responsable du traitement et comment le contacter.
- Indiquez la liste des traitements de votre module d’e-commerce.
- Listez l’ensemble des champs relatifs aux données personnelles et leur utilité.
- Votre activité est-elle reliée à des sous-traitants ? Si oui, indiquez le.
- Listez les mesures de sécurité mises en place.
- Indiquer la durée de conservation et le lieu où sont hébergées les données.
Les cookies
> Voir l’exemple de la page des cookies de Wexample Labs.
Afficher la liste des cookies ainsi que ces principales caractéristiques :
- nom
- description
- usage
- duré de vie
- destination
Les pages web cookies et Politique de traitement des données sont souvent liées.
Normalement, vous devez permettre à vos utilisateurs d’utiliser vos services en bloquant les cookies traceurs s’ils le souhaitent. Rendez-vous sur l’article implémentation technique pour découvrir l’ensemble des fonctionnalités dédiées au RGPD sur un site web.
La mise en conformité de vos projets web est sans doute fastidieuse mais pas impossible. Elle est devenue inhérente à la gestion de projet web. Au quotidien, j’accompagne les organisations dans leur processus de normalisation avec beaucoup de pédagogie pour éveiller les consciences de chacun et pour aider chaque utilisateur à faire ses propres choix.Carole Lavocat
La suite du dossier RGPD
Diagnostic de votre site web
Analyse de votre projet web pour découvrir vos obligations relatives au RGPD.
No comments