le RGPD, sommes nous prêt ?

Dans un précédent article, nous avons vu le contexte de mise en place du Réglement Général de Protection des Données ainsi que ses principes généraux. Mais les acteurs français sont-ils prêts à relever ce défi ? Quelles sont les actions à prévoir pour être conforme au RGPD ? Ce sont des point que nous aborderons dans cet article.

 

Où en sont les acteurs français ?

Les informations qui seront présentées dans cette partie proviennent d’une étude très exhaustive réalisée par Converteo, Didomi et Maître Ledieu du cabinet Bardehle Pagenberg.

Gestion des cookies:

95% des entreprises interrogées ne sont pas conformes à la loi informatique et Libertés vis-à-vis de leurs cookies. La CNIL considère comme cookie, les cookies HTTP, les cookies “flash”, le calcul d’empreinte (“fingerprinting”), les pixels invisibles ou “tout autre identifiant généré”. Pour en savoir plus sur la gestion des cookies, je vous recommande la page d’information de la CNIL.
Enfin, si vous souhaitez contrôler la durée de vie des cookies déposé par un site, je vous conseille l’extension EditThisCookie qui vous permet d’accéder rapidement aux différents cookies déposés par un site ainsi qu’à leur date d’expiration. Dans l’exemple ci-dessous, le cookie déposé le 29/01/18 est valable jusqu’au 29/01/19, ce qui respecte la fenêtre des 13 mois.

outil-gestion-cookie-rgpd

Finalité du traitement des données personnelles:

Selon l’étude Converteo, 40% des entreprises interrogées ne donnent aucune information sur les finalités du traitement des données personnelles. Il faut en effet que l’utilisateur soit informé de façon claire et exhaustive sur les données collectées et leurs utilisations afin de donner un consentement éclairé.

Il est à noter que les informations sur la finalité du traitement des données doit être disponible dans les conditions générales d’utilisation du site. Vous pouvez retrouver un parfait exemple sur le site du Parisien.fr

Conservation des données personnelles:

76% des acteurs interrogés ne donnent pas d’information sur les durées de conservation des données personnelles. Converteo précise dans son étude que les “données personnelles doivent être conservées uniquement le temps nécessaire à l’accomplissement d(es)’un objectif(s) qui étai(en)t poursuivi(s) lors de leur collecte”. Les Conditions générales d’utilisation du Parisien.fr sont encore une fois un parfait exemple.

Mise à jour du consentement:

Actuellement, 64% des entreprises interrogées pour l’étude ne permettent pas à leurs utilisateurs de mettre à jour leurs consentements. Le consentement passe ainsi de l’opt-out à l’opt-in où avant chaque action du site, l’utilisateur doit donner son consentement.

 

Les actions à mettre en place:

Dans cette partie nous verrons les actions nécessaires à mettre en place être conforme au RGPD. Cette liste ne saurait être exhaustive car il conviendra d’analyser votre site avant pour estimer les actions à prendre.

Cartographie des traitements de données:

Il est nécessaire de lister l’ensemble des traitements de données réalisés au sein de votre entreprise. Le traitement de données comprend l’ensemble des opérations réalisées sur la donnée. La CNIL met à disposition désormais un outil open source PIA (Privacy Impact Assessment) qui a été réalisé pour répondre à objectifs principaux:

  1. Proposer une base de connaissance juridique et technique.
  2. S’adapter aux besoins des entreprises.
  3. Proposer un outil de visualisation claire pour réaliser vos PIA.

Création d’un registre des traitements effectués:

Désormais les entreprises doivent proposer un registre des traitementes de la données qui doit pouvoir être consultable en cas de contrôle.

Identification et automatisation de la suppression sur demande:

Avec le RGPD, les entreprises doivent désormais proposer de façon simple une suppression de l’ensemble des informations personnelles dans leurs bases ainsi qu’une portativité de ces informations pour le client. Ainsi, à la demande des utilisateurs, vous devez désormais être capable de fournir l’ensemble des données personnelles d’un utilisateur sur un support adéquat.

Traçabilité de l’ensemble des consentements:

Pour l’ensemble des données utilisées, les entreprises doivent désormais fournir un consentement de l’utilisateur. Pour les nouvelles informations, celles-ci ne peuvent collectées sans le consentement de l’utilisateur. Pour les données déjà collectées, l’entreprise doit pouvoir fournir le consentement. Si celui-ci n’est actuellement pas consultable, l’entreprise doit le recueillir de nouveau et stopper toute utilisation des données en attendant le recueil du consentement.

Mise en place de procédure en cas de violation de données:

Désormais, en cas de violation de données à caractère personnel, l’entreprise doit prévenir l’autorité de contrôle, la CNIL, sous 72 heures après la constatation et les personnes impactées par cette violation dans “les meilleurs délais” (Article 34 RGPD). Il convient donc de préparer en amont ces communications afin de ne pas laisser les utilisateurs dans l’ignorance.

Nomination d’un Data Protection Officer (DPO):

Le DPO (ou Correspondant Informatique et Libertés) est en charge du respect de la législation sur l’utilisation des données à des fins commerciales mais aussi internes. Il doit avoir des connaissances en informatique mais aussi juridiques. Ce rôle est obligatoire pour les entreprises dès qu’elles sont concernés par un des points suivants (article 37 RGPD):

  • « Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leurs fonctions juridictionnelles »
  • « Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées ou »
  • « Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données à caractère personnel relatives à des condamnations pénales ».

En suivant ces indications et en vous aidant de l’infographie de ecommercemag.fr, vous pouvez ainsi déterminer si vous avez besoin d’un DPO.

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *