+41 58 861 80 00

Windows
MacOs
Quick Connect
Support

e-novinfo software digital it & cloud

RGPD : se mettre en conformité

Voici la to-do liste destinée à vous aider à vous conformer au RGPD : Les interrogations à vous poser, les mesures à prendre, les choses à savoir, version longue et version courte.

1 juin 2018

1ère question à se poser : suis-je concerné par le RPGD ?

Est concernée, dit la loi, par le RGPD toute entreprise située sur le territoire européen, ou qui a une filiale sur un territoire européen, ou qui traite les données personnelles d’un résident européen.

Ainsi donc, la quasi-totalité des entreprises Suisse est concernée.

2ème interrogation : Traite-je des données personnelles ?

Des données personnelles sont un ensemble d’informations qui contiennent un élément permettant d’identifier un individu, via par exemple un nom, une adresse ou un numéro de téléphone. Elles peuvent être qualifiées de « sensibles » lorsqu’elles contiennent des indications sur la religion, l’orientation sexuelle ou encore les opinions politiques. Dans ce cas, une protection supplémentaire est nécessaire et les sanctions en cas de manquement sont plus lourdes. Ces données peuvent être récoltées via des cookies sur un site internet, via l’acquisition de prospects par formulaires de contact, achat d’un fichier clients ou encore par formulaire de jeux-concours.

Si les données récoltées à ces occasions contiennent un élément permettant d’identifier une personne physique, ce sont des données personnelles.

3ème interrogation : Quelles étapes dois-je suivre si je suis effectivement soumis au RGPD?

La première étape est de demander l’autorisation aux personnes dont les données sont récoltées. Par exemple, sur votre site internet, un bandeau doit explicitement demander l’autorisation aux visiteurs de récolter ses données. A noter que l’utilisation du site internet ne doit pas être conditionnée par cet accord ou ce refus : un utilisateur qui refuse la ponction de ses données doit pouvoir accéder au site. Ce point là est très clair dans le règlement, afin d’éviter l’astuce du consentement des cookies, qui notifiaient que l’utilisateur devait accepter l’utilisation des cookies pour continuer à naviguer sur le site.

De même, lorsque quelqu’un remplira un formulaire (virtuel ou papier), il devra cocher une case afin que ses données puissent être récoltées et stockées, au moins dans le cadre de sa demande.

Si vous êtes une entreprise située hors UE, il est nécessaire d’avoir un référent qui y est localisé. Ceci est obligatoire afin d’avoir une adresse, un contact et un interlocuteur local pour les différents organismes chargé d’appliquer ce règlement.

Enfin, une politique de confidentialité doit être affichée sur le site internet.

4ème interrogation : Quels outils dois-je mettre en place en interne ?

Il faut savoir que ce règlement donne un grand nombre de droits à l’utilisateur. Entre autres, celui doit pouvoir avoir accès à l’intégralité des données le concernant que vous pouvez posséder, dans un délai raisonnable et un format lisible. L’utilisateur concerné pourra aussi exercer des droits de suppression, de modification ou encore de transmission à un tiers. Il est donc nécessaire de mettre en place des outils en interne afin de pouvoir répondre à ces demandes.

Les données récoltées doivent désormais être supprimées au bout de 13 mois pour celles récoltées automatiquement, et 3 ans pour un prospect. Là encore un processus automatisé est nécessaire.

5ème interrogation : Quelles responsabilités dois-je établir ?

Toute entreprise au-dessus de 250 salariés doit désigner un DPO, qui sera le responsable attitré du stockage et du traitement des données personnelles. Son identité devra être indiquée dans la politique de confidentialité.

De plus, un registre contenant toutes les informations doit être établi et tenu à jour. Celui-ci doit contenir un grand nombre d’informations, les coordonnées de l’entreprise et de son représentant sur le territoire européen, les coordonnées du DPO, la liste des activités de l’entreprise qui impliquent un stockage et/ou un traitement des données personnelles etc. Des modèles sont disponibles sur le site de la CNIL. Ce registre doit pouvoir être communiqué à tous les organismes européens régulant le RGPD dans chacun des pays de l’UE sur leur demande. Les responsabilités entre traitants/sous-traitants doivent là aussi être solidement définies.

6ème si je ne me conforme pas, que risque-je ?

Là-dessus, le RGPD est assez clair. Les organismes tels que le CNIL ont à leur disposition toute une palette de sanctions, allant de l’avertissement jusqu’à l’amende pouvant atteindre 4% du CA mondial, et 20M d’euros pour un responsable. Des sanctions pénales sont également possibles. A noter que devant de tels risques, certains organismes ont fermé leurs portes ou cessé leur activité en Europe. D’autres ont bloqués leur service pour l’Europe en attendant de se mettre en conformité.

7ème combien de temps ai-je pour me mettre en conformité ?

0 ! En effet, ce règlement est en place depuis le 25/05/2018. Vous avez eu 2 ans pour vous y préparer ! Cependant, vu la complexité de la mise en place, les entreprises ont 1 an pour appliquer le règlement, et les premières sanctions lourdes ne sont pas prévues avant 2 ans. Il est cependant nécessaire de se mettre à jour au plus vite, des manquements flagrants ou intentionnels pouvant être sanctionnés dès maintenant. Des plaintes ont d’ailleurs déjà été déposées contre Google, Facebook et autres géants du web.

Un résumé svp?

– créer une page politique de confidentialité

– demander le consentement d’un utilisateur quand celui-ci vous envoie des données personnelles

– demander l’autorisation d’un utilisateur lors de la récolte de données personnelles automatique (via des cookies par exemple)

– établir un registre sur un modèle fourni par la CNIL par exemple

– avoir un interlocuteur localisé en union européenne

– établir des procédures d’effacement de données personnelles après un certain temps

– instaurer un outil permettant de répondre aux demandes des utilisateurs, comme la suppression de ses données ou l’envoi d’un fichier lisible les contenant.

– (re-)demander l’autorisation à la bdd de clients actuels pour l’envoi des newsletters etc.

Voir toutes nos actualités

Rencontres
avec nos clients

Nous pouvons apporter de nombreux bénéfices à votre entreprise. Ces bénéfices, ce sont nos clients qui en parlent le mieux. C’est pourquoi nous leur laissons la parole. Prêt à écouter ceux qui ont franchi le pas ?

Montreux Jazz Festival

Mathieu Jaton

Quelle est l’importance de l’informatique et de la cybersécurité pour le Montreux Jazz Festival ? Comment la technologie influence-t-elle chaque édition de cet événement ?

LHC Group

Chris Wolf

Quelle est l’importance de l’informatique et de la cybersécurité pour le LHC Group ? Quel rôle joue le service de piquet, en particulier les soirs de match?

Tout voir

Actualités

  • |

e-novinfo

e-novinfo

e-novinfo nomme Thibaut Lanfrey Area Director pour piloter la région lémanique

Le Groupe e-novinfo annonce la nomination de Thibaut Lanfrey en tant qu’Area Director pour la région lémanique. Fort d’une expérience IT de plus de 20 ans…

Lire la suite
  • |

e-novinfo

cyber security

Piratage de MoveIt, fuite de données Amazon : comment envoyer mes fichiers de manière sécurisée ?

Pirate de MoveIt, fuite de données Amazon, ces incidents révèlent une nouvelle problématique : l’utilisation de solutions de transfert de fichiers telles que MoveIt, le plus souvent sans une réelle réflexion sur leur sécurité.

Lire la suite

Contact rapide

Politique de confidentialité
Linkedin Facebook

Neuchâtel

Champs-Montants 10a

2074 Marin-Epagnier

+41 58 861 80 00

Vaud

Avenue de Longemalle 21

1020 Renens

+41 58 861 80 00

Jura

Rue St-Randoald 6a

2800 Delémont

+41 58 861 80 00

Fribourg

Route des Vieux-Chênes 2

1700 Fribourg

+41 26 425 88 00

Support

Cyber Security

IT & Cloud

Téléphonie

Digital Agency

Software & Consulting

Cyber Security

IT & Cloud

Téléphonie

Creative Agency

Software & Consulting

Actualités
Linkedin Facebook
Menu expert