L’autorit\u00e9 de contr\u00f4le<\/strong> devra \u00eatre pr\u00e9venue dans les plus brefs d\u00e9lais, soit dans les 72h maximum, de<\/strong> la nature de la violation, des coordonn\u00e9es du DPO, des cons\u00e9quences et des mesures prises.<\/strong><\/p>\n Sont concern\u00e9es toutes les structures, entreprises et collectivit\u00e9s, qui disposent de donn\u00e9es personnelles issues de l’Union Europ\u00e9enne.<\/p>\n Les donn\u00e9es personnelles repr\u00e9sentent toutes les caract\u00e9ristiques qui permettent d’identifier une personne<\/strong>. Nous vous avons d\u00e9nombr\u00e9 les \u00e9l\u00e9ments suivants (liste non-exhaustive) :<\/p>\n NB :\u00a0 les coordonn\u00e9es d’entreprises ne feront pas l’objet de donn\u00e9es personnelles (Ex : adresse mail relative \u00e0 l’entreprise).<\/em><\/p>\n Certaines donn\u00e9es sont dites \u00ab\u00a0sensibles\u00a0\u00bb lorsqu’il s’agit :<\/p>\n La d\u00e9claration des donn\u00e9es personnelles aupr\u00e8s de la CNIL engage l\u2019entreprise \u00e0 d\u00e9montrer ses obligations en termes de protection des donn\u00e9es.<\/p>\n Les entreprises doivent s\u2019assurer de la conformit\u00e9 du traitement de ses donn\u00e9es en se posant la question suivante : \u00ab\u00a0Comment concevoir une exp\u00e9rience agr\u00e9able et fonctionnelle tout en prot\u00e9geant ces donn\u00e9es ?\u00a0\u00bb<\/strong><\/p>\n En mati\u00e8re d’ui et ux design<\/strong>, certaines techniques sont \u00e0 \u00e9viter<\/strong> :<\/p>\n Ce qu’il faut retenir :<\/p>\n Le DPO<\/strong>, de l’anglais \u00ab\u00a0Data Protection Officer\u00a0\u00bb, soit un\u00a0d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es,<\/strong>\u00a0n’est\u00a0pas obligatoire mais vivement conseill\u00e9<\/strong>\u00a0par le G29<\/strong>\u00a0(Organisme qui f\u00e9d\u00e8re l’ensemble des CNIL europ\u00e9ennes) pour les entreprises non soumises \u00e0 cette obligation, en interne ou externalis\u00e9es.<\/p>\n Les entreprises concern\u00e9es<\/strong>, dans lesquelles le DPO n’est pas discutable, sont<\/strong> les organismes ou autorit\u00e9s publiques ou priv\u00e9s traitant des donn\u00e9es sensibles<\/strong> (cliniques, informations de sant\u00e9, soci\u00e9t\u00e9 de surveillance, informations p\u00e9nales ou banques, \u00e0 plus grande \u00e9chelle). On parle ici de responsables de traitements et de sous-traitants.<\/strong><\/p>\n Le DPO devra se charger des missions suivantes :<\/p>\n Le DPO doit avoir des connaissances juridiques en droit des nouvelles technologies<\/strong> ainsi que des pratiques en mati\u00e8re de protection des donn\u00e9es<\/strong>. Il peut tout aussi bien repr\u00e9senter un profil technique pouvant justifier d’une formation juridique en mati\u00e8re de protection des donn\u00e9es<\/strong>, avec un niveau de connaissance relativement \u00e9lev\u00e9 et \u00e9valu\u00e9 par des sp\u00e9cificit\u00e9s, de la sensibilit\u00e9 et de la complexit\u00e9 des op\u00e9rations de traitement.<\/p>\n Pour vous\u00a0 aider \u00e0 vous conformer \u00e0 la RGPD, nous vous proposons d’effectuer trois tests au choix :<\/p>\n Les param\u00e8tres de s\u00e9curisation des donn\u00e9es sont int\u00e9gr\u00e9s dans le service ou l’application. Or, le responsable du traitement assure par d\u00e9faut le plus haut niveau de confidentialit\u00e9 et une garantie de protection des donn\u00e9es<\/strong>, que l’utilisateur peut modifier \u00e0 sa guise.<\/p>\n Cette obligation vise \u00e0 s’assurer qu’un traitement<\/strong> dit \u00ab\u00a0\u00e0 risque<\/strong>\u00a0\u00bb (traitement de masse, donn\u00e9es sensibles, profilage<\/strong>) respecte les droits fondamentaux des personnes et minimise les risques concernant la s\u00e9curit\u00e9 et la violation des obligations l\u00e9gales<\/strong>.<\/p>\n Mieux vaut ne pas se frotter de trop pr\u00e8s au RGPD, contester ses mesures et ne pas s’y conformer car les sanctions sont lourdes.<\/p>\n Selon l’article 83<\/strong>, en cas de non-respect de ces lois, vous vous exposez \u00e0 :<\/p>\n Il y a deux types de situations dans lesquelles on peut identifier si l’internaute accepte ou refuse l’acc\u00e8s \u00e0 ses donn\u00e9es personnelles :<\/p>\n Les cookies repr\u00e9sentent le moyen de reconna\u00eetre un visiteur lorsqu’il revient sur un site web<\/strong>. Cela suppose que l’internaute a donn\u00e9 au pr\u00e9alable son autorisation pour que l’on acc\u00e8de \u00e0 ses donn\u00e9es personnelles et qu’on l’identifie.\u00a0Le syst\u00e8me de tracking est donc \u00e0 surveiller de pr\u00e8s.<\/b>\u00a0A titre d’exemple, Google Analytics d\u00e9pose un cookie avec un Identifiant Personnel par d\u00e9faut.\u00a0\u00a0<\/strong><\/p>\n Le RGPD exige que l\u2019on archive chaque consentement stock\u00e9 en lieu s\u00fbr afin qu\u2019il puisse \u00eatre utilis\u00e9 comme preuve en cas de contr\u00f4le.<\/span><\/p>\n Les cookies qui font exception \u00e0 la r\u00e8gle sont ceux n\u00e9cessaires au bon fonctionnement du site<\/strong>.<\/p>\n Sont exempt\u00e9s de consentement, les cookies :<\/p>\n Les cookies n’\u00e9chappant pas \u00e0 la r\u00e8gle et n\u00e9cessitant donc un recueil du consentement sont :<\/p>\n Afin de remettre un peu d’ordre dans vos fichiers clients<\/strong>, il convient de faire un \u00e9tat des lieux de chaque donn\u00e9e personnelle<\/strong> que vous d\u00e9tenez, en les cartographiant.<\/p>\n Pour ce faire, reprenez la m\u00e9thode empirique du QQOQCP<\/strong> ou des 5 W (Who, What, Where, When, Why ?).<\/p>\n Ainsi, aucune erreur d’omission ne sera possible<\/strong>.<\/span><\/p>\n –><\/strong> Inscription du nom et des coordonn\u00e9es du responsable de traitement et, le cas \u00e9ch\u00e9ant, du DPO<\/p>\n –><\/strong> Identification des responsables des services op\u00e9rationnels qui traitent des donn\u00e9es au sein de votre organisme<\/p>\n –> Cr\u00e9ation de la liste des sous-traitants<\/p>\n –> Identification des cat\u00e9gories de donn\u00e9es trait\u00e9es<\/p>\n –> Identification des donn\u00e9es sensibles<\/p>\n –> D\u00e9termination du lieu de stockage des donn\u00e9es personnelles<\/p>\n –> Indication des pays o\u00f9 sont transf\u00e9r\u00e9es les donn\u00e9es<\/p>\n –> Indication de la dur\u00e9e de conservation de chaque donn\u00e9e<\/p>\n –> Quelles mesures de s\u00e9curit\u00e9 sont adopt\u00e9es pour minimiser les risques d’acc\u00e8s non-autoris\u00e9s aux donn\u00e9es ?<\/p>\n –> Indication des finalit\u00e9s pour chaque collecte de donn\u00e9es personnelles<\/p>\n Aper\u00e7u et \u00e9chantillon du mod\u00e8le de registre Excel<\/p><\/div>\n Avant de collecter des informations sur vos utilisateurs, r\u00e9fl\u00e9chissez \u00e0 ce dont vous avez r\u00e9ellement besoin et d\u00e9finissez le r\u00f4le et la finalit\u00e9 de chaque fichier<\/strong>.<\/p>\n Pour quelle(s) finalit\u00e9(s) vos donn\u00e9es sont-elles recueillies ? Cette collecte est-elle n\u00e9cessaire pour r\u00e9pondre \u00e0 un ou plusieurs objectifs sp\u00e9cifiques \u00e0 votre entreprise\u00a0?<\/p>\n Les informations<\/strong> qui ne seraient pas consid\u00e9r\u00e9es comme<\/strong> essentielles<\/strong>, n\u00e9cessitent donc l’arr\u00eat imm\u00e9diat de la collecte<\/strong>.<\/p>\n Si elles sont\u00a0essentielles<\/strong>, il convient de demander explicitement le consentement \u00e0 vos visiteurs par le biais d’un bandeau d’avertissement<\/strong> afin qu’il accepte ou refuse cette collecte.<\/p>\n D’apr\u00e8s la CNIL : \u00ab\u00a0Une fois que l’objectif poursuivi par la collecte des donn\u00e9es est atteint, il n’y a plus lieu de les conserver et elles doivent \u00eatre supprim\u00e9es ou archiv\u00e9es si elles concernent les factures clients.<\/strong>\u00a0\u00bb<\/p>\n Vous devez consacrer une partie ou une page de votre site \u00e0 propos du traitement des donn\u00e9es en notifiant :<\/p>\n Les mentions l\u00e9gales doivent \u00eatre claires, cens\u00e9es, simples \u00e0 lire et \u00e0 comprendre.<\/strong> Vous ne devez pas \u00e9crire de paragraphes trop longs. En effet, c’est le meilleur moyen d’embrouiller plus facilement les visiteurs, les lasser \u00e0 lire et les inciter \u00e0 faire abstraction au contenu de ces mentions. L’objectif est de d\u00e9livrer une v\u00e9ritable transparence dans le message tout en \u00e9vitant un exc\u00e8s d’informations.<\/p>\n Pour l’identit\u00e9 et les coordonn\u00e9es de l’\u00e9diteur responsable du site<\/strong>, vous devez faire para\u00eetre : nom de la soci\u00e9t\u00e9, forme juridique, adresse postale du si\u00e8ge social, t\u00e9l\u00e9phone, mail, num\u00e9ro BCE, num\u00e9ro de TVA, autorit\u00e9 de surveillance comp\u00e9tente, profession r\u00e9glement\u00e9e (titre professionnel et lien vers les r\u00e8gles professionnelles) et le code de conduite.<\/p>\n Pour la politique de confidentialit\u00e9<\/strong> (traitement des donn\u00e9es \u00e0 caract\u00e8re personnel des visiteurs et des utilisateurs) : l’identit\u00e9 et les coordonn\u00e9es du responsable du traitement, celles de contact du DPO (explication ci-dessous), les finalit\u00e9s de traitement, les destinataires de ces donn\u00e9es, le transfert \u00e9ventuel de donn\u00e9es vers une autre organisation ou un pays tiers, la dur\u00e9e de r\u00e9tention des donn\u00e9es, le droit du visiteur de demander l’acc\u00e8s \u00e0 ses donn\u00e9es personnelles et \u00e0 une copie de ses donn\u00e9es, le droit d’introduire une r\u00e9clamation aupr\u00e8s d’une autorit\u00e9 de contr\u00f4le et les informations utiles pour un \u00e9ventuel profilage.<\/p>\n Concernant les formulaires de collecte de donn\u00e9es personnelles, vos mentions l\u00e9gales seront d\u00e9sormais personnalisables et donc \u00e0 l’image de votre entreprise sur le site de la\u00a0CNIL<\/a>.<\/p>\n Voici un petit aper\u00e7u de ce \u00e0 quoi elles pourraient ressembler :<\/p>\n Message type de la banni\u00e8re de consentement \u00e0 personnaliser<\/p><\/div>\n Concernant vos clients, vous devez vous atteler aux t\u00e2ches suivantes :<\/p>\n Do Not Track navigateur web Safari<\/p><\/div>\n L’activation de l’option du DNT : \u00ab\u00a0Do Not Track\u00a0\u00bb <\/strong>ou \u00ab\u00a0Ne pas me pister\u00a0\u00bb<\/strong>, dans quelque navigateur que ce soit, fait appara\u00eetre le message suivant : \u00ab\u00a0Vous avez activ\u00e9 le Do Not Track (DNT), nous respectons votre choix\u00a0\u00bb<\/strong>.<\/p>\n <\/p>\n <\/p>\n Cette option ne doit pas \u00eatre n\u00e9glig\u00e9e, notamment dans la conception. Effectivement, si vous ne respectez<\/strong><\/p>\n pas le choix de l’utilisateur, vous allez en d\u00e9t\u00e9riorer son exp\u00e9rience<\/strong> et ce n’est pas le but recherch\u00e9.<\/p>\n NB : Contrairement \u00e0 Google Analytics, d’autres outils de mesure d’audience sont dispens\u00e9s de consentement<\/a><\/em><\/p>\n En utilisant ce gestionnaire de tag,\u00a0vous pourrez bloquer les cookies refus\u00e9s avant ou apr\u00e8s leur d\u00e9p\u00f4t si l’internaute accepte, dans un premier temps, puis revient sur sa d\u00e9cision et finit par refuser<\/strong>. En effet, rappelons que selon l’article 7<\/strong> du RGPD et l’article 38 <\/strong>suivant la loi 78-17 du 6 janvier 1978 relative \u00e0 l’informatique, aux fichiers et aux libert\u00e9s, l’utilisateur est en position de retirer son consentement \u00e0 tout moment<\/strong>. C’est pourquoi les utilisateurs doivent avoir un acc\u00e8s permanent \u00e0 leur statut actuel<\/strong> de consentement afin de modifier les param\u00e8tres ou retirer leur consentement lorsqu’ils le souhaitent.<\/p>\n De plus, anonymiser l’adresse IP<\/strong>\u00a0vous permettra de supprimer le dernier octet de l’IP afin de d\u00e9grader sa pr\u00e9cision.<\/p>\n L’e-privacy va interdire le d\u00e9p\u00f4t de cookie publicitaire, sans consentement explicite de l’internaute.<\/strong><\/p>\n Afin de continuer \u00e0 pouvoir pister l’utilisateur, des alternatives aux cookies sont en cours d’\u00e9laboration. Seul hic, le visiteur devra toutefois donner son autorisation.<\/p>\n Parmi ces \u00ab\u00a0solutions\u00a0\u00bb, sont envisag\u00e9s :<\/p>\n Il faudra sp\u00e9cifier dans les formulaires en ligne<\/strong> que le traitement des donn\u00e9es personnelles a pour finalit\u00e9 le profilage. <\/strong>De plus, vous devrez p<\/strong>ermettre \u00e0 l’utilisateur de bloquer le d\u00e9p\u00f4t de ce type de cookies et de pouvoir modifier sa d\u00e9cision lorsqu’il le souhaite.<\/strong><\/p>\n L’inconv\u00e9nient n\u00b01 de ces solutions r\u00e9side dans le fait que les formulaires de recueil du consentement seront tr\u00e8s fortement surcharg\u00e9s et p\u00e9nibles \u00e0 remplir.<\/strong><\/p>\n La RGPD recommande les formulaires double <\/b>opt<\/b>-in.<\/b> Ils\u00a0consistent \u00e0 demander une confirmation par email nominatif et juridiquement non contestable \u00e0 chaque internaute qui a rempli un formulaire sur votre site web. Le double opt-in va permettre de prouver le consentement explicite de vos contacts et garder une trace et copie d\u00e9montrant leur validation de consentement.<\/p>\n Dor\u00e9navant, la mise en place de strat\u00e9gies Marketing Automation, de formulaires et de landing pages<\/b> devra \u00eatre valid\u00e9e \u00ab GDPR \u00bb par le service l\u00e9gale de l\u2019entreprise.<\/b><\/p>\nqui dans le viseur du rgpd ?<\/h3>\n
Qu’entend-on par \u00ab\u00a0donn\u00e9es personnelles\u00a0\u00bb ?<\/h3>\n
\n
lES donn\u00e9es sensibles<\/h3>\n
\n
Enjeux et objectifs du RGPD<\/h2>\n
Le principe d’accountability \/ responsabilisation<\/h3>\n
Le principe \u00ab\u00a0Privacy by design\u00a0\u00bb<\/h3>\n
\n
\n
UN DPO VIVEMENT RECOMMAND\u00c9<\/h3>\n
QUEL EST SON R\u00d4LE ?<\/h4>\n
\n
quel profil de dpo recruter ?<\/h4>\n
\n
le principe \u00ab\u00a0PRIVACY by default\u00a0\u00bb<\/h3>\n
Etudes d’impact<\/h3>\n
Quelles sont les sanctions ?<\/h2>\n
\n
Les conditions d’acceptation aux DONN\u00c9ES personnelles<\/h2>\n
\n
Les cookies<\/h2>\n
Les cookies tol\u00e9r\u00e9s<\/span><\/strong><\/h3>\n
\n
LES COOKIES INTERDITS<\/strong><\/h3>\n
\n
Cartographie des donn\u00e9es personnelles<\/h2>\n
\n
\n
\n
\n
\n
\n
![\"Aper\u00e7u](\"https:\/\/www.yateo.com\/blog\/wp-content\/uploads\/2018\/05\/excel-cartogaphie-300x234.png\")
<\/a>Quels sont les changements \u00e0 adopter ?<\/h2>\n
Des mentions en reconversion<\/h3>\n
\n
pERSONNALISEZ VOS MENTIONS L\u00c9GALES<\/h4>\n
![\"mentions](\"https:\/\/www.yateo.com\/blog\/wp-content\/uploads\/2018\/05\/Image4-300x265.png\")
<\/a>![\"mentions](\"https:\/\/www.yateo.com\/blog\/wp-content\/uploads\/2018\/05\/Image5-300x298.png\")
<\/a><\/p>\nUne banni\u00e8re r\u00e9vis\u00e9e<\/h4>\n
![\"Message](\"https:\/\/www.yateo.com\/blog\/wp-content\/uploads\/2018\/05\/Image6-300x45.png\")
<\/a>![\"Exemple](\"https:\/\/www.yateo.com\/blog\/wp-content\/uploads\/2018\/05\/Image3-300x93.png\")
<\/a><\/p>\nles DONN\u00c9ES de vos clients<\/h3>\n
\n
Outils de mesure d’audience et de statistiques<\/h3>\n
Le \u00ab\u00a0Do Not Track\u00a0\u00bb a l’honneur<\/h4>\n
![\"Do](\"https:\/\/www.yateo.com\/blog\/wp-content\/uploads\/2018\/05\/do-not-track-safari-300x173.jpg\")
<\/a><\/h4>\n
Google tag manager<\/a> aka gtm<\/h4>\n
Retargeting<\/h4>\n
\n
lEs formulaires<\/h3>\n
LES FORMULAIRES interdits<\/h4>\n
\n
les formulaires Pr\u00e9conis\u00e9s<\/h4>\n
Les \u00ab\u00a0DO’s\u00a0\u00bb en images<\/h5>\n
![\"Exemple](\"https:\/\/www.yateo.com\/blog\/wp-content\/uploads\/2018\/05\/formulaire-conforme-rgpd-300x258.png\")
<\/a>![\"Autre](\"https:\/\/www.yateo.com\/blog\/wp-content\/uploads\/2018\/05\/formulaire-1-conforme-rgpd-300x259.png\")
<\/a>