Solution RGPD - miguel-antoons/projet_webdev GitHub Wiki

Attention petit rappel, le site/l'application n'a pour but d'être utilisé par seulement quelques personnes et non un grand publique ! Ce point est surtout important pour la navigation web et la récolte d'informations des visiteurs du site.

Droit d'accès aux données et portabilité :

Sur demande du client, la possibilité d'imprimer ses données personnelles est implémentée.

Droit d'oubli :

Sur demande du client, la possibilité d'effacer ses données personnelles de la base de données est implémentée.

Sécurité des données personnelles :

  • Sécurité Informatique : Cryptage des données sensibles et des mots de passe de l'application.
  • Sécurité Physique : Le serveur qui héberge le site et la base de données est fourni par OVH et se situe à Strasbourg. C'est donc leur responsabilité de gérer la sécurité du bâtiments. (il faut peut-être penser à prendre une assurance incendie supplémentaire…)

Le registre des traitements :

Voir page du wiki sur le registre des traitements.

Récolte du consentement :

Si vous êtes l'utilisateur du logiciel, lors de la visite du client, il faudra lui préciser que ses données personnelles seront stockées dans une base de données et que vous les utiliserai seulement a des fins professionnelles pour votre entreprise et en aucun cas dans un but extérieur. Bien sûr tout cela sera précisé à l'écrit sur la facture.

Feuille de route rgpd:

1. La licéité des traitements actuels

Listez et vérifiez la légalité des traitements actuels de données personnelles. Attention à “nettoyer les placards” en détruisant les documents qui ne devraient pas être conservés (ex : les certificats médicaux après que la vérification soit faite, les adresses e-mails récoltées sans consentement…).

2. Les contrats avec les sous-traitants

Vérifiez les contrats établis avec les sous-traitants en ce qui concerne les aspects en lien avec le traitement de données personnelles. Par exemple, les agences web, freelances ou sociétés de marketing off/online.

3. La sécurité des données

Assurez-vous que le stockage (et les sauvegardes) des données personnelles est bien sécurisé, et ce, que ce soit en Europe ou après de société garantissant contractuellement les mêmes droits qu’en Europe. Cryptez les données sensibles et les mots de passe.

4. Le registre des traitements

Point important du RGPD, tenir un registre des traitements effectués. En bref, ce registre est une sorte de journal permanent qui liste tous les traitements et qui reprend, pour chacun les informations suivantes :

  • Les types de données traitées
  • La finalité déterminée et légitime
  • Les types de personnes concernées par le traitement
  • Le lieu de stockage des données
  • La durée de conservation de celles-ci
  • Les noms des personnes internes et externes (sous-traitants) qui ont accès aux données
  • Les mesures de protection techniques et organisationnelles

(Nous ne somme pas concernés par cette partie, les données sont rentrées par main humaine et de petite taille)

  • En cas de traitement à haut risque (nouvelles technologies, traitement automatique et systématique, traitement à grande échelle de données sensibles, - surveillance à grande échelle), il est nécessaire d’effectuer en plus une analyse d’impact relative à la protection des données (AIPD).

Cette analyse AIPD consiste à :

  • Évaluer la nécessité et de la proportionnalité des traitements en fonction des finalités
  • Établir une appréciation des risques pour les droits et libertés des personnes concernées
  • Envisager des mesures pour faire face à ces risques

5. L’information et la récolte le consentement

Pour tous les traitements non rendus nécessaires par une obligation légale, pour l’exécution d’un contrat ou pour des fins d’intérêts légitimes, vous devez informer les individus afin de récolter leur consentement éclairé et spécifique. En pratique, cela concerne essentiellement les données traitées à des fins marketing.

Plus concrètement, il vous faudra surtout :

Vérifier tous les formulaires de récolte de données personnelles afin que ceux-ci soient agrémentés de termes clairs et simples visant à informer les personnes au sujet des finalités de la récolte des données. Par ailleurs, il faut éviter les consentements implicites. Cela veut dire que les cases ne peuvent être pré-cochées et doivent être distinctes de l’acceptation des CGV.

  • Lister les systèmes de cookies employés
  • Contrôler et adapter le texte du bandeau “Cookies” ainsi que son activation lors de la visite des internautes
  • Tenir un registre horodaté inventoriant les consentements recueillis
  • Rédiger une “Charte vie privée” dans un langage accessible à tous
  • Vérifier le respect du principe d’opt-in (consentement préalable explicite) et d’opt-out (processus de désinscription aussi facile que celui d’inscription) à votre newsletter

6. L’organisation interne à l’entreprise

Le Règlement Général sur la Protection des Données concerne toutes les personnes qui composent votre entreprise, ou du moins toutes celles qui ont accès à des données personnelles.

De ce fait, un travail au niveau de votre organisation interne s’impose. Celui-ci a pour objectifs de :

  • Conscientiser (et former) le personnel
  • Adapter le Règlement de travail
  • Gérer les risques (prévention, détection, réaction)
  • Prévoir les différentes procédures de réponses aux personnes (consultation, destruction de données, portabilité de données), et de communication en cas d’incident
  • Tenir un journal interne des incidents de sécurité
  • Et, si l’activité de base est le profilage ou en cas d’utilisation d’outils d’observation (caméras de surveillance, géolocalisation…), désigner un DPO (Data Protection Officer). Ce dernier est une sorte de “commissaire” aux données (interne ou externe à l’entreprise)