Recherche pour :
Jan 16 2022
Le DPO, clé de voûte de votre conformité au RGPD

Le DPO (Data Protect Officer), Délégué à la Protection des Données personnelles (DPD en français), est au centre de votre conformité au Règlement Général sur la Protection des Données personnelles (RGPD).

Par son rôle de conseil, il est au cœur du règlement européen.

Le DPO orchestre la conformité de votre entreprise, association ou administration en matière de protection des données personnelles.

Quelle que soit la taille de votre organisation, le DPO sera votre conseil, votre soutien. La conformité au RGPD est une aventure au long court, de sa mise en place à son maintien.

Rappel : Ce qu’est le RGPD

Le RGPD, Règlement Général sur la Protection des Données, est un règlement Européen qui régit la façon dont toute structure associative, administrative et professionnelle doit mettre tout en oeuvre protéger les données à caractère personnelles qu’elle recueille. Il vient renforcer, en France, la Loi Informatique et Libertés.

C’est la CNIL (Commission Nationale de l’Informatique et des Libertés) qui s’occupe de contrôler la conformité à ces textes.

Leur protection n’est pas le seul point du RGPD. En effet, ce règlement précise que l’entreprise doit également :

  • Recueillir le consentement des personnes physiques ou à minima informer les utilisateurs des finalités des traitements pour lesquels leurs données personnelles seront utilisées
  • Créer et tenir à jour un registre des traitements des données
  • Définir et informer sur la durée de conservation des données
  • Etablir diverses procédures, notamment concernant les situations suivantes :
    • Violation de données
    • Perte de données
    • Demande d’accès / modification / suppression de données
    • etc.
  • Etablir et tenir à jour différents registres :
    • De sauvegardes
    • De suppressions / effacements partiels ou totaux
    • Des modifications
    • etc.
  • Se tenir informer des dispositions et outils préconisés par la CNIL
  • Contrôler régulièrement l’application et le respect des procédures et le remplissage des registres
  • Etc.

Le RGPD ? Retrouvez le ici

Comme vous pouvez le deviner, le RGPD ne s’applique pas uniquement à l’acceptation de cookies sur votre site Internet.

Au contraire, même si vous ne possédez pas de site, vous êtes concernés.

Vous n’avez pas d’informatique et faites tout à la main ? Vous l’êtes également. En effet, les données sur papier aussi doivent être sécurisées, conservées dans un temps limité puis supprimées.

Le rôle du DPO au sein de la structure

Le rôle principal du Délégué à la Protection des Données est justement celui de vous assister pour mettre en oeuvre votre conformité au RGPD.

Il doit aussi être conseil auprès de vous. Auprès des différents responsables de traitements de données personnelles. Donner les préconisations nécessaire quant à la mise en place d’outils et autres procédures en matière de sécurité des données. Assister dans les différents possibilités.

Les tâches du PDO

Parmi les tâches principales du Délégué à la Protection des Données, nous trouvons, entre autres :

  • Contrôle du point du situation à la conformité au RGPD (audit)
  • Conseil aux responsables de traitements (et éventuellement aux sous-traitants)
  • Identifier les données dites sensibles leurs traitements
  • Créer une AIPD (Analyse d’Impact) pour les nouveaux traitements ou les traitements à risques
  • S’assurer de la minimisation des données collectées, principalement selon les finalités de leurs traitements
  • Rédaction des procédures internes
  • Préparation du registre des traitements de données
  • Préparation du registre des activités de traitements
  • Contrôle régulier de l’application des procédures
  • Mises à jour des documentations internes (procédures, registres, etc)
  • S’assurer de la sécurité de la portabilité et des transferts de données
  • Coopérer avec l’autorité de contrôle (la CNIL)
  • Être le point de contact des personnes concernées par l’utilisation de leurs données (droit des personnes)
  • Etc.

Aussi, outre ses services d’assistance et de conseil pour la mise en place d’une conformité au RGPD, le DPO est surtout avec vous dans la continuité.

Ne vous souciez pas de l’évolution du RGPD, votre Délégué à la protection des Données se charge d’effectuer une veille. Grace à cela, toutes les tâches organisationnelles seront gérées pour vous.

En conclusion : Mise en conformité, maintien de la conformité et mises à jour de l’ensemble de la documentation, voilà le parcours du Délégué à la Protection des Données au sein de votre entité.

Le profil du DPO

Le Délégué à la Protection des Données est généralement une personne issue du milieu informatique ou juridique. Mais de nombreux autres profils sont également devenus des Délégué à la Protection des Données (administratifs, commerciaux, etc.)

Être Délégué à la Protection des Données est au départ une fonction tenue par un employé interne à une structure. De part l’évolution continue du RGPD et des nouveaux types de traitements mis en place au sein même de ces structures, Délégué à la Protection des Données est, par conséquent, devenu un métier à part entière.

Vous trouverez ici une infographie de la CNIL résumant les profils des Délégué à la Protection des Données.

Pourquoi faire appel à un DPO externe

Faire appel à un Délégué à la Protection des Données externe à la structure est un choix

Il n’est pas question pour le Délégué à la Protection des Données externe d’imposer des choix quant à la mise en place des préconisations de la CNIL en matière de conformité au RGPD, mais bien d’assurer un rôle de conseil.

Ses tâches pour votre organisme n’étant consacrées qu’à votre conformité, et ne faisant pas partie des personnels, il saura être impartial et force de proposition pour améliorer ou mettre en place de nouveaux moyens de sécuriser les données personnelles exploitées pour vos différents traitements.

Aussi, il saura vous mettre en relation avec différents prestataires spécialisés, que ce soit des prestataire en sécurité informatique, des prestataires juridiques, ou encore des prestataire de sécurité physique.

Cependant, même s’il est lui-même fournisseur de systèmes de sécurité numérique, par exemple, il ne pourra en aucun cas vous préconiser ses propres solutions pour vous les vendre. Il doit obligatoirement faire effectuer cette tâche par un autre prestataire, afin d’éviter tout conflit d’intérêt.

De même, un DPO qui se trouve également être avocat ne pourra pas défendre la structure devant un Tribunal en cas de procès relatif aux données personnelles.

Infographie pourquoi DPO externe
Pourquoi faire appel à un DPO externe – Infographie

La position de LC Infoserv’

LC Infoserv’, c’est moi, Caroline LAMBERT.

Voté en 2016 pour une mise en application en mai 2018, j’ai rencontré le RGPD lors de mon ancien poste en entreprise, délaissant quelque peu l’ISO 9001 (satisfaction client) au profit de la protection des données personnelles.

Déjà habituée à la lecture et à l’interprétation des normes et réglementation dans le milieu informatique, ça a tout de suite collé entre nous.

Trêve d’humour, je me suis rapidement adaptée à ce nouveau texte européen. A tel point que j’ai été mandatée par mon entreprise pour assister une structure cliente dans sa propre conformité.

Lorsque je me suis installée à mon compte, mon but était d’assister les entreprises, principalement Chablaisiennes.

Les sites Internet que je proposent sont tous conformes au RGPD pour la partie du règlement les concernant. Donc je me suis dit : Pourquoi pas leur proposer de les assister dans l’ensemble de la mise en conformité ?

Alors, me voilà, DPO à votre disposition dans le Chablais, pour vous assister et vous conseiller dans votre démarche de mise en conformité.

Caroline 0 Commentaires
Avr 21 2021
Ça va bouquiner !

Parce que modifier un bout de code par ci par là ne suffit plus, et que je souhaite devenir petit à petit indépendante des thèmes et plug-in existants, me voilà repartie à la conquête du développement pur et dur de sites web.

Elle est loin, l’époque où les CMS n’étaient pas le standard et où il fallait tout faire par soi-même, alors un petit retour aux sources me fera le plus grand bien, ne serait-ce que pour personnaliser un peu plus mon travail.

Et pour compléter me tout, vu l’ensemble des recommandations de la CNIL, et afin de se conformer un peu plus au RGPD, quoi de mieux que de protéger encore plus les sites Internet des clients ? Alors on bouquine encore plus, et on optimise la protection, notamment pour les sites récoltant des données personnelles.

Il s’agit surtout pour moi d’améliorer mes compétences, tout en me sortant un peu le nez de mon écran.

Caroline 0 Commentaires
Mar 10 2021
RGPD – Renforcement des contrôles de la CNIL en 2021

En 2020, la CNIL a procédé à pas mois de 6500 enquêtes, dont 247 procédures formelles, aboutissant à 128 amendes, pour plus de 3 millions d’Euros de sanction pour manquement au RGPD.

Mais ces sanctions financières n’incluent pas les sanctions prises à l’encontre d’Amazon (35 million d’Euros) et Google (60 millions d’Euros), uniquement pour la mauvaise utilisation des Cookies.

Des priorités pour 2021

Avec les données de santé de 500 000 français qui ont fuité en 2020 par des cyberattaques dans les centres hospitaliers, notamment, la CNIL va renforcer ses contrôles concernant la sécurité des données de santé, mais pas uniquement.

Les sites Internet français dans le collimateur

2825 signalements concernant des manquements ont été reçus par la CNIL en 2020.

Parmi ces manquements, on retrouve :

  • L’absence du protocole HTTPS
  • Le recueil du consentement utilisateur (Cookies)
  • Défaut de sécurisation du mot de passe

C’est la raison principale de la vigilance qui va être portée par la CNIL à partir d’avril 2021 sur la conformité des sites Internet français aux normes de sécurité et à l’obtention du consentement utilisateur.

Bien évidemment, il ne suffit pas d’avoir un site Internet en règle avec le RGPD pour être en conformité.

Cette petite vidéo, réalisée sur PowToon, vous résume ce qu’est le RGPD et sa mise en conformité.

Pour faire simple, vous mettre en conformité au RGPD est plus que conseiller, puisqu’obligatoire.

Eventuellement, n’hésitez pas à m’appeler pour réaliser, à minima, un audit de ce que vous avez d’ores et déjà mis en place, et afin de voir ensemble comment mettre en place ce qu’il manque, notamment en ce qui concerne la traçabilité et la sécurisation des données.

Car il ne s’agit pas seulement de registres et procédures en tous genres, mais également de mettre en place le nécessaire afin d’avoir un suivi de l’utilisation des données et de les mettre en sécurité.

Envoyez-moi un message
Appelez-moi
Caroline 0 Commentaires
Jan 27 2021
Et vous, vous en êtes où ?

Et voici un gros projet qui aboutit bientôt à sa finalité (mais pas à sa fin).

Un site dont il ne manque plus qu’à définir et paramétrer les derniers détails concernant les dates et tarifs de réservations, un registre des activités de traitements des données personnelles à maintenir à jour au fil des évolutions de l’entreprise, et un registre des sauvegardes et suppressions des données à remplir au fil du temps…

Le site contient tous les éléments obligatoires quand à l’information et la règlementation en terme de protection des données personnelles.

Mais au delà de cela, ce site, créé avec le CMS WordPress et hébergé chez l’hébergeur français OVH, est surtout le travail de beaucoup de réflexion quand au choix du thème et des différents modules à utiliser.

Extrait de la page d’accueil du site Internet

La combinaison de toutes ces sélections, à savoir le CMS le plus idéal, un hébergeur certifié SecNumCloud par l’ANSSI, ainsi que des modules et plug-in MotoPress, m’ont permis de mettre en œuvre un site responsive non seulement fonctionnel, mais qui répond à toutes les attentes de ma cliente.

Bien qu’il ne soit pas finalisé, puisqu’en attente des données finales, n’hésitez pas à visiter ce site Internet pour me donner vos avis : www.villas-la-caverne.com

Concernant la conformité au RGPD, il a fallut s’occuper de nombreuses pages sur le site, comme la politique de confidentialité, les mentions légales ou les conditions d’utilisation, qui devront être mises à jour régulièrement.

Mises à jours qui devront également être reportées dans le registre des activités de traitements des données personnelles (tant sur la carte mentale que dans la version texte), dont une partie concerne les traitements relatifs aux données acquises depuis le site Internet.

Une des multiples branches de la carte mentale du Registre des activités de traitement des données personnelles

Cette branche de carte mentale ne représente qu’un seul sous-menu de 2ème niveau de l’ensemble du registre en version mise en page sous traitement de texte.

Ici, la version rédigée personnalisée représente, page de garde comprise, un document de 28 pages. A ce registre, il faut associer d’autres documents tout aussi importants aux yeux de la CNIL, afin d’être en conformité avec la règlementation générale sur la protection des données…

A ces divers documents et autres informations déjà mentionnés, viennent s’ajouter de nombreux autres sur lesquels il va falloir encore travailler, comme l’affichage obligatoire à accrocher dans le complexe de location, ou encore l’établissement de contrats avec les sous-traitants n’en proposant pas d’eux-mêmes dans leurs contrats de services, car oui, le client peut également établir un contrat de sous-traitance, puisqu’il devient le donneur d’ordre en ce qui concerne la gestion des données récoltées.

Tout ce travail aura pris beaucoup de temps, mais cela en vaut la peine à la vue des résultats obtenus…

Et voilà donc une client satisfaite de son site Internet, et en règle avec la Commission Nationale de l’Informatique et des Libertés, avant même l’ouverture de son activité !

Caroline 0 Commentaires
Déc 28 2020
Aide au RGPD

Se mettre en conformité avec le RGPD n’est pas chose aisée, notamment vu le nombre de documents à fournir en cas de contrôle :

  • Registre de traitement des données personnelles
  • Analyse d’Impact relative à la Protection des Données (AIPD) en cas de collecte de données dites sensibles
  • Intégralité des contrats de sous-traitance avec les fournisseurs traitant vos données pour vous
  • Tous les documents relatifs au transfert des données à l’étranger (si tel est le cas)
  • Politique de confidentialité et autres mentions d’information des personnes fournissant leurs données personnelles
  • Preuve de la demande de consentement de l’utilisateur (client/prospect)
  • Procédures diverses concernant la mise en place des droits des utilisateurs, les suppressions des données, en cas de violation des données, etc.

D’un point de vu administratif, la charge de travail est colossale !

Certes, je ne me donne en aucun cas le statut de DPO (Délégué à la Protection des Données) expert, mais je peux tout de même vous aider pour la rédaction de certains de vos documents.

J’ai créé une Carte Mentale regroupant l’intégralité des cas de traitement des données personnelles afin de générer un document texte (à mettre en page avec votre charte visuelle) et vous fournir ainsi le registre de traitement des données personnelles (car il ne s’agit pas de répertorier les données à proprement parler, mais de donner la raison de leur collecte)

Extrait de la carte mentale à remplir

Associé à ces documents, je peux également préparer avec vous l’AIPD, à l’aide de l’outil fourni par la CNIL, le PIA.

Les mentions d’informations, telles que les mentions légales, les bandeaux d’information des cookies, les conditions d’utilisations, ainsi que les politiques de confidentialité, sont bien entendu à intégrer majoritairement sur le site Internet, mais peuvent être imprimées pour un affichage public dans vos locaux (hors cookies, bien évidemment).

Pour toute création d’un site Internet, je fais d’office signer un contrat de sous-traitance de traitement des données, puisque je suis, en tant que fournisseur de ce type de service, moi-même concernée. D’ailleurs, je dois également, en plus de mon propre registre de traitement des données personnelles, avoir un second registre répertoriant les différents traitement de données que j’effectue pour le compte de mes propres clients. Ce registre est d’ailleurs très ressemblant, à ceci près qu’il précise pour chaque client les types de traitements que je traite pour lui (et uniquement ceux-ci). Au final, j’ai une petite partie du RGPD de mon client dans une branche propre à lui, en fonction de ce qu’il me sous-traite.

Extrait de la Carte Mentale du registre de traitement des données personnelles en tant que sous-traitant

En ce qui concerne les rédactions de procédures, ayant été longtemps auditée pour la certification ISO 9001 de mon ancien employeur, je saurais également vous aider pour tout ce qui tient de la mise en place de ces documents (et pas seulement dans le cadre du RGPD).

Je suis sûre que vous vous dites que toutes ces rédactions peuvent être faites par vous, et vous n’auriez pas tors. Mais pouvez-vous vous permettre de mettre un(e) employé(e) à plein temps pour effectuer ces tâches, alors qu’une personne ayant un œil externe à votre entreprise peut s’en charger en ne sollicitant que les personnels traitant des données, uniquement le temps d’obtenir les informations nécessaires ?

Alors, prêt à vous lancer dans l’aventure de la mise en conformité ? Dans ce cas, n’hésitez pas à me contacter pour plus d’information.

Caroline 0 Commentaires
Déc 9 2020
RGPD, vous connaissez ?

Ce nouveau règlement européen, en application depuis mai 2018, s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens européens de l’utilisation qui peut être faite de leurs données.

Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs. Toutes les sociétés qui traitent des données concernant un résident européen sont concernées, même si celle-ci est enregistrée hors de l’UE.

En cas de contrôle de la CNIL (la Commission Nationale de l’Informatique et les Libertés), vous devez être en mesure de prouver votre conformité au RGPD (Règlement Général sur la Protection des Données).

Et les sanctions peuvent être très lourdes…

Pour preuve, le 26 novembre dernier a été annoncé une peine de plus de 3 millions d’Euros pour le Carrefour France (2 250 000.00 €), et sa filiale Carrefour Banque (800 000.00 €) pour manquements au RGPD (pour plus d’informations cliquez ici).

Alors oui, vous allez me dire que vous n’êtes pas Carrefour… Mais les grands groupes ne sont pas les seuls concerné, la preuve avec la liste des sanctions prononcées par la CNIL.

Quoi qu’il en soit, en cas de non respect au RGPD, vous pouvez écoper d’une amende de 4% de votre chiffre d’affaire annuel mondial, ce qui n’est pas négligeable !

Pour être en conformité, vous devez constituer un dossier contenant toute la documentation (mise à jour régulièrement) nécessaire, à savoir :

  • La documentation sur le traitement des données personnelles collectées :
    • Un registre de traitement des données
    • Une Analyse d’Impact à la Protection des Données (AIPD)
    • Une preuve de la garantie de protection des données transférées hors de l’UE (généralement, via des clauses contractuelles)
  • L’information des personnes
    • Les mentions d’information
    • ​Les modèles de recueil du consentement des personnes concernées,
    • Les procédures mises en place pour l’exercice des droits
  • Les différents contrats définissant qui fait quoi et comment
    • Les contrats avec les sous-traitants
    • Les procédures internes en cas de violations de données
    • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

Toutes ces informations et leurs détails sont disponibles sur le site de la CNIL.

LC Infoserv’ peut vous aider dans votre mise en conformité, en vous expliquant comment informer les personnes quelles sont leurs données sont collectées et dans quel but, mettre en place un consentement (physique ou virtuel) et surtout, en établissant avec vous le fameux registre de traitement des données (et l’AIPD associée si nécessaire).

Plus de détails sur ces documents dans de prochains articles.

Caroline 0 Commentaires