Recherche pour :
Jan 16 2022
Le DPO, clé de voûte de votre conformité au RGPD

Le DPO (Data Protect Officer), Délégué à la Protection des Données personnelles (DPD en français), est au centre de votre conformité au Règlement Général sur la Protection des Données personnelles (RGPD).

Par son rôle de conseil, il est au cœur du règlement européen.

Le DPO orchestre la conformité de votre entreprise, association ou administration en matière de protection des données personnelles.

Quelle que soit la taille de votre organisation, le DPO sera votre conseil, votre soutien. La conformité au RGPD est une aventure au long court, de sa mise en place à son maintien.

Rappel : Ce qu’est le RGPD

Le RGPD, Règlement Général sur la Protection des Données, est un règlement Européen qui régit la façon dont toute structure associative, administrative et professionnelle doit mettre tout en oeuvre protéger les données à caractère personnelles qu’elle recueille. Il vient renforcer, en France, la Loi Informatique et Libertés.

C’est la CNIL (Commission Nationale de l’Informatique et des Libertés) qui s’occupe de contrôler la conformité à ces textes.

Leur protection n’est pas le seul point du RGPD. En effet, ce règlement précise que l’entreprise doit également :

  • Recueillir le consentement des personnes physiques ou à minima informer les utilisateurs des finalités des traitements pour lesquels leurs données personnelles seront utilisées
  • Créer et tenir à jour un registre des traitements des données
  • Définir et informer sur la durée de conservation des données
  • Etablir diverses procédures, notamment concernant les situations suivantes :
    • Violation de données
    • Perte de données
    • Demande d’accès / modification / suppression de données
    • etc.
  • Etablir et tenir à jour différents registres :
    • De sauvegardes
    • De suppressions / effacements partiels ou totaux
    • Des modifications
    • etc.
  • Se tenir informer des dispositions et outils préconisés par la CNIL
  • Contrôler régulièrement l’application et le respect des procédures et le remplissage des registres
  • Etc.

Le RGPD ? Retrouvez le ici

Comme vous pouvez le deviner, le RGPD ne s’applique pas uniquement à l’acceptation de cookies sur votre site Internet.

Au contraire, même si vous ne possédez pas de site, vous êtes concernés.

Vous n’avez pas d’informatique et faites tout à la main ? Vous l’êtes également. En effet, les données sur papier aussi doivent être sécurisées, conservées dans un temps limité puis supprimées.

Le rôle du DPO au sein de la structure

Le rôle principal du Délégué à la Protection des Données est justement celui de vous assister pour mettre en oeuvre votre conformité au RGPD.

Il doit aussi être conseil auprès de vous. Auprès des différents responsables de traitements de données personnelles. Donner les préconisations nécessaire quant à la mise en place d’outils et autres procédures en matière de sécurité des données. Assister dans les différents possibilités.

Les tâches du PDO

Parmi les tâches principales du Délégué à la Protection des Données, nous trouvons, entre autres :

  • Contrôle du point du situation à la conformité au RGPD (audit)
  • Conseil aux responsables de traitements (et éventuellement aux sous-traitants)
  • Identifier les données dites sensibles leurs traitements
  • Créer une AIPD (Analyse d’Impact) pour les nouveaux traitements ou les traitements à risques
  • S’assurer de la minimisation des données collectées, principalement selon les finalités de leurs traitements
  • Rédaction des procédures internes
  • Préparation du registre des traitements de données
  • Préparation du registre des activités de traitements
  • Contrôle régulier de l’application des procédures
  • Mises à jour des documentations internes (procédures, registres, etc)
  • S’assurer de la sécurité de la portabilité et des transferts de données
  • Coopérer avec l’autorité de contrôle (la CNIL)
  • Être le point de contact des personnes concernées par l’utilisation de leurs données (droit des personnes)
  • Etc.

Aussi, outre ses services d’assistance et de conseil pour la mise en place d’une conformité au RGPD, le DPO est surtout avec vous dans la continuité.

Ne vous souciez pas de l’évolution du RGPD, votre Délégué à la protection des Données se charge d’effectuer une veille. Grace à cela, toutes les tâches organisationnelles seront gérées pour vous.

En conclusion : Mise en conformité, maintien de la conformité et mises à jour de l’ensemble de la documentation, voilà le parcours du Délégué à la Protection des Données au sein de votre entité.

Le profil du DPO

Le Délégué à la Protection des Données est généralement une personne issue du milieu informatique ou juridique. Mais de nombreux autres profils sont également devenus des Délégué à la Protection des Données (administratifs, commerciaux, etc.)

Être Délégué à la Protection des Données est au départ une fonction tenue par un employé interne à une structure. De part l’évolution continue du RGPD et des nouveaux types de traitements mis en place au sein même de ces structures, Délégué à la Protection des Données est, par conséquent, devenu un métier à part entière.

Vous trouverez ici une infographie de la CNIL résumant les profils des Délégué à la Protection des Données.

Pourquoi faire appel à un DPO externe

Faire appel à un Délégué à la Protection des Données externe à la structure est un choix

Il n’est pas question pour le Délégué à la Protection des Données externe d’imposer des choix quant à la mise en place des préconisations de la CNIL en matière de conformité au RGPD, mais bien d’assurer un rôle de conseil.

Ses tâches pour votre organisme n’étant consacrées qu’à votre conformité, et ne faisant pas partie des personnels, il saura être impartial et force de proposition pour améliorer ou mettre en place de nouveaux moyens de sécuriser les données personnelles exploitées pour vos différents traitements.

Aussi, il saura vous mettre en relation avec différents prestataires spécialisés, que ce soit des prestataire en sécurité informatique, des prestataires juridiques, ou encore des prestataire de sécurité physique.

Cependant, même s’il est lui-même fournisseur de systèmes de sécurité numérique, par exemple, il ne pourra en aucun cas vous préconiser ses propres solutions pour vous les vendre. Il doit obligatoirement faire effectuer cette tâche par un autre prestataire, afin d’éviter tout conflit d’intérêt.

De même, un DPO qui se trouve également être avocat ne pourra pas défendre la structure devant un Tribunal en cas de procès relatif aux données personnelles.

Infographie pourquoi DPO externe
Pourquoi faire appel à un DPO externe – Infographie

La position de LC Infoserv’

LC Infoserv’, c’est moi, Caroline LAMBERT.

Voté en 2016 pour une mise en application en mai 2018, j’ai rencontré le RGPD lors de mon ancien poste en entreprise, délaissant quelque peu l’ISO 9001 (satisfaction client) au profit de la protection des données personnelles.

Déjà habituée à la lecture et à l’interprétation des normes et réglementation dans le milieu informatique, ça a tout de suite collé entre nous.

Trêve d’humour, je me suis rapidement adaptée à ce nouveau texte européen. A tel point que j’ai été mandatée par mon entreprise pour assister une structure cliente dans sa propre conformité.

Lorsque je me suis installée à mon compte, mon but était d’assister les entreprises, principalement Chablaisiennes.

Les sites Internet que je proposent sont tous conformes au RGPD pour la partie du règlement les concernant. Donc je me suis dit : Pourquoi pas leur proposer de les assister dans l’ensemble de la mise en conformité ?

Alors, me voilà, DPO à votre disposition dans le Chablais, pour vous assister et vous conseiller dans votre démarche de mise en conformité.

Caroline 0 Commentaires
Référentiel Qualiopi
Juin 16 2021
Qualiopi, c’est parti !

Forte de mes nombreuses années d’expérience en tant que responsable de processus auditée annuellement dans le cadre du renouvellement et du maintien de la certification ISO 9001 lors de mon précédent poste en entreprise, et en tant que personnel intégré à l’enregistrement de la structure en tant qu’organisme de formation dans la base du DataDock, j’ai été sollicitée pour assister une société en forte croissance dans son objectif d’obtention de la certification Qualiopi.

Référentiel Qualiopi

Le référentiel Qualiopi, c’est :

  • Le remplaçant du DataDock d’ici 2022
  • 7 critères à remplir
  • 32 indicateurs à fournir

Dans son objectif de croissance, cette société souhaité dispenser des formations qualifiantes dans son domaine d’activité.

Du DataDock à Qualiopi

Auparavant, il fallait être inscrit au DataDock pour obtenir un n° d’organisme de formation. Pour cela, il fallait remplir un très long questionnaire relatif à la qualité de service, en y ajoutant de nombreux éléments de preuve, le tout réparti en 6 critère et 21 indicateurs. Il s’agissait là d’obtenir un agrément.

Ce n° permettait en effet aux futurs apprenants de bénéficier d’une formation prise en charge, pour tout ou partie, par son OPCA (Organisme Paritaire Collecteur Agréé, en charge de collecter les obligations financières des entreprises en matière de formation professionnelle).

Avec Qualiopi, le nombre de critères et d’indicateur augmente donc, et l’obtention de la certification change également.

Désormais, l’entreprise souhaitant dispenser des formations pouvant être prises en charge par les organismes paritaires devra se faire auditée annuellement, ce qui consiste à :

  • Se faire auditée par un organisme certificateur agréé par le Comité Français d’Accréditation pour obtenir la certification de départ
  • L’année suivante, passer un audit dit “de surveillance”
  • La 3ème année, passer un audit dit “de renouvellement”

Mon travail commence par la création d’un tableau récapitulant l’ensemble des critères, indicateurs, et éléments de preuve à fournir…

Bon, j’ai du pain sur la planche. Une bonne tasse de café, et c’est parti !

Caroline 0 Commentaires
Avr 21 2021
Ça va bouquiner !

Parce que modifier un bout de code par ci par là ne suffit plus, et que je souhaite devenir petit à petit indépendante des thèmes et plug-in existants, me voilà repartie à la conquête du développement pur et dur de sites web.

Elle est loin, l’époque où les CMS n’étaient pas le standard et où il fallait tout faire par soi-même, alors un petit retour aux sources me fera le plus grand bien, ne serait-ce que pour personnaliser un peu plus mon travail.

Et pour compléter me tout, vu l’ensemble des recommandations de la CNIL, et afin de se conformer un peu plus au RGPD, quoi de mieux que de protéger encore plus les sites Internet des clients ? Alors on bouquine encore plus, et on optimise la protection, notamment pour les sites récoltant des données personnelles.

Il s’agit surtout pour moi d’améliorer mes compétences, tout en me sortant un peu le nez de mon écran.

Caroline 0 Commentaires
Mar 11 2021
Création de site Internet – Attention aux fausses offres alléchantes !

Création de Site Internet

Attention aux fausses offres alléchantes

Lorsqu’on fait appel à un professionnel pour la création de son site Internet, on peut parfois avoir de mauvaises surprises…

De nombreuses sociétés de communication Web propose des sites Internet à prix très attractifs, mais soumis à un contrat longue durée (souvent pour 3 ans), vous engageant avec eux.

Je ne vais pas citer de nom ici, mais sachez que les pratiques diffèrent guère d’une agence à l’autre.

Alors certes, ces sites sont souvent très bien placés en référencement local, mais ceci est loin d’être parfait, car il ne suffit pas d’être “bien vu” sur Internet, mais aussi :

  • D’être propriétaire de son site
  • De pouvoir utiliser un nom de domaine
  • D’avoir un site sauvegardé et à jour (niveau logiciel)
  • D’avoir un site en règle avec le RGPD

Les agences nationales

Je me suis renseigné auprès de certaines agences sur le fonctionnement de leurs offres, et voici ce que j’ai constaté :

Ce qu’elles proposent : un site Internet à moins de 500 € HT !

Cela peut être tentant, mais ce prix ne correspond qu’à la partie visuelle. Ils vous présentent un abonnement mensuel, souvent à un tarif de départ qui parait dérisoire, mais qui vous engage souvent pour 3 à 5 ans !

Alors c’est vrai que pour commencer, lorsqu’on n’a pas encore de réel budget, cela peut paraitre attirant, mais voilà, à ce tarif attractif, voici ce que vous obtenez :

  • Une page avec vos coordonnées et un formulaire de contact
  • Des pages légales (car obligatoires)
  • Une URL (adresse de votre site Internet) à leur nom (par exemple, mon site de démonstration pour les artisans possède ce type d’URL : www.artisans.lcinfoserv.fr)
  • Une rédaction de contenu optimisée
  • Un support pour la mise à jour visuelle de votre site

Gosso-modo : pas grand chose au final, surtout si vous ne faites que très peu de modifications de vos contenus.

En aucun cas je n’appelle ceci un site Internet ! D’autant que visuellement, il n’y a aucune réelle personnalisation, si ce n’est vos coordonnées, et éventuellement votre logo.

Vous avez tout de même la possibilité d’avoir avec ces agences un véritable site Internet, avec un vrai nom de domaine (comme le mien : lcinfoserv.fr), un menu, plusieurs pages, etc. Bien évidemment, les frais de créations seront plus élevés, puisqu’il y aura (enfin) un travail visuel.

Et le prix mensuel des abonnements est tout de suite plus élevé, notamment parce que pour avoir un véritable site Internet, vous DEVREZ prendre un abonnement plus cher, puisqu’il contiendra forcément plus de services, dont le nom de domaine.

D’accord, mais que contient-il de plus me direz-vous ? Que sont ces services complémentaires.

Il s’agit bien souvent services marketing, rien de plus :

  • Des campagnes ciblées principalement (payées par le contrat)
  • Une campagne de référencement (mots-clés)
  • etc.

Cependant, on ne va pas se leurrer : il est à deviner que le site Internet ne vous appartient pas ! Vous arrêtez le contrat, vous n’aurez plus accès à rien.

Et si on faisait le point

sur ce que valent vraiment ces abonnements

Une agence web vous propose souvent un site basique avec un abonnement de base encore plus basique (et oui, c’est la base…), ou un site mieux, mais principalement avec des services marketing, qui ne vous seront pas toujours tous utiles.

Pourquoi ? parce que le marketing, c’est leur métier !

D’ailleurs, preuve en est, ils arrivent à vendre des abonnements comme s’il s’agissait vraiment de site Internet.

De plus, ces abonnements, tout du moins de ce qu’ils veulent bien montrer, ne font référence qu’au côté “il faut être vu”. Mais qu’en est-il justement de ce qui ne se voit pas ?

Il faut savoir aussi que les agences nationales sont très demandées car moins chères au premier abord, mais qui dit beaucoup de clients dit beaucoup de personnel, donc de fortes chances que l’interlocuteur change régulièrement, et que ce dernier s’occupe de nombreux clients. De plus, il est souvent difficile de les rencontrer.

Les sites de création “par soi-même”

Qui n’a pas vu à la télévision ou sur Internet une publicité pour créer vous-même votre site Internet ?

Sachez tout de même que tout n’est pas gratuit, contrairement à ce qui est annoncé !

Bon, ce qui est vrai, c’est que vous pouvez vous-même créer votre propre site Internet et même le personnaliser un petit peu, et ce, gratuitement.

Mais…

Les sites gratuits

Tout ce à quoi vous n’aurez pas accès

Voici quelques éléments qui ne sont pas inclus avec les sites gratuits :

  • Le nom de domaine. Parce qu’un don de domaine, ça se loue. Et oui, on achète en réalité un droit, une concession d’utilisation. Les prix varient en fonction de l’extension (.fr, .com, ect.) et de la durée
  • Des thèmes visuels avec des personnalisations étendues
  • Des fonctionnalités plus poussées
  • Des adresses e-mail personnalisées
  • Des conseils pour l’optimisation ou l’uniformité de votre site

Pour tout cela, il vous faudra souscrire à des plans, dont les prix peuvent varier en fonction de vos besoins. Et la note peut vite devenir salée.

Conclusion

Optez plutôt pour une agence de taille humaine, voire une personne indépendante, qui saura vous poser les bonnes questions, venir à votre rencontre pour découvrir votre univers professionnel afin de mieux répondre à vos attentes et établir avec vous un plan personnel, que ce soit au niveau de la création que du suivi post-livraison.

Aussi, sachez qu’un professionnel du web aura encore plus de facilités à modifier des éléments supplémentaires, notamment en allant “taper dans le code”, tout comme il aura, je l’espère, prévu comme moi des contrats de maintenance prévoyant non seulement une assistance, mais également, chose importante, des sauvegardes de votre site Internet

Quoi qu’il en soit, avant d’opter pour une agence nationale, un éditeur gratuit, ou une société telle que la mienne pour vos projets de site Internet, que ce soit en création, refonte, gestion ou maintenance, je peux vous servir de conseil, notamment en ce qui concerne la faisabilité en fonction de votre budget.

Intéressé ?

Envoyez-moi un message
Appelez-moi
Caroline 0 Commentaires
Mar 10 2021
RGPD – Renforcement des contrôles de la CNIL en 2021

En 2020, la CNIL a procédé à pas mois de 6500 enquêtes, dont 247 procédures formelles, aboutissant à 128 amendes, pour plus de 3 millions d’Euros de sanction pour manquement au RGPD.

Mais ces sanctions financières n’incluent pas les sanctions prises à l’encontre d’Amazon (35 million d’Euros) et Google (60 millions d’Euros), uniquement pour la mauvaise utilisation des Cookies.

Des priorités pour 2021

Avec les données de santé de 500 000 français qui ont fuité en 2020 par des cyberattaques dans les centres hospitaliers, notamment, la CNIL va renforcer ses contrôles concernant la sécurité des données de santé, mais pas uniquement.

Les sites Internet français dans le collimateur

2825 signalements concernant des manquements ont été reçus par la CNIL en 2020.

Parmi ces manquements, on retrouve :

  • L’absence du protocole HTTPS
  • Le recueil du consentement utilisateur (Cookies)
  • Défaut de sécurisation du mot de passe

C’est la raison principale de la vigilance qui va être portée par la CNIL à partir d’avril 2021 sur la conformité des sites Internet français aux normes de sécurité et à l’obtention du consentement utilisateur.

Bien évidemment, il ne suffit pas d’avoir un site Internet en règle avec le RGPD pour être en conformité.

Cette petite vidéo, réalisée sur PowToon, vous résume ce qu’est le RGPD et sa mise en conformité.

Pour faire simple, vous mettre en conformité au RGPD est plus que conseiller, puisqu’obligatoire.

Eventuellement, n’hésitez pas à m’appeler pour réaliser, à minima, un audit de ce que vous avez d’ores et déjà mis en place, et afin de voir ensemble comment mettre en place ce qu’il manque, notamment en ce qui concerne la traçabilité et la sécurisation des données.

Car il ne s’agit pas seulement de registres et procédures en tous genres, mais également de mettre en place le nécessaire afin d’avoir un suivi de l’utilisation des données et de les mettre en sécurité.

Envoyez-moi un message
Appelez-moi
Caroline 0 Commentaires
Fév 24 2021
Site clé en main dédié aux salons et instituts

Du coiffeur à l’esthéticienne

Un site adapté aux professionnels du bien-être corporel

Pas facile de faire un choix sur l’activité professionnelle à privilégier pour cette création de site clé en main.

Je me suis donc mise à la place d’une professionnelle du bien-être corporel et ai opté pour un site Internet qui peut convenir aussi bien aux coiffeurs qu’aux esthéticiennes.

Tout ce qu’il faut

  • Paramétrage des temps nécessaires avant, pendant et après la prestation
  • Tarifs des prestations, différenciables ou non selon l’employé
  • Employés, lieux de travail par employé (possibilité d’équipe volante)
  • Horaires de travail, temps de pause
  • Prise de RDV avec confirmation par e-mail en fonction du temps de la prestation, du lieux ou de l’employé choisis pour le RDV
Page de contact site de démonstration pour Salons et Instituts
Page de contact site de démonstration pour Salons et Instituts

Personnalisation selon vos besoins

De la typographie aux couleurs du texte, des images à leur implantation, personnalisez ce site à votre image, selon vos besoins et vos envies.

Ce site est personnalisable jusqu’à 6 pages (hors pages légales), ce qui laisse tout loisir à l’imagination quand à la présentation des prestations et tarifs, et même des employés !

Pour plus d’informations et découvrir bientôt le prochain site clé en main, consultez la page des créations et contributions en cliquant sur le bouton ci-dessous.

Plus d’informations
Caroline 0 Commentaires
Jan 27 2021
Et vous, vous en êtes où ?

Et voici un gros projet qui aboutit bientôt à sa finalité (mais pas à sa fin).

Un site dont il ne manque plus qu’à définir et paramétrer les derniers détails concernant les dates et tarifs de réservations, un registre des activités de traitements des données personnelles à maintenir à jour au fil des évolutions de l’entreprise, et un registre des sauvegardes et suppressions des données à remplir au fil du temps…

Le site contient tous les éléments obligatoires quand à l’information et la règlementation en terme de protection des données personnelles.

Mais au delà de cela, ce site, créé avec le CMS WordPress et hébergé chez l’hébergeur français OVH, est surtout le travail de beaucoup de réflexion quand au choix du thème et des différents modules à utiliser.

Extrait de la page d’accueil du site Internet

La combinaison de toutes ces sélections, à savoir le CMS le plus idéal, un hébergeur certifié SecNumCloud par l’ANSSI, ainsi que des modules et plug-in MotoPress, m’ont permis de mettre en œuvre un site responsive non seulement fonctionnel, mais qui répond à toutes les attentes de ma cliente.

Bien qu’il ne soit pas finalisé, puisqu’en attente des données finales, n’hésitez pas à visiter ce site Internet pour me donner vos avis : www.villas-la-caverne.com

Concernant la conformité au RGPD, il a fallut s’occuper de nombreuses pages sur le site, comme la politique de confidentialité, les mentions légales ou les conditions d’utilisation, qui devront être mises à jour régulièrement.

Mises à jours qui devront également être reportées dans le registre des activités de traitements des données personnelles (tant sur la carte mentale que dans la version texte), dont une partie concerne les traitements relatifs aux données acquises depuis le site Internet.

Une des multiples branches de la carte mentale du Registre des activités de traitement des données personnelles

Cette branche de carte mentale ne représente qu’un seul sous-menu de 2ème niveau de l’ensemble du registre en version mise en page sous traitement de texte.

Ici, la version rédigée personnalisée représente, page de garde comprise, un document de 28 pages. A ce registre, il faut associer d’autres documents tout aussi importants aux yeux de la CNIL, afin d’être en conformité avec la règlementation générale sur la protection des données…

A ces divers documents et autres informations déjà mentionnés, viennent s’ajouter de nombreux autres sur lesquels il va falloir encore travailler, comme l’affichage obligatoire à accrocher dans le complexe de location, ou encore l’établissement de contrats avec les sous-traitants n’en proposant pas d’eux-mêmes dans leurs contrats de services, car oui, le client peut également établir un contrat de sous-traitance, puisqu’il devient le donneur d’ordre en ce qui concerne la gestion des données récoltées.

Tout ce travail aura pris beaucoup de temps, mais cela en vaut la peine à la vue des résultats obtenus…

Et voilà donc une client satisfaite de son site Internet, et en règle avec la Commission Nationale de l’Informatique et des Libertés, avant même l’ouverture de son activité !

Caroline 0 Commentaires