RGPD: techniquement il faut faire quoi ?

Pour créer, rédiger et optimiser le SEO de vos pages web --> Contactez-nous


Le RGPD arrive et certains commencent à en avoir peur.

Voir aussi:     et 

Les arnaques de consultants spécialisés se réclamant parfois de la CNIL (Qui avec le RGPD change de rôle et devient un "gendarme" à la Hadopi) se font de plus en plus nombreuses.

Certaines sociétés de conseil ou d'avocats proposent déjà de jouer les DPO, alors que rien n'est fixé quant à une certification et surtout un cadre d'action pour DPO externe.

Mais surtout, les équipes techniques sont dans le flou le plus total en ce qui concerne le RGPD.

Quoi faire ? Quand le faire ? Pour la plupart des sociétés concernées, ce sont des juristes qui parlent et ils s'arrêtent à la répétition du texte officiel du RGPD, sans dire concrètement et PRATIQUEMENT ce qu'il faut faire.

Donc, concrètement, pour préparer le RGPD, que faut-il faire au niveau TECHNIQUE ??

 

1) Que collecte-t-on ou que traite-t-on comme données ?

Qu'on soit prestataire sous-traitant ou "collecteur/traiteur" de données, la première chose à faire pour savoir comment aborder le RGPD est de savoir quelles données on collecte et l'on traite.

Rappel: le RGPD concerne les données personnelles, dont la définition a été revue. Par "donnée personnelle", le RGPD signifie TOUTE données permettant d'identifier une personne.

Ainsi, une adresse IP, une géolocalisation, un regroupement de données SONT des données personnelles.

Une fois qu'on sait quelles données on collecte ou on traite (Hé oui, vous avez aussi sans le savoir peut-être des listes de logs ou d'adresses Ip quelque part dans vos interfaces ou une liste d'adresses mails récupérées par votre mailer pour envoyer des nouvelles de votre société, etc, etc..), il faut savoir si elles sont nécessaires ou pas au "business".

Lesquelles le sont ? Lesquelles ne sont pas utiles .. Et bon courage pour déterminer si Mr, Mme Mademoiselle est utile ou pas :-))

Bien entendu, il faut savoir par quels logiciels ou machines ces données passent ou sont stockées

2) Penser à une interface de consultation/modification/suppression des données

Le RGPD donne la possibilité aux personnes dont les données ont été collectées, de consulter celles-ci et d’avoir plusieurs informations (article 15 ch 3 RGPD) comme :

    - les finalités du traitement;

    - les catégories de données à caractère personnel concernées;

    - les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;

    - lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

    - lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;

    - l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

Si vous pensiez demander aux personnes de fonctionner par papier ou mail, dommage --> il va falloir une interface.

Soit vous la pensez en interne, soit vous passez par un prestataire mais ne vous faites pas arnaquer sur le prix.

Montrer des données via une requête et proposer de les modifier et supprimer est un truc très simple (personne ne vous demande du design compliqué) qui ne coûte que quelques centaines d'euros au maximum à faire (modulo des problèmes d'hébergement et de sécurité que vous avez déjà sûrement si les db sont importantes pour vous).

3) Sécuriser les données

Si ce n'est pas déjà fait, il va falloir assurer (un max :-)) la sécurité des données qui passent chez vous.

Pensez déjà à éviter que les données ne fuitent par le chemin traditionnel qui fait le plus de dégâts quand les données sont vraiment vitales: la porte et les humains..

Donc clés usb interdites et portique/fouille à l'entrée et sortie si vous êtes dans une "grosse" boîte. Oui, les gens rigoleront certainement mais bon .. c'est comme ça.

Sinon, verrouillez les contrats des employés, des prestataires et TRACEZ le moindre mouvement des données avec les logs d'accès aux softs et/ou serveurs où elles sont.

Le mieux est de passer par une société de sécurité informatique qui surveillera tout ceci en permanence.

De plus elle vous fournira des audits réguliers, exigés aussi par le RGPD mais surtout, elle permettra de montrer que vous êtes de bonne foi, l'essentiel pour le RGPD.

 

Commentaires sur: RGPD: techniquement il faut faire quoi ?

Poster un commentaire sur: RGPD: techniquement il faut faire quoi ?







« WooCommerce: comment gérer les frais de livraison depuis la disparition de WooCommerce Table Rate Shipping by Mangohour ? | Accueil | Comment le RGPD va enrichir Google :-) »



Besoin de SEO, de développement, de rédaction de contenu web ? Besoin d'un blog, de Wordpress, de Prestashop ou autres nouvelles "choses web" ? Envie de travailler dans ces domaines ? --> Contactez-nous