TPE/PME : vous mettre en conformité avec le RGPD en 5 étapes

par | 15 mai 2018 | Actus et humeur | 1 commentaire

RGPD-5-preparer-controle

Cet article devait s’intituler : Se préparer à un contrôle, mais plus la date approche, plus je reçois des demandes d’entrepreneurs qui découvrent le sujet et se demandent s’ils doivent se constituer tout de suite un stock d’aspirine. En effet, comme le RGPD vise les grands de ce monde (comme Google et autres Facebook), il n’est pas simple à comprendre pour des TPE/PME. Et surtout, il ne précise pas ce que nous devons faire concrètement pour être en règle. Je modifie donc un peu l’article pour qu’il soit un peu plus généraliste :

Je vous propose une synthèse concrète, étape par étape, de ce que vous devez mettre en place pour être en règle le 25 mai.

Note : l’idée est de faire simple et de répondre au plus grand nombre. Cet article s’adresse aux entrepreneurs indépendants, aux responsables communication, marketing et gérants de TPE/PME, dont la société n’est pas un organisme publique, ne traite pas de données personnelles sensibles (liées à la santé, à l’affinité politique ou religieuse et autre casier judiciaire…), ne traite pas non plus de données personnelles à grande échelle, et bien sûr dont l’activité n’est pas de faire du business avec les données personnelles.

Vous êtes encore là ? Alors on y va.

5 étapes pour vous mettre en conformité avec le RGPD

Je commence par les obligations d’information parce qu’elles constituent la partie visible de votre conformité RGPD. Si la CNIL s’intéresse à vous, c’est la première chose qu’elle va regarder, et comme on dit :

Vous n’aurez jamais une deuxième chance de faire une bonne première impression.

1. Obligation d’information : la collecte

Vous devez informer les utilisateurs du traitement des informations collectées. Nous avons l’habitude du texte sous les formulaires de contact en référence à la loi informatique et libertés. C’est la même chose, en plus complet. Nous parlons des formulaires de contact, mais aussi d’inscription au blog ou aux newsletters, de téléchargement de livre blanc ou de catalogue… bref, tout formulaire sur votre site qui va collecter des infos personnelles (même si seul l’e-mail est demandé).

La règlementation impose que la mention d’information soit à l’endroit de la collecte, mais pour éviter d’avoir un paver de texte sur chaque formulaire d’inscription (ce qui peut faire lourd sur un bloc d’inscription au blog par exemple), la CNIL tolère l’insertion d’un court texte (du type « Ce formulaire est en conformité avec le RGPD, en savoir plus »), avec un lien qui envoie vers une section dédiée dans les mentions légales.

Pour le détail du texte, la CNIL n’a pas encore mis à jour ses modèles (vous n’êtes pas si en retard), abonnez-vous au blog si vous souhaitez que je vous en informe lorsqu’ils seront dispo.

A faire concrètement : ajouter un paragraphe d’information sur le traitement de vos données personnelles dans les mentions légales (cf modèle de la CNIL à venir), et un petit texte contenant un lien vers celui-ci en dessous de chaque formulaire qui collecte des données sur votre site.

​​Abonnez-vous !

​​pour être informé des prochaines publications du blog

​Ce formulaire est conforme au RGPD, en savoir plus

2. Obligation d’information : les cookies

Bon, je me suis déjà prononcé sur le sujet, mais l’enjeu n’est plus le même. Nous parlons d’une amendes de 20 millions d’euro, plus besoin de pépites de chocolat pour être motivé !

Donc pour faire simple, votre site dépose des fichiers sur le navigateur de vos visiteurs, et c’est pas bien sur le principe. Mais si il ne dépose que des cookies « de fonctionnement », par exemple des cookies pour le bon fonctionnement de WordPress, et un autre pour les stats. La CNIL tolère qu’ils soient déposés sans le consentement de l’internaute, par contre vous avez l’obligation de le prévenir.

Je laisse ici de coté les cookies « sensibles » (comme ceux qui permettent le reciblage publicitaire) car pour eux vous avez besoin du consentement de l’internaute avant de lui déposer, et vous devez lui permettre de naviguer sur votre site sans.

A faire concrètement : ajouter un bandeau sur votre site qui indique une phrase du genre « Ce site utilise des cookies pour fonctionner et mesurer anonymement son audience, en savoir plus ». Et comme pour le précédent, le texte inclut un lien qui envoie vers une section spécifique aux cookies dans vos mentions légales, qui détail un peu.

3. Obligation d’information : les mentions légales

Vous devez avoir cette page, qui est déjà obligatoire, depuis 2012 de mémoire. En plus des deux points ci-dessus, elle doit obligatoirement permettre d’identifier l’entité juridique qui est derrière le site (votre numéro de SIREN), l’hébergeur, et l’éditeur du site.

A faire concrètement : vérifier et compléter les informations de page Mentions légales si nécessaire.

4. Le registre des traitements des données personnelles

Voilà pour ce qui est des sites. Ensuite, si la CNIL vous contrôle, elle va commencer par vous demander votre registre des traitements des données personnelles. C’est un fichier ou un classeur que vous devez avoir et qui décrit le traitement des données dans votre organisation.

C’est sur ce point que tout le monde commence à trembler, pourtant ça n’est qu’un tableau Excel assez simple à renseigner. Vous éditez un onglet par flux de données, et hop, le tour est joué. Je vous décris comment le faire dans cet article : RGPD pour entrepreneur #4 : Comment établir une cartographie ?

A faire concrètement : réaliser vos cartographies en copiant ce modèle, les ranger dans un classeur (ou un fichier avec une cartographie par onglet), et écrire dessus « Registre des traitements des données personnelles ».

5. Ménage de printemps, entretien et disponibilité

Le RGPD oblige à reconsidérer un peu la manière dont nous traitons les données personnelles, et à quelques conséquences. Par exemple, je suis à mon compte depuis 2001, soit depuis 16 ans (déjà !). Le RGPD va m’obliger à faire un peu de ménage dans mes archives et mes boites mails, car je n’ai plus le droit de conserver les données de client plus de 10 ans, et les données de prospect plus de 3 ans. Je dois également supprimer toute donnée qui ne me sert à rien, et n’est pas décrite par une cartographie.

Pour rentrer en douceur dans l’univers RGPD, je vous invite à lire : RGPD pour entrepreneur #2 : 5 points de vigilance pour se préparer

Ensuite, pensez que tout ce que nous avons mis en place (informations sur site et cartographies) doit rester à jour, il faudra donc prévoir de modifier ou compléter selon vos évolutions. Enfin, nous ne sommes pas trop concernés par la portabilité, mais sachez que si un utilisateur vous demande toutes les données que vous avez sur lui, vous avez un délai de 30 jours maximum pour lui fournir.

A faire concrètement : supprimer toutes les données hors délai ou inutile, définir la manière dont les éléments seront mis à jour et comment les éventuelles demandes d’utilisateurs, quant à leurs données, seront traitées.

Ces articles peuvent également vous intéresser

1 Commentaire

  1. Tkacz
    Tkacz sur 11 octobre 2018 à 14 h 42 min

    Je trouve ton blog très intéressant, tu donnes d’excellents conseils

    Réponse

Répondre à Tkacz Annuler la réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

img-pdf-site-business-g3

​Comment développer et
pérenniser votre business ?

​Voici un plan d'action ​concret
en 5 étapes.

Un condensé de plus de 15 ans d'expérience.

 ​RECEVOIR LE PLAN D'ACTION