RGPD : pas prêts ? pas grave…

Le Règlement Général sur la Protection de Données (RGPD) à caractère personnel entre en vigueur le 25 mai 2018. Beaucoup de questions nous sont remontées auxquelles nous allons tâcher de répondre en récapitulant ce qu’il faut faire. Nous espérons que cela facilitera votre propre mise en conformité RGPD.

RGPD : Par où commencer ?

Lister ses sous-traitants, rédiger les traitements, construire son registre, expliquer les mises en sécurité, les procédures, etc. autant de tâches a effectuer qui conduit les entrepreneurs et les entreprises à se poser la question de l’organisation du travail afin de se mettre en conformité. A cette fin, SG autorépondeur a édité un fascicule qui vous explique, en 4 étapes simples, comment vous mettre en conformité. Vous pouvez télécharger gratuitement le document en cliquant ici.

1- Lister vos sous-traitants

C’est la première étape (et probablement la plus simple). Vous devez lister tous vos sous-traitants et, pour chacun, spécifier la finalité. Paypal, par exemple peut être un sous-traitant dont la finalité est la “gestion des paiements” ou encore on hébergeur (OVH, Gandi, 1and1, etc.) dont la finalité serait la “gestion de vos serveurs”.

Une fois vos sous-traitants listés, écrivez-leur pour leur demander de vous confirmer qu’ils sont bien (ainsi que leurs propres sous-traitants) bien en conformité RGPD). Dans le fascicule cité plus haut, vous trouverez un modèle de lettre.

Pour rappel, vous êtes responsable de la conformité RGPD de vos sous-traitants ainsi que des sous-traitants de vos sous-traitants. L’envoi (et surtout la réponse) au courrier vous dégagera de cette responsabilité en cas de non-conformité RGPD de vos sous-traitants.

Par ailleurs, si vos sous-traitants communiquent déjà d’une façon publique sur leur conformité, vous n’avez pas besoin de leur envoyer ce courrier.

2- Lister tous les traitements

A cette étape, il faut faire une liste des traitements que vous effectuez en termes de :

  • gestion de vos sous-traitants
  • gestion des échanges avec votre blog (les commentaires notamment)
  • gestion de la relation commerciale avec vos prospects
  • gestion de la relation commerciale avec vos clients
  • Gestion de votre politique de sécurité des données

Chaque traitement doit faire l’objet d’une fiche de Registre. Vous devrez donc ainsi constitué votre Registre RGPD qui vous sera demandé en cas de contrôle de la CNIL.

Ci-dessus, un exemple d’une de mes propres Fiches de Registre (cliquez sur l’image pour voir en grand).

 

3- Rédaction des documents légaux du site web

Vous devez également revoir le contenu de vos “Mentions légales”, de votre “politique de confidentialité” ainsi que de vos “Conditions générales de vente et d’utilisation” (CGVU).

Des modèles personnalisables des 2 premiers documents sont disponible avec l’offre “sérénité” de SG Autorépondeur.

4- Communiquez sur votre mise en conformité RGPD

Il s’agit de rassurer vos visiteurs ainsi que vos prospects sur l’utilisation que vous faites de leurs données personnelles éventuellement récupérées suite à leur consentement.

N’oubliez pas de rendre vos formulaires de capture conformes RGPD. (Les formulaires créés à partir de SG Autorépondeur, quel que soit le forfait, sont déjà 100% compatibles RGPD).

Bonne préparation au RGPD.

5- Conclusion

Vous avez ci-dessus une façon structurée d’approcher votre mise en conformité. Contrairement à ce qu’on voit partout actuellement sur l’urgence de vous mettre en conformité, je vous recommande de… prendre le temps. Il n’y a pas véritablement d’urgence, même si vous lisez cet article après le 25 mais 2018. Et j’écris celà en fonction de 2 critères :

  • La CNIL elle-même nous fait part d’une tolérance durant les premiers mois après le 25 mai, surtout concernant les petites entreprises, à condition de prouver tout de même votre bonne foi en prouvant que vous êtes dans la démarche de mise en conformité. Lire une interview de la directrice du CNIL ici.
  • La quadrature du net, pour ne parler que d’un seul exemple, vient de déposer une plainte collective de 12 000 personnes contre les Gafam (Google, Amazon, Facebook, Apple, Microsoft), ce qui va donner pas mal de travail de contrôle à la CNIL. Et ce n’est que le début… Donc, avant que la CNIL ne vienne faire un contrôle dans votre toute petite entreprise, il peut se passer encore quelques mois.

En conclusion donc, pas de panique, à condition que ous soyez honnêtement déjà engagé dans la démarche de mise en conformité, vous ne risquez globalement pas grand chose pour les mois qui viennent.

Enfin, n’hésitez pas à poser vos questions en commentaires, je me ferais un plaisir d’y répondre.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.