Le RGPD

Photo du drapeau européen

Le règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Ce règlement vise à renforcer le traitement des données personnelles et à responsabiliser les professionnels.

« Il consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs données. » CNIL .

Suis-je concerné ?

Le RGPD est applicable à toutes les entreprises, sans différence de taille, dès qu’elles traitent des données à caractères personnels.

Définition des données personnelles

Vous traitez ou gérez des données personnelles sans le savoir. Dès lors que votre entreprise procède à une embauche ou qu’elle vend un service ou un bien à un client, des données à caractère personnel sont en jeu.

Quelques exemples :

Un formulaire de contact ou de devis sur votre site,
Un échange de message sur votre page Facebook ou votre compte Twitter,
Une commande, une inscription,
Un abonnement à une newsletter ou une mailing list,
Un devis, une facture, un rendez-vous,
Une embauche de salarié

Quelles sont mes obligations ?

1 - Désigner un responsable des données

Chaque entreprise (organismes publiques, sociétés privées traitant des données sensibles ou traitant des données à grande envergure) doit désigner un « Correspondant Informatique et Libertés », CIL. Cette personne a en charge de réaliser un inventaire des traitements des données gérées par l’entreprise.

Le CIL aura également en charge de piloter la conformité en continu et de gérer les relations avec les autorités de contrôle.

Les autres entreprises sont encouragées à désigner un CIL. Règlement européen : Un Délégué à la protection des données, est-ce obligatoire ?

2 - Cartographier les données et les flux

Il est nécessaire de recenser l’ensemble des données, leur mode de collecte, les personnes (en interne et les prestataires) en charge de les utiliser, leur utilisation, leur conservation ou leur diffusion. Vous avez l’obligation de réaliser et maintenir un registre de ces données et de leur traitement.

Que vous soyez « dispensé » de la désignation d’un Responsable des données ne vous exempte pas de tenir un registre des données.

Quelques exemples :

Newsletter : Nous collectons le Nom, le Prénom et l’adresse email pour envoyer des newsletters à l’aide d’un formulaire d’abonnement sur notre site (consentement explicite de l’utilisateur). Chaque newsletter dispose d’un lien pour se désabonner, les données personnelles sont ensuite supprimées de la base d’abonnés.

Logiciel CRM : Nous stockons les coordonnées de nos clients et prospects dans un logiciel CRM en ligne. Ces données proviennent de nos formulaires de contact sur notre site et des appels téléphoniques des commerciaux. Ces données sont utilisées par l’équipe commerciale pour établir le contact avec les prospects et par l’équipe opérationnelle pour consulter les services utilisés en vue de guider les clients. Lorsqu’un client met fin aux services, celui-ci est informé qu’il peut demander la suppression de sa fiche client. Un accord de confidentialité a été signé avec notre prestataire CRM et celui-ci nous a fourni les informations nécessaires permettant de valider sa conformité avec le RGPD.

Concrètement, vous devez maintenir des tableaux pour chacune des données. Voici deux exemples simples des questions à se poser :

Qui ?	Quoi ?	Pourquoi ?	Ou ?	Jusqu’à Quand ?	Comment ?
Chargé de communication	Nom, Prénom, email, âge	Newsletter	Logiciel emailing en ligne, situé en France	Jusqu’à désinscription par l’utilisateur	Accès aux données par mot de passe fort. Compte-rendu quotidien des traitements envoyé par le logiciel. Journalisation des accès au logiciel.
Gérant, fonction Ressources humaines	Nom, Prénom, email, âge, Adresse, entretiens annuels, relevés d’heures, évaluations	Suivi de carrière, évolution, promotion	Logiciel RH sur poste informatique	2 ans maximum après le départ d’un salarié	Suppression automatisée par le logiciel après 2 ans d’inactivité sur une fiche salarié.

Qui ?

Quoi ?

Pourquoi ?

Ou ?

Jusqu’à Quand ?

Comment ?

Chargé de communication

Nom, Prénom, email, âge

Newsletter

Logiciel emailing en ligne, situé en France

Jusqu’à désinscription par l’utilisateur

Accès aux données par mot de passe fort.

Compte-rendu quotidien des traitements envoyé par le logiciel.

Journalisation des accès au logiciel.

Gérant, fonction Ressources humaines

Nom, Prénom, email, âge,

Adresse, entretiens annuels, relevés d’heures, évaluations

Suivi de carrière, évolution, promotion

Logiciel RH sur poste informatique

2 ans maximum après le départ d’un salarié

Suppression automatisée par le logiciel après 2 ans d’inactivité sur une fiche salarié.

La CNIL propose un tableur permettant de créer un registre. Il est à télécharger sur cette page : https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

3 - Modifier vos contrats, vos conditions générales de ventes et vos mentions légales

Que ce soit de vos salariés, clients ou prospects, vous avez désormais l’obligation de les notifier sur les données personnelles que vous possédez, du mode de collecte, du traitement de leurs données, de leur droit de consultation, de rectification et de suppression.

Vous devez donc insérer ces éléments dans vos différents documents écrits et vos sites / applications web.

Information : à chaque collecte d’information vous devez obtenir le consentement explicite.

Exemples :

- Demander une validation des conditions générales de vente avant de valider un panier.

- Informer les internautes du traitement réservés aux informations saisies dans les formulaires de contact et de demande de devis.

- Modifier les mentions légales de vos sites internet.

Consultation : vous disposez d’un délais d’un mois pour fournir les données détenues sur le demandeur.
Modification : chaque personne peut demander des modifications sur ses données.
Opposition : chaque personne peut vous demander de supprimer tout ou partie de ses données ou de limiter leurs utilisations.

Exemple : Ne pas obliger vos clients à être automatiquement abonnés à vos newsletters.

Le RGPD impose également de garantir la sécurité des données personnelles. Il est nécessaire de mettre en place des dispositifs et des procédures de sécurité permettant de démontrer le respect des règles relatives à la protection des données, tant de votre côté que de vos sous-traitants (Par exemple pour l’hébergement de vos sites et applications sur les serveurs de Galaxy-Hub, les logiciels en ligne, …).

Quelques règles :

Définir des mots de passe sécurisés pour accéder à vos logiciels en ligne ou votre hébergement : l’ANSSI propose des recommandations simple à mettre en œuvre : https://www.ssi.gouv.fr/guide/mot-de-passe/
Utiliser les groupes d’utilisateurs pour vos logiciels en ligne (CMS, CRM, e-commerce, …) afin de limiter les accès aux données sensibles,
Valider la conformité de vos sous-traitant au RGPD, notamment si vous transférez les données personnelles de vos clients et prospects sur des outils en ligne (par exemple les outils de newsletters).
Signer un accord de confidentialité avec vos salariés.

Notification des violations des données personnelles

La violation des données est définie par la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données personnelles, de manière accidentelle ou illicite.

Cette obligation s’impose notamment aux opérateurs de communications électroniques et aux responsables des données. Vous disposez d’un délai de 24 heures pour notifier la CNIL d’une violation des données.

Notifier une violation des données (CNIL).

Présentation des 6 étapes pour mettre en place le RGPD

Le site de la CNIL propose un récapitulatif des actions à mener en 6 étapes : https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes

Quelles sont les obligations de GALAXYHUB ?

GALAXYHUB est soumis au RGPD pour le traitement des données personnelles gérées par les équipes internes et pour vous apporter toutes les informations nécessaires permettant d’assurer la sécurité de vos données hébergées sur nos serveurs.

Galaxy-Hub ne divulgue aucun contenu de ses clients, sauf en cas d'obligation légale ou pour respecter un ordre juridique valide et exécutoire provenant d'un organisme gouvernemental ou réglementaire.

En tant que fournisseur de services professionnels d’hébergement internet, la société Galaxy-Hub s’appuie sur la sécurité physique de ses serveurs auprès de son data center et de la sécurité logicielle mise en place par l’équipe d’expert de Galaxy-Hub.

Pour la gestion de la sécurité de vos données, Galaxy-Hub s’engage notamment avec les moyens suivants :

Surveillance permanente de l’infrastructure par l’équipe technique. Des alertes sont transmises automatiquement au personnel en charge d’assurer la sécurité des serveurs.
Les noms de domaine gérés par Galaxy-Hub sont installés sur au moins deux serveurs de noms. « Cela permet d’assurer la meilleure redondance possible, de manière à ce qu’un serveur affecté par une attaque puisse être remplacé en toute transparence par d’autres serveurs disposant des mêmes informations mais situés sur d’autres réseaux. AFNIC »
Accès par mot de passe et multiples routes sécurisées.
Sauvegardes jusqu’à 60 jours pour vous assurer un environnement toujours opérationnel et une sécurité complémentaire pour vos fichiers, même en cas d’attaque de vos applications hébergées.
Protection DDoS permettant de ne pas subir d’attaques de réseau d’ordinateurs « zombies » (Botnet).
Journalisation des tâches permettant de vérifier les accès.
Accès en mode chiffré et sécurisé.
Accès sécurisé par VPN vous assurant l’anonymat de vos données.

Suis-je concerné ?

Ne pas se conformer à ce nouveau règlement Européen vous expose à des amendes administratives qui peuvent s’élever de 2% jusqu’à 4% du chiffre d'affaires annuel mondial. Un Comité européen de la protection des données (CEPD) est en cours de constitution. Il aura en charge l’application et l’évolution du RGPD.

Mentions légales