Le RGPD (Règlement général sur la protection des données) est une obligation légale, certes. Parfois présenté de façon anxiogène, et souvent vécu comme une contrainte.
La CRESS Occitanie a organisé le 4 juin 2019 un déjeuner sur cette thématique pour les acteurs de l'ESS
2. Qui sommes-nous ?
une agence de communication pas comme les autres !
rendre nos clients autonomes, les émanciper !
communiquer oui, mais pas à n’importe quel prix
3 activités complémentaires
3. Qui sommes-nous ?
3 activités complémentaires :
Conseil Création Formation
5. Le RGPD, ami ou ennemi
Introduction
RGPD, la mal aimée : idées reçues
Autopsie d’une donnée personnelle
Traitement des données
Pratique
Les réflexes
Cookies, consentement, …
Conservation et gestion des données
Checklist et solutions
6. 2 x 4 questions 4 réponses possibles
kahoot.it
Testez vos connaissances !
Quiz 1 Quiz 2
7. Introduction à la RGPD, la mal aimée !
RGPD
Règlement Général
sur la Protection des Données
encadre le traitement des données personnelles
sur le territoire de l’Union européenne
25 mai 2018
responsabilité
8. Introduction à la RGPD, la mal aimée !
Obligatoire pour toute structure
Nécessite l’implication /
information de tous
Rien de nouveau : une
confirmation d’obligations déjà
en place
Le risque le plus important …
votre crédibilité
9. Objectifs
Données
personnelles
Renforcer les
droits des
personnes et la
protection des
données
Responsabiliser
les acteurs
traitant les
données
Crédibiliser la
régulation grâce
à une
coopération
renforcée
Rendre aux
individus la
maîtrise de leurs
informations
personnelles
1
2
3
4
11. Donnée personnelle
toute information se rapportant
à une personne physique identifiée ou identifiable
Client·e, fournisseur, prospect, adhérent·e, salarié·e, …
Autopsie d’une donnée personnelle
12. Traitement des données,
non vous n’êtes pas skynet
Traitement de données
opération, ou ensemble d'opérations,
portant sur des données personnelles,
quel que soit le procédé utilisé
Informatique, papier, …
13. Quels avantages pour ma structure ?
1.Renforcer la confiance
2.Améliorer l’efficacité commerciale
3.Mieux gérer l’activité
4.Améliorer la sécurité des données
5.Développer l’activité
6.Créer de nouveaux services
Source : CNIL - Guide de sensibilisation au RGPD pour les petites et moyennes entreprises
14. 5 Réflexes à avoir
pour la collecte de données
Source : CNIL
22. Liens utiles, à consommer sans modération
Guide de sensibilisation au RGPD pour les PME
Votre entreprise communique et/ou vend en ligne
Notifier une violation de données
Les exemples de mentions d'information
Les cookies
generer-mentions-legales.com
23. Checklist, basique simple
Site Internet
☑ mentions légales
☑ formulaires
☑ newsletters et emailings
☑ moyens de contact
☑ informations délivrées aux visiteurs
☑ cookies
☑ données récupérées et traitements de ces dernières
☑ sécurité du site
☑ boutons de partages sociaux
24. Checklist, basique simple
Documents imprimés
☑ données récupérées et traitements de ces dernières
☑ informations délivrées aux lecteurs
Pratiques et organisation
☑ liste des personnes en charge des données personnelles
☑ niveau d'information de ces personnes sur la RGPD
☑ pratiques numériques
☑ traitement des données
25. Focus web : solutions pour CMS
Le meilleur pour la fin
26. Wordpress
Générateur de mentions légales natif
Facile Uniquement pour un site simple
Gestion d’utilisateurs / formulaires
1. Mettre à jour
2. Ajouter cases consentement et export de données utilisateurs
Commentaires
N’autoriser que SI enregistrés
27. Joomla
Gestionnaire complet
Natif
Gestion des consentements
Enregistrement des actions utilisateurs
Import / export des données
Suppression des données sur demande
1. Activer le système
2. Créer des liens de menus spécifiques
Cette loi encadre le traitement des données personnelles sur le territoire de l’Union européenne
Le consentement des personnes doit-il être systématiquement recueilli ?
Non : le consentement est l’une des 6 bases juridiques prévues par le RGPD qui autorisent la mise en œuvre de traitements de données à caractère personnel.
Les responsables du traitement peuvent procéder à des traitements en s’appuyant sur une autre base légale, comme par exemple l’exécution d’un contrat ou leur intérêt légitime.
En revanche, le consentement de la personne est systématiquement requis pour certains traitements, encadrés par des dispositions légales spécifiques : par exemple, pour réaliser de la prospection commerciale par courriel.
4 critères cumulatifs doivent être remplis pour que le consentement soit valablement recueilli. Le consentement doit être :
Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.
Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service.
Par exemple, un opérateur de téléphonie mobile recueille le consentement de ses clients pour l’utilisation de leurs coordonnées par des partenaires à des fins de prospection commerciale. Le consentement est considéré comme libre à condition que le refus des clients n’impacte pas la fourniture du service de téléphonie mobile.
pécifique : un consentement doit correspondre à un seul traitement, pour une finalité déterminée.
Dès lors, pour un traitement qui comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.
Par exemple, un organisateur d’évènements culturels souhaite recueillir le consentement des spectateurs pour deux types de prestations : la conservation de leurs coordonnées de paiement (carte bancaire) afin de faciliter leurs prochaines réservations ; la collecte de leur adresse électronique pour leur adresser des courriels concernant des prochaines représentations. Pour que le consentement soit valide, les spectateurs doivent pouvoir consentir librement et séparément pour chacun de ces deux traitements : la conservation des coordonnées bancaires et l’utilisation de leur adresse électronique.
Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.
Au-delà des obligations liées à la transparence, le responsable du traitement devrait fournir les informations suivantes aux personnes concernées pour recueillir leur consentement éclairé :
l’identité du responsable du traitement ;
les finalités poursuivies ;
les catégories de données collectées ;
l’existence d’un droit de retrait du consentement ;
selon les cas : le fait que les données seront utilisées dans le cadre de décisions individuelles automatisées ou qu’elles feront l’objet d’un transfert vers un pays hors Union européenne.
Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.
Les modalités suivantes de recueil du consentement ne peuvent pas être considérées comme univoques :
les cases pré-cochées ou pré-activées
les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts)
l’inaction (par exemple, l’absence de réponse à un courriel sollicitant le consentement)
Une personne peut être identifiée par :
directement (exemple : nom, prénom)
ou indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).
L’identification d’une personne physique peut être réalisée :
à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN)
à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)
Exemple : une base abonné contenant de nombreuses informations précises sur la localisation, l’âge, la taille, y-compris si leur nom n’est pas stocké, est considérée comme un traitement de données personnelles, dès lors qu’il est possible de remonter à une personne physique déterminée en se basant sur ces informations.
Exemple : tenue d’un fichier de ses adhérents, collecte de coordonnées de participants via un questionnaire, mise à jour d’un fichier de fournisseurs, etc.
Par contre, un fichier ne contenant que des coordonnées d’entreprises (par exemple, entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un email de contact générique « compagnieA@email.fr ») n’est pas un traitement de données personnelles.
Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
<a href="https://fr.freepik.com/photos-vecteurs-libre/fond">Fond photo créé par creativeart - fr.freepik.com</a>
<a href="https://fr.freepik.com/photos-vecteurs-libre/fond">Fond photo créé par freepik - fr.freepik.com</a>
<a href="https://fr.freepik.com/photos-vecteurs-libre/fond">Fond photo créé par freepik - fr.freepik.com</a>
Vous devez répondre dans les meilleurs délais, aux demandes de consultation, de rectification ou de suppression des données.
<a href="https://fr.freepik.com/photos-vecteurs-libre/fond">Fond photo créé par mindandi - fr.freepik.com</a>
Vous traitez énormément de données, ou bien des données sensibles ou avez des activités ayant des conséquences particulières pour les personnes, des mesures spécifiques peuvent s’appliquer.
<a href="https://fr.freepik.com/photos-vecteurs-libre/fond">Fond photo créé par mindandi - fr.freepik.com</a>
Vous traitez énormément de données, ou bien des données sensibles ou avez des activités ayant des conséquences particulières pour les personnes, des mesures spécifiques peuvent s’appliquer.