TPE : comment gérer les données personnelles ?

TPE : comment gérer les données personnelles ?

TPE, ou entrepreneur individuel, vous vous êtes dit (comme beaucoup d’entreprises d’ailleurs) au mieux que le RGPD ce n’était pas important, au pire que vous n’étiez pas concerné. C’est vrai, après tout, avant que la CNIL débarque chez vous pour vous contrôler, vous avez le temps… Ils auront suffisamment à faire avec les GAFA avant de regarder vers vous… Et puis, de toutes façons, vous n’utilisez pas de logiciel pour gérer votre base de contacts, vous travaillez (encore) à l’ancienne sous Excel, c’est tout juste si votre site web est référencé chez Google.

Si jusqu’ici vous pensez encore que vous êtes dans le vrai… Le RGPD concerne toute entreprise qui collecte et traite de la donnée personnelle, par un moyen automatisé ou non.

Pour mémoire, le traitement de données personnelles est défini comme suit dans le RGPD :

«Toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction» (Art. 2 loi I&L).

En clair, vous avez un site web avec un formulaire de contact ? Vous gérer vos contacts sur Excel ? Vous effectuez des campagnes emailing ? Vous faites tout simplement de la prospection sur Internet ? Vous êtes donc concerné. TPE ou pas, ce n’est pas la taille de l’entreprise qui importe, mais bien le fait de collecter et traiter des données personnelles. Le risque d’un contrôle ou d’une amende de la part de la CNIL ne viendra pas forcément d’une action spontanée de l’administration elle même, mais plutôt d’une plainte d’un utilisateur ou d’un contact.

Pour autant, pas de panique. Pour votre mise en conformité, il n’est pas nécessaire de vous précipiter en faisant appel à un avocat spécialisé. On vous explique simplement comment gérer les données personnelles lorsqu’on ne dispose pas de moyens illimités.

#1 Recenser vos fichiers et établir votre registre de traitements

Voir un modèle de registre

#2 Faire le tri dans toutes vos données pour limiter la collecte et la conservation des données

#3 Respecter le droit des personnes en mettant à jour vos formulaires de site web (accord optin, finalité de traitement… ) et en donnant la possibilité à vos contacts d’exercer leurs droits facilement (désinscription, droit à l’oubli…)

#4 Sécuriser les données pour garantir et assurer au mieux la conservation des données personnelles de vos contacts (mots de passe, antivirus, chiffrement, sauvegarde…)

La CNIL a établi un guide très complet, simple et pratique pour les TPE et PME pour comprendre et mettre en conformité votre entreprise. N’hésitez pas à le télécharger pour suivre les étapes pas à pas !

Source : Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises

Estelle

Estelle

Responsable formation

Je vous accompagne lors de la mise en place de Koban, tant sur votre stratégie web marketing que sur l’optimisation de votre activité commerciale.

Combien de temps et pourquoi doit-on conserver ses factures fournisseurs ?

Combien de temps et pourquoi doit-on conserver ses factures fournisseurs ?

En tant qu’entreprise, vous recevez et envoyez de nombreux documents : contrats, factures, bilans comptables etc. Le Code Général des Impôts (CGI) vous oblige d’ailleurs à les conserver durant une période donnée après leur production. Effectivement, cela est le cas pour les documents comptables, fiscaux, sociaux et commerciaux. La durée de conservation de ces derniers dépend de la nature des pièces. De plus, les raisons de cette conservation sont multiples. Qu’en est-il de vos factures fournisseurs ?

Reprenons les bases : qu’est-ce qu’une facture fournisseur ?

Une facture est un document de comptabilité générale. C’est ce qui prouve un achat ou une vente entre deux parties (le client et le fournisseur). En effet, la facture atteste de la dette d’un client envers son fournisseur.

Celle-ci doit mentionner différentes informations :

  • Les coordonnées du fournisseur et du client,
  • Un numéro de facture unique,
  • La date d’émission de la facture,
  • La dénomination et la quantité des produits et/ou services
  • Le Prix HT et TTC et la TVA applicables
  • La ou les dates prévues du règlement de celle-ci
  • Les pénalités en cas de retard de paiement

Ces mentions sont obligatoires et définies par l’article L441-3 du Code de Commerce.

La facture fournisseur :

Les factures fournisseurs correspondent aux factures d’achat. Ce sont toutes les factures qu’une entreprise reçoit de ses fournisseurs, tout ce qu’elle leur doit (dette). De plus, la facture engage l’entreprise à payer le fournisseur avant une certaine date.

Quel est le délai de conservation d’une facture fournisseur ?

Tout document relatif à l’entreprise doit être conservé par celle-ci. Néanmoins, la durée de conservation va varier selon les types et la nature des documents. Effectivement, les règles applicables en matière d’archive des documents d’une entreprise sont fixées soit par la loi soit selon les périodes pendant lesquelles les administrations peuvent effectuer des contrôles.

Tout d’abord, il faut différencier deux types de factures :

  • La facture proforma : elle est établie dès l’achat pour des raisons pratiques et à la demande de l’acheteur. Elle n’a ni valeur légale ni valeur comptable. Ce n’est pas un document obligatoire. Elle n’est produite qu’à titre informatif et ne peut remplacer la facture définitive. De plus, il n’y a donc pas d’obligation de conservation de ce document.
  • La facture définitive : Elle est établie dès la réalisation de la vente (c’est-à-dire, en principe, au plus tard à la livraison de la marchandise) ou suite à la réalisation de la prestation de service.

Les factures (les originaux ou les copies) doivent être conservées au minimum pendant 10 ans à partir de la vente ou de la prestation de service.

Ces dernières peuvent être conservées dans des classeurs ou de manière électronique. En optant pour le classeur, l’entreprise doit être parfaitement organisée afin d’être certain de retrouver facilement une facture et de ne surtout pas en perdre. Concernant la conservation numérique, il existe de nombreuses plateformes de comptabilité en ou encore des outils de CRM qui sont très performants. Ces derniers proposent des logiciels d’édition, de stockage et de classification des factures.

Pourquoi doit-on les conserver ?

La facture a plusieurs fonctions. Tout d’abord d’un point de vue juridique, elle constitue la preuve juridique de la réalité de la prestation rendue ou de la marchandise vendue. De plus, elle constate le droit de créance du vendeur (quittance par exemple).

Puis d’un point de vue commercial, elle détaille les conditions de négociation de la vente entre le fournisseur et son client, notamment le montant à payer.

La facture sert également de justificatif comptable puisqu’elle est nécessaire à l’établissement des comptes annuels. En effet, une entité comptable doit pouvoir présenter une preuve écrite de chaque mouvement financier reporté dans sa comptabilité.

Enfin, en fiscalité, la facture fait office de support à l’exercice des droits sur la TVA (collecte et déduction) et au contrôle de l’impôt.

 

Les factures fournisseurs doivent donc être facilement retrouvables durant au minimum 10 ans. Il n’existe pas de sanction spécifique à la non-conservation des documents d’entreprise. En fonction des circonstances, plusieurs peines peuvent cependant être applicables comme des amendes pouvant atteindre la somme de 25 000€. Il est donc primordial de respecter ce délai et de classer correctement toutes ses factures.

Pierre SEILLER

Pierre SEILLER

Responsable Marketing & communication - Wity

As a MarCom specialist, my job is to build companies/products or individuals’ image. My mission: Understand the market, get into it and develop the brand. Build brands and influence communities & environments are my specialties. Imagine marketing strategies and manage intercultural projects across the world are my abilities.

RGPD et sous traitance : comment vérifier que mon CRM est en conformité ?

RGPD et sous traitance : comment vérifier que mon CRM est en conformité ?

Si vous pensez :

  • qu’il vous suffit de changer de CRM pour que vous soyez en conformité au RGPD
  • qu’il suffit que votre CRM soit conforme au RGPD pour que vous le soyez aussi

Vous avez FAUX. Sur toute la ligne.

Petite mise au point rapide (si vous avez manqué le début…) ! Le RGPD concerne toute entreprise qui collecte et traite des données personnelles, et ce, que ce soit automatisé ou non, que vous soyez en BtoB ou en BtoC.

Pour mémoire, le traitement de données personnelles est défini comme suit dans le RGPD :

«Toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction» (Art. 2 loi I&L).

Source : CNIL, la sécurité des données personnelles

En clair, vous et les moyens que vous utilisez pour la collecte et le traitement des données personnelles (dont votre CRM) devez être conformes au règlement européen. Donc votre entreprise ainsi que vos sous-traitants devez vous mettre en conformité. Car votre CRM, ou tout autre logiciel utilisé au sein de votre organisation, doit respecter certaines obligations en tant que sous-traitant.

Lire notre article : Faut-il changer de CRM pour être en conformité ?

Les obligations du sous-traitant

Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité. Ils doivent prendre en compte la protection des données dès la conception du service ou du produit et par défaut et mettre en place des mesures permettant de garantir une protection optimale des données.

Les sous-traitants ont notamment une obligation de conseil auprès des clients pour le compte desquels ils traitent des données. Ils doivent les aider dans la mise en œuvre de certaines obligations du règlement (étude d’impact sur la vie privée, notification de violation de données, sécurité, contribution aux audits).

Source : CNIL

En tant qu’utilisateur d’un CRM, vous êtes donc responsable, d’une part, des données transmises, mais d’autre part de la bonne exploitation de ces données par votre système CRM, en conformité avec le RPGD. Comme le cas où par exemple, si un internaute remplit un formulaire de votre site web, que les données collectées sont sauvegardées par le prestataire de votre site ou dans la base de données de votre CRM.

Source : Le guide CNIL pour accompagner les sous-traitants

Vérifier la conformité de votre CRM

L’éditeur, sous-traitant, de votre CRM doit :

  • prouver sa conformité par écrit, par le biais d’une clause de sous-traitance par exemple
  • garantir la sécurité et l’intégrité des données traitées
  • prouver la suppression ou anonymisation des données en cas de demande effective de votre part
  • vous donner la possibilité, dès la conception de l’application, de vous conformer aux règles de protection des données personnelles que vous traitez
  • tenir un registre des traitements effectués pour le compte de leurs clients

Dans Koban, vous disposez d’un ensemble de paramétrages afin de définir vos propres règles de traitement et de protection des données. Les paramétrages de Koban liés au traitement des données ne garantit en aucun cas que votre société est bien en conformité avec la loi. Vous êtes dans l’obligation de respecter les recommandations et obligations de la loi. Le paramétrage de Koban vous permet seulement de mettre en place les différents champs et mécanismes nécessaires au traitement de la donnée collectée au sein de votre logiciel. Le paramétrage doit être réalisé par vos soins.

Concrètement, votre CRM doit inclure la notion de protection des données dès la conception et vous donner la possibilité de vous conformer aux règles de protection des données personnelles que vous traitez.

Consulter la charte de sécurité et protection des données de Koban

Télécharger la liste de mise en conformité au format PDF

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Koban pour permettre de vous adresser des contenus adaptés à vos centres d'intérêt. Elles sont conservées pendant 3 ans et sont destinées au service marketing. Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant : clothilde[at]koban-crm.com.
Clothilde

Clothilde

Responsable marketing

Acquisition, engagement, conversion et fidélisation n'ont plus de secrets pour moi #Smarketing #Inbound #CRM

Une question ? Tchattez avec moi ici directement !

RGPD 2018

fa legislation

Toutes les ressources RGPD

[RGPD] Faut-il changer de CRM pour être en conformité ?

[RGPD] Faut-il changer de CRM pour être en conformité ?

Variante : suffit-il de changer de CRM pour être en conformité au RGPD ?

Le RGPD vise simplement à apporter plus de transparence dans la collecte de données et de respect dans le traitement qui est fait des données personnelles.

Le CRM quant à lui doit être dès sa conception conforme au règlement. Dans la mesure où il centralise vos données, il vous incombe de rendre vos pratiques et procédures de collecte et traitement conformes. Si votre CRM ne vous permet pas d’appliquer vos procédures de mises en conformité, alors il faut clairement songer à en changer… Il est important de préciser une chose : en cas de contrôle, la responsabilité peut être partagée entre l’éditeur et le client en cas de non conformité de l’un et/ou de l’autre.

Que gère votre CRM ?

Dans la vie, il y a 2 sortes de CRM : Koban et les autres ! Je plaisante :p

Le fait est que sur le marché du CRM vous avez l’embarras du choix en terme de fonctionnalités. Car du simple outil de gestion du pipe aux fonctionnalités avancées comme la gestion de campagne télémarketing, tous n’ont pas la même finalité. De plus en plus, le CRM englobe des fonctionnalités marketing afin de gérer clients et prospects tout au long du cycle de vente puis du cycle de vie. On parle alors de gestion des contacts en mode multicanal. Acquisition, prospection, fidélisation… autant de notions qui sont aujourd’hui à la portée de tous avec des outils toujours plus complets (comme Koban !). Simple ou complexe, le CRM a vocation à gérer votre base de contacts. Dès lors que vous centralisez et alimentez régulièrement une base de contacts, il vous faut respecter de nouvelles règles avec l’arrivée du RGPD. En un sens, cela oblige à adopter une conduite plus saine dans la collecte de vos données et une attitude plus respectueuse dans l’utilisation desdites données.

A quoi doit il se conformer ?

Le concept de « la protection de la vie privée par conception » ou “privacy by design” existe depuis des années, mais avec le RGPD celui-ci fait désormais partie des obligations légales. À la base, la « confidentialité par conception » demandait à inclure la notion de protection des données dès la conception d’un système, plutôt qu’à être rajouté. Plus précisément – « Le contrôleur doit … mettre en œuvre des mesures techniques et organisationnelles appropriées … de manière efficace … afin d’être en conformité avec la réglementation et de protéger les droits des personnes concernées ». En clair, l’éditeur du CRM doit vous donner la possibilité, dès la conception de l’application, de vous conformer aux règles de protection des données personnelles que vous traitez. La “Privacy by Design” est un mécanisme de protection qui a pour but de prendre en compte des questions de protection des données personnelles dès la conception des produits. Cependant, il est important d’y appliquer un contrôle. Ce contrôle se matérialise par l’intervention d’un « délégué à la protection des données », qui sera en charge de veiller à la bonne application de la protection des données personnelles.

En clair, la seule raison qui puisse vous inciter à changer de CRM est de ne pouvoir y appliquer vos procédures de mise en conformité. Dans la mesure où il n’existe pas de “certification RGPD” pour un logiciel, il vous faut donc vérifier que chaque règle de protection des données personnelles est applicable par votre CRM.

Comment vérifier que votre CRM est conforme ?

Avant de demander à l’éditeur s’il est conforme, il vous faut établir votre registre de traitements et vos procédures.

  • RGPD et site web : votre CRM est-il connecté à votre site web (formulaire de collecte, tracking IP et cookie) ?

Aller plus loin avec notre article : [RGPD] La check liste de mise en conformité du Marketing digital.

  • RGPD et prospection : votre CRM est-il utilisé pour vos actions de prospection (emailing, sms, téléphone…) ?

Aller plus loin avec notre article : [RGPD] et Marketing : il est temps de vous mettre à l’Inbound !

  • RGPD et API : votre CRM est-il intégré dans un système d’informations via API ou autres connecteurs ?
  • RGPD et réseaux sociaux : votre CRM vous permet-il de suivre et gérer vos réseaux sociaux et la publication de contenus ? L’accès à votre CRM se fait-il via l’un de vos comptes sociaux ?
  • RGPD et sous-traitance : les contacts de votre CRM sont-ils issus d’achat de fichier ou sont-ils traités par un prestataire externe pour la prospection ?

Aller plus loin avec notre article : [RGPD] Sécurité de la donnée : la check liste d’évaluation du risque

  • RGPD et Cloud : votre CRM est-il en SAAS ? Où sont stockées vos données ?

Aller plus loin avec notre article : [RGPD] Où sont stockées vos données ? Le cloud pour les nuls.

Autant de questions à vous posez pour savoir comment et qui collecte les données, afin d’y appliquer les règles relatives à leur sécurité et leur protection. Posez-vous les bonnes questions pour savoir ensuite comment mettre en application dans votre CRM, et si vous devez en changer. Toute entreprise qui collecte des données personnelles doit se conformer au RGPD, l’éditeur et vous-même. Il ne suffit pas d’avoir un CRM compliant pour assurer votre propre conformité car le CRM n’est qu’un outil.

Clothilde

Clothilde

Responsable marketing

Acquisition, engagement, conversion et fidélisation n'ont plus de secrets pour moi #Smarketing #Inbound #CRM

Une question ? Tchattez avec moi ici directement !

RGPD 2018

fa legislation

Toutes les ressources RGPD

LIVRE BLANC : RÉUSSIR SON PROJET CRM

40 pages

  • Niveau d’expertise
  • Temps de lecture

[RGPD] Entretien avec Philippe Pradal, Associé Gérant du cabinet d’avocats, Wyzer Law

[RGPD] Entretien avec Philippe Pradal, Associé Gérant du cabinet d’avocats, Wyzer Law

Avocat aux Barreaux de New York et Paris, Compliance Evangelist et Professeur à l’Ecole de Droit de Sciences-Po Paris.

Pouvez-vous nous décrire en quelques mots l’activité de votre société ?

Notre Cabinet d’avocats intervient dans tous les champs de la vie des affaires, que ce soit le droit des sociétés, des contrats, du travail ou … de la conformité.

Quel est votre domaine d’expertise, à quelles problématiques répondez-vous ?

Notre expertise est transversale. Nous essayons d’accompagner nos clients dans leur problématiques juridiques et au-delà. Nous sommes souvent consultés sur des questions stratégiques. En ce moment nous sommes très sollicités sur la mise en place de la conformité RGPD

Quel impact aura la RGPD sur votre métier ?

Le RGPD n’est pas pour nous qu’un champ de compétence en plus, les cabinets d’avocats doivent aussi se conformer au RGPD. De ce point de vue le Conseil National de Barreaux a anticipé la problématique particulière des cabinets d’avocats en sensibilisant l’ensemble de la profession. En effet, nous sommes amenés à mettre en œuvre un nombre important de traitements qui peuvent s’avérer d’une particulière sensibilité d’un point de vue Informatique et libertés :

  • Traitements de données relatives aux infractions, condamnations ou mesures de sûretés
  • Logiciels de facturation
  • Traitements pour éviter un conflit d’intérêts, listes noires de personnes indésirables
  • Interconnexions de fichiers…

Bref, les cabinets d’avocats vont comme toutes les entreprises de France et de l’Union Européenne devoir se mettre en conformité avec le RGPD.

Quels points du RGPD sont particulièrement importants pour votre activité ?

Tous les avocats qui font du droit pénal seront particulièrement impacté par le RGPD, car la donnée personnelle pénale est une donnée sensible.

Vos clients sont-ils réceptifs et informés des enjeux de cette réglementation européenne sur la protection des données ?

En tant qu’avocat, c’est notre devoir de conseil que d’informer nos clients sur la mise en œuvre du RGPD et sur l’importance de s’y conformer. Trop souvent, nos clients pensent qu’ils ne sont pas concernés ou qu’ils auront le temps de se mettre en conformité quand l’administration commencera à s’intéresser à leur cas.

Reporter le problème n’est évidemment pas la bonne approche à retenir et ce pour plusieurs raisons. D’abord la grande révolution du RGPD c’est la co-responsabilité. Si vous êtes sous-traitants d’un client grand compte, que vous collectez des données pour McDonald par exemple, c’est votre client qui va vous demander de lui démontrer que vous êtes en conformité avec le RGPD. Car si vous ne l’êtes pas, il est potentiellement responsable avec vous et peut se voir infliger une amende allant jusqu’à 4% de son chiffre d’affaires mondial !

Donc la conformité RGPD n’est pas juste un problème à régler, mais un véritable atout commercial.

Ensuite, le RGPD pose comme principe ce qu’on appelle dans notre jargon le « protection by design » et le « protection by default ». C’est deux principes nécessitent que les entreprises prennent à bras le corps la question de leur conformité. En effet, le principe du « protection by design » consiste à penser vos collectes de données dans leur principe comme dans leur exécution, comme conforme au RGPD. Et le « protection by default » vous oblige à adopter comme comportement par défaut la protection des données personnelles que vous collectez. Fini le far west. Fini l’époque où vous complétiez vos fins de mois en vendant vos fichiers de mail à la hussarde.

Enfin et c’est peut-être le point le plus important, le RGPD renverse la charge de la preuve. Avant, lorsque la CNIL vous contrôlait, elle avait la charge de la preuve, elle devait être en mesure de démontrer que vous ne remplissiez pas vos obligations au regard de réglementation informatique et libertés. Demain, à compter du 25 mai, en cas de contrôle de la CNIL c’est à l’entreprise de démontrer qu’elle est en conformité. Si vous n’avez pas pris les devants, vous serez donc automatiquement défaillant.  

Comment vous êtes-vous préparés et serez-vous prêt pour la mise en conformité ?

Chez nous c’est très simple, nous nous appliquons les recommandations que nous faisons à nos clients. Nous auditons nos usages, formons nos équipes, mettons en place des procédures et avons nommé un délégué à la protection des données.

Un best practice à nous confier pour la mise en conformité ?

3 MOTS : AUDIT, FORMATION, SUIVI

Si vous respectez ce triptyque, et que vous suivez les recommandations de la CNIL, aucune inquiétude à avoir. L’important est de comprendre que la conformité à la réglementation des données personnelles est devenue un sujet sur lequel vous ne pouvez pas faire l’impasse.

Si cela vous paraît trop difficile à mettre en œuvre tout seul, faîtes vous accompagner. Notre cabinet et nombreux autres interviennent quotidiennement auprès des entreprises pour les aider dans la mise en place de leur conformité.

Quelles évolutions majeures sont prévues dans votre activité en lien avec le RGPD 2018 ?

Le RGPD vient renforcer pour nous l’importance de nos dossiers droit des données personnelles. Nous avons de plus en plus de demande dans ce domaine et nous mettons donc en place une offre de service lisible et accessible pour les TPE et PME que nous assistons quotidiennement.

Quels conseils donneriez-vous à un DPD (délégué de la protection de la donnée) pour l’aider à sensibiliser sur le RGPD en interne ?

Faites valoir l’enjeu commercial avant le risque juridique. Être en conformité avec le RGPD va devenir un enjeu commercial de taille que vous travaillez en B2B ou en B2C.

Le risque des sociétés qui ne seront pas en conformité avec le RGPD est évidemment bien réel, mais je pense que c’est en apportant la bonne parole de la conformité, et en annonçant la bonne nouvelle que vous aurez le plus de chance de faire avancer le chantier conformité interne de votre société.

Philippe

Philippe

Wyzer Law

Associé Gérant du cabinet d’avocats, Wyzer Law. Avocat aux Barreaux de New York et Paris, Compliance Evangelist et Professeur à l’Ecole de Droit de Sciences-Po Paris.

RGPD 2018

fa legislation

Toutes les ressources RGPD

[RGPD] Quelle mention pour quel traitement de données ?

[RGPD] Quelle mention pour quel traitement de données ?

La finalité de traitement

On entend par finalité de traitement “Objectif principal d’une application informatique de données personnelles. Exemples de finalité : gestion des recrutements, gestion des clients, enquête de satisfaction, surveillance des locaux, etc.source CNIL A partir du 25/05/2018, l’utilisation et le traitement de données personnelles doivent s’inscrire dans un but précis. La finalité indique à quoi votre fichier va servir. Lorsque vous déclarez un fichier à la CNIL, ou que vous inscrivez un fichier dans le registre du CIL, vous indiquez obligatoirement sa finalité : cette finalité déclarée devra être respectée tout au long de la construction et de l’utilisation de votre fichier. source CNIL   Une finalité doit répondre à 4 critères : 

  • La finalité doit être déterminée, légitime et explicite
  • La finalité doit être respectée
  • La finalité permet de déterminer la pertinence des données personnelles recueillies
  • La finalité permet de fixer la durée des données du fichier

Dans le cadre d’une mise en conformité au RGPD, il doit être fait mention de manière informative, explicite et claire, de la finalité de traitement des données collectées. Dans le cas d’un site web, on peut distinguer deux types de collecte bien distincts :

  • les cookies et traceurs qui permettent un profiling des visiteurs et une analyse des visites (notamment avec Google analytics par exemple ou le cookie Koban)
  • les formulaires (de landing pages, contact ou inscription à une newsletter par exemple)

 

Le profiling et cookies

 

Rappel des obligations légales

Avant de déposer ou lire un cookie, les éditeurs de sites ou d’applications doivent : 

  • informer les internautes de la finalité des cookies
  • obtenir leur consentement
  • fournir aux internautes un moyen de les refuser

La durée de validité de ce consentement est de 13 mois maximum. Dans la mesure où le consentement ne doit pas être ambigu, ce bandeau ne doit pas disparaître tant que la personne n’a pas poursuivi sa navigation, c’est-à-dire tant qu’elle ne s’est pas rendue sur une autre page du site ou n’a pas cliqué sur un élément du site (image, lien, bouton  » rechercher « ). Le fait de visiter la page « en savoir plus » ne vaut pas consentement au dépôt de cookies.

Comment faire techniquement ?

Pour information, le cookie Koban est limité à une durée de 12 mois. Techniquement, le dépôt d’un cookie ou non n’est possible que par l’intervention de l’internaute lui-même depuis le paramétrage de son navigateur web. C’est donc l’internaute seul qui décide et agit en fonction. Si vous êtes en WordPress par exemple, vous pouvez gérer les cookies via un plug in comme “Cookie Notice” ou “Cookie Consent” A télécharger ici : https://wordpress.org/plugins/cookie-notice/  Lire notre article support : Installer le tracking Koban sur votre site web

Les mentions destinées au cookies et traceurs

Exemple de mention d’information pour les cookies

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de [Cookies ou autres traceurs] pour vous proposer [Par exemple, des publicités ciblées adaptés à vos centres d’intérêts] et [Par exemple, réaliser des statistiques de visites].

Exemple d’information “en savoir plus” pour les cookies

Ce site utilise des cookies – de petits fichiers texte qui sont placés sur votre machine pour aider le site à fournir une meilleure expérience utilisateur. En général, les cookies sont utilisés pour conserver les préférences de l’utilisateur, stocker des informations pour des choses comme les paniers d’achat et fournir des données de suivi anonymisées à des applications tierces comme Google Analytics. En règle générale, les cookies rendront votre expérience de navigation meilleure. Toutefois, vous pouvez préférer désactiver les cookies sur ce site et sur d’autres. Le moyen le plus efficace consiste à désactiver les cookies dans votre navigateur. Nous vous suggérons de consulter la section Aide de votre navigateur ou de consulter le site Web À propos des cookies (en anglais) qui propose des conseils pour tous les navigateurs modernes.

La collecte de données personnelles via formulaire

Rappel des obligations légales

Le RGPD est clair : le consentement explicite préalable du destinataire est obligatoire. La récolte et l’exploitation des données personnelles devront se faire de manière transparente et explicite. Il vous faut donc mettre à jour vos formulaires avec l’ajout de cases à cocher (non pré-cochées), et des mentions claires afin que les internautes donnent leur accord ou non pour chaque utilisation de données (email, profilage, revente de données à un tiers…). Il vous faudra demander le consentement clair de l’internaute pour chacune des données collectées pouvant impliquer un traitement.

Comment faire techniquement ?

  • La finalité du traitement devra être clairement identifiée au moment où la collecte des données est effectuée, par un message d’information clair et dans l’information légale du site web par exemple
  • Conserver une trace pour prouver ce consentement, par un champ “provenance” et “date de création du contact” par exemple

Les mentions destinées à l’information sur la collecte de données personnelles

Exemple de mention pour un formulaire contact ou téléchargement d’un contenu

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Koban pour permettre de vous adresser des contenus adaptés à vos centres d’intérêt. Elles sont conservées pendant 3 ans et sont destinées au service marketing Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d’accès aux données vous concernant et les faire rectifier en contactant : clothilde[a]koban-crm.com Nous vous informons de l’existence de la liste d’opposition au démarchage téléphonique «Bloctel», sur laquelle vous pouvez vous inscrire ici : https://conso.bloctel.fr/

Personnalisez votre mention directement sur le site de la CNIL !

https://www.cnil.fr/modeles/mention

Exemples de mentions pour recueillir l’accord “optin” explicite de l’internaute

Je m’inscris à la liste de diffusion / Newsletter J’accepte de recevoir des informations de la part de…

Exemple d’email de confirmation d’inscription (double optin)

Bonjour,

Merci pour votre demande d’inscription sur nos listes de diffusion.

Cliquez sur le lien ci-dessous pour confirmer votre adresse email : [[!OPTINLINK]]

Si vous ne pouvez pas cliquer sur ce lien, copiez-coller cette adresse sur votre navigateur.

Si vous n’avez pas effectué une telle demande, ignorez simplement ce message. Nous demandons confirmation après inscription pour éviter les emails non conformes ou les inscriptions non désirées.

Télécharger la liste de mise en conformité au format PDF

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Koban pour permettre de vous adresser des contenus adaptés à vos centres d'intérêt. Elles sont conservées pendant 3 ans et sont destinées au service marketing. Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant : clothilde[at]koban-crm.com.

COURS ACCÉLÉRÉ D'ACQUISITION EMAILING BTOB

Attention, ce cours accéléré ne peut vous garantir un résultat, dans la mesure où l’efficacité de votre acquisition va dépendre de plusieurs facteurs :

  • la qualité de votre base de contacts
  • la qualité de votre segmentation
  • la qualité de vos contenus
  • les outils utilisés
  • Niveau d’expertise
  • Temps de lecture
Clothilde

Clothilde

Responsable marketing

Acquisition, engagement, conversion et fidélisation n'ont plus de secrets pour moi #Smarketing #Inbound #CRM

Une question ? Tchattez avec moi ici directement !

RGPD 2018

fa legislation Toutes les ressources RGPD

[RGPD] Quel impact sur la sécurité des données ? Interview de Guillaume Heligoin, MVRA Assurances

[RGPD] Quel impact sur la sécurité des données ? Interview de Guillaume Heligoin, MVRA Assurances

Pouvez-vous nous décrire en quelques mots l’activité de votre société ?

 

Nous sommes spécialisés en « management de risque » (audit, expertise, formation, courtage d’assurance, assistance…).  

Et depuis un peu plus d’un an nous avons ouvert un pôle spécialisé « Cyber-Assurance ».

Nous sommes implantés en Rhône-Alpes avec 26 collaborateurs et notre champ d’action est sur la France entière.

 

Quel est votre domaine d’expertise, à quelles problématiques répondez-vous ?

 

Nos domaines d’expertises sont les risques des entreprises liées aux assurances

 

Quel impact aura le RGPD sur votre métier ?

 

1/ Pour notre entreprise le gros du travail est fait sur notre base de données. Comment mieux les protéger et comment les supprimer. Nous souhaitons ensuite communiquer à nos clients nos bonnes pratiques, pour transformer la contrainte du RGPD en un argument commercial de bonne gestion des données de nos clients.

2/ Pour nos clients nous avons un rôle à jouer à titre informatif, puis proposer des intervenants pour la mise en pratique du RGPD et enfin réduire leurs risques de Cyber-Attaque.

 

Quels points du RGPD sont particulièrement importants pour votre activité ?

 

Pour nous c’est la mise en place d’analyse, d’audit et de test de vulnérabilité.

 

Vos clients sont-ils réceptifs et informés des enjeux de cette réglementation européenne sur la protection des données ?

 

Nos clients ne savent par quel bout prendre le problème. Beaucoup de nos clients ont déjà subi des attaques plus ou moins importantes et très peu ont mis des choses en place par la suite. En plus ils ne souhaitent pas communiquer dessus par peur d’une mauvaise presse voire d’une amende.

 

Quels conseils donneriez-vous à un DPD (délégué de la protection de la donnée) pour l’aider à sensibiliser sur la RGPD en interne ?

 

Pour les données, il faut expliquer à chaque collaborateur l’importance d’avoir une base de données bien remplie et à jour.

Pour la sécurité des données, il faut expliquer les conséquences catastrophiques que pourrait faire une cyber-attaque.

 

Quelles évolutions majeures sont prévues dans votre activité en lien avec la RGPD 2018 ?

 

Nous rencontrons les mêmes problèmes de mise en conformité que n’importe quelle entreprise, le plus difficile est de jeter ou garder les données. Aujourd’hui très peu de logiciels se sont adaptés au RGPD.

Guillaume

Guillaume

Chargé de clientèle - MVRA Assurances

Spécialisé en « management de risque » (audit, expertise, formation, courtage d’assurance, assistance…) et « Cyber assurance ».

[RGPD] Où sont stockées vos données ? Le Cloud pour les nuls

[RGPD] Où sont stockées vos données ? Le Cloud pour les nuls

Vous vous dites “encore un énième article sur le cloud !” Et vous avez raison. Sauf que la question est toujours posée, surtout avec l’arrivée du RGPD. Le nouveau règlement européen sur la protection des données personnelles est paru au journal officiel de l’Union européenne et entrera en application le 25 mai 2018.

Si vous vous posez effectivement la question, cet article vous apportera (on l’espère !) des réponses concrètes en vulgarisant un peu le discours. N’en déplaise aux DSI et autres experts informatiques à qui n’est pas destiné l’article 😉

Si vous ne vous êtes jamais posé la question, il est grand temps de vous y atteler, car que ce soit à titre privé ou professionnel, le RGPD a pour but de garantir la sécurité et l’accès à vos données. Concrètement, confieriez-vous les clés de chez vous à une tierce personne, sans garantie de confiance ni règles ? Évidemment, non.

C’est parti donc pour une révision express sur le Cloud ! Mot clé : Transparence.

Le Cloud, c’est quoi ?

Le Cloud (ou le SAAS – Software As A Service) a permis de rendre accessible et plus abordable un certain nombre de logiciels en libérant des contraintes d’intégration, d’installation et de maintenance. L’accès se fait alors à distance et l’ensemble des données du logiciel ou d’une application est donc hébergé et stocké par l’éditeur. Le mode SAAS permet non seulement de gagner en mobilité, mais également un usage partagé et collaboratif. Les prérequis sont donc simples, pour utiliser une application en SAAS comme un CRM par exemple, il suffit d’un navigateur et un accès internet. Le Cloud n’a pas simplifié que les usages, il a réduit de fait l’investissement lié à ce type d’équipement.

Les exemples de services collaboratifs les plus utilisés en mode SaaS sont le partage d’agendas en ligne, les outils de conférence à distance, les services de gestion de contacts et de présence, la gestion documentaire et/ou de contenu ainsi que la messagerie d’entreprise. Aujourd’hui, la quasi-totalité des suites et outils marketing sont désormais proposées en mode SAAS, comme Koban. Plébiscité pour ses avantages comme son coût réduit et sa simplicité d’utilisation, le marché croît régulièrement.

A l’heure de la mise en conformité, le SAAS voit remonter ses inconvénients comme freins à la protection des données personnelles. Car le Cloud “soulève un certain nombre de difficultés au regard du respect de la législation relative à la protection des données personnelles, en particulier dans le cas du Cloud public. Ces difficultés sont amplifiées dans le cas des offres standardisées avec des contrats d’adhésion ne laissant pas aux clients la possibilité de les négocier. De manière générale, il est constaté que les clients souffrent d’une insuffisance de transparence de la part des prestataires de Cloud quant aux conditions de réalisation des prestations, notamment sur la sécurité et sur la question de savoir si leurs données sont transférées à l’étranger, et plus précisément à destination de quels pays.”

source : CNIL

Le Cloud : avantage ou inconvénient ?

Les avantages du Cloud ne sont plus à démontrer… Avantage financier par une réduction des coûts à l’inverse de l’intégration en mode licence, et la mutualisation des ressources et serveurs partagés de l’application. Gain de temps par un déploiement technique simplifié et rapide. Le Cloud présente donc un avantage manifeste pour toute entreprise qui souhaite construire un système d’information unifié et collaboratif à moindre coût. Avec le SAAS, l’informatique est externalisée et les déploiements plus rapides. Le paiement à la consommation permet également de réduire et optimiser les coûts. Le Cloud répond en un sens à un mode d’achat qui a évolué avec le consommateur et sa mobilité. Revers de la médaille pour les éditeurs : la volatilité et la rotation parfois importante des clients qui n’hésitent plus à changer de solution, dès lors que celle-ci ne correspond plus à leur besoin ou usages. Les éditeurs se voient donc contraints d’améliorer sans cesse l’expérience utilisateur, optimisant et facilitant ainsi leur application.

Les inconvénients du Cloud sont essentiellement liés à la question de la sécurité des données relatives à l’entreprise cliente, qui sont généralement hébergées et stockées par l’éditeur de la solution. L’ensemble des données étant par définition “délocalisé”, il convient donc d’être vigilant lorsqu’une entreprise doit gérer des données notamment “sensibles” ou “confidentielles” en contractualisant la nature des échanges avec le fournisseur (éditeur).

Le SAAS implique :

  • de sécuriser l’accès aux données de l’entreprise
  • d’évaluer le risque lié à une défaillance de son prestataire, fournisseur
  • de permettre une compatibilité entre plusieurs applications pour l’intégration dans un système d’information
  • de limiter le risque de perte des données lors de migration

Cloud vs RGPD

Ne vous sauvez pas… La solution n’est pas de revenir au mode licence, avec la hausse du coût que cela représenterait. Vous vous voyez ne plus partager votre agenda avec vos collègues ou ne plus utiliser la géolocalisation bien pratique de votre application CRM quand vous êtes en déplacement? Bien sûr que non. Le Cloud est indéniablement pratique. Sauf que côté sécurité des données, tout le monde n’est pas logé à la même enseigne… et cela génère des risques, autant côté éditeur que client. Il est donc nécessaire de s’assurer que ces “nouveaux” risques sont bien maîtrisés avant de choisir une solution Cloud. Le tout étant normalement formalisé lors de contrats pour les prestations liées à ce type de services.

Le RGPD, côté client

L’article 23 du RGPD appelle les contrôleurs de données à conserver et à traiter uniquement les données absolument nécessaires à l’accomplissement de leurs fonctions, ainsi qu’à limiter l’accès aux données personnelles à ceux qui interviennent dans leur traitement.

Le RGPD comprend des suggestions spécifiques sur les types d’actions de sécurité susceptibles d’être considérés comme « pertinents par rapport au risque », comme :

  • Le cryptage des données personnelles
  • La capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services qui traitent les données personnelles
  • La possibilité de restaurer les données et d’assurer l’accès aux données en temps opportun en cas d’incident physique ou technique

Le RGPD, côté fournisseur (ou éditeur)

Le concept de « la protection de la vie privée par conception » ou “privacy by design” existe depuis des années, mais avec le RGPD celui-ci fait désormais partie des obligations légales. À la base, la « confidentialité par conception » demandait à inclure la notion de protection des données dès la conception d’un système, plutôt qu’à être rajouté. Plus précisément – « Le contrôleur doit … mettre en œuvre des mesures techniques et organisationnelles appropriées … de manière efficace … afin d’être en conformité avec la règlementation et de protéger les droits des personnes concernées ». En clair, l’éditeur doit vous donner la possibilité, dès la conception de l’application, de vous conformer aux règles de protection des données personnelles que vous traitez. La “Privacy by Design” est un mécanisme de protection qui a pour but de prendre en compte des questions de protection des données personnelles dès la conception des produits. Cependant, il est important d’y appliquer un contrôle. Ce contrôle se matérialise par l’intervention d’un « délégué à la protection des données », qui sera en charge de veiller à la bonne application de la protection des données personnelles.

 

Alors, le Cloud est-il compatible avec la conservation de données privées ?

Techniquement, une donnée dite “privée” hébergée sur un Cloud public est accessible par n’importe qui, en premier lieu par le fournisseur du service de stockage. Quand bien même cela irait à l’encontre de toute règle définie dans le cadre du RGPD… La solution pourrait venir du client, qui déciderait de chiffrer toutes les données qu’il choisirait de stocker ou de revenir au mode licence avec un niveau de sécurité accru de tout son système d’information… Rendant par là tout échange ou collaboration quasi impossible.

Avant d’en arriver à cet extrême, quelques recommandations peuvent vous permettre de garantir et sécuriser l’accès et le stockage de vos données sur le Cloud.

Les 2 règles de bases avant de choisir son application SAAS :

  • Savoir OÙ sont localisées les données : où se situent géographiquement les serveurs de stockage et d’hébergement de vos données
  • Obtenir un niveau de transparence suffisant de la part du fournisseur notamment sur les conditions de réalisation des prestations, sécurité, éventuel transfert à l’étranger des données, etc.

Les recommandations de la Commission européenne

Recommandation n°1 : Identifier clairement les données et les traitements qui passeront dans le Cloud

De l’intérêt d’établir un registre de ses données, pour en identifier le responsable du traitement, le type de données, la source, la finalité de traitement, les échanges et transferts, leur lieu d’hébergement… Sachant que certains types de données sont soumises à une réglementation spécifique, comme les données de santé qui ne peuvent être stockées que par un hébergeur agréé par le Ministère de la santé.

Recommandation n°2 : Définir ses propres exigences de sécurité technique et juridique

A l’inverse d’une réponse d’un éditeur à un cahier des charges spécifique pour un système, le principe du Cloud est de “s’abonner en ligne”. Il convient donc de s’assurer que le fournisseur répond bien à votre niveau d’exigence de sécurité, notamment pour ce qui concerne :

  • Les contraintes légales (localisation des données, garantie de sécurité et de confidentialité, réglementations spécifiques à certains types de données, etc.)
  • Les contraintes pratiques (disponibilité, réversibilité/portabilité , etc.)
  • Les contraintes techniques (interopérabilité avec le système existant, etc.)

Recommandation n°3 : Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise

Ceci afin de définir les mesures de sécurité appropriées à exiger de la part de son fournisseur. Une liste complète de 35 risques a été établie par l’ENISA (Agence Européenne chargée de la sécurité des réseaux et de l’information). Les principaux risques pour l’entreprise étant :

  • La perte de gouvernance sur le traitement des données
  • La dépendance technologique vis à vis d’un fournisseur (impossibilité de changer de solution sans perte de données par exemple)
  • Une faille d’accès au système d’information avec un risque de modification des données suite à une défaillance du fournisseur
  • Une destruction ineffective ou non sécurisée des données, ou durée de conservation trop longue
  • Un problème de gestion des droits d’accès par une insuffisance de moyens fournis par le prestataire
  • Une indisponibilité du service du prestataire ou des moyens d’accès au service
  • Fermeture du service du prestataire ou rachat du prestataire par un tiers
  • Non conformité réglementaire, notamment pour des transferts de données hors UE

La Commission européenne recommande que le client évalue la pertinence de ces risques pour sa propre situation et étudie les mesures mises en place par lui-même et par le prestataire pour réduire ces risques.

Lire notre article : [RGPD] Sécurité de la donnée : check liste d’évaluation

Recommandation n°4 : Identifier le type de Cloud pertinent pour le traitement envisagé

“Chaque offre de service de Cloud étant spécifique, il convient de les comparer en identifiant les forces et les faiblesses de chacune au regard du traitement considéré. Une telle analyse permettra de sélectionner l’offre de Cloud computing la mieux adaptée. Il est à noter qu’il peut tout à fait être envisagé de choisir des solutions de Cloud computing différentes en fonction des traitements.”

Source : CNIL

Recommandation n°5 : Choisir un prestataire présentant des garanties suffisantes

“En tant que responsables du traitement, les clients de services de Cloud computing doivent s’assurer qu’ils sont en mesure de remplir leurs obligations. Pour ce faire, ils doivent choisir des prestataires garantissant la mise en place de mesures de sécurité et de confidentialité appropriées, et qui soient transparents vis-à-vis de leurs clients sur les moyens employés pour exécuter leurs prestations (transfert de données à l’étranger, recours à des sous-traitants, politique et mesures de sécurité, etc.).”

Source : CNIL

 

D’une manière générale, la CNIL a constaté que les utilisateurs souffrent surtout d’un manque de transparence de la part des fournisseurs de service. Le RGPD n’a pas pour vocation à inciter les entreprises à un retour en arrière quant à leur transformation digitale. Il vise à offrir plus de transparence et de sécurité aux utilisateurs quant à l’accès et au traitement qui est fait de leurs données. Et n’oubliez pas que, pour répondre aux exigences de qualité et de service client, l’éditeur d’un logiciel peut vous apporter assistance en entrant dans votre système. Bien choisir une application SAAS, c’est d’abord vérifier que le prestataire est en mesure de garantir et de sécuriser vos données par une charte informatique et un contrat de confidentialité adéquat.

PS : Pour info, chez Koban, le stockage et l’hébergement des données se localisent dans l’Union européenne 😉

Source : CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Guillaume

Guillaume

Responsable technique

RGPD 2018

fa legislation

Toutes les ressources RGPD

[RGPD] Sécurité de la donnée : check liste d’évaluation

[RGPD] Sécurité de la donnée : check liste d’évaluation

Le nouveau règlement européen sur la protection des données personnelles est paru au journal officiel de l’Union européenne et entrera en application le 25 mai 2018. L’adoption de ce texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique.

Et vous voilà donc désigné volontaire en tant que Correspondant Informatique et Libertés ou Data Protection Officer de votre organisation ! On aime autant vous prévenir, ça ne va pas être simple… La partie visible de l’iceberg et de loin la plus rapide concerne la mise en conformité du site internet de l’entreprise afin d’être en accord avec le règlement au niveau du Marketing digital.

Vous trouverez la check liste ICI.

La partie bien immergée de l’iceberg implique plusieurs étapes bien plus importantes, car la désignation d’un délégué à la protection de la donnée (DPD) n’est pas anodin. Et ce n’est que la première étape d’une longue errance au cours d’un processus pour être totalement conforme !

Vous trouverez les 6 étapes du processus pour être conforme ICI.

Le rôle du DPD est notamment d’être responsable des données, garant de leur protection et du processus de respect de la vie privée durant tout le cycle de vie de la donnée. Vous devez donc à ce titre garantir et sécuriser le traitement et l’accès à la donnée. Pas facile n’est-ce pas ? Voici pour vous aider, une check liste d’évaluation de la sécurité de la donnée, afin d’évaluer par vous-même au sein de votre organisation les risques potentiels, et mettre en place des procédures adaptées.

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Koban pour permettre de vous adresser des contenus adaptés à vos centres d'intérêt. Elles sont conservées pendant 3 ans et sont destinées au service marketing. Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant : clothilde[at]koban-crm.com.
Clothilde

Clothilde

Responsable marketing

Acquisition, engagement, conversion et fidélisation n'ont plus de secrets pour moi #Smarketing #Inbound #CRM

Une question ? Tchattez avec moi ici directement !

RGPD 2018

fa legislation

Toutes les ressources RGPD

[RGPD] Termes et définitions

[RGPD] Termes et définitions

Dernière mise à jour : 15/11/2017

La Commission Nationale de l’Informatique et des Libertés

La CNIL, autorité administrative indépendante, est chargée de veiller au respect des dispositions de la loi. A ce titre, elle assure des missions d’information, de conseil, d’expertise et de veille technologique.

La CNIL dispose de pouvoirs particuliers pour faire respecter la loi : elle contrôle la mise en œuvre des chiers informatiques et peut également procéder à des vérifications sur place. La CNIL peut également dénoncer pénalement les infractions à la loi dont elle a connaissance au Procureur de la République.

Anonymisation

On distingue les concepts d’anonymisation irréversible et d’anonymisation réversible, cette dernière étant parfois dénommée pseudonymisation.

  • L’anonymisation irréversible consiste à supprimer tout caractère identifiant à un ensemble de données. Concrètement, cela signifie que toutes les informations directement et indirectement identifiantes sont supprimées et à rendre impossible toute ré-identification des personnes.
  • L’anonymisation réversible est une technique qui consiste à remplacer un identifiant (ou plus généralement des données à caractère personnel) par un pseudonyme. Cette technique permet la levée de l’anonymat ou l’étude de corrélations en cas de besoin.

Archivage

On distingue habituellement trois catégories d’archives :

  • Les bases actives ou archives courantes : il s’agit des données d’utilisation courante par les services en charge de la mise en œuvre du traitement ;
  • Les archives intermédiaires : il s’agit des données qui ne sont plus utilisées mais qui présentent encore un intérêt administratif pour l’organisme. Les données sont conservées sur support distinct et sont consultées de manière ponctuelle et motivée ;
  • Les archives définitives : il s’agit des données présentant un intérêt historique, scienti que ou statistique justi ant qu’elles ne fassent l’objet d’aucune destruction. Elles sont alors régies par le livre II du Code du patrimoine et non par la loi «informatique et libertés».

Les archives doivent être sécurisées et chiffrées si les données archivées sont des données sensibles ou jugées con dentielles par l’entreprise.

Authentification

«L’authentification a pour but de vérifier l’identité dont une entité se réclame. Généralement l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer son identité, s’authentifier c’est apporter la preuve de son identité.» (ANSSI Agence Nationale de la Sécurité des Systèmes d’Information).

Chiffrement

Le chiffrement, parfois improprement appelé cryptage, est un procédé cryptographique permettant de garantir la confidentialité d’une information. Les mécanismes cryptographiques permettent également d’assurer l’intégrité d’une information, ainsi que l’authenticité d’un message en le signant.

On distingue deux familles cryptographiques permettant de chiffrer, la cryptographie symétrique et la cryptographie asymétrique :

  • la cryptographie symétrique comprend les mécanismes pour lesquels la même clé sert à chiffrer et à déchiffrer
  • la cryptographie asymétrique comprend les mécanismes pour lesquels la clé servant à chiffrer, appelée clé publique, est différente de la clé servant à déchiffrer, appelée clé privée. On parle de paire de clés.

Destinataire des données

«Toute personne habilitée à recevoir communication des données autre que celle de la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données» (Art. 3 loi I&L).

Donnée à caractère personnel

«Toute information relative à une personne physique identifée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne» (Art. 2 loi I&L).

Données sensibles

Les «données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci» (Art. 8 loi I&L).

Journalisation

L’enregistrement des actions de chaque utilisateur sur le système pendant une durée définie.

Responsable de traitement

«La personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens dudit traitement, sauf désignation expresse par des dispositions législatives ou réglementaires relatives à ce traitement» (Art. 3 loi I&L).

Tiers

La personne physique ou morale, l’autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données (directive 95/46/CE).

Traitement des données à caractère personnel

«Toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction» (Art. 2 loi I&L).

Source : CNIL, la sécurité des données personnelles

Clothilde

Clothilde

Responsable marketing

Acquisition, engagement, conversion et fidélisation n'ont plus de secrets pour moi #Smarketing #Inbound #CRM

Une question ? Tchattez avec moi ici directement !

RGPD 2018

fa legislation

Toutes les ressources RGPD