Comment abordons-nous le RGPD chez Nexylan ?
Le RGPD, en termes de collecte de traitement de données :
Site web
Notre site Web collecte des données personnelles de manière indirecte à des fins d’analytics, de publicité ciblée (adwords) et d’assistance utilisateur (module de discussion en ligne). Nous avons donc intégrée cette collecte et ses implications dans un document de « Politique de Confidentialité ».
N-Admin
Notre outil en ligne N-Admin, de pilotage d’hébergement en mode SaaS, collecte également des données personnelles de manière directe et indirecte. Ces données sont à des fins de support utilisateur, de facturation, d’assistance en ligne (module de discussion), d’analytics et d’emailing.
Afin de rendre cette collecte conforme aux principes du règlement, nous avons :
– Intégré une section de Politique de Confidentialité
– Développé des fonctions d’effacement des données personnelles ainsi que de portabilité des informations
– Développé un système d’approbation de notre politique de confidentialité.
En termes de process, Nexylan est depuis toujours extrêmement sensible aux problématiques de sécurité, d’intrusion, de protection des données clients, que ce soit d’un point de vue technique ou d’un point de vue humain. Soyons clairs, nous n’avons pas attendu le RGPD pour disposer d’une politique de sécurité digne de ce nom.
Néanmoins, quelques évolutions ont récemment vu le jour.
DPO :
Nefissia Haddouche, responsable juridique chez Nexylan depuis 2012, a été promue DPO (Data Protection Officer). Son parcours et son profil juridiques en font la personne idéale pour cette responsabilité.
Conditions générales :
Nos conditions générales ont été mise à jour et sont progressivement envoyées à nos clients pour approbation. Elles viennent compléter les contrats déjà en place en incluant la dimension RGPD.
Registre de traitement :
Comme l’exige le RGPD, un registre de traitement a été mis en place. Il s’agit d’un registre complet qui recense les données traitées par Nexylan comprenant :
– Les personnes/sous-traitants amenés à traiter de la donnée pour notre compte ainsi qu’une politique de contrôle individuel des contrats
– Les types, finalités, consentements des informations en notre possession.
– Comment les données en question sont traitées précisément
– Le niveau de sécurité mis en place sur ces données
– Les politiques de contrôle mises en place pour s’assurer du respect des actions mise en place.
Ce registre sera en permanence réactualisé par notre DPO.
Processus :
Certains processus propres aux données personnelles stockées sur les serveurs ont été revues/modifiées :
– Contrôle des accès renforcé
– Niveaux d’accréditation des salariés renforcés
– Procédure de destruction des données en fin de contrat renforcées
– Dispositif de chiffrement des sauvegardes mise en place
Quelques informations supplémentaires sur le RGPD
Objectifs du RGPD
Le but du RGPD est de garantir à tout ressortissant de l’Union Européenne le contrôle, la protection et la sécurité des données personnelles qu’il a semées sur Web. Cet objectif s’articule autour de 3 grands principes :
– Le consentement : Tous les leviers de collecte de données personnelles devront explicitement informer l’utilisateur et recueillir son consentement avant traitement.
– La sécurité/traçabilité : Le responsable de traitement doit garantir la sécurité des données collectées (voir la liste en-dessous). Cette sécurité peut être mise en oeuvre par le chiffrement, la prévention des failles, la sécurité du stockage, etc…
– Le droit de l’utilisateur : L’utilisateur doit pouvoir facilement modifier, supprimer et même recueillir ses données personnelles (que le règlement appelle portabilité).
La donnée personnelle ?
La donnée personnelle décrit tout élément qui permet d’identifier un individu de manière directe ou indirecte : nom, prénom, email, adresse, téléphone, localisation, adresse IP, images.
Portée du RGPD
De manière simplifiée, tous les sites qui collectent au minimum une des données personnelles citées plus haut sont concernés par le RGPD et doivent donc se mettre en conformité.
– Vous vendez en ligne ?
– Vous avez un site vitrine avec un formulaire de contact ?
– Vous avez une application qui nécessite un compte ?
– Vous collectez des emails pour une newsletter ?
Alors vous êtes concerné(e)
Très honnêtement, à moins que vous soyez boulanger (et nos petits-déjeuner d’équipe à répétition montrent notre respect pour les boulangers) avec un site vitrine qui montre vos pains, pâtisseries et votre numéro de téléphone/adresse, tout le monde est concerné.
Mais la portée va encore plus loin, car le RPGD a introduit la « chaine de responsabilité ». En tant que responsable de traitement, vous devez vous assurer que les sous-traitants de votre site/application/service sont eux-aussi en conformité avec le règlement (exemple : prestataire de routage de mails marketing, solutions d’analytics, modules de retargeting, etc…).
Même si la démarche est lourde, vous devez recréer la carte complète des interactions de vos sous-traitants avec les données de vos utilisateurs. Si vous ne le faites pas, vous serez responsable en cas de litige.
La mise en conformité ?
Nous n’allons pas ré-expliquer les démarches de mise en conformité, car des tas de sites l’ont déjà fait bien mieux que nous. Voici les meilleures documentations à ce sujet que nous ayons trouvé :
RGPD : mettre son WordPress en conformité par ici.
Les risques ?
Après tout, pourquoi se mettre en conformité ? La France regorge de normes et de législations en tous genres auxquelles les entreprises ont déjà du mal à se soumettre. Pourquoi se plier spécifiquement au RGPD ?
Comme dit le dicton, pas vu pas pris. Néanmoins, l’Union Européenne semble avoir anticipé cette approche et promet des sanctions financières fortes contre les contrevenants (on parle d’un pourcentage du chiffre d’affaire pouvant aller jusque 4%).
De notre côté, nous pensons qu’il faut aborder le RGPD non pas seulement comme une contrainte lourde, chronophage et coûteuse, mais aussi comme une opportunité de mettre en place une relation de confiance entre les internautes et les plateformes. Les récents scandales ont montré les faiblesses du Web sans contrôle, sans limites et sans confiance.
En France, l’organisme en charge de faire respecter le RGPD est la CNIL. On peut néanmoins s’interroger sur les réelles capacités de l’entité (tout du moins à court terme) étant donné le peu de pédagogie mise en place par la commission…
Vous avez une question sur le RGPD ? N’hésitez pas à nous contacter par ici !