SOS DPO a réalisé une vidéo de formation sur le RGPD à destination des TPE/PME qui souhaitent rapidement se mettre en conformité avec le RGDP.

Lire la suite

Comment utiliser ce modèle ?

  1. Rechercher/remplacer la chaîne de caractère NOTRESOCIETE par la raison sociale de votre société ou par vos prénom et nom si vous êtes un particulier
  2. Lire le modèle et adapter les passsages où il est indiqué (PRECISER/COMPLETER/SUPPRIMER)
  3. Faites personnaliser ce modèle par un spécialiste du RGPD pour le faire correspondre à votre situation.

Protection des données personnelles

1. A qui s’adresse ces informations sur la gestion des données personnelles

Aux visiteurs de notre site, aux utilisateurs de notre application mobile, aux clients de NOTRESOCIETE et aux personnes nous suivant sur les réseaux sociaux.

2. NOTRESOCIETE

(PRECISER/COMPLETER/SUPPRIMER) : NOTRESOCIETE est une SA, SARL, SASU, EI au capital social de NNN NNN €, immatriculée au RCS de VILLE n° Bxxxyyyzzz, représentée par Monsieur/Madame NOM PRENOM, en qualité de Président Directeur Général/Gérant/Directeur Général et dont le siège social est situé au numéro de voie, voie, code postal, ville.

NOTRESOCIETE édite le Site NOTRESOCIETE.COM et procède à la collecte, au traitement et à l’utilisation de vos données en tant responsable de traitements

3.  Pourquoi utilisons-nous vos données

3.1. Quand collectons-nous vos données personnelles ?

Nous pouvons recueillir vos Données lorsque :

  • vous vous connectez au site NOTRESOCIETE.COM avec un ordinateur, une tablette ou un smartphone, qui utiliser des cookies,
  • vous créez un compte sur notre site NOTRESOCIETE.COM,
  • vous achetez nos services et produits,
  • vous souscrivez à notre programme de fidélisation, notre programme de fidélité… (PRECISER/COMPLETER/SUPPRIMER)
  • vous vous abonnez à nos fils d’information transmis par email (lettre d’information, cours, newsletters, alertes produits, ventes privées, ventes flash, promotions…) (PRECISER/COMPLETER/SUPPRIMER)
  • vous vous abonnez à nos fils d’informations transmis par sms,
  • vous adhérez à nos pages sur les réseaux sociaux (Facebook, Instagram, Linkedin,… (PRECISER/COMPLETER/SUPPRIMER)

Nous collectons et utilisons vos données pour

Comprendre l’utilisation qui est faite de notre site

en les agrégeant avec celle des autres utilisateurs et en les analysant de façon non personnelle ou en les analysant de façon personnelle et modifier notre site et notre application en fonction des analyses des données réalisées. La base juridique de ce traitement est votre consentement

Gérer vos commandes (PRECISER/COMPLETER/SUPPRIMER)

Ce traitement permet de

  • <![endif]>Gérer le paiement des commandes, (PRECISER/COMPLETER/SUPPRIMER)
  • Mieux gérer notre relation avec nos clients et prospects,
  • <![endif]>Assurer un meilleur service après vente, (PRECISER/COMPLETER/SUPPRIMER)
  • <![endif]>Gérer notre service Vente à distance, (PRECISER/COMPLETER/SUPPRIMER)
  • <![endif]>Gérer notre relation avec nos clients à travers les réseaux sociaux, (PRECISER/COMPLETER/SUPPRIMER)
  • <![endif]>Gérer les campagnes de publicité qui dépendent des pages et de produits que vous avez consultées sur notre site,
  • <![endif]>Gérer l’acheminement et la livraison des produits que vous avez commandés
  • <![endif]>Gérer le paiement des commandes (PRECISER/COMPLETER/SUPPRIMER)

L’exécution du contrat entre vous et nous est la base juridique de ce traitement. La base juridique du traitement des informations liées au rappel des produits est l’obligation légale de NOTRESOCIETE.

  • Gérer les avis client

Nous collectons des données lorsque vous rédigez et nous transmettez des avis sur NOTRESOCIETE.COM. La base juridique du traitement des informations liées aux avis clients est votre consentement ou l’intérêt légitime de NOTRESOCIETE.

  • Lutter contre les fraudeurs

Nous collectons et utilisons des données sur nos clients afin de détecter les fraudeurs et mauvais payeurs. La base juridique du traitement des informations liées à la lutte contre la fraude est l’intérêt légitime de NOTRESOCIETE et l’execution de votre contrat de vente à distance/de services (PRECISER/COMPLETER/SUPPRIMER)

  • Cibler nos envois d’emails (informatifs, publicitaires, relationnels)

Nous collectons et utilisons des données sur nos clients afin de :

  • <![endif]>Disposer de fichiers de prospects ou clients à jour,
  • <![endif]>Disposer de candidas à la réalisation d’enquêtes de consommateurs
  • <![endif]>Envoyer des emails informatifs, publicitaires ou relationnels
  • <![endif]>Analyser les réactions des destinataires des emails
  • <![endif]>Organiser des opérations de promotion de produits ou services de partenaires
  • <![endif]>Organiser des jeux concours
  • <![endif]>Enrichir nos fichiers clients

La base juridique du traitement des informations liées à l’envoi d’emails est le consentement de l’internaute ou l’intérêt légitime de NOTRESOCIETE

4. Qui a accès à vos données

Nous transmettons vos données à une liste déterminée de sous-traitants nécessaires au bon fonctionnement des services que nous proposons :

  • le développement informatique de notre site et de nos applications
  • le paiement en ligne (ex : banques, prestataires de service de paiement),
  • la gestion de la relation client (ex : centres d’appels),
  •  <![endif]>le service après-vente
  • la livraison de produits (ex : transporteurs)
  • la gestion des avis clients
  • l’envoi d’emails

PRECISER/SUPPRIMER/COMPLETER

5. Pendant quelle durées vos données personnelles sont-elles conservées ?

Les données suivantes sont conservées durant 3 ans au maximum dans les bases de données actives :

  • Données concernant les visiteurs du site et les prospects
  • (PRECISER/COMPLETER/SUPPRIMER)

Les données suivantes sont conservées durant 5 ans dans les bases de données actives

Données relatives aux clients ayant passé des commandes

  • (PRECISER/COMPLETER/SUPPRIMER)

Les données suivantes sont ensuite conservées durant 5 ans dans les archives

  • Données relatives aux clients ayant passé des commandes
  • (PRECISER/COMPLETER/SUPPRIMER)

6. Comment accéder, modifier ou supprimer ?

Pour accéder, modifier, supprimer ou récupérer vos données :

  • Connectez-vous sur la page (PRECISER/COMPLETER/SUPPRIMER)
  • Envoyez email décrivant votre demande à l’adresse email suivante Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser., accompagné d’une copie de votre carte d’identité ou de votre passeport (PRECISER/COMPLETER/SUPPRIMER)
  • Envoyez un courrier papier à l’adresse suivante (PRECISER/COMPLETER/SUPPRIMER) accompagné d’une copie de votre carte d’identité ou de votre passeport

(PRECISER/COMPLETER/SUPPRIMER): NOTRESOCIETE répondra dans un délai d’un (1) mois maximum suivant la date de réception de votre demande.

Vous pouvez demander à ce que NOTRESOCIETE limite l’utilisation de vos données, à l’exception des cas suivants :

  •  <![endif]>(PRECISER/COMPLETER/SUPPRIMER)

Si vous demandez la suppression de vos données, NOTRESOCIETE pourra tout de même les conserver dans des archives pour la durée nécessaire à la satisfaction des obligations légales, fiscales et comptables de NOTRESOCIETE.

Vous pouvez demander à ce que votre numéro de téléphone ne soit plus utiliser dans le cadre du démarchage téléphonique en vous inscrivant gratuitement sur le site www.bloctel.fr .

Vous pouvez demander à ce que votre adresse email ne reçoivent plus d’emails de prospection commerciale en :

  • Envoyant un email à l’adresse Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. avec le contenu suivant : (PRECISER/COMPLETER/SUPPRIMER)
  • Vous connectant sur votre espace client, dans la rubrique « Abonnement », « Newsletter » et en …(PRECISER/COMPLETER/SUPPRIMER)

Vous pouvez demander à ne plus recevoir de SMS, en envoyant STOP SMS au numéro XXXX (PRECISER/COMPLETER/SUPPRIMER)

En cas décès, vous pouvez transmettre vos souhaits à vos héritiers ou votre notaire concernant la conservation ou la suppression de vos données, ainsi que leur transmission à un tiers.

Si vous ne le faites pas, votre notaire ou vos héritiers peuvent contacter Cdiscount de clore votre compte et stopper l’exploitation de vos données.

7. Comment récupérer vos données et faire jouer votre droit à la portabilité.

Vous avez le droit de récupérer vos données, pour cela :

  • Connectez-vous sur la page (PRECISER/COMPLETER/SUPPRIMER)
  • - <![endif]>Envoyez un email décrivant votre demande à l’adresse email suivante Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser., accompagné d’une copie de votre carte d’identité ou de votre passeport (PRECISER/COMPLETER/SUPPRIMER)
  • - <![endif]>Envoyez un courrier papier à l’adresse suivante (PRECISER/COMPLETER/SUPPRIMER) accompagné d’une copie de votre carte d’identité ou de votre passeport

(PRECISER/COMPLETER/SUPPRIMER): NOTRESOCIETE répondra dans un délai d’un (1) mois maximum suivant la date de réception de votre demande.

8. Les services d’analyse de données utilisateurs installés sur NOTRESOCIETE

NOTRESOCIETE a installé sur son site plusieurs outils lui permettant d’adapter ses campagnes publicitaires, l’ergonomie des pages du site ou de son application, d’adapter le contenu en fonction des attentes des visiteurs et clients, de personnaliser le contenu pour chaque internaute.

8.1. Ces outils recourent souvent à la technologie des cookies

Un cookie est un fichier texte déposé sur le disque dur de l’internaute par le serveur du site visité ou par un serveur tiers (régie publicitaire, service d’analyse d’audiences de site...)

C’est grâce aux cookies que NOTRESOCIETE peut, par exemple, il est possible d’accéder à des pages personnalisées, de recevoir des publicités pour des produits déjà consultés (campagne de reciblage ou retargeting) ou d’éviter d’être explosé un nombre trop important de fois à la même publicité.

8.2 Les systèmes de suivi de navigation essentiels

Des systèmes de suivi de navigation essentiels sont installés sur notre site. Ces systèmes sont indispensables à la navigation sur notre site, notamment à la bonne exécution du processus de commande. Leur surpression peut entrainer des difficultés de navigation sur notre site ainsi que l’impossibilité de passer commande.

8.3 Les système d’analyse d’audience

Des systèmes de suivi d’analyse d’audience sont installés sur notre site : Google Analytics, At Internet, Adobe Analytics, (PRECISER/COMPLETER/SUPPRIMER)

Ils ne sont pas indispensables à la navigation sur notre site mais peuvent permettre, par exemple, pour vous : de faciliter vos recherches, d’optimiser votre expérience d’achat, et pour nous : de mieux cibler vos attentes, d’améliorer notre offre, ou encore d’optimiser le fonctionnement de notre site.

Vous pouvez bloquer ces systèmes en bloquant la dépose des cookies associés avec l’extension Ghostery disponible sur Firefox, Chrome, Safari, Explorer ou Opera.

8.4. Les systèmes d’analyse et d’optimisation des campagnes publicitaires

Des systèmes d’analyse et d’optimisation des campagnes publicitaires sont installés sur notre site : Google Adwords, Facebook Ads, (PRECISER/COMPLETER/SUPPRIMER)

Les régies publicitaires sur internet permettent à leurs annonceurs, comme NOTRESOCIETE de mesurer l’efficacité d’une campagne publicitaire en affichant le nombre de cliqueurs sur les publicités, la durée de leur visite ou le nombre d’achat qu’ils ont réalisé.

Vous pouvez bloquer ces systèmes en bloquant la dépose des cookies associés avec l’extension Ghostery disponible sur Firefox, Chrome, Safari, Explorer ou Opera.

8.5. Les systèmes de mesure du comportement des utilisateurs

Des systèmes de mesure du comportement des utilisateurs sont installés sur notre site : A/B Tasty, Hubspot, Optimizely, Visual WebSiteOptimizer, Hotjar (PRECISER/COMPLETER/SUPPRIMER)

Ces systèmes permettent de tester de nouvelles versions d’un site, de comprendre à quels éléments un internaute réagit ou de déterminer les contenus qu’il ignore, de comprendre comment il navigue sur le site pour le rendre plus efficace.

Vous pouvez bloquer ces systèmes en bloquant la dépose des cookies associés avec l’extension Ghostery disponible sur Firefox, Chrome, Safari, Explorer ou Opera.

8.6. Les systèmes liés aux réseaux sociaux

Nous sommes susceptibles d'inclure sur notre site, des applications informatiques émanant de tiers, qui vous permettent de partager des contenus de notre site avec d'autres personnes ou de faire connaître à ces autres personnes votre consultation ou votre opinion concernant un contenu de notre site. Tel est notamment le cas des boutons "Partager", "J'aime", issus de réseaux sociaux tels que Facebook, "Twitter", Google +, etc.

Des systèmes liés aux réseaux sociaux sont installés sur notre site : widget Facebook, Google Plus, Twitter…(PRECISER/COMPLETER/SUPPRIMER)

Ces systèmes vous permettent de partager des contenus de notre site avec d'autres personnes ou de faire connaître à ces autres personnes votre opinion concernant un contenu de notre site. Tel est notamment le cas des boutons "Partager", "J'aime", issus de réseaux sociaux tels que Facebook, "Twitter", Google +, etc

Vous pouvez bloquer ces systèmes en bloquant la dépose des cookies associés avec l’extension Ghostery disponible sur Firefox, Chrome, Safari, Explorer ou Opera.

9. Cas de données collectées, traitées et analysées en dehors de l’Union Européenne

La majorité des données que NOTRESOCIETE collecte sont stockées, traitées et analysées dans l’Union Européenne.

Mais NOTRESOCIETE transfert certaines de vos Données en dehors de l’Union Européenne, après avoir vérifié que ces services fonctionnaient de façon conforme aux règlements concernant la protection de données en vigueur dans l’Union Européenne.

Sur simple demande formulée à notre Délégué à la protection des données, nous pouvons vous fournir davantage d’informations quant à ces transferts.

10. Sécurisation de vos données

NOTRESOCIETE a le devoir, en raison de la loi, de mettre en place les dispositifs techniques et organisationnels nécessaire à la sécurité de vos données. Ces dispositifs ont été arrêtés de nos connaissances des risques, des technologies de sécurité existante, de leurs coûts et des risques associés et du niveau de protection requis soit par la nature des données collectées, soit par le statut des personnes sur lesquelles les donnée sont collectées.

12. Evolution des pratiques de collecte, utilisation et d’analyse des données personnelles.

Le présent règlement sera mis à jour régulièrement.

13. Délégué à la Protection de données /   DPO / Data Protection Officer

Le délégué à la protection de données de notre société peut être jointe par voie postale à

Délégué à la protection de données, NOTRESOCIETE, numéro de voie, voie, code postal, ville.

 

Neodia a définit une méthode de mise en conformité RGPD en 5 étapes

1. Audit général

2. Etat des lieux détaillé / Cartographie des traitements

3. Mise en conformité

4. Production des documents obligatoires

5. Tests de conformité

 

1. Audit

Objectif: planifier la mise en conformité en intégrant l'ensemble des points sensibles

Kick off meeting

  • Analyse de l’exposition de l’entreprise au RGPD
  • Activité de base
  • Périmètre d’utilisation des données à caractère personnel
  • Echelle d'utilisation des données à caractère personnel

Audit

•    Audit juridique (en tant qu’exploitant / sous-traitant)
•    Audit organisationnel (en tant qu’exploitant / sous-traitant)
•    Audit business (traitements par métier) (en tant qu’exploitant / sous-traitant)
•    Audit informatique (en tant qu’exploitant / sous-traitant)
•    Audit sécurité (en tant qu’exploitant / sous-traitant)

Livrables

Gouvernance

  • Désignation d’un DPO
  • Identification des responsabilité dans le dossier GDPR
  • Identification des rôles dans le process de mise en conformité

Mesure de l’effort à réaliser

  • Liste des chantiers
  • Volume de travail,
  • Collaborateurs impliqués
  • Incertitudes, risques, traitements sensibles

Définition des documents modèles à remplir

Présentation de la méthode de travail pour les étapes suivantes

Planning

2.   Etat des lieux

Objectif : mesurer les écarts entre l’état actuel et les obligations du RGPD

Inventaire des procédures déjà en place

Charte informatique

Politique des données personnelles

PSSI

Clauses concernant le traitement des données personnelles dans les contrats avec les sous traitants, co-responsables

Organisation du système d’information

Analyse des déclarations existantes

Cnil

Existence d'un correspondant CIL

Autres organismes

Création du registre des traitements

 

Analyse de l’impact des traitements des données

Limites

Données sensibles :

·Données politiques,

·Données religieux,

·Données à caractère sexuel (genre, pratiques),

·Données relatives à la génétique,

·Donnée biométriques

Personnes vulnérables concernées par les traitementss

·Patients

·Personnées âgées

·Mineurs

·Employés

Gestion des cas de transfert hors UE

Inventaires des sites, applications, extranets, intranets, objets connectés collectant des informations personnelles

Cas des fichiers Ecommerce

Liste des systèmes de tracking

Web analytics

Mobile Analytics

Optimisation de taux de conversion (A/B Testing)

Tracking de retargeting,

Tracking du ROI des campagnes de rtb/AdExchange

Tracking du ROI des campagnes Facebook

Tracking du ROI des campagnes Google Adwords

Tracking du ROI des campagnes Snapchat

Tracking du ROI des campagnes des autres régies,

Tracking du ROI des campagnes d’affiliation

Tracking des données des third party data providers,

Tracking des données first party data

Echange de données:  second party data

Tracking par des services Saas:

Activation

Liste des formulaires

Fichiers marketing

Ecommerce

Prospects

Clients

Adresse de livraison

Adresse de facturation

Flux internes/externes

Mailing papier

Flux internes/externes

Liste des prestataires

Emailing

Newsletter

Collecte sur Salon

Organisation de jeux concours

Plate-formes d'emailing utilisées

Prestataires emailing : routage, retargeting, automation, CRM

Flux internes/externes

Réseaux sociaux

Jeux concours Facebook

Fichiers constitués lors de l’installation d’une application

Flux internes/externes

Programme de fidélisation offline

Inscription en magasin de carte de fidélité

Inscription à des jeux concours offline

Flux internes/externes

DMP/Ecrm

Flux internes/externes

Intelligence Artificielle

Flux internes/externes

Carnets de contacts personnel

Desktop

Smartphone

Tablettes

Pour chaque fichier :

Gérer les aspects légaux

o   Vérifier l’existence et la conformité des contrats

Auditer la sécurité

o   failles humaines : process, obligation

o   failles techniques : chiffrement du stockage ou des bases de données, pseudonymisation, authentification forte pour l’accès aux serveurs,

o   système de protection en place

o   plan de sécurisation des données en transit

Flux internes/externes

o   Hébergement

o   Exploitation

Qualifier

·Déterminer s’ils contiennent des données à caractère personnel  (immatriculation, numéro de sécurité sociale, localisation, date de naissance, adresse électronique, informations de paiement, numéro de téléphone, empreinte, etc..)

·Déterminer si elles contiennent des données sensibles (Opinions religieuses, orientations sexuelles, données médicales ou biométriques, sanctions administratives ou suspicions). Les données religieuses, syndicales ou raciales sont encadrées par la loi de 1978)

·Déterminer, par conséquence, s’il y a dispense, norme simplifiée, déclaration normale, demande d’autorisation

·Déterminer s’il y a des contacts hors UE à traiter de façon différenciée

Identifier les traitements

·Déterminer les traitements indispensables/optionelles, ainisi que les traitements internes/externes

·Déterminer la volumétrie

·Déterminer la durée de conservation

·Déterminer la catégorie de données

·Déterminer les droits d’accès

·Déterminer s’il faut archiver les données

·Déterminer la fréquence de la purge d’archivage

·Déterminer la manière d’intégrer le droit à l’oubli

·Evaluer le niveau de risque :  le RGPD définit des traitements à haut risque qui visent les technologies de profiling et nécessite dans ce cas de réaliser des études d’impact avant la mise en ouvre ou le traitement. Cette liste de traitement à haut risque est censée être établie par la CNIL  Pour démontrer le respecte des régles, il exite deux solutions : la certification ou l’adhésion aux codes de bonne conduite des acteurs du secteur d’activité (définis par eux mais validés par la CNIL).

Analyser le niveau de protection

·Privacy by design, Privacy by default

·Sécurisation physiques (batîments) et logicielle (firewall, anti virus, pseudonymisation…)

Identifier les liens avec les nœuds critiques du RGPD

·Mentions légales

·Cookies

·Consentement

· Pseudonymisation des données ou non

· Portabilité/supression/modication

Réaliser une étude d’impact

Les traitements qui remplissent au moins deux des critères suivants doivent faire l’objet d‘une analyse d’impact :

    évaluation/scoring (y compris le profilage) ;

    décision automatique avec effet légal ou similaire ;

    surveillance systématique ;

    collecte de données sensibles ;

    collecte de données personnelles à large échelle ;

    croisement de données ;

    personnes vulnérables (patients, personnes âgées, enfants, salariés etc.) ;

    usage innovant (utilisation d’une nouvelle technologie) ;

    exclusion du bénéfice d’un droit/contrat.

Exemple : une entreprise met en place un contrôle de l’activité de ses salariés, ce traitement remplit le critère de la surveillance systématique et celui des données concernant des personnes vulnérables donc la réalisation d’un DPIA sera nécessaire.

Exemple : une start-up met en place dans votre entreprise un système de personnalisation du parcours  client, ce traitement remplit le critère de la surveillance systématique et celui de collecte de données personnelles à grande échelle, donc la réalisation d’un DPIA sera nécessaire.

Contenu d’une étude d’impact sur les données personnelles/DPIA

-Synthèse des opérations de traitement envisagées et les finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement;

-Evaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;

-Evaluation des risques sur les droits et libertés des personnes concernées et ;

-Mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.

Pour ce faire, plusieurs méthodes sont utilisables. Le responsable de traitement est libre de choisir sa méthode. Mais quelle que soit la méthode, celle-ci

Méthode de conduite de DPIA (doit respecter les critères définis dans l’annexe 2 des lignes directrices du G29.)

1.     Délimiter et décrire le contexte du (des) traitement(s) considéré(s) ;

2.    Analyser les mesures garantissant le respect des principes fondamentaux : la proportionnalité et la nécessité du traitement, et la protection des droits des personnes concernées ;

3.    Apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités ;

4.     Formaliser la validation du PIA au regard des éléments précédents ou bien décider de réviser les étapes précédentes.

Le DPIA doit être transmis à la CNIL si

-le niveau de risque résiduel reste élevé (cas où la CNIL doit être consultée) ;

-quand la législation nationale d’un État membre l’exige ;

-la CNIL le demande dans le cadre d’un contrôle

 

Personnels/SOUS TRAITANTS impliqués

Dans la création de nouvelles bases de données

Dans la collecte

Dans le traitement : qualification, analyse BigData, IA, enrichissement

Dans la protection

Dans l’exploitation : qualification, envoi de messages,

Sécurité

Qui a accès

Qui peut voler les bases de données

Qui peut pirater les bases de données

Sont-elles diffusées sur internet ?

Réaction de cas de découverte de faille

Recommandation en vue de la mise en conformité

Un document de mesure des écarts est rempli au fil de l’audit et s’intéresse à 4 points

Procédure

Aspects contractuels

Sécurité

Livrables : Rapport de mesure des écarts avec le RGPD

3. Mise en conformité

Définition d’un plan de mise en conformité

·Plan d’action interne

·Plan d’action vis-à-vis des tiers

Actions internes

Contrats

o   Par traitement, recueil de consentement

o   Par traitement, mise à jour du contrat et de l’information

Informatique

Par base de données, intégration des fonctionnalités liées à la mise en conformité

•Droit à l’oubli

•Anonymisation

•Purge des données non indispensables

•Purge des données obsolètes

•Portabilité

•Chiffrement

•Gestion des consentements

Sécurisation

o   Accès par chiffrement fort aux bases de données,

o   Gestion des attaques

o   Réactions aux violations,

o   Identification et gestion des vulnérabilités

o   Gestion de la sécurité des sous-traitants : sécurité physiques de l’hébergement de données,

o   Plan d’audits, norme et annexes

Organisation

o   Définition des responsabilités de gouvernance globale :

o   Hestion de la sécurité,

o   Politique de sécurité de l’information,

o   Objectifs de sécurité

o   Responsabilité en matière de sécurité

o   Modification des process par métier

o   Gestion des droits d’accès par collaborateur

o   Process de mise en conformité

o   Process de contrôle de conformité

o   Formation « Privacy by design », « Privacy by default »

 

Actions vis-à-vis des tiers

Contrats

Informatique

Organisation

Le sous-traitant doit certifier avoir documenté

Il doit s’engager à avertir dans les délais légaux des violations

L’assister dans

o   l’accomplissement de ses obligations en matière de sécurité et d’information ;

o   la réalisation d’une analyse d’impact sur son traitement

o   pour s’acquitter de ses obligations relatives aux droits des personnes (droit à l’effacement des données, droit d’accès, portabilité

L’informer si l’une de ses dispositions contrevient aux obligations du RGPD

Plan de gestion crise/viol des données

Gestion des évolutions

Gestion des risques

Prévention

Intégrité

Vols

Destruction

Réaction en cas d’attaque réussie

Récupération

Communication (sous 48h)

Plan de reprise d’activité

4. Production de documents obligatoires

Documentation initiale

Sur les traitements

-Registre des traitements pour le DPO et catégories d’activité de traitements pour les sous-traitants

-Analyse d’impact pour la protection des données pour les traitement susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes

-Gestion des transferts de données hors Union Européenne (clauses contractuelles, BCR et certifications

Sur l’information des personnes

-Les mentions d’information

-Les modèles de recueil du consentement des personnes concernées

-Les procédures mises en place pour l’exercice des droits

Sur les rôles et responsabilités des acteurs

-Contrats avec les sous-traitants

-Procédures internes en cas de violation de données

-Preuves de l’obtention du consentement des personnes concernées

Coffre fort

Mise à jour

5. Tests de conformité

Pratiques

Trace et preuves

Accountability

ex: pour la formation de sensibilisation: liste d’émargement, programme, formateur, lieu et contrôle de connaissance.

 

Ce guide est publié à but général et de façon informative. Il ne constitue pas un conseil individualisé. Veuillez consulter les conseillers juridiques de votre société pour une implémentation spécifique.