SOS DPO a réalisé une vidéo de formation sur le RGPD à destination des TPE/PME qui souhaitent rapidement se mettre en conformité avec le RGDP.
SOS DPO a réalisé une vidéo de formation sur le RGPD à destination des TPE/PME qui souhaitent rapidement se mettre en conformité avec le RGDP.
Aux visiteurs de notre site, aux utilisateurs de notre application mobile, aux clients de NOTRESOCIETE et aux personnes nous suivant sur les réseaux sociaux.
(PRECISER/COMPLETER/SUPPRIMER) : NOTRESOCIETE est une SA, SARL, SASU, EI au capital social de NNN NNN €, immatriculée au RCS de VILLE n° Bxxxyyyzzz, représentée par Monsieur/Madame NOM PRENOM, en qualité de Président Directeur Général/Gérant/Directeur Général et dont le siège social est situé au numéro de voie, voie, code postal, ville.
NOTRESOCIETE édite le Site NOTRESOCIETE.COM et procède à la collecte, au traitement et à l’utilisation de vos données en tant responsable de traitements
Nous pouvons recueillir vos Données lorsque :
Nous collectons et utilisons vos données pour
en les agrégeant avec celle des autres utilisateurs et en les analysant de façon non personnelle ou en les analysant de façon personnelle et modifier notre site et notre application en fonction des analyses des données réalisées. La base juridique de ce traitement est votre consentement
Ce traitement permet de
L’exécution du contrat entre vous et nous est la base juridique de ce traitement. La base juridique du traitement des informations liées au rappel des produits est l’obligation légale de NOTRESOCIETE.
Nous collectons des données lorsque vous rédigez et nous transmettez des avis sur NOTRESOCIETE.COM. La base juridique du traitement des informations liées aux avis clients est votre consentement ou l’intérêt légitime de NOTRESOCIETE.
Nous collectons et utilisons des données sur nos clients afin de détecter les fraudeurs et mauvais payeurs. La base juridique du traitement des informations liées à la lutte contre la fraude est l’intérêt légitime de NOTRESOCIETE et l’execution de votre contrat de vente à distance/de services (PRECISER/COMPLETER/SUPPRIMER)
Nous collectons et utilisons des données sur nos clients afin de :
La base juridique du traitement des informations liées à l’envoi d’emails est le consentement de l’internaute ou l’intérêt légitime de NOTRESOCIETE
Nous transmettons vos données à une liste déterminée de sous-traitants nécessaires au bon fonctionnement des services que nous proposons :
PRECISER/SUPPRIMER/COMPLETER
Les données suivantes sont conservées durant 3 ans au maximum dans les bases de données actives :
Les données suivantes sont conservées durant 5 ans dans les bases de données actives
Données relatives aux clients ayant passé des commandes
Les données suivantes sont ensuite conservées durant 5 ans dans les archives
Pour accéder, modifier, supprimer ou récupérer vos données :
(PRECISER/COMPLETER/SUPPRIMER): NOTRESOCIETE répondra dans un délai d’un (1) mois maximum suivant la date de réception de votre demande.
Vous pouvez demander à ce que NOTRESOCIETE limite l’utilisation de vos données, à l’exception des cas suivants :
Si vous demandez la suppression de vos données, NOTRESOCIETE pourra tout de même les conserver dans des archives pour la durée nécessaire à la satisfaction des obligations légales, fiscales et comptables de NOTRESOCIETE.
Vous pouvez demander à ce que votre numéro de téléphone ne soit plus utiliser dans le cadre du démarchage téléphonique en vous inscrivant gratuitement sur le site www.bloctel.fr .
Vous pouvez demander à ce que votre adresse email ne reçoivent plus d’emails de prospection commerciale en :
Vous pouvez demander à ne plus recevoir de SMS, en envoyant STOP SMS au numéro XXXX (PRECISER/COMPLETER/SUPPRIMER)
En cas décès, vous pouvez transmettre vos souhaits à vos héritiers ou votre notaire concernant la conservation ou la suppression de vos données, ainsi que leur transmission à un tiers.
Si vous ne le faites pas, votre notaire ou vos héritiers peuvent contacter Cdiscount de clore votre compte et stopper l’exploitation de vos données.
Vous avez le droit de récupérer vos données, pour cela :
(PRECISER/COMPLETER/SUPPRIMER): NOTRESOCIETE répondra dans un délai d’un (1) mois maximum suivant la date de réception de votre demande.
NOTRESOCIETE a installé sur son site plusieurs outils lui permettant d’adapter ses campagnes publicitaires, l’ergonomie des pages du site ou de son application, d’adapter le contenu en fonction des attentes des visiteurs et clients, de personnaliser le contenu pour chaque internaute.
Un cookie est un fichier texte déposé sur le disque dur de l’internaute par le serveur du site visité ou par un serveur tiers (régie publicitaire, service d’analyse d’audiences de site...)
C’est grâce aux cookies que NOTRESOCIETE peut, par exemple, il est possible d’accéder à des pages personnalisées, de recevoir des publicités pour des produits déjà consultés (campagne de reciblage ou retargeting) ou d’éviter d’être explosé un nombre trop important de fois à la même publicité.
Des systèmes de suivi de navigation essentiels sont installés sur notre site. Ces systèmes sont indispensables à la navigation sur notre site, notamment à la bonne exécution du processus de commande. Leur surpression peut entrainer des difficultés de navigation sur notre site ainsi que l’impossibilité de passer commande.
Des systèmes de suivi d’analyse d’audience sont installés sur notre site : Google Analytics, At Internet, Adobe Analytics, (PRECISER/COMPLETER/SUPPRIMER)
Ils ne sont pas indispensables à la navigation sur notre site mais peuvent permettre, par exemple, pour vous : de faciliter vos recherches, d’optimiser votre expérience d’achat, et pour nous : de mieux cibler vos attentes, d’améliorer notre offre, ou encore d’optimiser le fonctionnement de notre site.
Vous pouvez bloquer ces systèmes en bloquant la dépose des cookies associés avec l’extension Ghostery disponible sur Firefox, Chrome, Safari, Explorer ou Opera.
Des systèmes d’analyse et d’optimisation des campagnes publicitaires sont installés sur notre site : Google Adwords, Facebook Ads, (PRECISER/COMPLETER/SUPPRIMER)
Les régies publicitaires sur internet permettent à leurs annonceurs, comme NOTRESOCIETE de mesurer l’efficacité d’une campagne publicitaire en affichant le nombre de cliqueurs sur les publicités, la durée de leur visite ou le nombre d’achat qu’ils ont réalisé.
Vous pouvez bloquer ces systèmes en bloquant la dépose des cookies associés avec l’extension Ghostery disponible sur Firefox, Chrome, Safari, Explorer ou Opera.
Des systèmes de mesure du comportement des utilisateurs sont installés sur notre site : A/B Tasty, Hubspot, Optimizely, Visual WebSiteOptimizer, Hotjar (PRECISER/COMPLETER/SUPPRIMER)
Ces systèmes permettent de tester de nouvelles versions d’un site, de comprendre à quels éléments un internaute réagit ou de déterminer les contenus qu’il ignore, de comprendre comment il navigue sur le site pour le rendre plus efficace.
Vous pouvez bloquer ces systèmes en bloquant la dépose des cookies associés avec l’extension Ghostery disponible sur Firefox, Chrome, Safari, Explorer ou Opera.
Nous sommes susceptibles d'inclure sur notre site, des applications informatiques émanant de tiers, qui vous permettent de partager des contenus de notre site avec d'autres personnes ou de faire connaître à ces autres personnes votre consultation ou votre opinion concernant un contenu de notre site. Tel est notamment le cas des boutons "Partager", "J'aime", issus de réseaux sociaux tels que Facebook, "Twitter", Google +, etc.
Des systèmes liés aux réseaux sociaux sont installés sur notre site : widget Facebook, Google Plus, Twitter…(PRECISER/COMPLETER/SUPPRIMER)
Ces systèmes vous permettent de partager des contenus de notre site avec d'autres personnes ou de faire connaître à ces autres personnes votre opinion concernant un contenu de notre site. Tel est notamment le cas des boutons "Partager", "J'aime", issus de réseaux sociaux tels que Facebook, "Twitter", Google +, etc
Vous pouvez bloquer ces systèmes en bloquant la dépose des cookies associés avec l’extension Ghostery disponible sur Firefox, Chrome, Safari, Explorer ou Opera.
La majorité des données que NOTRESOCIETE collecte sont stockées, traitées et analysées dans l’Union Européenne.
Mais NOTRESOCIETE transfert certaines de vos Données en dehors de l’Union Européenne, après avoir vérifié que ces services fonctionnaient de façon conforme aux règlements concernant la protection de données en vigueur dans l’Union Européenne.
Sur simple demande formulée à notre Délégué à la protection des données, nous pouvons vous fournir davantage d’informations quant à ces transferts.
NOTRESOCIETE a le devoir, en raison de la loi, de mettre en place les dispositifs techniques et organisationnels nécessaire à la sécurité de vos données. Ces dispositifs ont été arrêtés de nos connaissances des risques, des technologies de sécurité existante, de leurs coûts et des risques associés et du niveau de protection requis soit par la nature des données collectées, soit par le statut des personnes sur lesquelles les donnée sont collectées.
Le présent règlement sera mis à jour régulièrement.
Le délégué à la protection de données de notre société peut être jointe par voie postale à
Délégué à la protection de données, NOTRESOCIETE, numéro de voie, voie, code postal, ville.
2. Etat des lieux détaillé / Cartographie des traitements
4. Production des documents obligatoires
• Audit juridique (en tant qu’exploitant / sous-traitant)
• Audit organisationnel (en tant qu’exploitant / sous-traitant)
• Audit business (traitements par métier) (en tant qu’exploitant / sous-traitant)
• Audit informatique (en tant qu’exploitant / sous-traitant)
• Audit sécurité (en tant qu’exploitant / sous-traitant)
Charte informatique
Politique des données personnelles
PSSI
Clauses concernant le traitement des données personnelles dans les contrats avec les sous traitants, co-responsables
Cnil
Existence d'un correspondant CIL
Autres organismes
Limites
Données sensibles :
·Données politiques,
·Données religieux,
·Données à caractère sexuel (genre, pratiques),
·Données relatives à la génétique,
·Donnée biométriques
Personnes vulnérables concernées par les traitementss
·Patients
·Personnées âgées
·Mineurs
·Employés
Cas des fichiers Ecommerce
Web analytics
Mobile Analytics
Optimisation de taux de conversion (A/B Testing)
Tracking de retargeting,
Tracking du ROI des campagnes de rtb/AdExchange
Tracking du ROI des campagnes Facebook
Tracking du ROI des campagnes Google Adwords
Tracking du ROI des campagnes Snapchat
Tracking du ROI des campagnes des autres régies,
Tracking du ROI des campagnes d’affiliation
Tracking des données des third party data providers,
Tracking des données first party data
Echange de données: second party data
Tracking par des services Saas:
Activation
Liste des formulaires
Ecommerce
Prospects
Clients
Adresse de livraison
Adresse de facturation
Flux internes/externes
Flux internes/externes
Liste des prestataires
Collecte sur Salon
Organisation de jeux concours
Plate-formes d'emailing utilisées
Prestataires emailing : routage, retargeting, automation, CRM
Flux internes/externes
Jeux concours Facebook
Fichiers constitués lors de l’installation d’une application
Flux internes/externes
Inscription en magasin de carte de fidélité
Inscription à des jeux concours offline
Flux internes/externes
Flux internes/externes
Flux internes/externes
o Vérifier l’existence et la conformité des contrats
o failles humaines : process, obligation
o failles techniques : chiffrement du stockage ou des bases de données, pseudonymisation, authentification forte pour l’accès aux serveurs,
o système de protection en place
o plan de sécurisation des données en transit
Flux internes/externes
o Hébergement
o Exploitation
·Déterminer s’ils contiennent des données à caractère personnel (immatriculation, numéro de sécurité sociale, localisation, date de naissance, adresse électronique, informations de paiement, numéro de téléphone, empreinte, etc..)
·Déterminer si elles contiennent des données sensibles (Opinions religieuses, orientations sexuelles, données médicales ou biométriques, sanctions administratives ou suspicions). Les données religieuses, syndicales ou raciales sont encadrées par la loi de 1978)
·Déterminer, par conséquence, s’il y a dispense, norme simplifiée, déclaration normale, demande d’autorisation
·Déterminer s’il y a des contacts hors UE à traiter de façon différenciée
Identifier les traitements
·Déterminer les traitements indispensables/optionelles, ainisi que les traitements internes/externes
·Déterminer la volumétrie
·Déterminer la durée de conservation
·Déterminer la catégorie de données
·Déterminer les droits d’accès
·Déterminer s’il faut archiver les données
·Déterminer la fréquence de la purge d’archivage
·Déterminer la manière d’intégrer le droit à l’oubli
·Evaluer le niveau de risque : le RGPD définit des traitements à haut risque qui visent les technologies de profiling et nécessite dans ce cas de réaliser des études d’impact avant la mise en ouvre ou le traitement. Cette liste de traitement à haut risque est censée être établie par la CNIL Pour démontrer le respecte des régles, il exite deux solutions : la certification ou l’adhésion aux codes de bonne conduite des acteurs du secteur d’activité (définis par eux mais validés par la CNIL).
·Privacy by design, Privacy by default
·Sécurisation physiques (batîments) et logicielle (firewall, anti virus, pseudonymisation…)
Identifier les liens avec les nœuds critiques du RGPD
·Mentions légales
·Cookies
·Consentement
· Pseudonymisation des données ou non
· Portabilité/supression/modication
Les traitements qui remplissent au moins deux des critères suivants doivent faire l’objet d‘une analyse d’impact :
évaluation/scoring (y compris le profilage) ;
décision automatique avec effet légal ou similaire ;
surveillance systématique ;
collecte de données sensibles ;
collecte de données personnelles à large échelle ;
croisement de données ;
personnes vulnérables (patients, personnes âgées, enfants, salariés etc.) ;
usage innovant (utilisation d’une nouvelle technologie) ;
exclusion du bénéfice d’un droit/contrat.
Exemple : une entreprise met en place un contrôle de l’activité de ses salariés, ce traitement remplit le critère de la surveillance systématique et celui des données concernant des personnes vulnérables donc la réalisation d’un DPIA sera nécessaire.
Exemple : une start-up met en place dans votre entreprise un système de personnalisation du parcours client, ce traitement remplit le critère de la surveillance systématique et celui de collecte de données personnelles à grande échelle, donc la réalisation d’un DPIA sera nécessaire.
-Synthèse des opérations de traitement envisagées et les finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement;
-Evaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
-Evaluation des risques sur les droits et libertés des personnes concernées et ;
-Mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.
Pour ce faire, plusieurs méthodes sont utilisables. Le responsable de traitement est libre de choisir sa méthode. Mais quelle que soit la méthode, celle-ci
1. Délimiter et décrire le contexte du (des) traitement(s) considéré(s) ;
2. Analyser les mesures garantissant le respect des principes fondamentaux : la proportionnalité et la nécessité du traitement, et la protection des droits des personnes concernées ;
3. Apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités ;
4. Formaliser la validation du PIA au regard des éléments précédents ou bien décider de réviser les étapes précédentes.
Le DPIA doit être transmis à la CNIL si
-le niveau de risque résiduel reste élevé (cas où la CNIL doit être consultée) ;
-quand la législation nationale d’un État membre l’exige ;
-la CNIL le demande dans le cadre d’un contrôle
Dans la création de nouvelles bases de données
Dans la collecte
Dans le traitement : qualification, analyse BigData, IA, enrichissement
Dans la protection
Dans l’exploitation : qualification, envoi de messages,
Qui a accès
Qui peut voler les bases de données
Qui peut pirater les bases de données
Sont-elles diffusées sur internet ?
Réaction de cas de découverte de faille
Un document de mesure des écarts est rempli au fil de l’audit et s’intéresse à 4 points
Procédure
Aspects contractuels
Sécurité
Livrables : Rapport de mesure des écarts avec le RGPD
·Plan d’action interne
·Plan d’action vis-à-vis des tiers
o Par traitement, recueil de consentement
o Par traitement, mise à jour du contrat et de l’information
Par base de données, intégration des fonctionnalités liées à la mise en conformité
•Droit à l’oubli
•Anonymisation
•Purge des données non indispensables
•Purge des données obsolètes
•Portabilité
•Chiffrement
•Gestion des consentements
o Accès par chiffrement fort aux bases de données,
o Gestion des attaques
o Réactions aux violations,
o Identification et gestion des vulnérabilités
o Gestion de la sécurité des sous-traitants : sécurité physiques de l’hébergement de données,
o Plan d’audits, norme et annexes
o Définition des responsabilités de gouvernance globale :
o Hestion de la sécurité,
o Politique de sécurité de l’information,
o Objectifs de sécurité
o Responsabilité en matière de sécurité
o Modification des process par métier
o Gestion des droits d’accès par collaborateur
o Process de mise en conformité
o Process de contrôle de conformité
o Formation « Privacy by design », « Privacy by default »
Contrats
Informatique
Organisation
Le sous-traitant doit certifier avoir documenté
Il doit s’engager à avertir dans les délais légaux des violations
L’assister dans
o l’accomplissement de ses obligations en matière de sécurité et d’information ;
o la réalisation d’une analyse d’impact sur son traitement
o pour s’acquitter de ses obligations relatives aux droits des personnes (droit à l’effacement des données, droit d’accès, portabilité
L’informer si l’une de ses dispositions contrevient aux obligations du RGPD
Intégrité
Vols
Destruction
Récupération
Communication (sous 48h)
Plan de reprise d’activité
Sur les traitements
-Registre des traitements pour le DPO et catégories d’activité de traitements pour les sous-traitants
-Analyse d’impact pour la protection des données pour les traitement susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes
-Gestion des transferts de données hors Union Européenne (clauses contractuelles, BCR et certifications
Sur l’information des personnes
-Les mentions d’information
-Les modèles de recueil du consentement des personnes concernées
-Les procédures mises en place pour l’exercice des droits
Sur les rôles et responsabilités des acteurs
-Contrats avec les sous-traitants
-Procédures internes en cas de violation de données
-Preuves de l’obtention du consentement des personnes concernées
ex: pour la formation de sensibilisation: liste d’émargement, programme, formateur, lieu et contrôle de connaissance.
Ce guide est publié à but général et de façon informative. Il ne constitue pas un conseil individualisé. Veuillez consulter les conseillers juridiques de votre société pour une implémentation spécifique.