RGPD : 6 étapes clés et 3 outils pour mettre en place sa conformité

La conformité au RGPD 2018

Préparer sa mise en conformité au RGPD en tant qu’entreprise responsable soulève de nombreuses questions qui gravitent autour de la sécurité, de la confidentialité et de la traçabilité des données personnelles.

Vous souhaitez comprendre le Règlement Général sur la Projection des Données qui entre en application le 25 mai 2018, ce qui change pour les professionnels, et respecter vos nouvelles obligations ?

appvizer restitue les étapes préconisées par la CNIL et les enrichit de solutions de mise en conformité au GDPR (General Data Protection Regulation) :

Suggestion de logiciels pour vous

Smart GDPR

Smart GDPR
1ère Plateforme Européenne de mise en conformité RGPD
Démonstration gratuite
Voir ce logiciel

Data Legal Drive

Data Legal Drive
Plateforme de mise en conformité RGPD
Demander une démo
Voir ce logiciel

Central Consent Manager

CCM
RGPD : Gestion efficace des traitements et consentements
Demandez une démo
Voir ce logiciel

Conformité RGPD : ce que dit la loi

Les entreprises concernées en Europe et ailleurs

Le Règlement Général sur la Protection des Données personnelles défend les droits des citoyens européens et s’applique naturellement à toute entreprise exerçant un traitement de données dans l’un ou plusieurs des pays membres de l’Union Européenne.

Le RGPD impose également aux entreprises de respecter les droits d’une personne non européenne, mais pour qui les données sont récoltées et traitées au sein de l’Union Européenne.

Par conséquent, les sous-traitants installés en dehors de l’UE doivent se conformer au GRPD :

  • s’ils sont concernés par le traitement de données de citoyens européens,
  • s’ils sont concernés par le traitement de données d’un citoyen non européen, mais dont les données sont récoltées au sein de l’Union Européenne.

Tous les sites internet fondés en dehors de l’UE qui s’adressent à des citoyens européens doivent se conformer au GRPD, notamment les sites qui proposent des versions en langue française, allemande, italienne, espagnole en affichant des prix en euros. En revanche, il est demandé d’héberger les données personnelles au sein de pays proposant le même niveau de garantie que l’Union Européenne.

Concernant l’hébergement des données personnelles, il n’y a pas application territoriale à respecter. Tout hébergeur, européen ou non, doit cependant respecter des exigences très précises et se conformer au cadre défini par le RGPD. Le Privacy Shield, traité avec les États-Unis assure par exemple le très haut niveau de sécurité et de confidentialité demandé par le règlement européen.

Les principaux responsables de la conformité

Le règlement européen considère que tous les acteurs concernés par un ou plusieurs traitements de données partagent la responsabilité de la protection des données :

  • Le responsable de traitement : c’est l’entreprise qui utilise les données personnelles. Elle est tenue d’engager des processus et d’établir des documents précisant son code de conduite, sa politique interne en matière de protection des données, et les certifications ;
  • Le délégué à la protection des données : il s’agit d’un professionnel aguerri aux usages et mesures de sécurité concernant les technologies de l’information et de la communication. C’est l’un des garants de la protection des données. Il est capable de guider l’entreprise sur les bonnes pratiques à adopter afin que l’entreprise respecte le règlement. Nous détaillons la fonction de délégué plus bas ;
  • La CNIL est l’autorité de contrôle en France : elle certifie la conformité des entreprises et fait respecter le règlement sur le traitement de données personnelles. Elle peut sur simple demande demander les preuves documentaires que les entreprises doivent tenir à disposition (détaillées plus bas). En cas de manquement, l’entreprise s’expose à des sanctions ;
  • Les sous-traitants : à partir du moment où un prestataire, un fournisseur, s’intègre dans le processus de traitement des données à la demande de l’entreprise responsable du traitement, le sous-traitant devient responsable. Il est donc tenu de remplir un cahier des charges précis pour garantir lui aussi la sécurité, la confidentialité, et l’effacement des données, c’est-à-dire être conforme au GRPD. 

Un avocat vous explique la conformité du sous-traitant au RGPD et 8 obligations à respecter dans un artcicle complémentaire.

Les critères d’un traitement de données licite

L’article 8 de la directive 2016/680 du Parlement Européen et du Conseil sur le RGPD stipule deux points :

1. Les États membres prévoient que le traitement n'est licite que si et dans la mesure où il est nécessaire à l'exécution d'une mission effectuée par une autorité compétente, pour les finalités énoncées à l'article 1er, paragraphe 1, et où il est fondé sur le droit de l'Union ou le droit d'un État membre ;

2. Une disposition du droit d'un État membre qui réglemente le traitement relevant du champ d'application de la présente directive précise au moins les objectifs du traitement, les données à caractère personnel devant faire l'objet d'un traitement et les finalités du traitement.

Pour compléter ces éléments du texte officiel, l’article 6 du Règlement (UE) 2016/679 du Parlement Européen et du Conseil mentionné par la CNIL sur son site précise la licéité du traitement :

Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;

c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;

e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Le point f) du premier alinéa ne s'applique pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions.

Pour illustrer le point “d)” : les systèmes d’information hospitaliers doivent recueillir des informations de santé sur un patient afin de le soigner. Ce traitement de données est donc licite.

6 étapes pour mettre en conformité son entreprise

Étape 1 : désigner un DPO, son délégué à la protection des données

En tant qu’entreprise responsable de traitement vous êtes tenue de nommer un délégué à la protection des données, aussi appelé DPO, Data Protection Officer en anglais.

Le rôle du DPO est d’accompagner votre organisation en pilotant la gouvernance des données personnelles placées sous votre responsabilité.

Ce délégué à la protection des données est un référent impartial, un chef d’orchestre qui met tout en œuvre pour vous informer, vous conseiller et contrôler la conformité en interne.

Il supervise en travaillant en toute indépendance. Il est possible d’internaliser cette fonction comme dans les établissements publics, ou de l’externaliser :

  • auprès d’un prestataire spécialiste tel qu’un avocat, un DPO indépendant,
  • l’actuel CIL (Correspondant Informatique et Libertés) peut devenir le DPO et voir le champ de ses responsabilités s’agrandir.

Les missions du DPO :

  • information et conseil auprès de toutes les parties prenantes professionnelles : l’entreprise responsable du traitement, ses collaborateurs internes, mais aussi externes comme les sous-traitants ;
  • évaluation et vérification du respect des obligations du RGPD ;
  • recommandations pour réaliser votre étude d’impact ;
  • contrôle de l’exécution de cette étude ;
  • collaboration avec l’autorité de contrôle : le DPO est l’interlocuteur dédié.

Ses obligations :

  • se tenir informé de toutes les contraintes légales et des évolutions,
  • étudier et observer quelles données sont traitées et comment,
  • fournir un état des lieux,
  • sensibiliser les dirigeants sur toutes les implications du règlement européen,
  • mettre en place des actions pour engager les responsables,
  • piloter la mise en œuvre de la conformité et effectuer un suivi dans le temps.

Ses compétences :

  • maîtriser les droits informatiques et libertés,
  • comprendre le fonctionnement des technologies de l’information et de la communication,
  • savoir négocier,
  • une fibre communicante,
  • une expérience en gestion de projet.

Une certification de son expertise est conseillée au regard de l’accountability : il s’agit du principe de responsabilité qui impose à l’entreprise d’être en mesure de prouver sa conformité au RGPD par divers documents et moyens déployés.

Étape 2 : tenir un registre des traitements et évaluer l’impact du RGPD

C’est une obligation et une preuve légale : votre registre des traitements de données peut être consulté sur simple demande de la CNIL.

Ce registre démontre son utilité car il permet à une entreprise :

  • de cartographier les traitements de données personnelles,
  • d’avoir une vision claire sur la sécurité des données,
  • de dresser un bilan complet et détaillé des procédures,
  • de déterminer quelles actions mettre en œuvre pour garantir le respect de la vie privée.

Le registre des traitements est une boussole : il permet à l’entreprise d’estimer l’impact du RGPD sur son organisation et d’identifier les actions à déployer.

L’autorité de contrôle doit disposer d’une lisibilité transparente de votre registre.

Votre registre doit donc obligatoirement répondre aux questions suivantes :

  • Qui ? Le registre désigne les acteurs responsables du traitement des données à chaque étape, comme le responsable de traitements, les collaborateurs internes ou les prestataires externes à l’entreprise comme les sous-traitants ;
  • Quoi ? Vous devez préciser la nature des données personnelles utilisées et les catégoriser (état civil, parcours professionnels, etc.) : ceci permet d’identifier les données sensibles comme les informations de santé, donc les risques ;
  • Dans quel but ? Indiquez les finalités, décrivez les objectifs, à quelles fins sont utilisées des informations : sondage, recrutement, surveillance, profilage de clientèle, etc. ;
  • Comment ? Classez vos traitements de données par finalités par exemple et détaillez les actions déployées pour sécuriser les données ;
  • Où ? Le lecteur de votre registre doit pouvoir identifier l’origine et la destination des données, les transferts. Le pays et l’adresse de l’hébergeur doivent être identifiables. La traçabilité, l’historique et les flux qui transitent en dehors de l’Union Européenne doivent être indiqués.
  • Jusqu’à quand ? Déterminez la durée de conservation de chaque information.

Dans un article complémentaire, un expert du RGPD vous explique comment tenir un registre des traitements avec un exemple.

Étape 3 : déterminer les actions prioritaires à engager

Votre registre des traitements reflète votre situation concernant les principes fondamentaux du RGPD :

  • le consentement,
  • le respect de la vie privée,
  • le droit à l’oubli (désindexation des pages web mentionnant ses données),
  • le droit à la portabilité (récupérer ses informations et les transmettre à une autre organisation).

Les risques sont avérés dès lors que les droits et libertés des personnes sont mis en cause.

Les points de vigilance :

  • la quantité et la qualité des données récoltées et traitées sont raisonnables, nécessaires et sécurisées au regard de la finalité du traitement,
  • la base juridique du traitement est identifiée (obligation légale, consentement, contrat, etc.),
  • les mentions d’informations et mentions légales respectent les exigences du GRPD,
  • vous avez informé vos sous-traitants et ils démontrent leurs capacités à assurer un haut niveau de confidentialité et de sécurité,
  • vous donnez les moyens aux personnes d’exercer leurs droits de rectification des informations, d’accès, de surpression, de consentement et de portabilité.

En fonction de vos manquements, vous devez tout mettre en œuvre pour vous conformer, mais aussi être en mesure d’apporter la preuve de votre engagement sur la bonne voie.

Étape 4 : mener une analyse d’impact pour gérer les risques

Vous avez identifié un risque : vous êtes dans l’obligation légale d’effectuer une analyse d’impact relative à la protection des données pour chaque traitement concerné.

Cette analyse d’impact, également appelée DPIA, Data Protection Impact Assessment en anglais, consiste à réaliser une étude complète afin de :

  • déterminer la cause d’un risque et estimer le potentiel de non-conformité,
  • améliorer un traitement de données pour qu’il respecte les droits des personnes,
  • réunir les conditions techniques et organisationnelles nécessaires,
  • prouver qu’un risque est écarté.

L’analyse d’impact d’un traitement présentant un risque permet de trouver la meilleure solution pour écarter toute fuite de données, sensibles ou non.

Votre DPIA sert à évaluer l’impact d’un traitement sur la vie privée. Cette analyse doit décrire le traitement et ses finalités, estimer le bien-fondé du traitement en tenant compte de sa finalité, identifier les risques et détailler les actions pour y remédier.

Une analyse d’impact est un excellent moyen de vérifier la conformité d’un traitement, et permet de prévenir d’un risque avant que les données ne soient exposées : c’est pour cette raison qu’il est vivement recommandé de mener une analyse d’impact en amont de la mise en place du traitement.

Le traitement de données sensibles est un exemple de traitement nécessitant une analyse : les opinions politiques ou religieuses, toute information liée à la santé, les origines raciales, les informations sur les personnes mineures, etc.

Autres sources de risques :

  • de mauvaises procédures de sauvegarde ou d’hébergement de données,
  • du matériel informatique obsolète ou défectueux, la vulnérabilité d’un logiciel,
  • les cyber-attaques, malwares,
  • l’absence de chiffrement de données.

Tous les acteurs concernés par le traitement doivent participer à l’analyse d’impact : le responsable de traitement, le responsable de la sécurité des systèmes d’information, le délégué à la protection des données, les sous-traitants.

Important : les personnes faisant l’objet d’un traitement peuvent être d’une grande utilité en donnant leur opinion sur leur expérience du traitement.

Étape 5 : déployer les procédures internes adéquates

Pour garantir la meilleure protection des données possible et la maintenir sur la durée, il faut mobiliser toutes ses ressources, sensibiliser ses collaborateurs, intégrer les bonnes pratiques pour enfin les mettre en application.

3 processus garantissent la conformité et déterminent si vous devez envisager une refonte totale ou partielle de votre organisation interne :

  • vos capacités technologiques,
  • la formation de vos collaborateurs,
  • les moyens permettant aux personnes d’exercer leurs droits.

Passer ses technologies au crible :

  • envisager les incidents et estimer ses capacités de réaction face aux risques tels qu’un changement d’hébergeur, une faille de sécurité, une demande de rectification, etc. ;
  • adopter une démarche Privacy by Design (confidentialité par conception, ou protection de la vie privée dès la conception). Il s’agit d’intégrer et de garantir un haut niveau de sécurité et de respect de la vie privée, dès la conception d’une technologie destinée au traitement de données ;
  • effectuer une veille technologique et juridique constante.

Former ses équipes :

  • la conformité commence par la prise de conscience. Chaque collaborateur doit être informé et sensibilisé par un plan de formation ;
  • une organisation fluide et favorisant la communication est nécessaire pour faire remonter les informations importantes en temps réel ;
  • une charte de bonnes pratiques spécifiant les sanctions, comportements adéquats et conseils utiles permet de mieux guider les collaborateurs et de les responsabiliser.

Donner les moyens aux propriétaires des données de disposer de leurs droits :

  • chaque personne doit pouvoir accéder et rectifier ses informations, s’opposer à leur utilisation, bénéficier du droit de portabilité (…) ; vous devez être en mesure de traiter toutes ces demandes ;
  • chaque personne peut exercer ses droits par messagerie internet notamment en identifiant clairement les modalités à suivre et l’interlocuteur ;
  • en cas de violation de données, le propriétaire doit être averti dès que possible, l’autorité de contrôle (la CNIL) dans les 72 heures.

Étape 6 : apporter la preuve de sa conformité par la documentation

Le responsable de traitement doit démontrer sa conformité au RGPD en apportant la preuve documentaire de l’ensemble des procédures mises en place.

C’est le principe d’accountability : la responsabilité en français. Il s’agit de responsabiliser l’entreprise et de l’inciter à s’engager à respecter le cadre légal imposé par le Règlement Général sur la Protection des Données personnelles.

La GED, gestion électronique de documents, prend une part importante dans le dispositif RGPD : le tableau ci-dessous mentionne la longue liste des documents à établir et conserver.

 

La documentation attestant la preuve de mise en conformité au RGPD
Nature des documents Particularité Objectifs
Les traitements de données personnelles
 

Registre des traitements

Établir un état des lieux.
Recenser les actions à mener.

Analyses d’impact (DPIA)

Évaluer l’impact de chaque traitement sur la vie privée.
Trouver des solutions pour garantir la protection et la confidentialité des données.

Les transferts de données hors de l'Union Européenne

Encadrer et garantir la norme RGPD par les clauses contractuelles et le code de conduite de l’entreprise.
Les informations sur le citoyen européen Mentions d’information Prouver que le propriétaire des données dispose des informations en toute transparence.
Modèles de recueil de consentement Prouver le respect du consentement des personnes dans ses procédures.
Procédures pour l'exercice des droits de la personne Prouver que le propriétaire des données dispose des moyens pour faire valoir ses droits sur la vie privée.
​Les contrats qui régissent la responsabilité et le rôle de chaque acteur concerné par un traitement Contrats avec les sous-traitants Prouver les capacités des sous-traitants et leur engagement en termes de co-responsabilité. Actualisation des contrats fournisseurs.
Procédures internes en cas de violations de données Démontrer sa capacité et sa rapidité à avertir la personne concernée et l’autorité de contrôle dans les 72h.
Preuves de consentement des personnes Apporter la preuve que tous les processus ont été respectés.

 

RGPD et marketing : un expert vous explique pourquoi le consentement est une opportunité de nouer une relation client plus qualitative et de valoriser les données.

Solutions et technologies pour la mise en conformité

Son audit RGPD

Pour réussir votre transition numérique, voici 4 types d’audit RGPD « friendly » que certains prestataires comme un DPO externalisé vous proposent déjà sur le marché :

  • L’audit CNIL : des experts cartographient vos traitements, les comparent aux exigences de la CNIL et établissent un plan d’actions de mise en conformité ;
  • L’audit de conformité (compliance) : cet audit réunit les exigences de la CNIL et préconise également des actions et termes de sécurité du système informatique, suite à des tests ;
  • L’audit d’un sous-traitant : un professionnel étudie la réputation d’un sous-traitant auprès de sa clientèle, s’assure de sa conformité, évalue les risques liés au transfert de données et fournit un rapport appuyé de recommandations ;
  • L’audit de votre site web : cet audit permet de détecter les aspects vulnérables, de mettre à jour les conditions générales de ventes et les formulaires par exemple, et de vérifier si les outils marketing sont conformes.

Tout DPO digne de ce nom anticipera vos demandes de documentations.

Conseils : comme vous devez apporter les preuves de votre mise en conformité et des moyens engagés, pensez à demander des clauses d’engagement sur les moyens mis en œuvre, ainsi qu’une documentation (que vous devez être en mesure de fournir à l’autorité de contrôle suite à chaque audit).

Bon à savoir : selon l'avis d'un spécialiste, la réussite d'un audit RGPD dépend du code de conduite adopté par l'entreprise.

Bonnes pratiques : les techniques de sécurité

Face aux menaces de fuite ou perte de données, le responsable de la sécurité informatique ou le DPO peuvent apporter leurs lumières à l’entreprise responsable de traitements.

Selon le Règlement Européen visant la protection des données, les données sensibles doivent être traitées par cryptage, pseudonymisation ou anonymisation.

Nous avons noté quelques solutions techniques pour vous aider à réfléchir à votre plan d’action visant à atteindre un niveau de sécurité qui satisfait aux exigences du RGPD :

  • Vous pouvez mettre en place une procédure de détection automatique des données personnelles dans votre système d’information et chiffrer immédiatement les données par cryptage, anonymisation, pseudonymisation ;
  • Le règlement impose la traçabilité des données : il est indispensable de prévoir un historique permanent des applications connectées aux identités pour mieux contrôler les accès ou protéger les adresses email par exemple ;
  • Le processus informatique PAM (Pluggable Authentification Modules, modules d’authentification enfichables en français) permet de sécuriser la gestion des accès en la séparant du processus des logiciels demandant une authentification ;
  • Pour écarter et limiter la fuite de données sensibles, les techniques DLP (Data Loss Prevention, prévention de perte de données en français) sont indiquées : elles offrent la possibilité de détecter, de contrôler et de protéger chaque donnée grâce en l’analysant ;
  • Appliquer le principe du SIEM (security information and event management) pour gérer les événements liés à des informations en toute sécurité (collecte, normalisation, corrélation, etc.).

La fin des labels CNIL et les certifications

Le 23 février 2018, la CNIL annonce la fin des labels CNIL et la mise en place progressive des certifications et référentiels :

La CNIL met en place un nouvel outil de conformité, la certification, et met progressivement fin à son activité de labellisation. (…)

Les certifications seront délivrées par des organismes certificateurs agréés par la CNIL ou accrédités par l’organisme national d’accréditation (COFRAC). (…)

Une certification de Délégués à la Protection des Données est ainsi en cours d’élaboration : des organismes de certification agréés par la CNIL délivreront des certifications de DPO, sur la base d’un référentiel rédigé par la CNIL.

Les professionnels et entreprises rompus aux normes suivantes — ou qui ont déjà engagé une démarche qui professionnalise leur approche de la protection des données personnelles — présentent donc des avantages indéniables pour les responsables de traitement qui ont besoin d’aide pour se mettre en conformité avec le RGPD :

  • Les avocats experts en matière de sécurité de l’information et de la loi sur la vie privée ;
  • La certification AFAQ Protection des données personnelles de l’AFNOR qui permet de prouver les moyens mis en œuvre pour se mettre en conformité avec le GRPD au niveau technique et organisationnel ;
  • Les détenteurs du label CNIL Gouvernance Informatique et Libertés témoignent d’une excellente approche en matière de gestion des données personnelles ;
  • La certification ISO/IEC 27001 de l’AFNOR prouve vos compétences en matière d’identification de données sensibles et votre force de proposition pour trouver des solutions sécuritaires.

Les spécialistes de la protection des données, professionnels ou entreprises ayant obtenu des certifications ou des labels exigeants en matière de sécurité et de confiance numérique témoignent eux aussi d’une démarche GRPD « friendly » déjà engagée :

  • Les prestataires de confiance certifiés AINSSI et inscrits sur la liste des prestataires reconnus par l’Agence nationale de la sécurité des systèmes d’information en France ;
  • Les fournisseurs de service de confiance ayant obtenu un certificat de conformité eIDAS ;
  • Le label France Cybersecurity représente une garantie en termes de confiance numérique avec une exigence particulière sur la qualité des fonctionnalités pour les utilisateurs ;
  • Les entreprises qui ont obtenu le label de sécurité délivré par l’organisme d’évaluation de la conformité LSTI, qui témoigne d’un respect des normes de sécurité françaises, européennes et internationales ;
  • Les organisations certifiées Cloud Confidence, la référence en matière de transparence sur la protection des données ;
  • Les hébergeurs ayant obtenu la norme certifiée ISO 27001:2013 (référence internationale) qui garantit intégrité, confidentialité et traçabilité des données ;
  • Les entreprises affichant la certification TRUSTe présentent un gage de confidentialité des données sur internet.

Avertissement : toutes les certifications citées sont susceptibles d’évoluer et certaines vont certainement changer de noms afin d’être officiellement reconnues par la CNIL et respecter à la lettre le cadre du RGPD.

Les logiciels pour se mettre en conformité au GRPD

Smart GDPR : plateforme complète fournie avec ou sans DPO

Le logiciel en ligne (SaaS) Smart GDPR répond à toutes les exigences du règlement européen.

Il réunit tous les outils et ressources nécessaires au sein de la même plateforme pour devenir conforme au RGPD :

  • une documentation informatisée afin de prouver vos processus engagés,
  • la tenue d’un registre des traitements et données,
  • un service juridique intégré,
  • les services d’un délégué à la protection des données (DPO),
  • la fourniture de la preuve de consentement est transmise dans les 72h à l’autorité de contrôle compétente dans chaque pays d’Europe (délai imposé notamment en France),
  • un hébergement des données en France,
  • une couverture du risque financier pouvant atteindre 90M€ en cas d’erreur commise par SMART GDPR.

Découverte de la plateforme de mise en conformité au RGPD en vidéo :

 

Smart RGPD offre également la possibilité de mener son audit RGPD comme son analyse d’impact : évaluation des risques, recensement des traitements et données, y compris les données sensibles pour mieux anticiper les solutions à mettre en place et éviter les pertes ou fuites de données.

La solution SMART GDPR couvre l’ensemble du spectre de mise en conformité au GRPD et permet d'externaliser son délégué à la protection des données en s’appuyant sur les services d'avocats spécialisés.

Vous avez déjà trouvé votre DPO ? La plateforme est parfaitement adaptée à l’utilisateur compétent en matière de protection des données !

Par ailleurs, la conception de SMART GDPR a été réfléchie en amont par des responsables de la protection des données pour les entreprises : les fondateurs témoignent de 30 ans de pratique en termes de protection des données, de sécurité de l’information et de respect des lois sur la vie privée.

Axeptio : l’Opt-in qui rend le marketing conforme au RGPD

Axeptio est une solution d’Opt-in qui simplifie la démarche de mise en conformité au RGPD pour tous les formulaires où le consentement des clients est désormais inconditionnel sans case pré-cochée : inscription à une newsletter, acceptation des conditions générales de vente ou d’utilisation, recueil d’information pour commande en ligne, etc.

Le module remplace les cases à cocher par un formulaire sécurisé. Le schéma ci-dessous vous explique le fonctionnement :

Mis een conformité au RGPD : Axeptio plugin marketin, schéma de fonctionnement

Axeptio offre toutes les garanties de conformité au RGPD :

  • les données des utilisateurs sont stockées de manière anonyme, sécurisée et certifiée,
  • vous conservez la preuve du consentement avec une traçabilité dans le temps,
  • la solution fournit toute la documentation sur les mesures et les procédures de protection,
  • les données sont hébergées en France.

La solution offre notamment un système de chiffrement des données et des consentements qui protège les données des utilisateurs :

Seul le responsable de traitement détient la clé qui permet de connaître l’utilisateur qui correspond à un consentement.

Atouts pour tous les acteurs concernés par le marketing :

  • une solution d’Opt-in conforme au GRPD pour recueillir les informations de leurs clients potentiels,
  • la solution communique avec votre CRM, ERP, et logiciel de marketing automation,
  • Axeptio existe en plugin compatible pour les CMS et plateforme e-commerce comme PrestaShop, WordPress, Drupal, Magento, shopify.

Captain DPO : plateforme collaborative pour le DPO

Le travail collaboratif est mis à l’honneur dans Captain DPO : le délégué à la protection des données (DPO) peut mobiliser toutes les parties prenantes concernées par la protection des données.

Captain DPO est un outil collaboratif qui permet au délégué à la protection des données de mettre en place une gestion de projet fluide.

Captain DPO offre une palette de fonctionnalités collaboratives précieuse pour le garant de la mise en conformité.

Tous les acteurs qui engagent leur responsabilité collaborent : responsable de la sécurité des systèmes d’information, sous-traitants, responsable du traitement, etc.

Le DPO peut recueillir les preuves et donner ses directives dans la solution.

Découverte de Captain DPO en vidéo :

Les outils intégrés au logiciel :

  • audit RGPD et analyse d’impact,
  • cartographie des applications connectées aux données,
  • registre des traitements et données,
  • gestion documentaire,
  • gestion des droits utilisateurs complète,
  • notifications et alertes en temps réel,
  • documentation obligatoire incluse,
  • assurance couvrant les pertes de données,
  • hébergement des données en France.

Les sanctions si vous n’êtes pas conforme au GDPR

Les dispositions légales en matière d’amende sont lourdes de conséquences sur toute organisation qui ne serait pas conforme au GRPD.

En effet, toute collecte de données — ainsi que toute utilisation, traitement, etc. — qui ne respecte pas les règles du Règlement Général sur la Protection des Données entraîne une sanction.

Toute entité non conforme au GRPD peut être sanctionnée d’une amende qui peut atteindre jusqu’à 4% du chiffre d’affaires annuel mondial, soit 20 millions d’euros.

En cas de violation du règlement européen concernant ses données, tout citoyen peut faire valoir ses droits et prétendre à une réparation pour le ou les préjudices subis. Si la violation du RGPD est avérée, les dommages et intérêts peuvent être lourds de conséquences : outre une amende “salée”, c’est une mauvaise image qui viendra entacher la réputation de l’entité en cause.

Dans un contexte où l’entreprise responsable de traitements doit pouvoir fournir toutes les preuves telles que le registre de traitement, l’analyse d’impact, les preuves de consentements (…), une solution de mise en conformité au RGPD apporte une assistance précieuse à la fois à l’entreprise, mais aussi au délégué à la protection des données.

Suggestion de logiciels pour vous

Django

Django
Framework Python préféré des DevOps
Décrire votre besoin métier
Voir ce logiciel

Pagga

Pagga
Distribuez vos fiches de paie en toute simplicité
Demander un devis
Voir ce logiciel

LockPass

LockSelf
Gestionnaire de mots de passe pour entreprise
Essai Gratuit - 14 jours
Voir ce logiciel
Commenter cet article

Ajouter un commentaire