Sélectionner une page

Le règlement général sur la protection des données (RGPD) est un nouveau règlement de l’UE visant à renforcer la protection des données des citoyens et des résidents de l’UE, tant au sein de l’UE que dans le monde entier. En d’autres termes, toute entreprise qui souhaite proposer leurs services ou leurs produits à une clientèle européenne doit s’assurer de protéger leurs données personnelles grâce à la mise en conformité du site web.

A qui s’adresse le RGPD

Toute personne qui collecte et traite des données à caractère personnel sera tenue de se conformer à la nouvelle réglementation dans une certaine mesure. Outre les organisations qui détiennent des sites Web ou des applications, cela inclut également les organisations qui utilisent des bases de données internes, des CRM ou même de simples courriers électroniques. Voici les étapes à suivre pour la mise en conformité d’un site web.

Première étape : Comprendre le cadre juridique du RGPD

La première étape pour assurer la conformité d’un site web consiste à comprendre la législation en vigueur, ainsi que les conséquences du non-respect des normes requises, en effectuant un audit de conformité au cadre juridique RGPD. Une partie de cet audit de conformité, quelle que soit la taille de l’entreprise, consiste à embaucher un responsable de la protection des données pour appliquer efficacement les réglementations. Il est préférable que cette personne ait une formation juridique et technologique combinée afin de comprendre à la fois le cadre réglementaire et les spécifications techniques nécessaires pour le respecter. Chaque organisation étant unique, la voie vers la conformité au RGPD sera également différente.

Deuxième étape : Créer un registre de données

Une fois que les entreprises ont une idée plus précise de leur volonté de respecter les exigences réglementaires, elles doivent conserver une trace du processus. Cela devrait se faire par la tenue d’un registre de données, essentiellement un agenda RGPD. Chaque pays a une association chargée de la protection des données (DPA), qui sera chargée de faire respecter le RGPD. C’est cette organisation qui jugera si une entreprise s’est conformée au règlement lors de la détermination des éventuelles pénalités en cas d’infraction. Si une violation se produit au tout début de la mise en œuvre, l’entreprise doit pouvoir montrer à l’autorité de protection des données ses progrès en matière de mise en conformité du site internet via son registre de données. Sans aucune preuve que la société ait entamé le processus, une amende comprise entre 2% et 4% du chiffre d’affaires peut être appliquée, en fonction de la sensibilité des données enfreintes. La nature des données pourrait également inciter la DPA à imposer une amende beaucoup plus stricte à l’entreprise.

Troisième étape : Classer vos données

Cette étape consiste à comprendre quelles données les entreprises doivent protéger et comment y parvenir. Les entreprises doivent en premier lieu trouver des informations personnelles identifiables (informations d’identification personnelle), informations permettant d’identifier directement ou indirectement une personne, de citoyens de l’UE. Il est important d’identifier où elles sont stockées, qui y a accès, avec qui il est partagé, etc.

 

Il faut ensuite déterminer quelles données sont plus vitales à protéger, en fonction de leur classification. Cela implique également de savoir qui est responsable du contrôle et du traitement des données et de s’assurer que tous les contrats appropriés soient en place.

Quatrième étape : Fixez ses priorités

Une fois les données identifiées, il est important de commencer à les évaluer, notamment leur mode de production et de protection. Quelles que soient les données ou les applications, la priorité absolue doit être de protéger la vie privée de l’utilisateur. Lors de l’analyse des données ou des applications les plus privées, les entreprises doivent toujours demander si elles ont réellement besoin de ces informations.  Les entreprises doivent mener à bien une évaluation des facteurs relatifs à la vie privée (PIA) et à la protection des données (DPIA) de toutes les politiques de sécurité, en évaluant les cycles de vie des données, du point d’origine au point de destruction. Ce faisant, il est important de garder à l’esprit les droits des citoyens de l’UE, y compris la portabilité des données et la limitation du traitement. Le «droit à être oublié» doit être pris en compte dans le cadre du RGPD. Ce sont des données que des tiers peuvent utiliser pour identifier une personne. Elle doit être supprimée à la demande du client. Il est essentiel que ces données soient correctement détruites et inaccessibles. À partir de là, les entreprises devraient évaluer leurs stratégies de protection des données (par exemple, avec un cryptage ou une pseudonymisation). Cela doit se concentrer sur les données qu’ils produisent, les données sauvegardées (sur site ou sur le cloud) et les données historiques pouvant être utilisées à des fins d’analyse. Les entreprises doivent également anonymiser ces données afin de protéger la confidentialité et l’identification des citoyens auxquels elles se rapportent. Gardez toujours à l’esprit que les données doivent être protégées à partir du jour où elles sont collectées, jusqu’au jour où elles ne sont plus nécessaires, puis elles doivent être détruites correctement.

Cinquième étape : Evaluer et documenter les risques et processus supplémentaires

Outre les données les plus sensibles, l’étape suivante consiste à évaluer et à documenter d’autres risques, l’objectif étant de déterminer les domaines dans lesquels l’entreprise pourrait être vulnérable au cours d’autres processus. À mesure que cela se fait, il est essentiel que les entreprises conservent un document indiquant à la DPA comment et quand elles vont gérer ces risques non résolus. Ce sont ces actions qui montrent à l’autorité de protection des données que l’entreprise prend au sérieux la conformité et la protection des données.

Étape six : Réviser et répéter

La dernière étape consiste à réviser les résultats des étapes précédentes et à résoudre les éventuelles retombées, à les modifier et à les mettre à jour le cas échéant. Une fois cette opération terminée, les entreprises doivent déterminer leurs priorités et répéter le processus à partir de la quatrième étape. Pour en savoir plus sur la mise en conformité d’un site web, vous pouvez encore vous documenter. Plus d’informations sur https://dpo-consulting.fr/votre-besoin/conformite-rgpd-site-internet/