Pour commencer, nous allons découvrir le RGPD, quel est le but de ce règlement, pourquoi l’appliquer et enfin comment le mettre en application. Le but de cet article est de vous présenter ce règlement et de vous donner quelques conseils pour le mettre en place.

Afin de vous aider Ă  trouver plus facilement les informations que vous cherchez, voici le sommaire de cet article :

  1. RGPD, qu’est ce que c’est ?
    1. Quels sont les objectifs du RGPD ?
    2. Pourquoi l’appliquer ?
  2. Comment mettre en place le RGPD ?
    1. Créer un registre de collecte de données
    2. Faites le tri des données collectées
    3. Sauvegardez votre base de données
    4. Utilisez des mots de passe complexes
    5. Mettez en place un système de rôles et de permissions
    6. Signalez sous 72h à la CNIL en cas de perte de données
    7. Chiffrez les données sensibles
    8. Permettez aux utilisateurs de voir et de demander à effacer leurs données
    9. Demandez et expliquez clairement dans quel but vous récupérez les informations
    10. Respectez le temps de sauvegarde des données
    11. Protégez vos locaux
    12. Mettez à jour vos systèmes de sécurité

I) RGPD, qu’est ce que c’est ?

Le règlement générale sur la protection des données est un règlement de l’Union européenne qui regroupe toutes les recommandations et règles concernant la protection des données des utilisateurs d’internet. Ses directives ont commencé à être appliquées à partir du 25 mai 2018.

1) Quels sont les objectifs du RGPD ?

Le principal but du RGPD est de donner aux utilisateurs plus de contrôle sur leurs données privées et de responsabiliser les entreprises qui récoltent des données personnelles. Les personnes concernées par ces récoltes peuvent demander à recevoir et à supprimer leurs données sur les serveurs de l’entreprise en question.

2) Pourquoi l’appliquer ?

Si vous ne portez pas d’attention aux règles mises en place par ce règlement, vous risquez différentes sanctions. Généralement, les entreprises sanctionnées le sont pour deux raisons : fuite de données ou collecte de données non conforme.

II) Comment mettre en place le RGPD ?

Nous avons regroupĂ©s 12 conseils pour cela, il existe d’autres obligations et bonnes pratiques, pour cela, nous vous invitons Ă  visiter le site de la CNIL.

1. Créer un registre de collecte de données

Si vous possédez une entreprise avec un nombre conséquent d’employés, ou si vous gérez une application ou un site internet avec un nombre conséquent d’utilisateurs, il est obligatoire de mettre en place un registre de collecte des données. Il permet de mettre au clair les raisons de la récolte des données, l’identité des personnes qui auront accès à ces données, etc. Pour connaître les obligations et dans quels cas vous devez en créez un, nous vous invitons à lire l’article correspondant de la CNIL : RGDP, le registre des activités de traitement.

2. Faites le tri des données collectées

Lorsque vous réaliserez un audit (ou le registre de collecte des données), vous pourrez vérifier que chaque information que vous récoltez a un but. Si ce n’est pas le cas, ne les gardez pas. Minimiser la collecte des données.

3. Sauvegardez votre base de données

Afin de protéger les données, il est intéressant d’effectuer une sauvegarde automatique de certaines donnés que vous conservez. Certains hébergeurs proposent ce type de service, sinon, vous pouvez mettre en place ces sauvegardes vous-même.

Sauvegardez vos bases de données simplement

4. Utilisez des mots de passe complexes

Même si ce conseil peut paraître simple et logique pour certaines personnes, on oublie parfois d’utiliser des mots de passe complexes. Si vous avez peur de les perdre, vous pouvez utiliser des gestionnaires de mots de passe, comme par exemple KeePass. Ainsi, il sera plus difficile aux hackers de pirater vos bases de données et vos projets.

5. Mettez en place un système de rôles et de permissions

Si vous développez un panel d’administration (ou un système avec des utilisateurs), créez un système de rôles et de permissions. Ainsi, chaque utilisateur aura la possibilité ou non d’accéder à certaines données. Cela permet d’éviter que des utilisateurs aient accès à des données qu’ils ne devraient pas voir ou gérer.

6. Signalez sous 72h à la CNIL en cas de perte de données

Si malheureusement vous perdez des données, vous êtes dans l’obligation de le signaler à la CNIL. En plus de cela, dans certains cas, vous devez aussi informer les personnes concernées.

Vous avez un problème avec votre site internet ? Contactez-nous

7. Chiffrez les données sensibles

Il existe différentes méthodes afin de protéger les données que vous récoltez, parmi celle-ci. Il existe la pseudonymisation (un entre deux entre les données “en clair” et l’anonymisation). Cette méthode est une technique réversible qui consiste à réduire le lien entre les données d’identification et les autres données d’un utilisateur. Ces données ne sont pas totalement anonymes (contrairement à la méthode d’anonymisation), mais pas directement identifiables non plus. Cette technique repose sur une clé d’identification qui permet de rétablir le lien entre les données. Nous écrirons bientôt un article sur les différentes méthodes de sécurité.

8. Permettez aux utilisateurs de voir et de demander à effacer leurs données

Les utilisateurs de votre site ou de votre application doivent pouvoir récupérer les données qu’ils vous ont fournies. Pour cela, vous pouvez simplement commencer par les informer sur la possibilité de vous contacter grâce à un numéro de téléphone et une adresse mail dédiés pour cette tâche. Vous pouvez ensuite mettre en place un service automatique.

9. Demandez et expliquez clairement dans quel but vous récupérez les informations

Lorsque vous récoltez les données des utilisateurs, comme par exemple avec un formulaire de contact, vous devez informer clairement et précisément le but de ces informations. Vous devez aussi demander précisément l’accord de l’utilisateur avec de récolter des données sur lui. Cela veut dire que vous n’avez pas le droit de mettre en place une case à cocher pré-remplie par exemple.

10. Respectez le temps de sauvegarde des données

La durée de conservation des données dépend de leur sensibilité, voici trois exemples :

  • Les donnĂ©es personnes des utilisateurs inactifs depuis 3 ans doivent ĂŞtre supprimĂ©es.
  • Tous les 13 mois, vous devez demander de nouveau le consentement des visiteurs pour le traitement des cookies.
  • Si une personne vous demande l’accès Ă  ses donnĂ©es ou de les supprimer, vous avez un mois pour effectuer cette demande.

11. Protégez vos locaux

Si vous stockez des données sur des serveurs physiques dans vos locaux, vous pouvez mettre en place une sécurité solide, voici quelques exemples :

  • Vous pouvez recruter un agent de sĂ©curitĂ© qui sera prĂ©sent durant les horaires oĂą vos locaux sont censĂ©s ĂŞtre fermĂ©s.
  • Installez des alarmes et des vidĂ©os de surveillance.
  • Mettez en place un système de contrĂ´le pour entrer dans vos locaux.

12. Mettez à jour vos systèmes de sécurité

Que ce soit vos systèmes de sécurité informatique ou physique, vérifiez que tous ces systèmes soient à jour. Ce conseil peut vous faire sourire, mais beaucoup d’entreprises et de développeurs n’ont pas d’antivirus ou de firewall à jour. Chaque jour de nouveaux virus sont créés, ainsi, les antivirus développent des mises à jour pour les contrer. Si vous ne les réalisez pas, vous risquez de vous faire infecter par les derniers virus …

Conclusion

Pour conclure, si vous ĂŞtes dĂ©veloppeur, la CNIL propose un guide. Il permet d’avoir une première approche des grands principes du RGPD. Vous pouvez le trouver Ă  cette adresse : guide RGPD du dĂ©veloppeur.

En tant qu’agence web, nous essayons de faire notre maximum pour être en règle avec le RGPD, nous sommes en ce moment-même en train de mettre à jour notre site internet pour être en conformité avec ce règlement.

En attendant, nous espérons vous avoir éclairé sur ce règlement, si vous avez des questions, n’hésitez pas à nous les poser.