Blog WSI DOM

WSIDOM > Blog WSI DOM

Restez en contact et apprenez les "best practices" pour donner de la valeur à votre présence en ligne avec WSI Martinique, Guadeloupe et Guyane.

10 étapes pour se mettre en conformité avec le RGPD | WSI DOM

Gilbert Marie - vendredi, février 07, 2020

Le Règlement Général sur la Protection des Données Personnelles (RGPD) est entré en vigueur en mai 2018. Si beaucoup d’entreprises ont procédé à leur mise en conformité, certaines peinent à mettre en pratique des éléments semblant parfois peu concrets dans le quotidien.

 
Mais alors, quelles sont les actions à mettre en place ?
 

 

Étape 1 : savoir repérer la manipulation et le traitement des données dans votre quotidien

La première étape est essentielle et souvent réalisée trop rapidement par les entreprises : le recensement de toutes les étapes d’utilisation ou de transmission de données à caractère personnel. Concrètement, cette étape consiste à lister les lieux, les outils et les personnes visés par la mise en conformité.
 

Étape 2 : la sensibilisation interne et externe

Une fois le recensement terminé, vous devez rédiger et diffuser une charte informatique de protection des données personnelles. Cette charte doit être entendue, comprise, affichée et surtout appliquée avec un caractère contraignant (la signature d’un engagement de confidentialité par les personnes manipulant directement des données sensibles est fortement recommandée).
 

Étape 3 : la gestion des authentifications et accès

Chaque utilisateur doit avoir un identifiant et un mot de passe à la fois unique, mais répondant également à la recommandation de la CNIL (un mot de passe composé d’au minimum 3 types de caractères sur les 4 proposés (majuscule, minuscule, caractère spécial, chiffre), et comportant un minimum de 12 caractères). Ce mot de passe doit être renouvelé régulièrement avec un caractère contraignant.
Côté site Internet, vous devez sécuriser les différents formulaires de contact via l’utilisation de captcha.
 

Étape 4 : les accès directs aux données personnelles

Il est essentiel ici de limiter drastiquement le nombre d’utilisateurs ayant accès aux données personnelles et à leur gestion. Vous devez limiter ce nombre et surtout repasser à minima une fois par an sur la liste des personnes ayant accès pour en vérifier la légitimité.
 

Étape 5 : la mise en place d’une historisation et d’un tracking pour le traitement des données personnelles

Que doit-on traquer et historiser ?

Cette étape concerne le suivi des modifications apportées aux données personnelles. Toute intervention sur lesdites données doit conduire à une écriture dans un registre sécurisé et géré par un responsable de traitement. Faites-vous accompagner par une agence spécialisée RGPD pour cette étape si vous ne disposez pas des ressources en interne. Vous devez donc :
 

UN suivi identifié et clarifié

•Nommer un responsable de traitement des données personnelles et le sensibiliser aux enjeux du RGPD ;
•Enregistrer via des logs chaque accès par des utilisateurs. Concrètement, vous devez pouvoir fournir : l’identifiant de l’utilisateur, la date et l’heure de la connexion, la date et l’heure de la déconnexion et les actions effectuées ainsi que les données visualisées ;
•Vérifier à un rythme défini les enregistrements ;
•Le responsable de traitement assurera l’alerte en cas de détection d’une utilisation anormale de l’accès aux informations.
 

Mise en garde sur l’utilisation du tracking

Attention, ce registre ne doit en aucun cas représenter un outil de suivi du travail de vos collaborateurs, mais uniquement prévenir d’une mauvaise utilisation des données sensibles.
 

Étape 6 : qu’en est-il de votre site web ?

Si beaucoup de sites ont été mis à jour avec l’ajout d’une popin avertissant de l’utilisation de cookies, bien peu sont réellement en règle avec le RGPD. En effet, plusieurs choses sont souvent effectuées à moitié.
 

Solution de recueil de consentement.

Premièrement, la gestion des cookies doit être administrable pour chaque cookie pris individuellement. De plus, le cookie déposé par Google Analytics (GA) doit également faire partie de la demande de consentement. Malheureusement, les entreprises souhaitent souvent conserver les statistiques de trafic de leur site. En effet, il est obligatoire d’inclure GA dans le dispositif afin d’être totalement conforme aux recommandations.
 

Une politique de protection des données personnelles accessible

Deuxièmement, une politique de protection des données personnelles doit être rendue publique sur le site. Toutefois, il convient de ne pas la confondre avec des mentions légales ou autres informations présentes sur le site web.
 

La limitation des ports de communication

Au-delà d’une sécurisation via le protocole HTTPS, les sites web doivent également limiter les ports de communication au strict essentiel (le port 443 sera choisi pour un accès HTTPS comme port unique de communication par exemple).
 

Une administration restreinte et contrôlée

Pour poursuivre, l’administration du site web doit être limitée à un nombre restreint de collaborateurs, et les accès individualisés, tout autant que les droits pour chacun d’entre eux.
 

Une maintenance applicative mensualisée

Enfin, votre site web doit être entretenu et maintenu mensuellement via une Tierce Maintenance Applicative afin de limiter les failles de sécurité et donc l’accès malveillant à des données sensibles.
 

Étape 7 : administrer la maintenance et la destruction des données

Premièrement, votre protocole de traitement des données personnelles doit contenir toute votre procédure permettant in fine de prouver que lors d’une destruction de données, celles-ci sont bel et bien détruites. Deuxièmement, un registre répertorie l’accord de la personne concernant ladite modification… Ainsi, le responsable RGPD précédemment nommé sera le garant de l’existence d’une telle procédure et de son application concrète au quotidien.
 

Étape 8 : prévoir un plan de continuité interne et externe

Dans le cas du traitement de données personnelles sensibles, une entreprise doit réfléchir, organiser puis rédiger un plan de continuité à la fois interne mais également externe. Cette procédure permet d’expliquer et d’organiser un plan de sauvegarde et surtout de récupération des données en cas de défaillances (internes ou malveillantes).
 
Ce plan indique notamment : la personne à prévenir lors de la venue d’une problématique et la procédure à enclencher. Il indiquera également la procédure de reprise de l’activité de façon temporaire puis sécurisée, des délais associés et de la récupération in fine des données sans aucune perte.
 

Étape 9 : organiser une transmission et des échanges de données sécurisés

Malgré toute cette vigilance et dans certains cas, certaines données sensibles sont transférées à une tierce entité et donc nécessitent une procédure adaptée. Ainsi, au-delà de la nécessité de vérifier auprès de cette entité autre sa conformité RGPD, il est nécessaire de procéder à un envoi de données chiffrées au préalable avec des fonctions cryptographiques).
 
Ces données sont ensuite protégées par un mot de passe ou une clé communiqué(e) par un autre canal que celui de la base de données. Nous prenons par exemple le cas d’une base d’envoi d’emails. Le fichier CSV est donc protégé par un mot de passe envoyé par SMS. Le fichier lui-même transite par mail.
 

Étape 10 : le futur se prépare avec un regard neuf

Pour conclure, nous insistons sur la nécessité de prévoir en amont de vos futurs projets toutes ces étapes de conformité RGPD. Chaque projet doit ainsi prévoir et prévenir le traitement des données personnelles sensibles. Vous l’aurez donc compris, la conformité RGPD se prépare, se met en pratique et se pense à chaque instant.
 
Nous rappelons enfin que toutes les entreprises sont concernées par ce règlement.
 
Pour tous vos besoins de marketing digital, contactez-nous.
WSI DOM, votre partenaire multi-services 100% digital. Des besoins en marketing digital ? Contactez-nous >







CONTACTEZ NOUS
Retour à la page précédente >