Les bonnes pratiques du RGPD

Les bonnes pratiques du RGPD

INTRODUCTION
Aujourd’hui, le RGPD est un élément essentiel pour les entreprises afin de protéger leurs clients et leurs utilisateurs. En effet, protéger les données personnelles et les gérer de façon correcte et efficace devient de plus en plus un enjeu pour les entreprises. Cela, c’est une thématique encore plus actuelle, dans une époque où la technologie permet la collecte de toujours plus d’informations personnelles sur les personnes. 

D’ailleurs nous disons Le ou La RGPD ? Couramment énoncé comme la RGPD, il s’agit par contre d’un règlement, donc le terme correct est le RGPD. 

Cet article va vous aider à comprendre le RGPD et adopter les bonnes pratiques.

RGPD : qu’est-ce que c’est ?

RGPD (ou GDPR en anglais) signifie “ Règlement Général sur la Protection des Données”. Comme indiqué sur le site de la CNIL (Commission Nationale de l’Informatique), “Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.”

Un grand nombre de pages, de sites internets ou de blog peuvent récolter des informations et surtout des informations personnelles, il est donc essentiel de les protéger et de sécuriser ses utilisateurs. Une mauvaise gestion de ses données peut entraîner des amendes ou un blocage de votre activité sur le web ou donner une mauvaise réputation à votre entreprise.

Qui est concerné par le RGPD ?

Tout organisme public ou privé dans l’union européenne, quelque soit sa taille (petites, moyennes ou grandes) et son secteur d’activité est concerné par la RGPD. A noter que les sous-traitants d’une entreprise sont aussi affectés à respecter le RGPD.

Qu’apporte le RGPD à vos entreprises ?

Le RGPD apporte des indications sur votre entreprise à vos clients, présents et futurs :
De la confiance : Pour un utilisateur, savoir qu’on traite ses données sensibles et personnelles dans le respect de la loi permet d’avoir de la confiance dans l’entreprise.
Création de stratégie : Avoir des données à jour sur vos clients vous permettra d’établir des stratégies marketing, publicitaires, commerciales et de développement efficace pour votre entreprise.

Quelles sont les bonnes pratiques du RGPD ?

Comment gérer le RGPD de votre entreprise ?

Aujourd’hui, plusieurs outils existent pour démontrer que votre entreprise est conforme au RGPD et que la manière dont elle traite les données respecte ses normes. Ces outils sont essentiels pour :
Le registre des traitements
Les mentions d'information
Les analyses d'impact sur la protection des données
Les analyses d'impact sur la protection des données
L’encadrement des transferts
les référentiels
Les certifications ou codes de bonne conduite selon la CNIL.

Voici un article de la CNIL qui vous pourra vous intéresser : Les outils de la conformité.

Créer un registre des traitements des données

Il est impératif de créer un registre des traitements de vos données en renseignant les parties prenantes, les catégories de données traitées, quelles utilisations auront ses données (qu’est-ce que vous allez en faire), quelles sont les personnes qui auront accès à ces données et à qui seront-elles communiquées. Il faut aussi déclarer pour combien de temps ces infos seront stockées dans votre banque de données, et comment sont-elles sécurisées.

Sauvegarder les données

En cas de pépin, la sauvegarde des données des utilisateurs est primordiale pour sécuriser les données. Toute entreprise doit garantir une sécurité des données des utilisateurs efficace. Quelques soit les raisons d’une faille de système ou un piratage, il faudra avertir la CNIL et/ou les clients concernés.

Informer ses utilisateurs

Il est important que vos utilisateurs soient au courant des données que votre entreprise va pouvoir récolter et être transparentes dans votre collecte pour inspirer de la confiance. Vous pouvez donc créer des pages sur votre site pour détailler votre processus et le traitement que vous allez réaliser des données personnelles.

Nous vous donnons 2 exemples de pages : RGPD d’Iroquois et Données personnelles et cookies d’Iroquois.

Le consentement ? Obligatoire

Il nous arrive, dès qu’on tombe sur une page web, de devoir donner le consentement à l’utilisation des cookies, ou alors qu’on nous propose de s’inscrire à une newsletter via notre adresse mails. Ce consentement, réalisé grâce à l’intégration des Opt-In, des formulaires ou des messages, doit être clair, transparent et univoque des deux côtés. 

Il est également une bonne pratique de mettre en place un centre de préférence dédié qui permet à chaque consommateur d’indiquer les produits/activités qui l’intéressent, le type de messages qu’il souhaite recevoir, leur fréquence, et son canal favori. L’objectif de cette démarche sera, encore une fois, de garantir une transparence du côté entreprise sur le traitement des données et les modalités de communication.

Ceci, c’est une étape clé pour les entreprises de récolter des informations sur les utilisateurs et les prospects. Ensuite, grâce à ses données, les logiciels comme Google Analytics ou Matomo peuvent réaliser des rapports complets du comportement de nos utilisateurs sur notre domaine et/ou nos pages internet. Le consentement c’est avant tout une manière pour nous que le client respecte son engagement auprès de nous et nous adresse sa confiance pour qu’on récolte ses informations.

Vous trouverez plus d’informations sur le site de la CNIL sur le consentement des données

Directement dans votre entreprise le règlement intérieur peut déjà être une forme de consentement des données que vos employés doivent signer. De plus, une charte informatique ou un formulaire de consentement d’image doit être mis en place.

Une meilleure gestion des cookies sur votre site internet

Les cookies sont une partie intégrante de nombreux sites internets, si nous les acceptons ou non, cela peut ne pas afficher ce que l’on aimerait regarder ou plus, nous bloquer les pages. Pour associer les cookies et obtenir une bannière de consentement par vos consommateurs, il vous faudra des outils spécialisés et les installer.

Sécuriser ? C’est-à-dire ?

Pour une meilleure gestion de la RGPD, vous pouvez : 
Sécuriser les postes de travail : Ajoutez des VPN, des logiciels d'antivirus, des pares-feux pour protéger vos données.
Sécuriser le petit matériel : Que se soit clés USB, Disque Dur et autres, nous oublions rapidement que ses objets peuvent contenir des virus. Faites attention à vos objets personnels.
Sécuriser les fichiers : Un document texte, un document Word ou Libre Office, un tableau, un CSV, MP3 ou MP4. N’oubliez pas de mettre des codes pour plus de sécurité. Cette méthode permet d’être prudent lorsque vous devez envoyer des fichiers à des organismes extérieurs de s’assurer de qui peut ouvrir vos dossiers et ceux qui ne le peuvent pas.
Sécuriser les serveurs : Un serveur interne protégé c’est également protéger vos clients. Créer des mots de passe aléatoires est une étape incontournable pour sécuriser vos différents comptes d’entreprises, ainsi que les changer régulièrement.
Établir une maintenance : Une maintenance de vos serveurs, de vos logiciels, ordinateurs, téléphones et autres peut assurer une bonne sécurité de vos produits ou vos services. Du matériel défaillant ou pas mis à jour peut bloquer certaines actions et devenir obsolète.

Faire appel à la CNIL en cas de problème

Pour quelconque problème, violation de données, il faut impérativement en informer la CNIL. En effet, quand il y a une perte de disponibilité, d’intégrité ou de confidentialité des données personnelles, de manière accidentelle ou illicite, il est obligatoire de notifier la CNIL.

A noter que la CNIL peut procéder à un contrôle du RGPD de votre entreprise et de vos sous-traitants.

Liste des outils utiles pour la gestion des données

Les frameworks open source :

Ils servent à traiter vos données open source à grande échelle et pour les stocker. Pour vous en citer quelques-uns vous pouvez retrouver Apache Spark, Storm, Apache Hadoop ou encore Flink ou PIA (outils de la CNIL). 

Les mauvaises pratiques du RGPD

Mots de passe insécurisé

Un mot de passe contenant que des lettres est facilement piratable. En effet, il est conseillé de mettre des mots de passe avec au moins 12 caractères. Le mot de passe doit contenir des chiffres, des caractères spéciaux, des majuscules et des minuscules. Il est également important de changer son mot de passe régulièrement en le notant quelques parts pour ne pas le perdre. Cliquez ici pour avoir plus de renseignements : Créer un mot de passe sécurisé.

N’oubliez pas d’ajouter une double authentification pour encore plus de sécurité.

Bannir les URL incrémentale

Lorsque nous créons des comptes clients par exemple, il ne faut pas mettre entre chaque compte des URL trop similaires ou alors mettre en place un système de sécurité pour empêcher cela. Cela nous évitera qu’une personne puisse rentrer sur d’autres comptes que le sien par inadvertance ou par faute de frappe.

Cryptage des données ?

Certains de nos documents peuvent “se perdre sur le web” et de ce fait, des personnes ou des robots malveillants peuvent y avoir accès, en générant une potentielle faille de sécurité. Il est très important que dans votre structure un chiffrement des pièces soit effectué pour que cela ne vous porte pas préjudice.

Indexation des fichiers sur les moteurs de recherches

Ce conseil parlera sûrement aux consultants SEO : certains fichiers peuvent se retrouver indexés sur un moteur de recherche et toutes personnes trouvant l’URL pourront télécharger vos documents !

Il faut donc bien désactiver l’indexation sur les fichiers concernés pour que les robots.txt ne puissent pas récupérer les données de vos fichiers.

Cet article vous a plu ? Retrouvez ici d’autres renseignement sur le RGPD : 2 minutes pour tout savoir sur le RGPD.

 

Une question ? Contactez-nous ici