Post on 12-Jun-2020
1#seocamp
Le RGPD c’est bien mais concrètement je fais quoi?
2#seocamp
Pourquoi cette conférence va vous intéresser?
▪ Parce que quasiment personne n’est exempt du RGPD (18)
▪ Parce que les agences vont prendre plein tarif (agence=sous-traitant):
○ “les agences de marketing ou de communication qui traitent des
données personnelles pour le compte de clients.” source: CNIL
▪ Parce que l’engouement est tel autour du RGPD que l’on va être
sérieusement challengé (tous secteurs, poussé par tous les pays d’Europe).
▪ En gros ou vous êtes à niveau ou vous allez être poussé à être à niveau
3#seocamp
Le RGPD en gros c’est quoi?▪ Règlement Général sur la Protection des Données▪ La reconnaissance que la loi informatique et liberté est trop vieille car créée
avant l'avènement de nombreuses technologies web tels que les RS.
▪ C’est une réglementation pas une directive
▪ C’est l’arrivée de nombreuses missions à mettre en place dans votre
entreprise au niveau de:
○ documentation
○ sécurisation
○ information
○ technique ...
4#seocamp
Le RGPD en images
Vous êtes ici
5#seocamp
Objectif de la conférence
6#seocamp
Avertissement▪ Je ne suis pas juriste
▪ Il s’agit d’un retour d’expérience sur le sujet, je me plante peut être
complètement sur de nombreux points
▪ Cette conférence n’est pas un cours de droit
7#seocamp
A propos du conférencier▪ Ronan CHARDONNEAU
▪ Maître de conférences associé à l’université d’Angers en marketing digital.
▪ Consultant indépendant en analyse d’audience, notamment sur Matomo Analytics.
▪ Auteur de plusieurs ouvrages aux éditions ENI
▪ Ce que j’aime faire: vulgariser des sujets (IOT, blockchain…), les partager...
▪ Pourquoi je suis là? Organisation d’événements SEO Camp dans l’ouest entre 2010
et 2012, co-organisateur des MeasureCamp Nantes en 2016 et 2017
▪ Certifié QASEO mais aussi sur plein d’autres choses :)
8#seocamp
Mon expérience sur le sujet d’aujourd’hui▪ 300 heures de travail effectives (lecture documentations officielles + mise
en application).
▪ Suivi de cours de formation sur le RGPD: Udemy, FutureLearn
▪ Lecture d’ouvrages de référence: IT Governance, Alan Calder
▪ Expérience précédemment acquise sur la loi sur les communications
électroniques: https://ronan-chardonneau.fr/cookie-gate/
9#seocamp
La règle de base▪ Si je traite une donnée personnelle ALORS j’ai des responsabilités*, je suis alors un responsable de
traitement.
▪ Si jamais je traite des données personnelles pour un tiers je suis également un sous-traitant.
▪ Oh mais qu’est ce qu’une donnée personnelle? Article 4 (1) Toute donnée permettant de remonter
de façon directe ou indirecte à un individu, exemples:
○ une adresse IP d’un individu = donnée personnelle
○ j’enregistre la voix d’un individu = donnée personnelle
○ je collecte des adresses e-mail de type fanny@entreprise.com = donnée personnelle
○ order ID
○ “données de localisation”
*La seule exception est pour les particuliers, par exemple votre liste de contacts personnels dans votre téléphone par exemple.
10#seocamp
Exemples de points de collecte de données personnelles
▪ Logs serveurs
▪ Mails reçus
▪ Formulaire de contact
▪ Commentaires de blog
▪ Solutions d’analyse d’audience
▪ Plugins
▪ Création de comptes
▪ Plateformes de paiement
▪ Cookies
11#seocamp
Ok c’est mignon comment je me mets en conformité?
▪ En mode warrior (ne le faites pas): texte officiel (3 heures de lecture)
▪ Version CNIL (trop synthétique pour moi): en 6 étapes
▪ Version ICO (à utiliser avec ses propres checklist): en 12 étapes
○ Checklist responsable de traitement
○ Checklist sous-traitant
▪ Les autres institutions fournissent également de la bonne documentation:
○ Irlande
○ Luxembourg (en 7 étapes)○ dsb.gv.at,privacycommission.be,cpdp.bg,azop.hr,dataprotection.gov.cy,uoou.cz,datatilsynet.dk,aki.ee,tietosuoja.fi,datenschutz.de,dpa.gr,naih.h
u,dataprotection.ie,garanteprivacy.it,dvi.gov.lv,ada.lt,cnpd.public.lu,idpc.org.mt,autoriteitpersoonsgegevens.nl,giodo.gov.pl,cnpd.pt,dataprotecti
on.ro,dataprotection.gov.sk,ip-rs.si,agpd.es,datainspektionen.se,ico.org.uk
12#seocamp
Le SMIC de la RGPD pour les responsables de traitement
En gros ce qu’il vous faut surtout:● Registre de données● Sécuriser un minimum vos systèmes d’information● Intégration de l’information au niveau de la collecte des données● MAJ de votre page confidentialité des données● Respecter les droits des utilisateurs (privacy@votre-entreprise.com)● Montrer que vous savez ce qu’est le RGPD (MOOC)● Vérifier vos prestatairesOptionnel:● Pas besoin de DPO dans la plupart des cas● Pas besoin de PIA dans la plupart des cas
13#seocamp
Pour les sous-traitants● A peu près les mêmes missions que pour le responsable de traitement
mais avec des responsabilités en plus:○ Mettre à disposition un DPA○ Accompagner votre client dans la mise en conformité au RGPD○ Renforcement de la sécurité des systèmes d’information○ ...
14#seocamp
Savoir si vous êtes prêt
● https://www.linkedin.com/pulse/nightmare-letter-subject-access-request-under-gdpr-karbaliotis/
15#seocamp
Les étapes qui sont pour moi les plus importantes
1. Qui va piloter le projet? DPO officieux
2. Avoir l’engagement de votre direction (Awareness)
3. La tenue du registre
4. La mise à jour de la page de confidentialité des données
16#seocamp
1 - Le DPO▪ En gros c’est l’expert comptable de la donnée personnelle, c’est celui qui va
diriger le projet.
▪ De belles perspectives d’avenir, on parle de 80 000 postes en 2018.
▪ Un poste à confier à quelqu’un de motivé, plein d’énergie et surtout
capable de se remettre en question.
17#seocamp
2 - L’engagement de votre équipe▪ Si vous n’êtes pas épaulé par votre direction:
○ Perte d’informations
○ Retard
○ ...
18#seocamp
3 - La tenue du registre (½)▪ Permet de gagner un temps fou pour la suite
▪ Pas si compliqué une fois que l’on est dedans▪ Permet de rapidement sécuriser votre infrastructure▪ Vous donne une bonne idée de la masse de travail à fournir
19#seocamp
3 - La tenue du registre (2/2)▪ Exemples de modèles de registres:
○ ICO
https://ico.org.uk/media/for-organisations/documents/2172937/gdpr-documentation-controller
-template.xlsx
○ CNIL https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx
○ Data Protection Commissionner Ireland:
http://gdprandyou.ie/wp-content/uploads/2018/01/GDPR-Checklist-Templates-for-SMEs-Downl
oadable-1.docx
▪ A noter le cas pratique de la CNIL qui propose de bonnes pistes.
20#seocamp
Concrètement
21#seocamp
4 - La page de confidentialité des données (1/2)
● Checklist disponible sur le site ICO● En gros vous prenez ce lien:
https://dg-datenschutz.de/privacy-policy-generator/?lang=en#loaded vous cochez toutes les cases qui vous concerne et vous le traduisez en français.
● Un exemple de test de mise en conformité: https://pribot.org/
22#seocamp
4 - La page de confidentialité des données (2/2)
● Les consommateurs ont des droits… mince○ droit d’être informé○ droit d’accès○ droit de rectification○ droit d’effacement○ droit d’opposition○ droit à la limitation du traitement○ droit à la portabilité des données○ droit de ne pas faire l’objet d’une décision individuelle
automatisée○ ...
23#seocamp
Autres points importants
● Le PIA● La formation des équipes● La sécurisation de votre infrastructure
24#seocamp
Le PIA
● En gros ne vous prenez pas la tête et prenez directement le logiciel de la CNIL: https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil demo en live
● Liste de questions pouvenant mener à un PIA https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf page 34
25#seocamp
Suivi de formations - Formation de vos équipes
● University of Gronningen: https://www.futurelearn.com/courses/general-data-protection-regulation
● INRIA:
https://www.fun-mooc.fr/courses/course-v1:inria+41015+session01/about
● ANSSI: https://secnumacademie.gouv.fr ● Parcours vie privée OpenClassrooms● Udemy
26#seocamp
La sécurisation de votre infrastructure● Le mieux est de suivre cette checklist:
https://ico.org.uk/for-organisations/resources-and-support/data-protection-self-assessment/information-security/
● Un très bon guide de la CNIL: https://www.cnil.fr/cnil-direct/attachement/501/517
27#seocamp
Pour vous aider● https://www.cnil.fr/fr/video-le-youtubeur-cookie-connecte-repond-vos-que
stions-sur-larrivee-du-rgpd● https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf● https://www.cnil.fr/sites/default/files/atoms/files/pdf_6_etapes_interactifv2
.pdf ● Et surtout vous documentez tout ce que vous faites.
○ Exemple intéressant* d’outil: https://cst.cnpd.lu/tool/
*intéressant ne veut pas dire recommander
29#seocamp
Quand tu demandes directement à l’UE
30#seocamp
Et la partie cookies?
31#seocamp
Prise de tête
Que dit le RGPD? (30)http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R06
79 Cookie = donnée personnelle
mais que dit ePrivacy?
“Cookies set by a visited website counting the number of visitors to that website will no longer require consent.”
Source: ePrivacyFactsheet
32#seocamp
Et entre nous
YES COOKIES ON MY WEBSITES
33#seocamp
Ah oui, qu’est ce je risque en cas d’infraction?
34#seocamp
Concrètement● Sur le papier vous risquez gros cela peut aller à 4% du CA● En réalité vous ne risquez quasiment rien en terme d’amende:
○ https://www.cnil.fr/fr/bilan-2015-un-nombre-record-de-plaintes○ https://www.cnil.fr/fr/tag/sanctions ○ https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cet
te-periode-transitoire ● Vous pouvez en revanche être pénalisé sur la partie image de marque
35#seocamp
Pour aller plus loin● Suivre les actualités du site de la CNIL sur la RGPD
https://www.cnil.fr/fr/tag/R%C3%A8glement+europ%C3%A9en avec visualping.io notamment sur la partie certification.
● Exemple de manière de faire de l’opt-out:
○ https://haveibeenpwned.com/OptOut
● http://ec.europa.eu/ipg/docs/cookie-notice-template.zip
● https://ico.org.uk/media/for-organisations/documents/1625126/privacy-notice-checklist.pdf
● https://blog.visiolink.com/gdpr-and-google-analytics-how-you-can-continues-with-user-tracking
36#seocamp
La question Mug● Archi simple, quelle est la
date d’application officielle
du RGPD?
37#seocamp
MERCI AUX SPONSORS
38#seocamp
Merci à vous