1#seocamp

Le RGPD c’est bien mais concrètement je fais quoi?

2#seocamp

Pourquoi cette conférence va vous intéresser?

▪ Parce que quasiment personne n’est exempt du RGPD (18)

▪ Parce que les agences vont prendre plein tarif (agence=sous-traitant):

○ “les agences de marketing ou de communication qui traitent des

données personnelles pour le compte de clients.” source: CNIL

▪ Parce que l’engouement est tel autour du RGPD que l’on va être

sérieusement challengé (tous secteurs, poussé par tous les pays d’Europe).

▪ En gros ou vous êtes à niveau ou vous allez être poussé à être à niveau

3#seocamp

Le RGPD en gros c’est quoi?▪ Règlement Général sur la Protection des Données▪ La reconnaissance que la loi informatique et liberté est trop vieille car créée

avant l'avènement de nombreuses technologies web tels que les RS.

▪ C’est une réglementation pas une directive

▪ C’est l’arrivée de nombreuses missions à mettre en place dans votre

entreprise au niveau de:

○ documentation

○ sécurisation

○ information

○ technique ...

4#seocamp

Le RGPD en images

Vous êtes ici

5#seocamp

Objectif de la conférence

6#seocamp

Avertissement▪ Je ne suis pas juriste

▪ Il s’agit d’un retour d’expérience sur le sujet, je me plante peut être

complètement sur de nombreux points

▪ Cette conférence n’est pas un cours de droit

7#seocamp

A propos du conférencier▪ Ronan CHARDONNEAU

▪ Maître de conférences associé à l’université d’Angers en marketing digital.

▪ Consultant indépendant en analyse d’audience, notamment sur Matomo Analytics.

▪ Auteur de plusieurs ouvrages aux éditions ENI

▪ Ce que j’aime faire: vulgariser des sujets (IOT, blockchain…), les partager...

▪ Pourquoi je suis là? Organisation d’événements SEO Camp dans l’ouest entre 2010

et 2012, co-organisateur des MeasureCamp Nantes en 2016 et 2017

▪ Certifié QASEO mais aussi sur plein d’autres choses :)

8#seocamp

Mon expérience sur le sujet d’aujourd’hui▪ 300 heures de travail effectives (lecture documentations officielles + mise

en application).

▪ Suivi de cours de formation sur le RGPD: Udemy, FutureLearn

▪ Lecture d’ouvrages de référence: IT Governance, Alan Calder

▪ Expérience précédemment acquise sur la loi sur les communications

électroniques: https://ronan-chardonneau.fr/cookie-gate/

9#seocamp

La règle de base▪ Si je traite une donnée personnelle ALORS j’ai des responsabilités*, je suis alors un responsable de

traitement.

▪ Si jamais je traite des données personnelles pour un tiers je suis également un sous-traitant.

▪ Oh mais qu’est ce qu’une donnée personnelle? Article 4 (1) Toute donnée permettant de remonter

de façon directe ou indirecte à un individu, exemples:

○ une adresse IP d’un individu = donnée personnelle

○ j’enregistre la voix d’un individu = donnée personnelle

○ je collecte des adresses e-mail de type fanny@entreprise.com = donnée personnelle

○ order ID

○ “données de localisation”

*La seule exception est pour les particuliers, par exemple votre liste de contacts personnels dans votre téléphone par exemple.

10#seocamp

Exemples de points de collecte de données personnelles

▪ Logs serveurs

▪ Mails reçus

▪ Formulaire de contact

▪ Commentaires de blog

▪ Solutions d’analyse d’audience

▪ Plugins

▪ Création de comptes

▪ Plateformes de paiement

▪ Cookies

11#seocamp

Ok c’est mignon comment je me mets en conformité?

▪ En mode warrior (ne le faites pas): texte officiel (3 heures de lecture)

▪ Version CNIL (trop synthétique pour moi): en 6 étapes

▪ Version ICO (à utiliser avec ses propres checklist): en 12 étapes

○ Checklist responsable de traitement

○ Checklist sous-traitant

▪ Les autres institutions fournissent également de la bonne documentation:

○ Irlande

○ Luxembourg (en 7 étapes)○ dsb.gv.at,privacycommission.be,cpdp.bg,azop.hr,dataprotection.gov.cy,uoou.cz,datatilsynet.dk,aki.ee,tietosuoja.fi,datenschutz.de,dpa.gr,naih.h

u,dataprotection.ie,garanteprivacy.it,dvi.gov.lv,ada.lt,cnpd.public.lu,idpc.org.mt,autoriteitpersoonsgegevens.nl,giodo.gov.pl,cnpd.pt,dataprotecti

on.ro,dataprotection.gov.sk,ip-rs.si,agpd.es,datainspektionen.se,ico.org.uk

12#seocamp

Le SMIC de la RGPD pour les responsables de traitement

En gros ce qu’il vous faut surtout:● Registre de données● Sécuriser un minimum vos systèmes d’information● Intégration de l’information au niveau de la collecte des données● MAJ de votre page confidentialité des données● Respecter les droits des utilisateurs (privacy@votre-entreprise.com)● Montrer que vous savez ce qu’est le RGPD (MOOC)● Vérifier vos prestatairesOptionnel:● Pas besoin de DPO dans la plupart des cas● Pas besoin de PIA dans la plupart des cas

13#seocamp

Pour les sous-traitants● A peu près les mêmes missions que pour le responsable de traitement

mais avec des responsabilités en plus:○ Mettre à disposition un DPA○ Accompagner votre client dans la mise en conformité au RGPD○ Renforcement de la sécurité des systèmes d’information○ ...

14#seocamp

Savoir si vous êtes prêt

● https://www.linkedin.com/pulse/nightmare-letter-subject-access-request-under-gdpr-karbaliotis/

15#seocamp

Les étapes qui sont pour moi les plus importantes

1. Qui va piloter le projet? DPO officieux

2. Avoir l’engagement de votre direction (Awareness)

3. La tenue du registre

4. La mise à jour de la page de confidentialité des données

16#seocamp

1 - Le DPO▪ En gros c’est l’expert comptable de la donnée personnelle, c’est celui qui va

diriger le projet.

▪ De belles perspectives d’avenir, on parle de 80 000 postes en 2018.

▪ Un poste à confier à quelqu’un de motivé, plein d’énergie et surtout

capable de se remettre en question.

17#seocamp

2 - L’engagement de votre équipe▪ Si vous n’êtes pas épaulé par votre direction:

○ Perte d’informations

○ Retard

○ ...

18#seocamp

3 - La tenue du registre (½)▪ Permet de gagner un temps fou pour la suite

▪ Pas si compliqué une fois que l’on est dedans▪ Permet de rapidement sécuriser votre infrastructure▪ Vous donne une bonne idée de la masse de travail à fournir

19#seocamp

3 - La tenue du registre (2/2)▪ Exemples de modèles de registres:

○ ICO

https://ico.org.uk/media/for-organisations/documents/2172937/gdpr-documentation-controller

-template.xlsx

○ CNIL https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx

○ Data Protection Commissionner Ireland:

http://gdprandyou.ie/wp-content/uploads/2018/01/GDPR-Checklist-Templates-for-SMEs-Downl

oadable-1.docx

▪ A noter le cas pratique de la CNIL qui propose de bonnes pistes.

20#seocamp

Concrètement

21#seocamp

4 - La page de confidentialité des données (1/2)

● Checklist disponible sur le site ICO● En gros vous prenez ce lien:

https://dg-datenschutz.de/privacy-policy-generator/?lang=en#loaded vous cochez toutes les cases qui vous concerne et vous le traduisez en français.

● Un exemple de test de mise en conformité: https://pribot.org/

22#seocamp

4 - La page de confidentialité des données (2/2)

● Les consommateurs ont des droits… mince○ droit d’être informé○ droit d’accès○ droit de rectification○ droit d’effacement○ droit d’opposition○ droit à la limitation du traitement○ droit à la portabilité des données○ droit de ne pas faire l’objet d’une décision individuelle

automatisée○ ...

23#seocamp

Autres points importants

● Le PIA● La formation des équipes● La sécurisation de votre infrastructure

24#seocamp

Le PIA

● En gros ne vous prenez pas la tête et prenez directement le logiciel de la CNIL: https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil demo en live

● Liste de questions pouvenant mener à un PIA https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf page 34

25#seocamp

Suivi de formations - Formation de vos équipes

● University of Gronningen: https://www.futurelearn.com/courses/general-data-protection-regulation

● INRIA:

https://www.fun-mooc.fr/courses/course-v1:inria+41015+session01/about

● ANSSI: https://secnumacademie.gouv.fr ● Parcours vie privée OpenClassrooms● Udemy

26#seocamp

La sécurisation de votre infrastructure● Le mieux est de suivre cette checklist:

https://ico.org.uk/for-organisations/resources-and-support/data-protection-self-assessment/information-security/

● Un très bon guide de la CNIL: https://www.cnil.fr/cnil-direct/attachement/501/517

27#seocamp

Pour vous aider● https://www.cnil.fr/fr/video-le-youtubeur-cookie-connecte-repond-vos-que

stions-sur-larrivee-du-rgpd● https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf● https://www.cnil.fr/sites/default/files/atoms/files/pdf_6_etapes_interactifv2

.pdf ● Et surtout vous documentez tout ce que vous faites.

○ Exemple intéressant* d’outil: https://cst.cnpd.lu/tool/

*intéressant ne veut pas dire recommander

28#seocamp

Quand tu as un entretien avec la CNIL

29#seocamp

Quand tu demandes directement à l’UE

30#seocamp

Et la partie cookies?

31#seocamp

Prise de tête

Que dit le RGPD? (30)http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R06

79 Cookie = donnée personnelle

mais que dit ePrivacy?

“Cookies set by a visited website counting the number of visitors to that website will no longer require consent.”

Source: ePrivacyFactsheet

32#seocamp

Et entre nous

YES COOKIES ON MY WEBSITES

33#seocamp

Ah oui, qu’est ce je risque en cas d’infraction?

34#seocamp

Concrètement● Sur le papier vous risquez gros cela peut aller à 4% du CA● En réalité vous ne risquez quasiment rien en terme d’amende:

○ https://www.cnil.fr/fr/bilan-2015-un-nombre-record-de-plaintes○ https://www.cnil.fr/fr/tag/sanctions ○ https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cet

te-periode-transitoire ● Vous pouvez en revanche être pénalisé sur la partie image de marque

35#seocamp

Pour aller plus loin● Suivre les actualités du site de la CNIL sur la RGPD

https://www.cnil.fr/fr/tag/R%C3%A8glement+europ%C3%A9en avec visualping.io notamment sur la partie certification.

● Exemple de manière de faire de l’opt-out:

○ https://haveibeenpwned.com/OptOut

● http://ec.europa.eu/ipg/docs/cookie-notice-template.zip

● https://ico.org.uk/media/for-organisations/documents/1625126/privacy-notice-checklist.pdf

● https://blog.visiolink.com/gdpr-and-google-analytics-how-you-can-continues-with-user-tracking

36#seocamp

La question Mug● Archi simple, quelle est la

date d’application officielle

du RGPD?

37#seocamp

MERCI AUX SPONSORS

38#seocamp

Merci à vous