RGPD
Contenu à valider
Les 6 étapes à suivre : https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
Sommaire
Règles résumées par Elycoop :
- Auto résponsabitié - Chaque entreprise doit se mettre en conformité
- Privacy par design - Penser les services nouveaux pour qu'ils respectent les données personnelles.
- Registre de traitement des données personnels - Facultatif moins de 250 personnes
- Notification en cas de problème à la CNIL
- Etude d'impact pour chaque projet susceptible de gérer des données en volume . Quel impact ?
- Nommer un responsable à la protection des données DPO
- Vérifier que les sous traitants gèrent bien les données
- ?
Droit :
- Droit d’accès -> devoir de transparence
- Droit de rectification -> devoir d’exactitude
- Droit à l’oubli -> devoir de limitation des finalités (périmètre et temps)
- Droit à la notification de la prise en compte de ses demandes
- Droit d’opposition (consentement, et profilage)
- Droit à la portabilité
- Droit à la limitation (en cas de différent)
Tâches pour améliorer l'enjeu de la RGPD dans Copea
Actions | Qui ? | Pour quand ? | |
---|---|---|---|
Récupérer document de communication de la CAE Elycoop | |||
Liste des clauses dans les contrats à partager par Elycoop / Echanger avec Nicolas Scalbert | Benoit | ||
Guide des bonnes pratiques à consolider ensemble (début ci dessous) | |||
Lobbying pour que la responsabilité soit chez les entrepreneurs et non à la CAE quand ils développent des activités, etc... ? | |||
Plus d'informations :
Comprendre en vidéo : https://www.cnil.fr/rgpd-passer-a-laction
- Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises
- FICHE 1 : Sachez que faire quand votre entreprise communique et/ou vend en ligne
- FICHE 2 : Améliorez et maîtrisez votre relation client
- FICHE 3 : Protégez les données de vos collaborateurs
- La version web
Formulaire Notification de Violations :
https://www.cnil.fr/sites/default/files/typo/document/CNIL_Formulaire_Notification_de_Violations.pdf
Exemple de registre :
https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf
Partage de pratiques
Partage des plans d'actions
Déposes ici ton plan d'actions à partager :
Fichier:2018 Exemple Plan Actions Elycoop.xlsx
Exemples d'action de la CAE Elycoop
- Nomination d'un référent. Avec un mail "donneespersonnelles@nomdelacae... Adresse ajoutée dans les contrats, dans les CAPEs, etc...
- Cartographie des données gérées. cf exemple ci dessous. comment on récolte la donné, où on la stocke, et est ce qu'on a bien demandé le consentement de la personne ?
- Ajout de la demande dans les contrats. Close dans les contrats qui seront à ajouter ci dessous.
- Attention, la CAE a la responsabilité des données des entrepreneurs. Clause dans les contrats indiquant que l'entrepreneur doit mettre en place des actions en respect sur la RGPD sur ses actions (par exemple, les entrepreneurs en communication). Voir si le CESA permet d'être protégé en tant que CAE et que la responsabilité incombe aussi à l'entrepreneur. Vérifier si à minima on a une co-responsabilité.
- Registre de traitement des données personnelles pour les entreprises de plus de 250 salariés
- Les entreprises de moins de 250 salariés bénéficient d’une dérogation en ce qui concerne la tenue de registres. Ils doivent inscrire au registre les seuls traitements de données suivants :
- les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
- les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
- les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).
- Les entreprises de moins de 250 salariés bénéficient d’une dérogation en ce qui concerne la tenue de registres. Ils doivent inscrire au registre les seuls traitements de données suivants :
- Gestion des mots de passe avec une politique interne à ce sujet. Outils qui existent à ce sujet. Accès individuels pour les différentes application.
- Armoire qui ferme à clef. Destructeur de papier. Vérifier que les prestataires qui recyclent le papier respectent la confidentialité des données.
- Vérifier contrats avec les prestataires ou sous traitants (même si délégué à un sous traitant, c'est l'entreprise qui est responsable ?)
- Au niveau du système information avoir des choses cryptées (https ,etc...)
- Bibliothèque docs :
Autres idées d'actions
- Besoin de supprimer la donnée à certains moments : Vérifier durée légale d'un mail. : Stockage des cookies : 13 mois. Gestion de la paie : Conservation durant 5 ans possible
- Mettre les sites internet à jour au niveau des cookies et de la récupération des mails divers (inscription à une formation etc). Voir plugins ci dessous;
Exemple de mail
Bonjour
Le 25 mai 2018 entre en application un Règlement européen relatif à la protection des données personnelles (RGPD). Celui-ci oblige toutes les entreprises et associations à respecter de nouvelles règles concernant les données personnelles au risque de sanctions lourdes.
Je vous informe que pour nous conformer au RGPD, nous nous engageons :
- au recueil clair et non équivoque du consentement de la personne qui nous transmet ses données personnelles, à moins que la collecte des données soit nécessaire au contrat ou qu'elle fasse suite à une obligation légale à laquelle nous sommes soumis ou encore que cela soit justifié par la sauvegarde des intérêts vitaux de la personne ou encore par l'exécution d'une mission d'intérêt public ou la poursuite, par notre structure, d'intérêt légitime,
- à une obligation d'information de l'utilisation qui sera faite par nous des données personnelles, qu'il s'agisse de vos données ou de celles de nos clients ou prospects, fournisseurs,
- à une information sur les droits de ces personnes en ce qui concerne la possibilité, le cas échéant, de s'opposer ou de consentir à cette utilisation, ainsi que d'exercer un droit d'accès, de rectification ou suppression des données,
- à fixer des durées de conservation pour toutes les catégories de données et fonction des règles de prescription et d'archivage légal,
- à ne pas solliciter plus de données que nous en avons besoin pour notre activité (principe de proportionnalité).
Je vous demande de bien vouloir respecter ces règles en vous conformant aux procédures et documents que nous avons mis à votre disposition à cette fin.
De plus, désormais, pour respecter notre obligation de sécurisation des données en notre possession, je vous demande de vérifier la sécurité de votre ordinateur
Sachez que pour vous, salariés de l'entreprise, nous nous engageons à supprimer l'ensemble des données personnelles vous concernant – cinq ans après votre départ de l’entreprise.
Vous trouverez ci-joint
- ce courrier avec des consignes spécifiques
- guide bpi-cnil
- fiches pratiques
- notification de violation - cnil
Je vous remercie de votre attention
Sécurisation site Wordpress
Si inscription via un formulaire de contact.
Par exemple pour une formation : Ces informations seront envoyée à ... Et vous acceptez que votre donnée sera enregistrée. Avec case à cocher.
Il faut dire si on utilise un service tiers (par exemple mailchimp, etc...). Il faut stocker dans une base de donnée le message et le fait qu'il a coché la case.
Exemple avec wordpress, ajouter le plugin flamingo qui permet de stocker dans une base de donnée les mails. Obligation d'avoir une base de données...
Plugins :
https://fr.wordpress.org/plugins/tarteaucitronjs/ (RGPD et cookie) https://fr.wordpress.org/plugins/cookie-notice/
https://fr.wordpress.org/plugins/gdpr-data-request-form/
Plugin Flamingo : Permet de stocker dans une base de donnée les mails