Le R.G.P.D. c’est quoi??

Ayant pour but de responsabiliser les organismes traitant des données personnelles et de renforcer les droits des personnes dont les données sont traitées, deux ans après son adoption au Parlement européen et au lendemain de son entrée en vigueur dans les Etats membres, les enjeux du RGPD sont plus que jamais d’actualité, en témoigne le récent scandale Facebook ayant contraint son fondateur, à s’expliquer devant le Congrès américain et les députés européens.

Qu’est-ce que le RGPD ?

Entré en vigueur le 25 mai 2018, l’acronyme RGPD signifie «Règlement Général sur la Protection des Données».

Il permet d’encadrer le traitement et la circulation des données à caractère personnel sur le territoire de la Communauté Européenne.

Ce règlement européen qui date en réalité du 27 avril 2016 est entré en vigueur dans l’ensemble des Etats membres le 25 mai 2018.

Il est directement applicable et a force obligatoire depuis cette date.

Le RGPD est né de la volonté européenne de créer un cadre juridique unifié, afin de faire face aux enjeux majeurs que représente le traitement de données personnelles.

Qui est concerné ?

Le RGPD s’applique à tout organisme, quelle que soit sa taille, traitant des données personnelles pour son compte ou non, dès lors qu’il est établi sur le territoire de l’union européenne ou que son activité cible directement des résidents européens.

Le champ d’application du RGPD est donc extrêmement large puisque toutes les entreprises sont en réalité concernées quel que soit leur taille ou leur effectif.  

La responsabilité de la mise en ½uvre de la protection des données repose sur l’employeur, ce dernier étant considéré comme le responsable du traitement c’est-à-dire la personne à qui il incombe de vérifier la conformité du traitement des données au RGPD. Ainsi, l’employeur doit faire preuve d’une extrême vigilance quant à cette mise en conformité.

Qu’est-ce qu’une donnée personnelle ?

La notion de donnée personnelle est extrêmement large puisqu’elle est définie par la CNIL comme « toute information se rapportant à une personne physique identifiée ou identifiable ».

L’identification peut se faire de manière directe (nom, prénom, adresse postale) ou de manière indirecte (éléments physiques, identifiant, adresse IP, numéro).

Par ailleurs, sont également considérées comme personnelles les données qui, par le recoupement de plusieurs informations, (date de naissance, sexe, ville, diplôme, etc.) ou l’utilisation de divers moyens techniques, permettent d’identifier une personne.

Quelles sont les obligations des entreprises ?

Selon l’article 5.1 du RGPD, les données personnelles doivent être :

  • Traitées de manière licite, loyale et transparente ;
  • Collectées à des fins déterminée, explicite et légitimes ;
  • Adéquates, pertinentes et limitées ;
  • Exactes et tenues à jour ;
  • Conservées pendant une durée raisonnable ;
  • Traitées de façon à garantir leur protection.

Afin de se mettre en conformité avec le RGPD et de respecter les six obligations essentielles énoncées ci-dessus, la CNIL recommande aux entreprises de mener six actions :

v  Désigner un pilote :

La CNIL recommande vivement à l’ensemble des entreprises de désigner une personne chargée de s’assurer de la mise en conformité avec le RGPD. Cet acteur permettra de dialoguer avec les autorités de protection des données et ainsi, de réduire les risques de contentieux.

Certaines entreprises qui traitent des données dites «sensibles» ont quant à elles, l’obligation de désigner un délégué à la protection des données.

Cette désignation est également obligatoire pour les organismes publics et les entreprises dont l’activité nécessite un suivi régulier des personnes à grande échelle tels que les opinions politiques, philosophiques ou religieuses d’une personne.

v  Recenser les fichiers :

Les entreprises de plus de 250 salariés ont l’obligation de constituer un registre de traitement des données.

Cela consiste à identifier les activités principales de l’entreprise nécessitant la collecte et le traitement de données personnelles.

Pour chaque activité, les entreprises doivent ensuite répertorier le responsable du traitement, l’objectif poursuivi, la catégorie de données utilisées, les personnes y ayant accès et la durée de conservation desdites données.

La CNIL propose un modèle de ce registre sur son site Internet : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement.

v  Repérer les traitements à risque :

Le responsable du traitement a l’obligation d’être en mesure de prouver à tout moment que les traitements qu’il gère sont conformes au RGPD.

Il est donc conseillé aux entreprises d’effectuer un tri dans leurs données afin de vérifier que chacune des sauvegardes est nécessaire et pertinente.

Par ailleurs, la CNIL met en garde les entreprises contre certains traitements réclamant une vigilance particulière.

Il s’agit notamment des traitements concernant des données relatives aux personnes vulnérables, à la surveillance systématique des personnes, au croisement d’ensembles de données ou encore au traitement de données dites « sensibles ».

En effet, si le traitement de données concerné répond à au moins deux des critères prévus par le RGPD, une analyse d’impact sur la protection des données devra être réalisée.

v  Respecter le droit des personnes :

Les entreprises ont l’obligation de fournir à leurs salariés les informations relatives à la collecte et au traitement de leurs données.

Cette information doit être effectuée dès la collecte des données ou dans un délai d’un mois suivant cette collecte lorsque les éléments sont recueillis de manière indirecte.

Elle peut être réalisée sur le support papier ou électronique permettant la collecte des données.

Elle peut également faire l’objet d’une note de service, d’un affichage ou d’une diffusion sur l’intranet de l’entreprise, lors de la mise en place d’un dispositif de surveillance.

Par ailleurs, les entreprises ont l’obligation de garantir les droits des personnes dont les données sont traitées en permettant la mise en ½uvre effective de ces droits. Il est ainsi recommandé aux entreprises de mettre à la disposition des personnes concernées des moyens matériels, tels qu’un numéro de téléphone, une adresse de messagerie ou un formulaire sous format papier ou électronique.

v  Sécuriser les données :

Les entreprises ont l’obligation d’assurer la sécurité des données personnelles en minimisant les risques de perte de données ou de piratage.

Pour ce faire, il leur est conseillé de mettre à jour des antivirus et des logiciels ainsi que de procéder au changement régulier des mots de passe et à l’utilisation de mots de passe complexes.

v  S’assurer en cas de sous-traitance que le prestataire respecte le RGPD

Les sous-traitants sont soumis à des obligations particulières de transparence, d’assistance, d’alerte, de conseil. Ils doivent par ailleurs garantir la sécurité et la protection des données traitées. De surcroît, le contrat de sous-traitance doit prévoir une clause spécifique sur la protection des données personnelles.

Quels sont les droits des personnes dont les données sont traitées ?

Au préalable, il faut souligner que les personnes concernées peuvent être aussi bien les clients d’une entreprise que les collaborateurs travaillant au sein de cette entreprise.

Ces personnes bénéficient de nombreux droits :

n  Droit d’accès : droit pour la personne concernée d’obtenir du responsable de traitement la confirmation que des données personnelles sont ou ne sont pas traitées et lorsqu’elles le sont, l’accès auxdites données ainsi qu’aux informations la concernant. L’entreprise dispose ensuite d’un délai d’un mois pour accéder à la demande de la personne concernée.

n  Droit de rectification : droit pour la personne concernée d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données inexactes la concernant.

n  Droit d’opposition : droit pour la personne concernée de s’opposer, pour des raisons tenant à sa situation particulière, à un traitement des données personnelles la concernant.

n  Droit d’effacement (droit à l’oubli) : droit pour la personne concernée d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, des données personnelles la concernant.

n  Droit à la portabilité : droit pour la personne concernée d’obtenir et de réutiliser les données la concernant pour ses besoins personnels.

n  Droit à la limitation du traitement : droit pour la personne concernée d’interdire au responsable du traitement de se servir de certaines données collectées.

Comment agir en cas de faille dans la sécurité ?

En cas de violation des données personnelles, une double obligation de notifications’impose à l’employeur ; à la CNIL, dans un délai de soixante-douze heures et à la personne concernée, dans les meilleurs délais.

Une telle violation s’analyse selon la CNIL comme celle « entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

Quel contrôle est exercé par la CNIL ?

Le contrôle exercé par la CNIL en matière de RGPD reste globalement inchangé.

En effet il pourra s’agir d’un contrôle sur place, sur pièces, sur audition ou en ligne.

La nouveauté majeure résultant du RGPD réside dans la volonté de renforcer la coopération afin de permettre une décision harmonisée à portée européenne lors des contrôles exercés sur des acteurs internationaux.

Quelles sont les sanctions encourues ?

En France, seule la CNIL a la capacité de sanctionner les entreprises en cas de méconnaissance des dispositions du règlement.

La CNIL peut ainsi prononcer plusieurs sanctions administratives : avertissement, mise en demeure, injonction de cesser le traitement, suspension des flux de données, ordre de satisfaire aux demandes d’exercice des droits des personnes ou de rectifier, limiter ou effacer des données.

Par ailleurs, des amendes administratives peuvent être prononcer et s’élever, selon la catégorie de l’infraction, à 10 ou 20 millions d’euros, ou à 2% jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise, le montant le plus élevé étant retenu.

(source: www.juritravail.com)

 

Certificat SSL

Qu’est-ce qu’un certificat SSL ?

SSL (Secure Sockets Layer) est un protocole de sécurisation des échanges sur internet qui s’installe sur un serveur. Il permet de :

  • Sécuriser l’envoi et l’intégrité des données entre l’internaute et le serveur.

Lorsqu’on active un certificat SSL, le serveur répond à une série de questions permettant de valider l’identité du site et de la société à qui il appartient. Deux clés numériques cryptées, une privée et une publique, sont ainsi générées par le serveur. Comme son l’indique, la clé privée est personnelle et ne doit pas être divulguée tous azimuts. La clé publique est, quant à elle, employée dans un message envoyé à partir d’un demandeur à une autorité de certification afin de demander un certificat d’identité numérique. Ce message est connu sous le nom de CSR (certificate signing request) et contient des informations d’identification du demandeur.

Qui a recours à un certificat SSL ?

Au début, les certificats SSL étaient utilisés par les sites e-commerce, les webmails et les sites contenant des informations confidentielles et sensibles comme les banques, les impôts, etc. Désormais, l’usage du certificat SSL s’est généralisé et on le trouve, par exemple, dans : la validation d’accès à des sites sécurisés, l’envoi de courriers dématérialisés, les réponses aux appels d’offres, les factures dématérialisées, etc.
certificat SSL sécurité des sites internet

Qu’est-ce qu’un protocole HTTPS ?

HTTP est l’acronyme pour hypertext transfer protocol, et est un protocole de communication (spécification de plusieurs règles pour un type de communication) client-serveur (mode de communication à travers un réseau entre plusieurs programmes) développé pour le Web.
HTTPS est le résultat de la combinaison du HTTP avec une couche de cryptage SSL. Il permet de vérifier l’identité du site web visité par l’internaute, garantit théoriquement la confidentialité et l’intégralité des données envoyées par l’utilisateur et reçues du serveur. Il est également possible de valider l’identité de l’internaute s’il utilise un certificat d’authentification client.
L’HTTPS est très utilisé lors des transactions financières en ligne et dans la consultation de données privées. Il est également utilisé depuis les années 2010 sur les réseaux sociaux.
sécurité de votre site et https

Pour quelles raisons faut-il migrer un site web en HTTPS ?

La raison principale pour effectuer la migration reste de l’ordre sécuritaire. Cela est d’autant plus important, dans le cas des sites web qui collectent des informations sur les utilisateurs ou lorsqu’il s’agit d’un site e-commerce.
Il est légitime de penser que cette migration vienne impacter avantageusement le référencement naturel car elle permet de gagner la confiance des internautes qui sont plus à même de continuer à naviguer sur un site sécurisé. On gagne également la confiance de Google pour qui la sécurité est un important facteur de classement dans son algorithme.
Le HTTPS permet de préserver les sources referral du domaine et montrera souvent le trafic comme du “trafic direct”. Les datas en provenance de Google Analytics sont ainsi modifiées pour refléter davantage la réalité. Par exemple, les sites web en HTTPS pointant vers votre site ne se trouvent plus dans le trafic direct, mais dans le referral.

La présence d’un cadenas sur votre site permet de mettre en confiance l’internaute améliorant au même temps votre e-réputation.

Le certificat de sécurité sera obligatoire lors des prochaines mises à jour des sites web développés avec le CMS WordPress. En cas de non migration vous risquez d’être privé de certaines fonctionnalités. Toutes les pages en HTTP auront la mention “non sécurisé” en juillet 2018 sur Chrome. Selon Google, 68 % des sites internet sur son navigateur internet Chrome sont déjà en HTTPS.
Pour conclure sur ce point, la migration vers la sécurisation n’est pas sans risques, car elle est accompagnée d’un changement de domaine qui implique, la mise en place de la redirection des URL’s, des demandes de crawl de la part de Google, le contenu risque, pendant un laps de temps, d’être vu comme dupliqué, une perte de trafic SEO en cas de migration mal effectuée et la remise à zéro du nombre de partages sur les réseaux sociaux pour les sites de contenu.