Questions fréquentes à propos de notre outil GDPR Folder

En parcourant le questionnaire, vous devrez répondre potentiellement à une centaine de questions organisées en 13 sections au total (du profil au registre des traitements).

Vous pouvez naviguer d’un sujet à l’autre avec les flèches « Précédent » ou « Suivant » ou simplement « Enregistrer » pour enregistrer toutes vos réponses à ce jour.

Ainsi, vous pouvez répondre au questionnaire plusieurs fois et prendre votre temps.

En cliquant sur « Questionnaire » en haut, vous avez l’aperçu général de toutes les sections du RGPD.

Le ? sur fond bleu signifie que vous n’avez pas fini de répondre au sujet.

Les marques vertes signifient que l’en-tête est complet et qu’il n’y a pas de points de non-conformité.

Enfin, le! sur un fond rouge signifie qu’il y a des points problématiques dans la section en question.

Idéalement, tout devrait être vert!

En règle générale, vous choisissez OUI ou NON. Si vous ne savez pas ou ne pensez pas que cette question ne s’applique pas à votre situation, ne répondez pas et un ? sur un fond orange sera affiché.

Si votre réponse est conforme, vous verrez une marque verte.

Au contraire, si la réponse est non conforme, un ! sur un fond rouge apparaîtra.

Sur la base de vos réponses, votre score de conformité visualisé sur la barre en haut de votre dossier évolue en temps réel.

Ce score donne une indication de votre niveau de conformité en fonction de vos réponses. Il ne s’agit pas d’un score absolu car le RGPD est basé sur un ensemble de principes qui doivent être interprétés et non sur une liste de critères immuables.

Si vous êtes en grande partie « dans le vert », cela signifie que vous êtes plutôt conforme. Au contraire, si vous avez beaucoup de rouge, cela signifie qu’il y a des sujets importants à aborder pour vous mettre en conformité.

Toutes les questions ont été écrites pour traiter des cas les plus courants rencontrés dans les petites et moyennes entreprises. Ils ne sont pas spécifiques à un domaine d’activité particulier.

Certaines questions peuvent vous sembler non pertinentes ou appropriées. Par exemple, dans la section Sécurité opérationnelle, il y a une question sur un système d’alarme pour sécuriser vos locaux.

En général, il est préférable d’avoir ce type de système pour sécuriser vos locaux et donc vos données. D’autre part, il est possible que vos locaux n’ont pas besoin d’être protégés car vous êtes déjà dans un complexe sécurisé (bâtiment sécurisé, centre d’affaires, centre commercial...).

Nous vous conseillons dans ce type de cas de laisser la question sans réponse (auquel cas elle apparaîtra en orange) pour éviter d’avoir une réponse non conforme qui ne serait pas nécessairement justifiée.

Le RGPD a établi des principes pour protéger les données personnelles, le règlement ne donne pas de règles précises et détaillées pour couvrir tous les aspects.

Ces principes doivent être interprétés lors du remplissage de votre dossier : vous devez tenir compte, entre autres, de la taille et de la nature de votre activité.

Par exemple, les dispositions relatives aux RH visent à faire en sorte que le personnel soit régulièrement sensibilisé et formé à ce sujet. Les moyens employés seront nécessairement plus modestes pour les très petites entreprises que pour les entreprises qui auraient des dizaines d’employés. En cas de contrôle pour une petite entreprise, il sera plus facile de justifier une réponse rouge ou orange.

Le questionnaire vous donne une « image » au moment T pour évaluer votre conformité au RGPD. Il permet de documenter vos dispositions dans ce domaine et sera en mesure de justifier vos démarches en cas d’inspection.

L’objectif est de vous permettre de vous approprier le processus et de le pousser plus loin en mettant à jour votre dossier régulièrement.

Le fait que vous ayez pris le temps de remplir sérieusement votre dossier montre déjà votre volonté de respecter et de sécuriser les données personnelles.

NON GDPR FOLDER est un outil déclaratif et c’est à vous de répondre et de compléter le dossier de manière sincère.

Notre outil ne vérifie pas vos procédures ni vos relevés.

Nous ne vérifions pas votre activité mais notre outil a été adopté par des organisations qui équipent leurs membres ce qui témoigne du sérieux et de la qualité de l’approche.

Il est important de vérifier périodiquement si votre dossier est toujours à jour. Deux raisons devront peut-être être mises à jour :

• Votre activité a évolué et vous devez par exemple remplir un nouveau formulaire de deuil
• Nous avons fait évoluer le dossier GDPR en fonction de l’approbation de la réglementation. Voir dans le blog la section mise à jour

Une fois le questionnaire rempli, vous voyez immédiatement les réponses non conformes en cliquant sur la zone rouge de la barre de conformité. Vous pouvez commencer par aborder ces points.

Vous pouvez ensuite examiner les réponses en orange (ceux auxquelles nous n’avons pas répondu).

Pour certaines questions, nous vous demandons de justifier certaines étapes en joignant un document à votre dossier. Tout ce que vous avez à faire est de récupérer le document correspondant sur votre ordinateur en version PDF par exemple. Cela peut être le cas avec votre politique de confidentialité.

Si vous n’avez pas un tel document, vous cliquerez sur NON et nous vous proposerons un modèle pour vous mettre en ordre. Tout ce que vous avez à faire est de copier le contenu, de le personnaliser pour votre entreprise et de le mettre sur un document interne que vous pouvez ensuite joindre à votre fichier.

Il est tout à fait possible, voire souhaitable, d’atteindre votre conformité en plusieurs étapes. Vous pourrez donc retourner à votre dossier plusieurs fois pour clarifier et compléter l’information.

Chaque fois, assurez-vous d’enregistrer vos réponses en cliquant sur le bouton en bas au milieu. Chaque fois, il vous permet de mettre à jour automatiquement votre fichier.

Les versions successives de votre fichier sont conservées. 

N’oubliez pas, même lorsque vous avez terminé de remplir le dossier pour revenir périodiquement, vérifiez s’il est toujours conforme à la réalité de votre organisation et de votre législation.

Vous pouvez télécharger votre fichier aussi souvent que vous le souhaitez pour le conserver au format PDF sur votre ordinateur ou votre réseau. Choisissez simplement l’onglet DOSSIER en haut de la page et générez une version à jour.

Vous devez toujours télécharger la dernière version.

Les versions successives sont conservées et restent à votre disposition dans l’outil.

Nous vous suggérons de commencer par la section Des responsables de la protection des données et de terminer par le registre de traitement. Une fois ce registre de traitement terminé, vous devrez peut-être revenir en arrière pour revoir votre politique de confidentialité, mais cela n’a pas d’importance.

Vous pouvez choisir une commande différente qui vous convient mieux, cela n’a aucun impact sur votre dossier.

Il est obligatoire de nommer un DPD lorsque vous appartenez au secteur public ou lorsque vous traitez une grande quantité de données personnelles (plus de 10 000 personnes concernées) ou si vous traitez de nombreuses données sensibles (santé, politique, philosophique, etc.).

Néanmoins, il peut être utile d’obtenir l’aide d’un DPD externe qui vous apportera son expérience et répondra à vos questions.

Le DPD a un rôle de conseil et de supervision.

• Il conseille à l’organisation de le rendre conforme
• Il surveille de manière indépendante la conformité

Lorsque la nomination d’un DPD n’est pas obligatoire, il est néanmoins conseillé de désigner en interne une personne en charge du respect du RGPD.

Cette personne peut être n’importe quel employé de l’organisation

Le DPD doit être indépendant de la direction de l’organisation.

Il ne peut pas être le chef de l’organisation, ni un membre de sa direction.

Il s’agit d’informations globales communiquées au personnel concernant le RGPD. Le formulaire est gratuit et peut tenir sur 1 ou 2 pages. Ce document doit expliquer le contexte général du RGPD, les implications pour l’entreprise et certains points de vigilance sans entrer dans les détails.

Cette disposition concerne principalement les entreprises d’une certaine taille et structure qui doivent formaliser leur approche sur le sujet. L’objectif est de s’assurer que le sujet est examiné régulièrement par la direction et les équipes de gestion.

Cela s’applique également aux très petites structures ou aux indépendants qui doivent faire une mise à jour régulière sur le sujet. D’autre part, nous nous attendrons à moins en termes de formalisation.

Cette question concerne les entreprises qui traitent des données personnelles à des fins statistiques et marketing : datamining, algorithmes, notation, évaluation des risques, ciblage marketing...

Pour ce type d’étude, les données personnelles doivent être anonymisées pour éviter d’éventuels risques.

En règle générale, il est important que tout le monde n’ait pas accès à toutes les données. Il est nécessaire de « compartimenter » les secteurs pour éviter, par exemple, que quiconque ait accès aux données RH ou comptables.

Il est donc nécessaire de donner des rôles différents à chaque interlocuteur avec des droits d’accès spécifiques.

Si votre entreprise a des serveurs dans ses locaux, il est important de sécuriser l’accès physique à ces machines.

Ces solutions en général offrent un bon niveau de sécurité, mais il est recommandé d’utiliser les entreprises européennes plus susceptibles de se conformer au RGPD.

Que les serveurs soient internes ou externalisés (cloud), vous devez avoir une politique pour sauvegarder régulièrement vos données avec la possibilité de les restaurer en cas d’incident. C’est un point à discuter avec l’hôte.

Cela peut concerner, par exemple, l’hébergement du site Web ou de certaines applications métier.

Il arrive dans les petites structures qu’une personne « centralise » les mots de passe pour pouvoir répondre aux demandes des clients en cas d’absence d’un employé.

Si cela peut être temporairement « toléré » dans de très petites structures, ce processus est dangereux du point de vue de la sécurité des données.

Il est recommandé de passer par un outil, un tiers ou un fournisseur qui permettra l’accès aux comptes temporairement et de s’assurer d’informer la personne absente.

Il est souhaitable, mais pas obligatoire, de chiffrer les données personnelles pour empêcher un attaquant d’y accéder facilement.

C’est notamment le cas pour les données sensibles, très « volumétriques » ou qui feraient l’objet d’échanges réguliers d’un système à l’autre.

Cela implique généralement l’utilisation d’un outil de cryptage.

Il est souhaitable d’avoir un processus pour les employés qui quittent l’organisation. Cela implique l’archivage et / ou la suppression de données, la fermeture de l’accès au réseau et des outils internes, la suppression des mots de passe, etc.

Il est habituel que les équipes informatiques puissent vous demander l’accès pour configurer / réparer certains problèmes sur votre ordinateur. Ceci est acceptable tant qu’il y a un accord clair chaque fois qu’un outil est utilisé pour accéder à distance.

D’autre part, il n’est pas recommandé d’utiliser des versions gratuites de ces outils ou de les utiliser systématiquement (sans vérification).

Qu’il s’agisse d’un simple site vitrine ou d’un site transactionnel, votre site Web doit être sécurisé pour sécuriser vos données et celles de vos clients.

Votre hôte ou l’agence qui a conçu votre site sera en mesure de faire le nécessaire.

Il y a plusieurs aspects à considérer :

• Installer un certificat SSL (pour basculer votre site vers HTTPS)
• Utilisez des mots de passe sécurisés
• Mettez à jour votre site et ses plugins régulièrement
• Configurer des sauvegardes quotidiennes

La plupart des sites Web déposent des cookies ou des traceurs pour assurer le bon fonctionnement du site, parfois pour personnaliser l’expérience en fonction des profils des visiteurs ou les recibler à des fins de marketing.

Dans tous les cas, vous devez informer les visiteurs et leur permettre d’accepter ou de rejeter ces cookies. Nous vous proposons un texte qui informe vos visiteurs.

Pour gérer les cookies, contactez votre hôte ou votre agence qui peut vous conseiller et configurer la bonne solution.

Votre site peut vous permettre de collecter des données personnelles telles que le nom / prénom / entreprise / e-mail / téléphone ... Cela peut être fait dans un formulaire de contact ou en offrant une newsletter, etc.

Vous devez informer la personne à chaque fois du fait que ses données sont collectées et peuvent faire l’objet d’un traitement et spécifier les lignes principales.

La personne cible doit être en mesure de donner son consentement à ce traitement, par exemple en cochant une case d’acceptation.

Aussi appelée Politique de confidentialité, il s’agit d’un passage obligatoire du RGPD. Il est nécessaire dès que les données sont collectées, ce qui est le cas pour tous les sites (au moins l’adresse IP...). Une politique est également nécessaire dans les cas où les données sont collectées dans des emplacements physiques, par exemple lorsque le client se rend au bureau, à l’agence, au point de vente...

Ce document doit être rédigé pour informer les visiteurs de votre site (vos prospects, clients, partenaires) de votre politique sur la collecte et la protection des données personnelles. Il apparaît généralement dans le pied de page à côté de l’avis juridique.

Il doit être facile à comprendre pour tous. Il doit notamment traiter du type de données collectées, des bases légales de cette collecte, des périodes de conservation, préciser les droits des personnes concernées, etc.

Nous ne pouvons pas nous contenter d’un document générique qui indique en quelques lignes que les données sont collectées et conservées aussi longtemps que nécessaire. Il doit être spécifique sur les durées et les modalités et inclure toutes les données imposées par l’article 13 du RGPD.

Une politique de confidentialité adaptée doit être offerte aux personnes concernées lors de toute collecte de données.

Nous vous proposons un modèle que vous pouvez personnaliser en fonction de votre activité et qui suit ce cadre.

Ce document obligatoire pour tout site professionnel prend un peu de la « carte d’identité » de votre site. Habituellement d’une page, ces mentions sont affichées dans le pied de page du site. Le site spécifie Service-public.fr ce qui est requis.

Mentions légales sur le site Web de la fonction publique

L’entreprise a deux obligations en général: informer et former les employés sur les données personnelles.

Qu’il s’agisse de données personnelles sur papier ou sur support numérique (email, intranet...), l’entreprise doit informer ses collaborateurs sur le sujet du RGPD en précisant les principes de base, l’implication pour l’entreprise et la procédure à suivre.

Parmi les procédures RH, il est important que le sujet des données personnelles soit explicitement intégré / traité lorsque de nouveaux employés sont mis en service. On peut se référer aux documents internes déjà mentionnés.

Il est recommandé de faire signer la réception de ce type de document.

Si vous travaillez régulièrement avec des personnes qui n’ont pas le statut d’employé mais qui utilisent vos outils, vos locaux, vos processus et plus encore s’il s’agit d’une relation exclusive, elles doivent être considérées comme des employés du point de vue du RGPD.

En effet, ces personnes sont tenues de gérer, de traiter et d’utiliser vos données client en tant qu’employés. Les dispositions RH du RGPD s’appliquent.

S’il s’agit de services occasionnels, vous devrez les considérer comme des sous-traitants.

Toute personne, que vous ayez collecté ses données personnelles ou non, a le droit de vous demander un droit d’accès aux données collectées. En cas de collecte de données, ces personnes ont également le droit de faire rectifier ces données si elles sont inexactes, et même de vous demander de les supprimer. Soyez prudent car vous avez un délai d’un mois pour y répondre.

Comme pour toute organisation, vous avez probablement des fichiers ou des bases de données contenant des données personnelles que vous ne savez plus nécessairement si vous avez obtenu l’autorisation de traiter les données de ces personnes. Il est donc nécessaire de faire un inventaire de ces fichiers et de vérifier si vous pouvez donc traiter ces données conformément au RGPD.

Les dispositions de cette section sont généralement comprises comme couvre l’ensemble de vos bases de données (CRM, facturation...) même si les règles peuvent différer légèrement d’un outil à l’autre.

L’objectif est que l’entreprise examine toutes ses bases de données pour vérifier la conformité au RGPD dans chaque cas.

La plupart des outils et logiciels commerciaux ont pris les mesures nécessaires pour se conformer au RGPD. Au-delà de la sécurisation des données, ils permettent de gérer des droits différenciés, d’accéder ou même de supprimer des données conformément au règlement.

Dans le cadre de votre entreprise, vous avez probablement accès à plusieurs outils et logiciels conformes.

Cela ne vous dispense pas de vous y conformer puisque ce sont les procédures mises en place autour de ces outils qui sont importantes. Par exemple, c’est vous que les clients et les prospects contactent si nécessaire pour supprimer leurs données. Et vous devez probablement copier, exporter, transposer des données d’un outil à un autre.

En d’autres termes, le simple fait d’utiliser des outils potentiellement conformes ne vous exempte pas de conformité.

Une violation de données est un accès non autorisé, une perte de données, un vol de données, une destruction de données, bref, un problème de sécurité.  

Il est essentiel de noter que vous avez 72 heures pour prendre une décision pour remédier à cette violation de données si possible, Votre décision peut être de 

• considérer que le problème est résolu et qu’il n’existe aucun risque pour une personne concernée (par exemple, si un PC perdu a été rapidement trouvé)
• considérez qu’il y a un problème pour les personnes concernées et donc vous avertissez la CNIL
• considérer qu’il existe un problème grave (par exemple la divulgation des données de santé) pour les personnes concernées et vous devez alors en informer la CNIL et les personnes concernées

Après avoir pris votre décision et éventuellement en avoir informé la CNIL et/ou les personnes concernées, il est important de mettre en place les mesures nécessaires pour que cet incident ne se reproduise plus.

Un sous-traitant est un fournisseur qui traite les données pour vous et selon vos instructions. Une entreprise de marketing qui mène une campagne d’e-mail pour vous est un sous-traitant, par exemple.

Le moyen le plus simple d’identifier les sous-traitants au sens du RGPD est de partir de la liste des fournisseurs, car tous les sous-traitants sont des fournisseurs. Il suffira de rechercher ceux qui traitent les données pour vous et selon vos instructions.  Vous devrez alors leur envoyer le contrat de sous-traitance qui vous est offert par GDPRFolder.

Il est évident que si votre sous-traitant est une grande entreprise comme OVH, Google ou autres, il est inutile de lui envoyer votre sous-traitance. Il est recommandé de rechercher le contrat qu’il propose sur leur site et de le télécharger et de l’insérer dans votre fichier.

Si vous traitez des données pour le compte d’une autre organisation, telle qu’une agence Web ou une société de livraison par exemple, les contrôleurs vous proposeront un contrat de processeur. Si vous êtes d’accord, signez-le et mettez-le dans votre dossier.

Vous avez bien sûr la possibilité, si vous le souhaitez, de faire vérifier la légalité de ce contrat par un avocat. Si vous le signez, mettez-le dans votre dossier.

Dans le cas d’un traitement important de données, ou de données sensibles, il est nécessaire, comme spécifié par la CNIL, de réaliser une étude d’impact (DPIA). 

C’est assez rare car les VSE et les PME le sont rarement dans les cas où cette action est nécessaire. Néanmoins, en cas de doute, vérifiez ce que dit la CNIL.

L’un des premiers objectifs du RGPD est d’encourager les entreprises à faire un inventaire du traitement des données au sein de leur organisation afin de sécuriser ce traitement et de minimiser la collecte et le traitement des données (en abandonnant la collecte de données inutiles et en supprimant les données redondantes ou inutiles). C’est ce qu’on appelle une cartographie des traitements.

Le registre de traitement permet de synthétiser ce travail en présentant le traitement des données et ses caractéristiques. Chaque traitement est matérialisé par une feuille de traitement qui comprend les données concernées, l’objectif poursuivi, les périodes de stockage, etc.

Afin de simplifier votre processus, nous avons déjà défini de nombreuses feuilles de traitement « standard » pour des entreprises comme la vôtre.

Certains sont automatiquement inclus dans votre fichier tandis que d’autres peuvent être ajoutés à l’application.

Vous devrez peut-être ajouter de nouvelles cartes qui ne sont pas disponibles parmi les cartes standard offertes.

Vous pourrez générer une nouvelle feuille de traitement ad hoc en suivant le bouton bleu en bas à droite. Il suffit de remplir les différents champs indiqués pour simplement ajouter une nouvelle feuille de traitement spécifique à votre activité.