Comment cyboolo s’est mise en conformité avec le RGPD?

Le nouveau règlement général sur la protection des données établi par l’Union Européenne, ou RGPD, constitue le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces informations sur lesquelles les entreprises s’appuient pour proposer des services et des produits. Ce texte couvre l’ ensemble des résidents de l’Union européenne.

Il est d’autant plus facile à mettre en place les mesures de ce règlement que l’on est convaincu qu’il s’agit d’une réelle avancée et d’un progrès tant pour les entreprises que pour les citoyens.

Pour cyboolo, je ne vais pas dire que cette évolution n’a pas entraîné quelques craintes ni quelques complications mais après y avoir beaucoup travaillé dessus et l’avoir implémenté dans mon application web, je dois dire que j’adhère totalement à cette démarche. Elle permet, au-delà de se mettre en conformité avec la réglementation, de réfléchir sur de nombreux aspects du service proposé à ses clients utilisateurs, en l’occurence pour cyboolo: les indépendants (auto-entrepreneur, micro-entrepreneur, EI, SASU, EURL).

C’est aussi une formidable opportunité pour cyboolo de:

  • Montrer que le respect de ses utilisateurs indépendants est important
  • Renforcer la confiance que les indépendants ont en cyboolo!
  • Développer une image positive de la marque et convaincre de nouveaux indépendants d’utiliser cette solution
  • Booster son image de marque

Si toi aussi tu veux te mettre en conformité avec le RGPD, je t’invite à prendre connaissance de ces deux sites qui m’ont beaucoup aidé dans la mise en place de ce nouveau règlement:

Il ne s’agit pas ici pour moi de t’assurer qu’en suivant ces étapes tu seras conforme au RGPD. Chaque entreprise a des particularités qu’il convient de bien analyser et je ne peux que te recommander de t’adresser à un expert pour t’accompagner dans la mise en place de cette nouvelle règlementation. C’est plutôt une façon de montrer, en toute transparence et dans l’esprit du RGPD, ce qui a été fait dans le cas précis de cyboolo.

ETAPE 1 — Désignation d’un pilote

cyboolo est une micro-entreprise et j’en suis le fondateur. J’ai donc été amené à me documenter et à analyser les nombreux textes, avis et conseils. J’assure une veille permanente des évolutions de cette règlementation et m’assure que les mesures sont bien appliquées.

Etant seul maître à bord, le titre de pilote ou de délégué à la protection des données est ici un peu ronflant puisque je n’ai pas à former des collaborateurs ou à coordonner la mise en place de mesures dans une organisation complexe.

J’ai toutefois fait la démarche de me déclarer comme Délégué à la Protection des données auprès de la CNIL (Désignation auprès de la CNIL N°DPO-3322 qui prend effet le 25/05/2018).

Comme indiqué par la CNIL: “Même si votre organisme n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen. Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux”.

Etant aussi seul à traiter les données recueillies sur cyboolo, je suis le responsable du traitement des données pour ma structure. C’est celui qui décide à quoi va servir le fichier constitué avec les données personnelles des usagers et par quels moyens ces données vont être exploitées.

Ce que dit l’article 4.7 du RGPD : «responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre;

ETAPE 2 — Cartographier les traitements de données

C’est l’étape à mon sens la plus importante car elle permet de faire un audit précis et de se rendre compte de toutes les données recueillies par une entreprise lorsqu’elle exerce une activité sur le web. Je n’évoquerai pas ici les données traitées et liées au personnel de l’entreprise, étant une micro-entreprise sans salarié.

Plus cette dimension est prise en compte tôt dans son organisation, plus il est facile de la gérer. Si la conception de ta solution ou des processus de ton entreprise est faite avec le RGPD en tête, l’organisation du traitement des données se fait de manière fluide et logique. C’est ce qui s’appelle le “Privacy by design”, c’est à dire qu’à tous les niveaux de ton entreprise, le traitement des données personnelles doit être évalué et pris en compte, dès la conception de tes différents services.

Ce travail, mené pour cyboolo, a permis de mettre en évidence 3 finalités de traitement des données pour lesquelles il est impératif de savoir répondre aux questions suivantes:

  • Qui?
  • Quoi?
  • Pourquoi?
  • Où?
  • Jusqu’à quand?
  • Comment?

Ces traitements doivent être recensés dans un registre, mis à jour en fonction des évolutions de la nature des données collectées, du mode de traitement,…

Comme indiqué dans la Charte de Protection des Données Personnelles établie par cyboolo, les 3 finalités de traitement peuvent être synthétisées comme suit:

Finalité: Authentification et tracking

Authentification et accès à votre espace cyboolo. Suivi de parcours, analyse de trafic et personnalisation de contenu. Support et aide en ligne.

Nature des données personnelles collectées et utilisées:

Adresse email et adresse IP

Finalité: Informations de profil et outils de communication

Personnalisation du site (Informations de profil et publication de médias de type textes, images, vidéos et commentaires).

Nature des données personnelles collectées et utilisées:

Nom complet, prénom, pseudonyme, identifiants de réseau social, photos, vidéos, historique de conversation, adresse email

Finalité: Système de traitement des paiements et des commissions

Gestion des paiements, des gains et des commissions. Gestion de la facturation. Ces données ne sont ni stockées ni traitées par les serveurs de cyboolo. Elles sont nécessaires pour permettre la bon fonctionnement des services proposés mais aussi pour respecter les règlementations visant à lutter contre la fraude, le blanchiment d’argent et les activités liées au terrorisme.

Nature des données personnelles collectées et utilisées:

Nom complet, prénom, adresse email, date de naissance, pays de naissance, numéro IBAN de compte en banque, adresse professionnelle, adresse, poste occupé dans l’entreprise, nom de l’entreprise, numéro de TVA de l’entreprise, numéro SIRET, photo d’identité, données de carte bleue, numéro d’identité, KBIS

Pour chacune de ces finalités, le registre permet de répondre à toutes les questions citées précédemment, notamment comment sont recueillies les données, où sont-elles stockées, par qui, combien de temps, avec quelles mesures de protection, de droits d’accès et de modification, de transfert, d’utilisation,…

Il est notamment important de pouvoir démontrer que ces données traitées sont essentielles à l’usage du service pour lesquelles elles sont recueillies et dans le strict objectif de la finalité. Il convient aussi de déterminer si il s’agit de données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions). Comme indiqué dans la charte de cyboolo: le site n’autorise pas le recueil de données personnelles sensibles, comme la religion, les orientations politiques ou les données de santé. Le Site s’adressant exclusivement à des professionnels indépendants, le Site n’autorise pas le recueil de données personnelles pour des personnes mineures.

Cette étape est aussi essentielle pour lister l’ensemble des sous-traitants à qui une entreprise fait appel pour faire fonctionner ses propres services. La charte de protection des données personnelles établie par cyboolo te permet de savoir qui sont ces sous-traitants, où ils sont basés et quelles sont leur mesures prises vis-à-vis de la protection des données personnelles.

Une fois que tu as fait ce travail, tu as déjà bien avancé car cela te permet de savoir quelles actions mettre en place et si tu as des “trous dans la raquette” qu’il convient de rectifier.

ETAPE 3 — Prioriser les actions à mener

Sur la base de l’étape 2, en fonction des finalités de traitement, tu dois maintenant t’assurer que tu respectes les droits des utilisateurs:

  • CONSENTEMENT : les entreprises ne peuvent plus exploiter tes données personnelles sans ton consentement actif, clair et explicite.
  • DROIT D’ACCÈS : tu es en droit de demander à une entreprise de te fournir toutes les informations détenues à ton sujet ; elle doit te les fournir dans un délai d’un mois à compter de la réception de la demande.
  • DROIT DE RECTIFICATION : tu es en droit de demander à une entreprise de rectifier, notamment en les complétant ou en les corrigeant, toutes ou certaines informations détenues à ton sujet.
  • DROIT A L’EFFACEMENT (« DROIT A L’OUBLI ») : tu es en droit de demander à une entreprise de supprimer de ses systèmes toutes les informations détenues à ton sujet ; elle devra également, sous certaines conditions, informer les tiers à qui ces données ont été transférées, de ta demande d’effacement.
  • DROIT A LA LIMITATION DU TRAITEMENT : tu peux demander à une entreprise que certaines de tes données ne soient pas traitées. Elles sont alors dites verrouillées.
  • DROIT D’OPPOSITION : tu peux t’opposer à ce que des Données à Caractère Personnel te concernant fassent l’objet d’un traitement.
  • DROIT A LA TRANSPARENCE : Avant et pendant chaque collecte de données, les entreprises doivent t’expliquer leur démarche dans un langage clair et simple.
  • DROIT A LA PORTABILITÉ DES DONNÉES : tu peux faire transmettre tes données entre tes différents fournisseurs de services.

Je te laisse prendre connaissance de la charte de protection des données personnelles établie par cyboolo afin de voir par toi-même comment ces droits sont bien intégrés et pris en compte dans ton intérêt.

Je m’attarderai juste ici sur trois points essentiels qui constituent de réelles nouveautés par rapport à ce qui existait avant le 25 mai 2018:

Le droit à la transparence

Cet article est clairement dans cet esprit de transparence! Je t’écris pour t’expliquer comment je m’y suis pris, à quoi cela sert et t’informer de tes droits en tant que citoyen et utilisateur, ou je l’espère futur utilisateur, des services proposés par cyboolo. La charte de protection des données personnelles a été rédigée afin d’être claire et simple à comprendre. Si malgré tous ces efforts, tu as besoin d’informations ou de précisions complémentaires, tu peux me contacter par mail sur support@cyboolo.io

Le droit à la portabilité

C’est une réelle nouveauté. Tu as dû entendre parler des efforts récents de facebook pour offrir cette possibilité à ses utilisateurs d’exercer ce droit en téléchargeant facilement l’ensemble des données le concernant. C’est certainement la mesure technique la plus difficile à mettre en place mais cyboolo s’est retroussée les manches pour te permettre d’exercer ce droit si tu le souhaites, notamment de récupérer les textes, images et vidéos des cours en ligne dont tu es l’auteur.

Le consentement

Auparavant, je force le trait mais il suffisait d’avoir écrit quelque part en tout petit que le seul fait, par exemple, de visiter le site ou d’utiliser le service constituait ton consentement plein et entier à l’utilisation de n’importe laquelle de tes données personnelles.

Avec le RGPD, le consentement doit être actif, clair et explicite. De plus, l’entreprise doit être en mesure d’apporter la preuve que ce consentement a bien été donné et dans quelle finalité de traitement de données spécifique. Là aussi techniquement ce n’est pas simple et pour appliquer cette mesure de manière transparente, claire et fiable, j’ai fait le choix pour cyboolo d’utiliser les services de la société axeptio, basée à Montpellier.

Pour chaque traitement de données sur le site cyboolo, tu verras une présentation claire et explicite de la demande de consentement en haut ou en bas des formulaires de recueil de données. Par exemple, lorsque tu vas t’inscrire, avant même d’utiliser le service, tu vas retrouver la fenêtre suivante:

Comme dans le cadre de cette authentification nous utilisons ton adresse email et ton adresse IP, nous te demandons ton consentement avant de collecter ces informations. Une fois que ce consentement est donné, tu accèdes à la fenêtre te permettant de t’inscrire ou de te connecter. Tu peux à tout moment revenir sur ton consentement en cliquant sur “Gérer mon consentement” car il doit être pour toi aussi simple de donner ton consentement que de le retirer.

Autre point important à noter, avant de donner ton consentement, tu peux consulter les détails du consentement (là encore tu retrouves l’esprit du RGPD qui impose la transparence et l’information éclairée du citoyen):

Tu retrouves, sur cette fiche de détail, tous les éléments importants. Tu peux aussi voir ton token qui permet à axeptio d’enregistrer et tracer ce consentement, de manière anonymisée, en l’horodatant ce qui permet à cyboolo d’avoir une liste de tous les consentements donnés ou retirés, par qui (car nous associons ce token à ton email dans une base de données) et quand et pour quelle finalité de traitement. Tu peux pas faire plus clair, plus fiable et plus efficace.

Alors évidemment, certains rétorqueront que dans le parcours de visite de l’utilisateur, cela peut faire hésiter, te faire perdre un client et dégrader le design. Mais je crois au contraire que cette démarche permettra à chacun de juger du sérieux de cyboolo et de se rendre compte que je ne prends pas leurs données personnelles, leurs droits et leurs consentements à la légère. Et j’ai tout mis en oeuvre pour que l’expérience utilisateur ne soit ni dégradée ni rébarbative et encore moins contre productive.

Je t’invite par ailleurs à regarder, parmi les services que tu utilises actuellement, quels sont ceux qui te proposent autant de clarté, de transparence et de fiabilité. Pose-toi les questions suivantes lorsque tu donnes ton adresse mail pour une simple newsletter:

  • Ton consentement a-t-il été demandé?
  • Sais-tu qui exactement est le responsable du traitement de ton email?
  • Connais-tu les éventuels sous-traitants chez qui est stocké ton email?
  • As-tu la possibilité de modifier ou supprimer simplement ton email des endroits où il aura été stocké?
  • Sais-tu si ton email peut être revendu, transféré à un tiers pour des campagnes marketing par exemple? Car j’espère que tout le monde aura compris que facebook, par exemple, propose des services qui sont gratuits en apparence mais que son business model est entièrement basé sur la collecte de données à grande échelle pour en faire bénéficier des annonceurs. Ce n’est donc pas gratuit puisque tu communiques tes données qui t’appartiennent avec lesquelles ils font du business!

Si tel n’est pas le cas, sache que le RGPD précise que tu as la possibilité d’exercer des recours auprès des autorités de contrôle telles que la CNIL.

ETAPE 4 — Evaluer et maîtriser les risques

Bien que cela ne soit pas obligatoire dans le cas de cyboolo au regard des critères définis dans les lignes directrices du groupe G29, une analyse d’impact a été menée selon la méthode PIA recommandée par la CNIL afin d’évaluer les risques liés au traitement de données personnelles.

Ce travail long et fastidieux m’a permis d’établir un plan d’action et de mettre en place des processus pour assurer la sécurité des données traitées.

Je ne citerai ici que quelques exemples pour te montrer comment ces risques sont maîtrisés:

  • Par rapport à ton authentification, tu noteras que cyboolo ne te demande pas de mot de passe. Cela peut paraître un détail mais tu ne pourras pas, c’est certain, comme cela s’est vu récemment pour twitter voir l’un de tes mots de passe se retrouver dans la nature à cause de cyboolo tout simplement car tu ne me l’auras jamais communiqué! Et pourtant tu pourras noter que ton authentification se fait de manière sécurisée (lien unique de connexion à durée limitée envoyé sur ta boite mail).
  • Tous les sites édités par cyboolo utilisent le protocole https.
  • Les données ne sont ni transférées à des tiers, ni monétisées à des fins de marketing ou de monétisation de ces données.

Plus généralement, les risques liés à l’utilisation de cyboolo sont maîtrisés et consistent principalement pour moi à surveiller et à contrôler les mesures et l’efficacité de ces mesures des sous-traitants auxquels je fais appel. Sache que ces sous-traitants qui sont tous listés dans la charte de protection des données personnelles ont été choisi pour leur sérieux et leur fiabilité. Tu pourras vérifier par toi-même en te renseignant qu’il s’agit des leaders dans leur créneau et qu’ils garantissent des mesures de sécurité importantes.

ETAPE 5 — Organiser et mettre en place

Cela a déjà été évoqué en partie.

La principale mesure mise en place et que tu peux voir à l’oeuvre concerne le recueil du consentement. C’est ensuite tout mettre en oeuvre pour adopter les bons réflexes et faire en sorte que tout ceci ne soit pas que du blabla et fonctionne dans le temps.

Tu peux enfin prendre connaissance de la charte de protection des données personnelles qui synthétise la manière dont le traitement des données est effectué et comment tu peux exercer tes droits en lien avec cette nouvelle règlementation.

Si jamais, malgré tous ces efforts, il survenait un incident qui entrainerait la fuite, le vol ou la perte de données, je m’engage à:

  • Faire une notification conforme à l’Article 34 bis de la loi n° 78–17 du 6 janvier 1978 modifiée qui sera établie et envoyée à la CNIL dans un délai inférieur à 72h après la prise de connaissance de l’incident.
  • Communiquer aux personnes concernées une information accompagnée des mesures adaptées à l’incident.

J’espère que dans tous les cas, cet article te démontre la volonté qui est la mienne de respecter la règlementation, mais aussi et surtout, de respecter ta liberté, de protéger tes données si tu décides de me les confier et de ne pas les utiliser en dehors du cadre du service offert par cyboolo.

ETAPE 6 — Traçabilité

Tout ce que je viens de décrire se résume en assez peu de documents finalement à tenir à jour:

  • Déclaration DPO
  • Registre du traitement des données
  • Analyse d’impact (Analyse et maîtrise des risques)
  • Contrats avec les sous-traitants et échanges
  • Processus liés aux traitements et notamment en cas de fuite, de vol ou de perte de données
  • Registre de recueil des consentements (via axeptio)

Cette traçabilité est nécessaire afin de bien suivre l’évolution de son processus de traitement, de s’assurer que la charte de protection des données personnelles est cohérente avec ce processus et de disposer de tous les documents nécessaires pour démonter aux autorités de contrôle que cyboolo respecte bien les obligations prévues par le RGPD.

J’espère que tout cela ne t’aura pas donné trop mal à la tête, que tu y as trouvé des informations intéressantes et que tu as pu te rendre compte de tout le travail mené pour t’assurer qu’avec cyboolo, tes données personnelles sont traitées de manière licite, loyale et transparente.

Si tu es expert dans le domaine du RGPD et que tu as des conseils à me donner pour me permettre d’améliorer mon processus de traitement des données personnelles, n’hésite pas à me contacter via support@cyboolo.io mais je t’invite aussi et surtout à t’inscrire sur cyboolo et à faire un cours en ligne sur le RGPD qui intéressera, à n’en pas douter, de nombreuses personnes ;)

Posted on

June 6, 2018

in

Réglementation | cyboolo

category

D'autres Posts qui peuvent t'intéresser

Dernières nouvelles de notre Blog

associés