L'agence qui fait briller votre image

Êtes vous prêt pour le RGPD ?

Le RGPD entrera en vigueur dès le 25 mai 2018 prochain.
Qui est concerné ? Qu’est-ce qu’une Donnée à Caractère Personnel ? Quelles sont vos nouvelles obligations en matière de Données à Caractère Personnel (DCP) ? Quelles sanctions en cas de non-conformité et comment se mettre aux normes ?

Zoom sur le RGPD, son impact sur votre business et sur les mesures à prendre pour éviter d’éventuelles sanctions de la CNIL.

C’est quoi le RGPD ?

Le RGPD, ou Règlement Général sur la Protection des Données est un texte de référence européen pour la protection des Données à Caractère Personnel (DCP).

RGPD - comprendre le reglement general sur la protection des donnees

C’est quoi une Donnée à Caractère Personnel (DCP)?

Une donnée à caractère Personnel est une donnée qui permet :

  • D’identifier une personne : nom, numéro de carte d’identité, identifiant d’administration, mot de passe, numéro de téléphone, email, numéro client…
  • Ou de la catégoriser : opinion, adresse géographique ou géolocalisation, caractéristiques physiques, religion…

A quoi ça sert le RGPD?

  • A uniformiser la réglementation en matière de protection des données à caractère personnel au niveau européen. A uniformiser la réglementation en matière de protection des données à caractère personnel au niveau européen.
  • A responsabiliser tous les acteurs de la chaine de traitement de l’information, quelle que soit leur position (propriétaire des données, prestataire extérieur, hébergeur, etc.)
  • A garantir et renforcer les droits des personnes sur leurs données à caractère personnel (droit à l’accès, droit à l’oubli, droit d’effacement, droit à la portabilité…)
  • A protéger les DCP à toutes les étapes du traitement des données

Qui est concerné par l’application du RGPD ?

Toute entreprise qui manipule des données personnelles appartenant à un citoyen Européen.

Qu’appelle-t-on « traitement des données » exactement ?

La collecte, l’enregistrement, la conservation et le transfert de DCP sont autant de « traitement de données à caractère personnel ».

Exemples de traitements de données à caractère personnel :

  •   Fichiers fournisseurs ou Fichiers clients
  •   Systèmes de paiement par carte bancaire
  •   Fichiers fournisseurs ou Fichiers clients
  •   Systèmes de paiement par carte bancaire
  •   Newsletters et autres collectes d’emails sur un site web
  •   Logs de serveurs
  •   Contrôles d’accès type badgeuses
  •   Dossiers de salariés
  •   Répertoires de contacts sur un téléphone professionnel
  •   Annuaires internes
  •   Systèmes de vidéosurveillance
  •   Applications pour smartphone

Quelles pénalités en cas de non-conformité au RGPD ?

A partir du 25 mai 2018, toute entreprise pourra encourir une sanction pouvant aller jusqu’à 4% de son chiffre d’affaire mondial, ou une amende de 20 millions d’euros (article 83) en cas de non-conformité au RGPD.

RGPD : concrètement, on fait quoi maintenant ?

Commencer par…
  •   Inventorier et catégoriser les DCP possédées dans votre entreprise
  •   Retracer les processus de manipulation des données pour identifier les systèmes les manipulant
  •   Evaluer les raisons pour lesquelles vous possédez les données et combien de temps il est justifiable de les garder
  •   Mettre à jour les textes de consentement et vos conditions générales et légales
  •   Prendre contact avec vos partenaires ou tiers utilisant ces données
  •   Passer en revue les politiques de droits d’accès
  •   Mettre en évidence les solutions de contournement inventées par les utilisateurs pour compenser des besoins non satisfaits
  •   Tester régulièrement vos faiblesses : personnes, processus et outils
  •   Sensibiliser les intervenants et participants au processus de gestion

Mettre en place les meilleures pratiques

  • Principe du moindre privilège : limiter l'accès aux informations uniquement aux utilisateurs qui en ont besoin pour un but ou un rôle légitime
  • Principe du besoin de savoir : les informations ne seront partagées ou discutées que s'il est nécessaire d'effectuer une tâche spécifique
  • Confidentialité par conception : tenir compte de la vie privée des utilisateurs et leur donner le contrôle de leurs données dès la phase de conception

Utiliser le cryptage de manière intensive

  • Passer aux services cryptés de bout en bout
    •   Cryptage et décryptage effectués directement avant d'être envoyés.
    •   Personne ne peut accéder aux données stockées, sauf le propriétaire des données et les utilisateurs autorisés par ce dernier
  • Utiliser https
    •   Crypter le canal de communication entre votre appareil et le service web
  • Utiliser le cryptage local
    •   Protéger le disposif où les informations et les fichiers sont stockés

Mettre en place une gouvernance interne

  • Gérer les niveaux d'autorisation pour accéder aux données : gérer les autorisations d'accès pour les projets ou les dossiers partagés
  • Ajouter des mesures de sécurité par compte : ajout d’une validation en deux étapes à l'aide d'un appel vocal, d'un message texte, d'une application d'authentification dédiée ou d'un e-mail pour offrir une couche de sécurité supplémentaire qui rend la tâche plus difficile encore pour les pirates informatiques.

Mettre en place une gouvernance des partages externes

  • Partager des fichiers contenant des données personnelles avec soin
    •   Les liens de téléchargement révocables évitent le téléchargement non-sécurisé des pièces jointes et, si nécessaire, bloquent un lien après l'envoi de l'e-mail
  • Utiliser des services multi plate-formes
    •   Si les solutions informatiques sécurisées ne sont pas suffisamment flexibles, il est tentant pour les employés de trouver des solutions de contournement non sécurisées

Prévenir les violations (articles 33 et 34)

  • Regarder au travers des yeux d'un attaquant (avocat du diable)
  • Développer un programme de réaction aux incidents (plan)
  • Surveiller le comportement des utilisateurs (éducation)
  • Détecter les attaquants plus tôt (surveillance active)
  • Organiser la réponse aux incidents (24/7/365)

Plan de mise en conformité au RGPD

Construire votre plan de mise en conformité

  •   Créer un registre des données personnelles
  •   Vérifier les processus embarquant des produits tiers et partenaires
  •   Mettre en oeuvre les principes élémentaires du RGPD
  •   Mise en place de politiques de gestion
    •   Connaitre son réseau et identifier les points faibles
    •   Évaluer la vulnérabilité des applications
    •   Tester, surveiller et évaluer régulièrement l'efficacité des mesures de sécurité
    •   Manque de ressources et de temps ? Déléguez !
  • Analyser les risques
    •   Notification des violations (articles 33 et 34)

Plan de conformité au RGPD : Projet type

  •   Définition du périmètre d’application
    •   Identification des acteurs
    •   Identification des responsables des traitements
  •   Désignation d’un pilote
    •   Data Protection Officer (DPO)
  •   Diagnostic Général des pratiques actuelles
    •   Collecte, stockage, et traitement
  •   Hierarchisation et ordonnancement des chantiers à mener
  •   Définition d’un plan d’actions
  •   Mise en œuvre Progressive
RGPD - Se mettre en conformité grâce à un projet type

Définition du périmètre d’application du RGPD

  •   Diagnostic des collectes de données
    •   Cartographie détaillée
    •   Modes de collecte et méthodes de recueil des consentements
  •   Diagnostic des dispositifs de collecte
    •   Analyse des écarts avec le RGPD
    •   Mise en évidence des zones de risque
  •   Diagnostic des bases de données et des flux
    •   Cartographie des lieux et outils de stockage
    •   Identification des données stockées et utilisées
    •   Mise en évidence des flux
    •   Identification des données à risques
  •   Diagnostic de l’utilisation des données
    •   Usage et finalités internes ou externes
    •   Vision claire et complète
  •   Diagnostic des règles et consignes
    •   Mapping des traitements
    •   Identification des règles et procédures en place
    •   Identification des règles et procédures manquantes
    •   Livrable = Registre des traitements

Revue de Maturité RGPD

Parce que chaque entreprise concernée par le RGPD part d’un niveau de maturité très différent, nous vous proposons un diagnostic personnalisé autour de 4 axes essentiels dans le cadre de la mise en conformité au RGPD :

  • Personnes
  • Processus
  • Applications
  • Infrastructure

Au travers d’une revue de maturité de ces 4 axes, nous faisons le point sur votre situation actuelle afin d’envisager les plans d’action les plus pertinents à mettre en place pour votre mise en conformité au RGPD.

Mise à disposition d’outils

Au travers de notre partenariat avec la société BananaCloud, nous mettons à votre disposition des outils répondant aux nouvelles exigences sur la protection des données à caractère personnel, à l’image du plugin « BananaPrivacy » ci-dessous :

Les outils necessaire : le plugin banana Privacy

Le plugin « BananaPrivacy »


  •   Intérêt
    •   Solution de recueil et de preuve de consentement
    •   Solution clé en main
  •   S’intègre à tous les formulaires web
    •   Prestashop, Joomla, Site « maison », etc.
  •   S’adapte à toutes les expériences utilisateurs
    •   Opt-in, newsletter, callback, prise de commandes, conditions générales, etc.
  •   Permet le versionnement des conditions
    •   Historisation des CGU, CGV, etc.
  •   Les données personnelles restent chez vous
    •   Seuls les tokens sont enregistrés sur nos infrastructures en Europe / France
  • « Auditable »
    •   En cas de contrôle, nous produisons la preuve de consentement explicite sur simple demande
  • Sécurisé
    •   Des enregistrements « anonymisés »
  • Performance
    •   Temps de réponse en quelques dizaines de millisecondes
  • Coût
    •   0,01€ les 10 000 premiers clics
    •   0,001€ les suivants

Existe-t-il un moyen d’éviter un processus de mise en conformité au RGPD ?

Le seul moyen pour éviter un processus de mise en conformité au RGPD est d’éviter toutes les données à caractère personnel !

RGPD : vous faire accompagner pour plus de tranquillité et de sécurité

Vous avez bien compris ce qu’implique le RGPD, mais ne disposez ni du temps nécessaire ni des compétences internes pour vous mettre en conformité ? Nous vous proposons nos services pour vous aider à mettre en place ces bonnes pratiques, et vous accompagner dans ce changement d’état d’esprit.

Afin d’établir un état des lieux de votre gestion des données à caractère personnel, nous réaliserons un audit de votre entreprise, puis construirons le plan d’action nécessaire pour vous mettre en conformité avec les nouvelles normes du RGPD avant le 25 mai 2018.

Pour un simple échange téléphonique ou un rendez-vous de travail, contactez-nous au 04 93 42 33 18 ou par email à Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Tel. 04 93 42 33 18
Parc d'Activité des Bois de Grasse
1, avenue Louison Bobet
06130 GRASSE

Lueur Externe

Suivez-nous

En poursuivant votre navigation, vous acceptez le dépôt de cookies tiers destinés à vous proposer des vidéos, des remontées de contenus de plateformes sociales, et mesurer notre audience.