RGPD : Comment mettre en œuvre les règlements pour son site web ?

Poursuivez avec la petite série d'articles sur le site web conforme au RGPD. Après avoir effectué la première étape, l'analyse des données à caractère personnel, sur votre site web. En étape n° 2, la création du répertoire des activités de traitement, est sur le point d'être réalisée.

Lorsque vous vous informé sur le RGPD, ses innovations et ses obligations, ce passage sur le répertoire n’est pas souvent compris. Heureusement, des exemples pratiques ont été trouvés sur Internet, également pour les petites entreprises, sur la meilleure façon de dresser cette liste d'activités de traitement.

Note : Il ne s'agit PAS de conseil juridique. Si vous avez besoin d'une aide concrète pour mettre en œuvre le RGPD sur votre site web, vous devriez consulter un juriste.

Qu'entendre par "Répertoire des activités de traitement" ?

Le Répertoire des activités de traitement, est un formulaire à remplir pour chaque activité dans laquelle des données à caractère personnel d'autrui sont collectées et traitées. Comme pratiquement tous les exploitants de sites web et de blogs reçoivent des courriers électroniques de tiers et autorisent les commentaires de blogs, il devient obligatoire pour eux de créer un tel répertoire. Et les adresses IP, qui font également partie des données personnelles, sont enregistrées par pratiquement tous les sites web ou blogs.

Si vous lisez attentivement le RGPD, vous constaterez que le répertoire des activités de traitement ne deviendra obligatoire que pour les entreprises, comptant au moins 250 employés. Cependant, quiconque a déjà pris un grand bol d'air ici sera bientôt déçu, car une autre section du texte stipule que le répertoire doit également être tenu par les entreprises de moins de 250 employés, si le traitement des données n'est pas seulement occasionnel.

Probablement, ce passage a été formulé de manière trop générale et trop vague, de sorte qu'en fait, chaque travailleur indépendant doit régulièrement traiter des données à caractère personnel dans le cadre de ses activités. Si seules les entreprises qui traitent commercialement, de telles données étaient obligées de le faire, la formulation devrait être plus précise. Pour pouvoir établir le répertoire, il faut d'abord analyser quelles données à caractère personnel sont collectées et stockées. C'est pourquoi le premier article du RGPD a été consacré à ce sujet.

Comment le répertoire des activités de transformation est-il structuré en termes de contenu ?

Il existe un certain nombre de modèles de répertoires sur Internet, certains sont plus étendus, d'autres plus concis, il n'y a pas de contenu standard prescrit, après tout, seules certaines informations doivent être incluses dans le répertoire.

Basé votre répertoire des activités de traitement sur le modèle de l'Office d'État bavarois, par exemple pour le contrôle de la protection des données. Sur leur site web, il y a des modèles et des échantillons qui sont particulièrement utiles pour les petites entreprises, y compris pour des secteurs. Prenez l'échantillon pour la boutique en ligne comme base, à savoir qu’il faut transférer les titres des colonnes du tableau, dans un document Word.

Les informations suivantes sont requises dans l'annuaire

En outre, lorsque des données sont transmises à des prestataires de services externes tels que les fournisseurs de bulletins d'information, les hébergeurs, Google Analytics, etc., un contrat de traitement des commandes doit être conclu avec ces prestataires, qui est conforme à la nouvelle réglementation. Cette note (qu'un contrat existe) doit également être mentionnée dans le répertoire.

Sous le tableau, ajoutez la date, le nom du responsable (c'est-à-dire vous) et votre signature lorsque vous imprimé le répertoire. Avec les contrats pour le traitement des commandes, mettez ces documents dans un dossier prêt à l'emploi.

Créez les répertoires suivants

Créez encore un répertoire pour l'utilisation de Google AdSense. Vous n'avez pas besoin de créer un répertoire pour plusieurs lettres d'information que vous envoyez via le même fournisseur de services de lettres d'information, une seule suffit.

Si vous utilisez plusieurs fournisseurs de services de newsletter, vous devez créer un répertoire pour chacun d'entre eux. Il en va de même pour les commentaires de blogs et les formulaires de contact de plusieurs blogs, qui peuvent également être répertoriés dans un seul répertoire, sauf si vous avez vos blogs ou sites web chez différents fournisseurs. En outre, l'utilisation de Google Analytics ne doit être envisagée qu'une seule fois, même si l'outil est utilisé sur plusieurs sites web.

Contrat de traitement des commandes

Si vous n'avez pas de contrat de traitement des commandes avec vos prestataires de services externes, vous pouvez simplement contacter votre hébergeur, votre fournisseur de logiciels de marketing par courriel, etc. Dans la plupart des cas, les entreprises vous enverront un tel contrat sous forme de fichier PDF. Le contrat doit être signé à la main par les deux parties, il doit donc être imprimé et rempli deux fois et chaque partie en recevra un exemplaire. Vous pouvez trouver le contrat sur Google Analytics.

Selon l'ODVSS, le contrat ne doit pas nécessairement être conclu par écrit, la conséquence devrait être qu'il pourrait bientôt être possible de le conclure par voie électronique. Jusqu'à présent, vous devez imprimer tous les contrats et les envoyer aux fournisseurs respectifs. Si vous voulez savoir pour quels services ou auprès de quels fournisseurs vous avez besoin d'un contrat pour le traitement des commandes, vous trouverez une liste détaillée des fournisseurs de services sur blogmojo.de ainsi que des liens vers les ADV respectifs. Par exemple, si vous souhaitez utiliser Dropbox ou Linkedin, vous avez également besoin d'un ADV.

Note : Il faudra probablement encore déterminer si les répertoires pour le traitement des commandes avec les données mentionnées ci-dessus comme contenu sont suffisants. Il n’y a aucune garantie qu'ils doivent contenir ces données ou d'autres. Sûrement, au cours de l'application pratique de la RGPD, certains changements surviendront.

Pourquoi avez-vous besoin d'un tel répertoire ?      

Le répertoire est utile à cet égard, car vous pouvez voir en noir et blanc où vous collectez des données et dans quel but. Si jamais vous recevez une demande d'une autorité de contrôle, vous pouvez la mettre à disposition pour inspection.

Par conséquent, vous devez vous assurer qu'elle est toujours à jour. Si, par exemple, vous changez de fournisseur, les annuaires doivent être adaptés en conséquence et un nouveau contrat pour le traitement des commandes doit être conclu. De la même manière, de nouvelles données ou de nouveaux fournisseurs de services doivent être ajoutés au répertoire.

Liens vers des échantillons et des exemples

Les échantillons et exigences pour les petites entreprises et associations peuvent être trouvés sur le site web de l'Office d'État bavarois pour la surveillance de la protection des données.

L'Office d'État bavarois pour le contrôle de la protection des données a produit une brochure qui répond sur 63 pages à des informations complètes sur le RGPD, le répertoire des activités de traitement, la nécessité d'un délégué à la protection des données et d'autres questions importantes concernant les nouvelles réglementations en matière de protection des données. La brochure s'adresse principalement aux indépendants, aux petites entreprises et aux présidents d'associations.

La brochure Premiers secours sur le règlement de base sur la protection des données pour les entreprises et les associations Le paquet d'action immédiate* est disponible sur Amazon. De nombreux modèles de protection des données et un exemple de répertoire des activités de traitement selon le RGPD sont disponibles en téléchargement sur activeMind. Sur le site de Bitkom, vous pouvez télécharger un PDF complet sur le répertoire de traitement, y compris des modèles et des explications.

Générateur pas à pas pour RGPD

Très utile pour créer votre documentation sur la protection des données et TOM est le Générateur pas à pas de documentation sur la protection des données selon RGPD avec plus de 40 activités pré-remplies pour le répertoire des activités de traitement, le concept de protection des données et l'analyse des risques.

Le paquet facilite grandement la création de sa documentation conforme à la RGPD.

Mesures techniques et organisationnelles (TOM)             

Il s'agit des mesures prises pour garantir le stockage et la collecte sécurisés des données personnelles. Il s'agit tout d'abord des mesures prises chez l'hôte ou le fournisseur respectif, qui sont également incluses dans le contrat de traitement de la commande.

Ensuite, vous devez également rédiger vous-même un document TOM, dans lequel sont énumérées toutes les mesures ou dispositions que vous prenez pour garantir la sécurité de vos données. Cela comprend, entre autres, tous ces points inclus dans le TOM, enregistrés sous forme de document Word une fois imprimé. Une liste de contrôle pour le TOM peut être trouvée sur Audatis. Grâce à de nombreux modèles sur Internet, vous pouvez créer vous-même les répertoires individuels.

Sentez-vous heureux que, par rapport aux grandes entreprises, vous ne collectiez et ne traitez pas vraiment beaucoup de données personnelles, et certainement pas des données sensibles comme les données sur la santé. Cette procédure de création d'un répertoire est assez longue, mais une fois que vous avez une vue claire, c'est rapide et facile. Même s’il peut subsister quelques inconvénients dans le secteur des entreprises unipersonnelles, pour le RGPD, la situation est tout autre, car les opérateurs de sites web et de blogs devraient pouvoir s'éloigner de la portée et des efforts de mise en œuvre du RGPD.