Questions fréquentes à propos de notre outil GDPR Folder

En parcourant le questionnaire, vous aurez à répondre à potentiellement une centaine de questions organisées en 13 rubriques au total (du Profil juqu'au Registre de traitement).

Vous pouvez naviguer d'une rubrique à l'autre avec les flèches "Précédent" ou "Suivant" ou simplement "Enregistrer" pour sauvegarder toutes vos réponses à date.

Vous pouvez donc répondre au questionnaire en plusieurs fois et prendre votre temps.

En cliquant en haut sur "Questionnaire", vous avez l'aperçu général de toutes les rubriques du RGPD.

Les ? sur fond bleu signifient que vous n'avez pas fini de répondre à la rubrique.

Les marques vertes signifient que la rubrique est complète et qu'il n'y a pas de points de non conformité.

Enfin, le ! sur fond rouge signifie qu'il y a des points problématiques dans la rubrique en question.

Idéalement, tout devrait être vert !

De manière général, vous choisissez OUI ou NON. Si vous ne savez pas ou pensez que cette question ne s'applique pas à votre situation, ne répondez pas et un ? sur fond orange s'affichera.

Si votre réponse est conforme, vous verrez une marque verte.

Au contraire, si la réponse est non conforme, un ! sur fond rouge apparaîtra.

En fonction de vos réponses, votre score de conformité visualisé sur la barre située en haut de votre dossier évolue en temps réel.

Ce score donne une indication de votre niveau de conformité sur la base de vos réponses. Il ne s'agit pas d'une note absolue car le RGPD est basé sur un ensemble de principes qu'il faut interpréter et pas sur une liste de critères immuables.

Si vous êtes largement "dans le vert", cela signifie que vous êtes plutôt conformes. Au contraire, si vous avez beaucoup de rouge, cela signifie qu'il y a des sujets importants à aborder pour vous mettre en conformité.

L'ensemble des questions ont été rédigées pour adresser les cas les plus courants rencontrés chez de petites et moyennes entreprises. Elles ne sont pas spécifiques à un domaine d'activité en particulier.

Certaines questions peuvent sembler non pertinentes ou appropriées dans votre cas. Par exemple, dans la rubrique Sécurité Opérationnelle, il y a une question sur un système d'alarme pour sécuriser vos locaux.

De manière générale, il est préférable d'avoir ce type de système pour sécuriser vos locaux et donc vos données. En revanche, il est possible que vos locaux n'aient pas besoin d'être protégés parce que vous êtes déjà dans un ensemble sécurisé (immeuble sécurisé, centre d'affaires, centre commercial...).

Nous vous conseillons dans ce type de cas de laisser la question sans réponse (auquel cas elle apparaîtra en orange) pour éviter d'avoir une réponse non conforme qui ne serait pas forcément justifiée.

Le RGPD a établi des principes pour protéger les données personnelles, la réglementation ne donne pas des règles précises et détaillées pour couvrir tous les aspects.

Ces principes doivent être interprétés lorsque vous renseignez votre dossier : vous devez tenir compte, entre autres, de la taille et de la nature de votre activité.

Par exemple, les dispositions en matière de RH visent à s'assurer que le personnel soit régulièrement sensibilisé, formé à ce sujet. Les moyens employés seront nécessairement plus modestes pour des toutes petites entreprises vs des entreprises qui auraient des dizaines de salariés. En cas de contrôle pour une petite entreprise, il sera plus facile de justifier d'une réponse rouge ou orange.

Le questionnaire vous donne une "photo" à l'instant T pour apprécier votre conformité RGPD. Il permet de documenter vos dispositions en la matière et pourra justifier de vos démarches en cas de contrôle.

Le but est de vous permettre de vous approprier la démarche et de la pousser plus loin en mettant à jour votre dossier régulièrement.

Le fait d'avoir pris le temps de remplir sérieusement votre dossier montre déjà votre volonté de respecter et sécuriser les données personnelles.

NON, GDPR FOLDER est un outil déclaratif et il vous appartient de répondre et compléter le dossier de manière sincère.

Notre outil n'audite pas vos procédures ou ne vérifie pas vos déclarations.

Nous n'auditons pas votre activité mais notre outil a été adopté par des organismes qui pour équiper leurs adhérents ce qui témoigne du sérieux et de la qualité de la démarche.

Il est important de revenir périodiquement vérifier si votre dossier est encore à jour. Deux raisons peuvent nécessiter de la mettre à jour:

• votre activité a évolué et vous avez par exemple à compléter une nouvelle  fiche d etraitement
• Nous avons fait évoluer le dossier RGPD en fonction de l'avolution de la règlementation. Voir dans le blog la rubrique mise à jour

Une fois le questionnaire rempli, vous visualisez immédiatement les réponses non conformes en cliquant sur la zone rouge de la barre de conformité. Vous pouvez commencer par traiter ces points.

Vous pouvez ensuite revoir les réponses en orange (celles auxquelles nous n'avez pas répondu).

Pour certaines questions, nous vous demandons de justifier de certaines démarches en annexant un document à votre dossier. Il vous suffit d'aller chercher sur votre ordinateur le document correspondant en version PDF par exemple. Cela peut être le cas de votre Politique de Confidentialité.

Si vous ne disposez pas d'un tel document, vous allez cliquer NON et nous vous proposerons un modèle pour vous mettre en règle. Il vous reste à copier le contenu, le personnaliser pour votre entreprise et le mettre sur un document interne que vous pourrez ensuite annexer à votre dossier.

Il est tout à fait possible, voire souhaitable, de réaliser votre conformité en plusieurs étapes. Vous pourrez donc revenir sur votre dossier à plusieurs reprises pour préciser et compléter les informations.

A chaque fois, veillez bien à enregistrer vos réponses en cliquant sur le bouton en bas au milieu. A chaque fois cela permet de mettre à jour automatiquement votre dossier.

les versions successives de votre dossier sont conservées. 

n'oubliez pas, même lorsque vous avez terminé de compléter le dossier de revenir périodiquement vérifier s'il est toujours conforme à la réalité de votre organisation et de ,la législation.

Vous avez la possibilité de télécharger aussi souvent que vous le souhaitez votre dossier pour le conserver en PDF sur votre ordinateur ou réseau. Il vous suffit de choisir l'onglet DOSSIER en haut de la page et de générer une version à jour.

Il vous reste à télécharger la dernière version.

Les versions successives sont conservées et restent à votre disposition dans l'outil.

Nous vous proposons de démarrer par la rubrique Délégué à la Protection des Données et de terminer par le Registre de traitements. Une fois ce Registre de traitements complété, vous serez peut être amené à revenir en arrière pour revoir votre Politique de confidentialité mais cela a peu d'importance.

Vous pouvez choisir un ordre différent qui vous conviendrait mieux, cela n'a pas d'impact sur votre dossier.

Il est obligatoire de nommer un DPO lorsqu'on appartient au secteur public ou lorsqu'on traite un grand nombre de données personnelles (plus de 10.000 personnes concernées) ou si l'on traite de nombreuses données sensibles (santé, politique, philosophique, etc.)

Néanmoins, il peut être utile de vous faire aider par un DPO externe qui vous apportera son expérience  et pourra répondre à vos questions.

Le DPO a un rôle de conseil et de contrôle.

• Il conseille l'organisation pour la mettre en conformité
• Il contrôle la mise en conformité en toute indépendance

Lorsque la nomination d'un DPO n'est pas obligatoire, il est néanmoins conseillé de désigner en interne une personne en charge de la mise en conformité au RGPD.

Cette personne peut être n'importe quel collaborateur de l'organisation

Le DPO doit être indépendant du management de l'organisation.

Il ne peut pas être le dirigeant de l'organisation, ni un membre de sa direction.

Il s'agit d'une information globale communiquée au personnel concernant le RGPD. La forme est libre et peut tenir sur 1 ou 2 pages. Ce document doit expliquer le contexte global du RGPD, les implications pour l'entreprise et certains points de vigilance sans rentrer dans le détail.

Cette disposition concerne surtout des entreprises d'une certaine taille et structure qui doivent formaliser leur approche sur le sujet. L'intention est de s'assurer que le sujet est revu de manière régulière par le management et les équipes de direction.

Cela s'applique également aux toutes petites structures ou aux indépendants qui doivent faire un point régulier sur le sujet. En revanche, on attendra moins en termes de formalisation.

Cette question concerne des entreprises qui traitent des données personnelles à des fins statistiques et marketing : datamining, algorythmes, scoring, évaluation du risque, ciblage marketing...

Pour ce type d'étude, il convient d'anonymiser les données personnelles pour éviter les risques éventuels.

Typiquement, il est important que tout le monde n'ait pas accès à toutes les données. Il convient de "compartimenter" les secteurs pour éviter par exemple que n'importe qui ait accès aux données RH ou comptables.

Il faut donc donner des rôles différents à chaque interlocuteur avec des droits d'accès précis.

Si votre entreprises dispose de serveurs dans ses locaux, il convient notamment de bien sécuriser l'accès physique à ces machines.

Ces solutions en général apportent un bon niveau de sécurité mais il est recommandé d'utiliser des sociétés européennes plus susceptibles de respecter le RGPD.

Que les serveurs soient internalisés ou externalisés (cloud), vous devez avoir une politique permettant de sauvegarder régulièrement vos données avec la possibilité de restaurer celles-ci en cas d'incident. C'est un point à aborder avec l'hébergeur.

Cela peut concerner par exemple l'hébergement du site internet ou certaines applications métiers.

Il arrive dans de petites structures qu'une personne "centralise" les mots de passe pour pouvoir répondre à des demandes clients en cas d'absence d'un collaborateur.

Si cela peut être "toléré" temporairement dans de toutes petites structures, ce process est dangereux d'un point de vue sécurité des données.

Il est recommandé de passer par un outil, un tiers ou un prestataire qui permettra d'accéder aux comptes de manière temporaire et en veillant à informer la personne absente.

Il est souhaitable, mais non obligatoire, d'encrypter les données personnelles pour éviter qu'une personne malveillante puisse facilement y accéder.

C'est plus particulièrement le cas pour des données sensibles, très "volumiques" ou qui feraient l'objet d'échanges réguliers d'un système à un autre.

Cela passe en général par l'utilisation d'un outil de cryptage.

Il est souhaitable d'avoir un process pour les collaborateurs et collaboratrices qui quittent l'organisation. Cela passe par l'archivage et/ou suppression des données, la clôture des accès au réseau et outils internes, suppression des mots de passe...

Il est habituel que des équipes IT puissent vous demander accès afin de paramétrer / réparer certains problèmes sur votre poste. C'est acceptable dès lors qu'il y a un accord clair à chaque utilisation d'un outil pour accéder à distance.

En revanche, il n'est pas recommandé d'utiliser les versions gratuites de ce genre d'outils ou de les utiliser de manière systématique (sans vérification).

Que ce soit un simple site vitrine ou un site transactionnel, votre site internet doit être sécurisé pour sécuriser vos données et celles de vos clients.

Votre hébergeur ou l'agence qui a conçu votre site sera en mesure de faire le nécessaire.

Il y a plusieurs aspects à prendre en compte :

• Installer un certificat SSL (pour passer votre site en HTTPS)
• Utiliser des mots de passe sécurisés
• Mettre à jour votre site et ses plugins régulièrement
• Configurer des sauvegardes journalières

La plupart des sites internet déposent des cookies ou traceurs afin d'assurer le bon fonctionnement du site, parfois de personnaliser l'expérience en fonction des profils de visiteurs ou les recibler à des fins marketing.

Dans tous les cas, vous devez informer les visiteurs et leur permettre d'accepter ou refuser ces cookies. Nous vous proposons un texte qui permet d'informer vos visiteurs.

Pour gérer les cookies, rapprochez vous de votre hébergeur ou agence qui pourra vous conseiller et mettre en place la bonne solution.

Votre site peut vous permettre de collecter des données personnelles telles que nom / prénom / société / email / téléphone... cela peut se faire dans un formulaire de contact ou en proposant une newsletter etc.

Vous devez à chaque fois informer la personne du fait que ses données sont collectées et pourront faire l'objet de traitement et en préciser les grandes lignes.

La personne cible doit pouvoir donner son consentement à ce traitement, par exemple en cochant une case d'acceptation.

Aussi appelé Politique de respect des données personnelles, c'est un passage obligatoire du RGPD. Elle est nécessaire dès lors qu'on collecte des données, ce qui est le cas de tous les sites (a minima adresse ip...). Une politique est également nécessaire dans les cas où les données sont collectées dans des lieux physiques, par exemple lorsque le client passe au bureau, agence, point de vente...

Ce document doit être rédigé pour informer les visiteurs de votre site (vos prospects, clients, partenaires) de votre politique en matière de collecte et protection des données personnelles. Il figure en général dans le pied de page à côté des Mentions légales.

Il doit être facilement compréhensible par tous. Il doit notamment aborder le type de données collectées, les bases légales pour cette collecte, les durées de conservation, préciser les droits des personnes concernées, etc.

On ne peut pas se contenter d'un document générique qui stipule en quelques lignes que les données sont collectées et conservées aussi longtemps que nécessaire. Il doit être spécifique sur les durées et les modalités et reprendre toutes les données imposées par l'article 13 du RGPD.

Une politique de vie privée adaptée doit être proposée aux personnes concernées lors de toute collecte de données.

Nous vous proposons un modèle que vous pouvez personnaliser par rapport à votre activité et qui suit cette trame.

Ce document obligatoire pour tout site professionnel reprend un peu la "carte d'identité" de votre site. En général d'une page, ces mentions sont affichées dans le pied de page du site. Le site Service-public.fr précise ce qui est requis.

Mentions légales sur le site Service Public

L'entreprise a deux obligations de manière générale : informer et former les collaborateurs au sujet des données personnelles.

Que ce soit concernant les données personnelles sur papier ou  sur support digital (mail, intranet...), l'entreprise doit informer ses collaborateurs sur le sujet du RGPD en précisant les principes de base, l'implication pour l'entreprise et la marche à suivre.

Parmi les procédures RH, il est important que le sujet des données personnelles soit explicitement intégré / abordé au moment de l'entrée en service de nouveaux collaborateurs. On peut faire référence aux documents internes déjà mentionnés.

Il est recommandé de faire signer la réception de ce type de documents.

Si vous travaillez de manière régulière avec des personnes qui n'ont pas le statut de salarié mais qui utilisent vos outils, vos locaux, vos process et encore plus si c'est une relation exclusive, ils doivent être considérés comme des salariés d'un point de vue RGPD.

En effet, ces personnes sont amenées à gérer, traiter et utiliser vos données clients comme des salariés. Les dispositions RH en matière de RGPD s'appliquent.

Si ce sont des prestations occasionnelles, vous devrez les considérer comme des sous-traitants.

Toute personne, que vous ayez collecté ses données personnelles ou non, a le droit de vous demander un droit d'accès aux données collectées. En cas de collecte de données ces personnes ont également le droit de faire rectifier ces données si elles sont inexactes, et même de vous demander de les effacer. Attention car vous disposez d'un délai d'un mois pour leur répondre.

Comme pour toute organisation, vous avez surement des fichiers ou des bases de données comprenant des données personnelles dont vous ne savez plus nécessairement si vous avez obtenu l'autorisation de traiter les données de ces personnes. Il est donc nécessaire de faire l'inventaire de ces fichiers et de vérifier si vous pouvz donc traiter ces données en conformité avec le RGPD.

Les dispositions dans cette rubrique s'entendent de manière globale pour couvrir toutes vos bases de données (CRM, facturation...) même si les règles peuvent différer légèrement d'un outil à un autre.

Le but est que l'entreprise regarde l'ensemble de ses bases de données pour vérifier le respect du RGPD dans chaque cas.

La plupart des outils et logiciels métiers ont fait le nécessaire pour respecter le RGPD. Au-delà de sécuriser les données, ils permettent de gérer des droits différenciés, accéder voire supprimer des données conformément au règlement.

Dans le cadre de votre activité, vous avez sans doute accès à plusieurs outils et logiciels conformes.

Cela ne vous dispense de vous mettre en conformité puisque ce sont les procédures mises en place autour de ces outils qui sont importantes. Par exemple, c'est vous que les clients et prospects contactent le cas échéant pour supprimer leurs données. Et vous êtes sans doute amené à copier, exporter, transposer des données d'un outil vers l'autre.

En d'autres termes, le simple fait d'utiliser des outils potentiellement conformes ne vous dispense pas de vous mettre en conformité.

Une violation de données est un accès non autorisé, une perte de données, un vol de données, une destruction de données, bref un problème de sécurité.  

Il est essentiel de noter que vous avez 72 heures pour prendre une décision pour remédier si possible à cette violation de données, Votre décision peut-être de 

• considérer que le problème est règlé et qu'aucun risque n'existe pour une personne concernée (par exemple si un PC perdu a été rapidement retrouvé)
• considérer qu'il y a un problème pour les personnes concernées et donc vous prévenez la CNIL
• considérer qu'il y a un problème grave (par exemple divulgation de données de santé) pour les personnes concernées et vous devez alors prévenir la CNIL et les personnes concernées

Après avoir pris votre décision et éventuellement informé la CNIL et/ou les personnes concernées, il est important de mettre en place les mesures nécessaires pour que cet incident ne se reproduise plus

Un sous-traitant est un fournisseur qui traite des données pour vous et selon vos instructions. Une agnce marketing qui effectue une campagne d'emailing pour vous est un sous-traitant, par exemple.

Pour identifier les sous-traitants au sens du RGPD le plus simple est de partir de la liste des fournisseurs, car tous les sous-traitants sont des fournisseurs. Il suffira de chercher ceux qui traitent des données pour vous et selon vos instructions.  Vous devrez alors leur envoyer le contrat de sous-traitance qui vous est proposé par GDPRFolder.

Il est évident que si votre sous-traitant est une grande entreprise comme OVH, Google ou autre, il est inutile de leur envoyer votre contrat de sous-traitance. Il est recommandé de chercher le contrat qu'il propose sur leur site et de télécharger celui-ci et de l'insérer dans votre dossier.

Si vous traitez des données pour le compte d'une autre organisation, comme une agence web ou  une entreprise de livraison par exemple, les responsables de traitement vont vous proposer un contrat de sous-traitance. Si vous l'acceptez, signez-le et insérez-le dans votre dossier.

Vous avez bien entendu la possibilité, si vous le souhaitez de faire vérifier la légalité de ce contrat par un juriste. Si vous le signez, insérez-le dans votre dossier.

Dans les cas de traitements importants de données, ou de données sensibles, il est nécessaires, comme le précise la CNIL de réaliser une analyse d'impact (AIPD). 

C'est assez rare comme les TPE et PME sont rarement dans les cas où cette action est nécessaire. Néanmoins en cas de doute vérifier ce qu'en dit la CNIL.

L'un des premiers objectifs du RGPD est d'inciter les entreprises à faire un inventaire des traitements de données au sein de leur organisation pour sécuriser ces traitements et minimiser les collectes de données et les traitements (en abandonnant les collectes de données inutiles et supprimant les données redondantes ou non nécessaires). On parle alors d'une cartographie des traitements.

Le registre de traitements permet de faire la synthèse de ce travail en présentant les traitements de données et leurs caractéristiques. Chaque traitement est matérialisé par une fiche de traitement qui reprend les données concernées, l'objectif poursuivi, les durées de conservation etc.

Afin de simplifier votre démarche, nous avons déjà défini de nombreuses fiches de traitements "standards" pour les entreprises comme la vôtre.

Certaines sont incluses automatiquement à votre dossier quand d'autres peuvent être ajoutées à la demande.

Il est possible que vous ayez besoin d'ajouter de nouvelles fiches qui ne seraient pas disponibles parmi les fiches standards proposées

Vous allez pouvoir générer une nouvelle fiche de traitement ad hoc en suivant le bouton bleu en bas à droite. Il vous suffira de renseigner les différents champs indiqués pour ajouter tout simplement une nouvelle fiche de traitement spécifique à votre activité.