Un poc de tot

Mise à jour 2019 - nouvelle année en cours de téléchargement

Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives

Mise à jour 2019 - nouvelle année en cours de téléchargement

Il n'y a pas de moment mieux choisi pour vous dire merci

de la confiance que vous nous avez témoignée tout au long de l'année.

Nous sommes heureux des relations que nous entretenons

et nous vous souhaitons  prospérité et santé pour cette nouvelle année.

L'équipe de burro-net vous présente ses 

meilleurs vœux pour l'année 2019 !

Votre site Web n'apporte pas le succès souhaité? _____________________________________

Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives

Faites-le décoller en en faisant un outil puissant ! 

 

Faites-vous partie des personnes qui sont constamment contrariés par le fait que leur site Web ne leur apporte pas beaucoup de nouveaux clients?

Depuis que vous avez passé votre temps sacré à créer un site Web, le nombre de personnes qui perçoivent votre entreprise a à peine changé? - Vous avez peut-être même dépensé beaucoup d’argent sur une agence Web et les résultats sont encore loin de vos attentes? -

La visibilité d'une entreprise sur Internet devient de plus en plus une question clé qui permet de déterminer le succès ou l'échec de votre entreprise.
Jusqu'à il y a quelques années, il était peut-être suffisant d'avoir un site Web, mais en raison de la croissance rapide d'Internet et du fait que de plus en plus de clients font leurs achats sur Internet ou choisissent leurs fournisseurs via leurs smartphones a fondamentalement changé la situation.

Donc, si vous êtes un de ces entrepreneurs dont le site Web est peu susceptible de faire une grande différence pour le succès de votre entreprise, assurez-vous de vérifier que votre site Web répond aux exigences actuelles. -  Un site Web peut être un outil très puissant, mais comme pour tous les outils, un site Web ne peut faire un bon travail que s'il répond aux attentes.


Vous ne pouvez pas construire une maison avec un seul marteau non-plus.


En outre, vous devez savoir que la création d’un site Web n’est que la première étape vers le succès. Un site Web est inutile si vous n'utilisez pas cet outil (et ce n'est rien d'autre qu'un outil) et payez simplement pour son hébergement une fois par an.

Votre maison ne serait jamais terminée non plus, même si vous aviez acheté tous les outils dont vous aviez besoin, si vous les laissez dans le garage.


Le site web est donc la base, le point de départ, mais un site Web seul ne crée pas de contact avec le client.

 

Alors, que peut-on faire?


Le mot magique est: 'Référencement'!


Vous avez surement lu ou entendu parler du SEO, peut-être vous avez reçu aussi un certain nombre de conseils chauds, comme d'inscrire votre site web dans un maximum d'annuaires ou le relier à des sites d'autres prestataires et, bien sûr, être présent sur les réseaux sociaux.


Certes, certains de ces conseils peuvent être légitimes (du moins en partie), mais appliqués de manière incorrecte, ces conseils «précieux» peuvent se révéler plutôt nuisibles à vos objectifs.  De plus, sachez que les techniques pour une meilleure visibilité sur Internet sont en constante évolution. Il est donc tout à fait possible qu’une mesure efficace d’hier puisse constituer un obstacle aujourd’hui.

- Vous devez donc rester à l’écoute et faire en sorte que votre site web fasse l’objet de vérifications et d’ajustements réguliers pour s’assurer qu’il répond aux dernières exigences.
Mais qu'est-ce que cela signifie concrètement?
Étant donné que la visibilité sur Internet peut être assimilée à l’indexation dans le moteur de recherche de Google - 90% de tous les utilisateurs se fient aux résultats de recherche Google (certains utilisateurs pensent même que Google est l’Internet),  il est évident qu'un site web doit être adapté aux dernières exigences de Google.

 

La "pyramide de référencement" peut être utile, pour atteindre cet objectif


Mais méfiez-vous, certaines des techniques de la pyramide qui sont assez légitimes aujourd'hui peuvent être dépassées demain, alors assurez-vous de rester à jour et d'intégrer toutes les modifications apportées par Google au processus de référencement lorsque vous travaillez sur le référencement de votre site.
Saviez-vous, par exemple, que Google a fondamentalement changé son algorithme de référencement naturel le 1er août 2018?
Cette mise à jour, tout d'abord appliqué aux sites de santé, finance et sécurité, intitulée «Medic Update», étend progressivement ses exigences spécifiques à tous les autres types de sites internet. Ce nouvel algorithme met l'accent (ainsi que l'algorithme PANDA) sur le contenu des pages Web. -
Jusqu'à ces mises à jour, le défi consistait à placer autant de mots-clés que possible dans les 200 premiers caractères du contenu textuel, mais à partir de maintenant (enfin, je dirais), tout est une question de créer du contenu de qualité. - La restriction de 200 caractères est dépassé, car Google évalue actuellement jusqu'à 800 caractères par texte. - Mais avant de commencer à appuyer sur les touches de votre clavier et de surcharger votre site web avec du texte, sachez qu'il ne s'agit pas de créer 800 caractères de texte. - Il s'agit de créer un contenu de qualité.


Mais qu'est-ce qu'un contenu de qualité?


Bien sûr, comme tout le monde, vous avez une idée de ce qui est de la qualité et de ce qui ne l'est pas, mais il ne s'agit pas de créer de la littérature primée. Il s'agit de créer un contenu qui répond aux 2 critères suivants:



1) Le contenu doit être correctement intégré dans la page Web.


Respectez les hiérarchies HTML et attribuez les balises appropriées aux éléments de votre contenu. Portez une attention particulière aux balises en fonction de leurs objectifs! Les balises Alt par exemple ne sont pas un outil de référencement (tel que les MetaTags) - Les balises Alt sont conçues pour aider les utilisateurs malvoyants à accéder au contenu d'une page Web à l'aide d'un lecteur d'écran. - Une description d'image doit donc être introduite dans une balise Alt si ces descriptions sont importantes pour la compréhension du contenu. Les balises Alt des images incluses dans la page pour des raisons purement visuelles / décoratives obtiennent une balise Alt vide.



2) Le contenu doit être unique et pertinent,

évitez donc le bon vieux copier / coller. Après les derniers jugements et propositions législatives de l'UE, cela peut même vous poser de gros problèmes (cf: filtre de téléchargement) - mais ça c'est un sujet pour une autre entrée de blog...

Bien sûr, il y a des sites Web qui ont témoigné de ce que vous essayez de dire, et peut-être même d'une manière que vous pourriez difficilement exprimer. - Pourtant, essayez! - Dites ce que vous avez à dire, comme vous le dites. Soyez authentique. - Formulez des phrases courtes et faciles à comprendre et évitez les longues débauches. - Mettez-vous à la place de votre lecteur et sachez que, contrairement à vous, il n’a pas d’expertise. Ne vous laissez pas tenter non plus de former votre lecteur dans votre domaine d'expertise (à moins bien sûr que c'est le bbut de votre site Web).
Gardez les passages de texte aussi courts que possible. Illustrez votre contenu avec des images et des graphiques significatifs (une image vaut mille mots).
Mais attention, aussi et surtout avec l'utilisation d'images: "Soyez unique!"
Non seulement que l’utilisation non sollicitée d’images sur Internet est souvent illégale, voire punissable, mais elle est également punie par Google. Par conséquent, il est préférable d'utiliser des images que vous avez créées vous-même, ou des images que vous avez fait créée par un professionnel, ou des images desquelles vous avez acquis les droits d'utilisation.

 

à suivre ...

Si vous ne voulez pas attendre, si vous avez besoin d'une évaluation de votre site Web ou si vous avez besoin d'aide pour mettre en œuvre les mesures de référencement, n'hésitez pas à nous contacter!

Tags: ,

RGPD Etes-vous prêt ? _______________________________________

Note utilisateur: 5 / 5

Etoiles activesEtoiles activesEtoiles activesEtoiles activesEtoiles actives

 

Vous avez probablement reçu beaucoup de courriels d'entreprises vous informant des mises à jour des politiques de confidentialité en raison des changements apportés aux lois européennes sur la protection des données.

Mais le saviez vous, qu'avec l’entrée en vigueur du Règlement européen sur la Protection des Données (RGPD), le 25 Mai 2018, TOUTES  les entreprises sont obligées d'adapter leurs structures à ce nouveau règlement de protection des données?

Pour les entreprises internationales, la future loi de protection des données de l'UE apportera des changements fondamentaux aux pratiques de collecte de données et de sécurité informatique.

La loi sur la protection des données imposera alors de nouvelles réglementations générales en matière de protection des données à toutes les entreprises traitant les informations personnelles des citoyens de l'UE, quelle que soit leur implantation. Le RGPD impose des protections, des limites et des exigences étendues de conformité. Le RGPD impose également de fortes pénalités en cas de non-conformité.

 

Etes-vous en conformité ?

 

Le processus de mise en conformité au règlement est complexe. On peut dire sans aucune difficulté que l’une des plus grosses ratées du GDPR est d’avoir imposé autant d’obligations aux entreprises – et en particulier aux TPE/PME qui sera quasiment dans l’impossibilité de respecter la loi.

– On peut néanmoins adopter une approche par risques juridiques : autrement dit, mettre en place des actions utiles afin de réduire les risques juridiques portés par le texte. De la sorte, on peut réduire 80% des risques majeurs dans un espace temps raisonnable et avec des coûts relativement restreints.

 

Voici donc un PLAN d'ACTION CONCRET à ce titre qui vous permettra d’avancer concrètement:

 

 

1. Minimiser les données personnelles collectées

 

Deux processus devront donc être mis en œuvre à ce titre :

 

1. purger l’ensemble des données qui ne sont pas strictement nécessaires au sein des applications existantes

2. s’assurer de limiter les données collectées à l’avenir

 

Attention donc à bien veiller à mettre ces principes en place pour les traitements tels que :

  • Site Internet
  • Paie
  • Plan de continuité
  • Liste de partenaires
  • Contrôle d’accès aux locaux
  • Cantine
  • Monétique
  • Vidéo surveillance
  • Géolocalisation de véhicules
  • Postes de travail
  • Facturation
  • Embauche (CV…)
  • Outils de prospection commerciale
  • Traçabilité des actions informatiques
  • Gestion d’accès des sauvegardes
  • Logs de serveurs
  • Centrale téléphonique

 

Chaque traitement doit être analysé et l’on doit définir une liste de données qui sont nécessaires par rapport aux besoins relatifs à ce traitement – le reste devant être purgé. Il est nécessaire de tenir à jour une liste des traitements de données personnelles mis en œuvre par l’organisation (cf. ci-après le registre)-

 

 

 2. S’assurer du fondement juridique du traitement

 

Un des éléments clé de la réforme a été de renforcer les droits de personnes au regard de leurs données, et notamment de s’assurer qu’elles donnent leur consentement à leur traitement.

Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

 

a)  la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

b)  le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;

c)  le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;

d)  le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;

e)  le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

f)  le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

 

Par principe, donc, une personne doit matériellement consentir à ce que ses données puissent être traitées pour être dans la légalité. Le consentement est défini par le règlement de la manière suivante:

«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

Il existe évidemment une série de cas dans lesquels il est cohérent d’opérer un traitement de données personnelles quand bien même une personne n’y aurait pas consenti. C’est le cas par exemple lorsqu’une personne victime d’un accident de voiture est dans le coma et qu’il est nécessaire de procéder à une greffe (et donc, traiter des données personnelles sans pouvoir lui demander son consentement). D’où l’exception « d » : lorsque le traitement des données est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée.

Le rôle du responsable est alors de s’assurer que chaque traitement s’inscrit bien dans le respect de ces conditions.

 

Voici quelques exemples :

newsletter -> consentement

Cantine -> consentement

Paye -> obligation légale (noter l’obligation ou les obligations en question)

Vente en ligne (cgv) -> mesures contractuelles / précontractuelles et obligations légales

 

Jusque là, rien de vraiment compliqué.

 

 

3. Éviter de traiter des données sensibles

 

L’article 9 définit cette notion de données sensibles :

« Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits »

Il existe 10 exceptions permettant d’opérer le traitement de telles données qui sont énumérées à l’article 9.2 et que l’on résumera simplement ici :

1. la personne concernée a donné son consentement

2. le traitement est réalisé en matière de droit du travail, de sécurité sociale…

3. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée

4. le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philoso­phique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme

5. le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;

6. le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice

7. le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un ‘État membre

8. le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail

9. le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique

10. le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

 

Le régime juridique des données sensibles est contraignant et va imposer une série de précautions particulières (ex : PIA, sécurité renforcée…). Il est donc très important – soit d’éviter le traitement de ces informations – soit de mettre en place des moyens juridiques adaptés (étude juridique spécifique et mise en conformité).

Il n’y a pas vraiment de solution simple en ce domaine.

 

 

 4. Afficher les mentions légales

 

Le règlement impose au responsable de traitement d’informer la personne dont les données sont traitées d’un certain nombre de mentions - les mentions légales.

 

L’article 13 du règlement définit les informations à indiquer lors de chaque collecte de données personnelles :

  • l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement
  • coordonnées du DPO si DPO
  • finalités du traitement – ainsi que la base juridique du traitement (consentement, obligation légale… – art. 6)si le traitement est fondé sur « les intérêts légitimes du responsable du traitement » (art. 6.1. f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers
  • les destinataires ou les catégories de destinataires des données à caractère personnel
  • le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;

 

De même que les éléments suivants (art. 13.2) :

  • la durée de conservation des données à caractère personnel ou, les critères utilisés pour déterminer la durée
  • l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données
  • l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle
  • des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données
  • l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

 

À noter que ces mentions doivent être affichées au moment ou les données sont obtenues (art. 13, alinéa 1).

Il n’y a rien de très complexe ici – autre que de rédiger un texte indiquant l’ensemble des éléments imposés par la loi et de l’afficher pour chaque traitement.

 

 

 5. Respecter le droit à la portabilité des données

 

Une nouveauté importante introduite par le règlement est le droit à la portabilité des données ! Celui-ci impose au responsable du traitement de mettre en place des moyens pour donner la possibilité à la personne dont les données sont traitées d’exporter ses données personnelles dans un format structuré (xml…).

 

Ce droit est défini par l’article 20 du règlement (qui définit également certaines exceptions et limites) :

Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle (…)

Ce droit à la portabilité fait l’objet des droits qui doivent être anticipés lors du choix d’un système informatique.

 

 

 6. Mettre en place un registre de conformité

 

Le règlement impose aux organisations de tracer l’ensemble des traitements de données personnelles mis en œuvre afin de s’assurer que ceux-ci soient en conformité avec la loi. Cette obligation est complexe, car elle est éparse dans le règlement et ressort de 3 dispositions différentes.

La première est tirée de l’article 5 qui impose l’obligation aux organisations de démontrer que le règlement est bien respecté :

«Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité) »

 

Cette obligation est ensuite reprise à l’article 24, qui prévoit que :

le responsable « met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ».

Or, pour cela, il faut non seulement tracer les traitements mis en œuvre, mais également tracer le fait qu’ils sont bien conformes à l’ensemble des obligations imposées par le règlement.

 

La troisième mention est tirée de l’article 30.1 qui mentionne ici spécifiquement la tenu d’un registre de conformité :

Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité.

 

D’un point de vue strictement juridique, le règlement prévoit une exception pour les petites organisations en dessous de 250 salariés (art. 30.5), toutefois, ce registre a une fonction essentielle qui permet de lister les traitements mis en œuvre au sein de l’entreprise et s’assurer qu’ils sont en conformité par rapport à la loi.

Même si l’article 30.5 autorise les PME à ne pas tenir de registre, la combinaison des articles 5 et 24 impose de facto sa mise en œuvre… Cela fait partie des contradictions du règlement !

 

Conformément aux prescriptions de l’article 30, chaque mention du registre doit indiquer :

 

1. Nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données.

 

2. Finalités du traitement

 

3. Description des catégories de personnes concernées et des catégories de données à caractère personnel

 

4. Catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales

 

5. Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées

 

6. Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données

 

7. Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1

 

Dans tous les cas, lister les traitements mis en œuvre et suivre l’évolution de leur conformité est un minima (feuille Excel / logiciel spécifique sinon).

 

 

7. Assurez la sécurité des données personnelles

 

Dès les premiers articles, le règlement rappelle que la SSI est un enjeu fondamental :

Art. 5. f (principes essentiels) : les données sont « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) »

 

Le cœur de l’obligation de sécurité est ensuite défini par l’article 32, qui impose:

 

Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

a) la pseudonymisation et le chiffrement des données à caractère personnel;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

 

Le texte n’entre évidemment pas dans les détails techniques des mesures qui doivent être mises en œuvre. En termes opérationnels, cela signifie d’analyser les besoins de sécurité de chaque traitement mis en œuvre et mettre en place les mesures adéquates.

 

Il est important néanmoins dans cette classification de conserver une visibilité sur les impacts que peut avoir le traitement et utiliser une grille de classification en termes de risques afin de prévoir les mesures adéquates :

 

Impact négligeable

Les personnes ne sont pas impactées ou ne connaissent que quelques désagréments surmontables sans difficulté. Ex. : perte de temps, réception de spam, réutilisation d’une adresse pour de la publicité

 

Impact limité

Les personnes impactées connaissent des désagréments significatifs qui sont surmontables malgré des difficultés. Ex : frais financiers, refus d’accès à des services ou des prestations commerciales, opportunités perdues, comptes bloqués, augmentation de coûts, dysfonctionnements de comptes, profilage abusif – par exemple sur des données sensibles.

 

Impact important

Les personnes impactées subissent des désagréments significatifs surmontables, mais avec des difficultés réelles. Ex : interdiction bancaire, dégradation de biens, perte d’un emploi, séparation ou divorce, pertes financières significatives, interdiction d’examen.

 

Impact critique

Les personnes impactées subissent des conséquences très significatives et irréversibles, ou insurmontables. Ex : décès, dettes très importantes, impossibilité de retravailler, impossibilité de se reloger, affectation psychologique de longue durée, perte d’un lien familial.

 

 

 8. Maintenez un registre des violations de données personnelles et des procédures de notification à l’autorité de contrôle compétente

 

L'Article 33.1. précise: "En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance.

La notion de violation de données personnelles est (heureusement) définie à l’article 4 : «violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données."

En cas de violation de données le responsable de données et donc tenu à:

a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;


b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;


c) décrire les conséquences probables de la violation de données à caractère personnel;


d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

à l'autorité de contrôle compétente (en France = la CNIL)

 

La seconde obligation notable à ce sujet est l’obligation de notifier la violation de sécurité à la personne concernée elle-même

L’obligation est imposée par l’article 34 :

Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

 

 

9. Nommez un DPO

 

Le responsable du traitement est tenu de désigner un délégué à la protection des données (DPO)

 dans 3 cas :

Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:

 

a)  le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;

b)  les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou

c)  les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

 

Les missions du délégué à la protection des données sont les suivantes:

 -- informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données;

 -- contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant;

 -- dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35;

 -- coopérer avec l’autorité de contrôle;

 -- faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

 

À l’exception des TPE il est donc vivement conseillé d’avoir une personne en charge de la conformité au règlement dans son organisation.

 

 10. Mettez en place une PIA pour les traitements sensibles

 

Le règlement a prévu d’augmenter le niveau de protection du traitement de données personnelles dans les cas qui présentent le plus de risques pour les droits et libertés des personnes, ce qui, en soi, fait complètement sens. Dans ces termes, l’article 35 impose au responsable du traitement de réaliser une étude d’impact sur la vie privée (une PIA pour « Privacy Impact Assessment« ) afin de s’assurer que l’ensemble des risques spécifiques à la vie privée ont bien été maîtrisés.

Le règlement prévoit les dispositions suivantes :

Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

En pratique, une telle étude peut être menée pour un ensemble d’opérations qui présentent des risques identiques (« une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires« ).

 

DANS QUELS CAS EST-ON TENU DE MENER UNE PIA ?

 

Le règlement prévoit la mise en place d’une PIA « lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques »

 

Tout d’abord, en imposant une PIA dans un certain nombre de cas spécifiques – pour des traitements qui présentent par nature des risques importants pour les droits et libertés des personnes. 3 cas sont visés en particulier par l’article 35.3 :

a)  l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;

b)  le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10; ou

c)  la surveillance systématique à grande échelle d’une zone accessible au public.

 

La seconde précision donnée par le règlement quant aux risques spécifiques nécessitant une PIA a été de conférer aux autorités nationales de contrôle l’établissement d’une liste spécifique de traitements à risque, ce qui a au moins la vertu d’éliminer les points de discussion. Celle-ci est prévue par les dispositions des articles 35.4. et 35.5

L’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise conformément au paragraphe (…)

L’autorité de contrôle peut aussi établir et publier une liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise (…)

 

LA PROCÉDURE DU PIA

Dans le cas ou une PIA est imposée, le responsable du traitement a l’obligation  de demander conseil à son DPO si celui-ci a été désigné. On peut synthétiser la procédure de la manière suivante :

une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;

une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1; et

les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

La PIA doit donc être documentée et conduire à la mise en place de mesures permettant de limiter les risques pour les droits et libertés des personnes.

Il est vivement recommandé de suivre une formation spécifique ou de vous faire assister si vous devez mener une PIA.

 

 

 11. Assurez-vous de ne pas transférer des données personnelles hors de l’UE

 

La mise en œuvre de traitements de données personnelles hors de l’UE est strictement encadrée par le règlement européen. En pratique, la loi  va limiter la fourniture de services informatiques par des entreprises hors de l’UE, car elles vont devoir sérieusement se plier à la culture européenne de régulation si elles souhaitent pouvoir vendre à des clients européens.

 

Côté obligations, la loi fait l’objet de modifications assez substantielles et prévoit un mécanisme en cascade afin d’autoriser ou d’interdire un transfert hors UE :

  • soit le transfert bénéficie d’une décision d’adéquation
  • soit de garanties juridiques appropriées (spécialement définies par le règlement)
  • soit de règles d’entreprise contraignantes
  • soit le transfert fait l’objet d’une situation particulière (encore une fois spécialement énumérés)

 

Les  transferts hors UE font partie des éléments qui peuvent revêtir un haut niveau de complexité et qui peuvent présenter un haut niveau de risques, et donc qui ne doivent faire l’objet d’une étude juridique spécifique avant d’être mis en œuvre. Réaliser un transfert qui s’opère en vertu d’une décision d’adéquation peut être très simple à mettre en place – mais encore faut-il avoir étudié la question.

 

 

Conclusion 

Mettre en conformité les traitements de données personnelles au sein d’une organisation au regard du RGPD est une tâche complexe et longue. Nous avons au travers de cet article à peine abordé le sujet tant les dispositions du règlement sont vastes (ex: le  droit à l’oubli), mais il faut bien commencer quelque part et rester pratique !

Si vous devez mettre en conformité les traitements réalisés au sein de votre organisation il est conseillé de se former au préalable ou de se faire accompagner par des professionnels, afin de suivre un processus pas à pas de conformité et – de recourir à des logiciels de conformité RGPD, qui vous assisteront dans la tâche de mise en place d’un registre.

 

L’importance du contenu _______________________________________

Note utilisateur: 4 / 5

Etoiles activesEtoiles activesEtoiles activesEtoiles activesEtoiles inactives

Le contenu de votre site web est un élément clé qu’il ne faut jamais négliger.

Les contenus (textes & images) de tous vos supports de communication reflètent l’image de votre entreprise. Mais pour votre communication en ligne ils prennent un rôle primordial pour votre référencement naturel.

Voici 3 règles d’or à respecter:

 

Règle n°1 : Susciter l’intérêt des destinataires

  • Qui sont vos destinataires ?
  • Quels sujets l' intéressent ?
  • Comment leur parler ?
  • Quel style adopter ?

Autant de questions qu’il faut se poser, pour une rédaction web optimale.

A savoir que vous n’avez que quelques secondes pour retenir l’attention des clients potentiels qui ont atterri sur votre site. En conséquent il faut les captiver et leur offrir un contenu qui pourrait les intéresser.

Il va de soi qu’on ne parlera pas de la même manière à un professionnel automobile qu’à un adolescent de 15 ans.

 

 

Règle n°2 : Présenter un contenu de qualité

Prenez-conscience que votre site et/ou Blog n'est qu'un parmi des millions. Pour évoquer l'intérêt de l'internaute il faut donc  que vous vous démarquez des autres. Présentez un contenu ergonomique, clair, concis et de qualité : c’est l’image de votre entreprise qui est en jeu.

Aussi, choisissez des mots-clés pertinents, afin que votre site ait un bon référencement sur les moteurs de recherche. N’oubliez pas, il faut trouver les mots-clés que le client potentiel cherchera de manière intuitive et non celui que vous utilisez dans vos termes techniques.

Et pour finir mais pas des moindres , veillez la forme de vos contenus. Nombreux sont les sites sur lesquels on retrouve des fautes de frappe, d’orthographe, de grammaire ou de code HTML!

 

 

Règle n°3 : Soigner la mise en page

Évitez les gros blocs de 50 lignes, vos textes doivent être aérés pour permettre à l’œil de votre lecteur d’accrocher : mettez des titres, créez des paragraphes, des colonnes, intégrez des images ou mettez certains mots-clés en gras.

Enfin, variez vos contenus ! Plus attirante au niveau visuel, l’image capte le regard et dynamise vos contenus.
Vous l’aurez compris, les contenus textuels et visuels sont importants et à ne pas négliger!

La consommation du café ... ________________________________________

Note utilisateur: 5 / 5

Etoiles activesEtoiles activesEtoiles activesEtoiles activesEtoiles actives

La consommation du café - avantages et inconveniants

Tout dépend de l'image ________________________________________

Note utilisateur: 5 / 5

Etoiles activesEtoiles activesEtoiles activesEtoiles activesEtoiles actives

Tout dépend de l'image

Sous-catégories