Saviez-vous que lorsqu’on crée une application ou un site qui va récupérer des données personnelles, les règles du RGPD doivent obligatoirement être appliquées ? C’est ce que l’on appelle le “Protect by Design”.
Et cette règle ne s’applique pas seulement aux grandes entreprises : toutes les applications ayant accès à des noms, adresses, genres… bref, à des données personnelles, y sont soumises.
Mais un simple chiffrement par défaut, du genre « on commence comme ça, on verra plus tard », ne fonctionne pas non plus. D’emblée, l’application ou le site doit être pensé avec le plus haut degré de protection et de respect du RGPD, ce qu’on appelle le “Protect by Default”.
Vous ne le saviez pas ? Vous doutez de votre conformité RGPD ? Pas de panique : on vous explique en détail tous les points à cocher pour être à 100 % ok sur les RGPD !
1. On ne récolte que les données dont on a besoin
La loi en matière de RGPD interdit de récolter des données pour récolter des données.La collecte doit toujours avoir lieu dans un but précis : livraison, envoi de newsletter, promotion d’anniversaire…Cela implique que vous n’avez le droit de récolter que les informations dont vous avez besoin et que vous êtes capable de justifier pourquoi vous avez besoin des informations en question.
2. Les données ne sont pas éternelles et elles ne doivent pas se perdre
Une fois que vous avez récupéré les données de vos clients, vous n’avez pas le droit de les garder ad vitam æternam, ni de les perdre. Elles doivent être stockées à un endroit précis et sécurisé, et vous devez prévoir leur destruction au terme d’un délai prévu.Et bien sûr, le lieu, le niveau de sécurité et le temps de stockage doivent être renseignés de manière claire, précise et accessible.
3. Le client est toujours propriétaire de ses données et vous en avez la charge
Avoir la charge des données de vos clients, ce n’est pas rien. D’autant plus qu’elles leur appartiennent toujours. Si l’un de vos clients vous demande de consulter les données que vous avez sur lui, de les rectifier ou de les supprimer complètement, vous êtes dans l’obligation de répondre rapidement et efficacement à cette demande. On vous conseille donc de savoir précisément où sont rangées chaque donnée !
4. Vous êtes responsable des outils externes et de leur utilisation des données
On pense souvent que parce qu’on utilise un outil réputé comme Airtable, Zapier, Make ou Notion, on est OK au niveau RGPD, et c’est une erreur. Vous êtes responsable des données, même sur des outils externes. Vous avez donc tout intérêt à savoir ce que les plateformes font ou non, et à choisir quelles données vous traitez avec quelle application. Car si une application est américaine ou européenne, elle ne répond pas aux mêmes obligations !
5. Vous devez maîtriser les permissions
Comme nous l’avons dit, le protect by default vous astreint d’emblée à la plus grande sécurité.Chaque maillon de la chaîne du workflow qui manipule des données ( agent humain, IA ou bot ) ne doit avoir accès qu’aux informations dont il a besoin pour faire son travail.Il doit avoir son propre compte, ses accès doivent être limités, les mots de passe et tokens doivent être sécurisés, et chaque information doit être chiffrée et verrouillée en toute circonstance, même juste pour un test.
6. La sécurité passe d’abord et avant tout
Les règles RGPD vous obligent à penser à la sécurité avant de construire quoi que ce soit. L’aspect sécurité et RGPD doit faire partie du cahier des charges et être totalement inclus dans la construction de vos projets.
7. Tout doit être répertorié
Si vous n’êtes pas familier avec les carnets de bord, avec le RGPD c’est le moment parfait pour vous y mettre. Pour assurer la meilleure traçabilité et la plus grande transparence, tout doit impeccablement être répertorié :
- Les moyens : quels sont les outils, quels sont les agents, qu’est-ce qu’ils font, comment ça marche ?
- Les données : qu’est-ce qu’on récolte, pourquoi, où est-ce que ça va, combien de temps, qui y a accès ?
- Les bases légales : on a le droit de récolter ci ou ça parce que… c’est dans le contrat, c’est un intérêt légitime, le client a donné son consentement, etc.
8. La politique de confidentialité est obligatoire
La dernière phase du RGPD est de rendre les informations dont vos clients ont besoin transparentes et accessibles.C’est à cela que servent les politiques de confidentialité. En réalité c’est assez simple, il faut simplement expliquer quelles données vous récoltez, pourquoi, pour combien de temps, avec quels outils, comment les supprimer et où contacter le responsable en cas de question.
La checklist de conformité RGPD
Pour vous y retrouver facilement et être sûr que vous êtes en totale conformité, nous vous avons préparé une checklist de conformité en béton.Il n’y a qu’à vérifier point par point et vous assurer que tout est OK :
- ·Toutes les données collectées le sont dans un but précis et légal ;
- Les données sont stockées en sécurité et supprimées après un moment donné ;
- Les données peuvent être modifiée ou supprimée à tout moment ;
- Les bots, et les agents AI et humains ont des permissions strictement limitées à leurs missions ;
- Les outils externes sont maîtrisés ;
- Une sécurité maximale est pensée dès le début ;
- Tout est documenté ;
- Une politique de confidentialité claire est disponible.
Vous avez besoin d’aide pour réaliser la gestion de vos données ?
Les RGPD peuvent être simples sur le papier, mais bien souvent leur mise en œuvre peut être plus problématique.Il y a beaucoup de points à prendre en compte, et plus on a de données à traiter, plus il y en a. La bonne nouvelle, c’est que la gestion des RGPD peut être automatisée !
Mais si vous êtes du genre pressé, ou que vous n’êtes pas suffisamment à l’aise avec l’automatisation, il n’y a qu'à demander et on se charge de tout. Pour ça, il suffit de nous contacter !
Évitez de perdre du temps et de l’argent : pensez au sur-mesure
Vous cherchez une véritable solution pérenne et spécialisée, capable de s’intégrer à votre workflow pour réduire les points de friction et éliminer les goulots d’étranglement ?
Chez Automatisons, nous étudions votre workflow et mettons en place des solutions qui prennent en compte vos besoins, vos limites, vos budgets, vos outils, vos habitudes et vos objectifs. Nous mettons les applications sur mesure à la portée de chacun.
Contactez-nous et trouvez la solution pour améliorer les performances de votre entreprise, sans effort, sans perdre de temps et sans gaspiller d’argent.
