Je suis assez sûre qu’on est pas mal à être dans les choux sur le sujet, mais c’est pas une excuse pour que je ne fasse rien…
J’espère que certains d’entre vous ont déjà plus avancé que moi ! Et je me dis que certains aspects sont partageables. Par exemple, lorsqu’on a un cloud, les données concernées par le RGPD sont sensiblement les mêmes d’une structure à l’autre.
Du coup, à quoi ressemble votre Registre des activités de traitement ? N’ayant pas la foi de chercher chez les 80 chatons qui a fait le job, j’en appelle au public
Chez Khaganat, pour le moment ça ne ressemble pas à grand chose, mais si ça peut aider, c’est ici : https://khaganat.net/wikhan/fr:rgpd:start ; avec un lien depuis la page des mentions légales.
Je n’ai pas trop de doute sur le fait que c’est branlant et à plus d’un titre. J’ai prévu de me remettre à bosser sur le sujet parce que quelqu’un m’a proposé son aide. Vu que je ne dois pas être la seule à ramer sur le sujet, il me semble utile de solliciter le S de chatons sur ce coup-là. Si on peut avoir des bases de fiches suivant les services, par exemple…
Coté Enough c’est un peu particulier parce que la communauté est horizontale (pas d’organisation, uniquement des individus, zéro niveau de hiérarchie). La responsabilité coté RGPD n’est pas pour autant inexistante mais elle est moins facile à identifier. Déjà que c’est pas évident à la base…
Je discuterais volontiers de ce que ça implique mais je doute que ce soit intéressant pour qui que ce soit, parce qu’il n’existe pas à ma connaissance d’autre CHATONS qui sont dans ce cas.
À partir du moment où on collecte uniquement des données nécessaires pour rendre le service et qu’on ne fait pas de traitement de données collectées, ça réduit grandement la quantité de travail à faire pour satisfaire au RGPD
Ci-joint les en-têtes de mon fichier, je ne fais pas de fiches comme sur celui de la CNIL, j’ai tout sur une ligne. Il y a 2 registres ça dépend si ReflexLibre est considéré comme sous-traitant ou pas pour le traitement. https://fichier.reflexlibre.net/s/8zorR76iPHoT7Y2
Mais concrètement, il n’y a pas une recette à appliquer, ça dépend de l’activité exacte du chaton.
Et sinon, l’annexe RGPD est publiée sur mon site https://reflexlibre.net/fr/rgpd.html . Avant je faisais un contrat et une annexe RGPD par client, mais c’est beaucoup trop long, maintenant j’ai des CGS, et j’arrive en général à décrire les éventuelles conditions spécifiques en bas du devis sur quelques lignes.
Du côté du Filament, on a d’abord défini qu’on n’hébergeait pas de données personnelle de nos clients (uniquement celles nécessaires à contacter / facturer nos clients, mais pas leurs données internes ou sur leurs propres clients). Du coup on est sous-traitant pour la plupart des traitements, ce qui n’est pas forcément le cas de la plupart des CHATONS.
Du coup on a réalisé plusieurs actions (qu’on essaie de penser à tenir à jour, le fait de répondre à ce message me permet de penser à le faire ) pour se mettre en conformité :
signature des CGV avec une section dédiée à la protection des données personnelles
mise en place d’un registre responsable de traitement où on a listé les activités suivantes :
RH : gestion personnel/paye/mutuelle et recrutement
Prospection
Clients : facturation e suivi projet
mise en place d’un registre du sous-traitant avec :
liste des clients et adresses postales
liste des OPCO (qui prennent en charge nos formations pour le compte des clients)
différents traitements de données réalisés pour les clients avec pour chaque les données collectées, les traitements réalisés et la liste des clients concernés, voici notre liste de traitements :
administration / maintenance des outils
site web / boutique en ligne
CRM / facturation / partenariats / annuaires / gestion des stocks / suivi activité / gestion de projet
Partage de fichiers et édition collaborative
Applications spécifiques (là c’est plus long à remplir du coup…)
mesures de sécurité mises en place
contrat de sous-traitance / CGV
procédure de traitement des demandes (accès, portabilité, rectification, opposition, etc.)
Si vous voulez plus d’infos, pas de problème pour rentrer plus dans les détails
Voici un exemple de registre des activités de traitement - cela se compose d’une série de fiches registre [1] qui recensent toutes les activités qui implement le traitement de données personnelles. Si vous souhaitez voir en détail comment on crée un registre avec un logiciel de gestion de la conformité RGPD vous pouvez voir la démo [2], mais le principe est assez simple :
recenser toutes les activités de l’entreprise qui impliquent des données personnelles
écrire activité de traitement dans une fiche registre - au format exigé par l’article 30 du RGPD (voir ici le détail [3])
Après, vous devrez vous assurer de la mise en conformité légale de chaque activité afin de s’assurer qu’elle s’exécute conformément aux obligations imposées par le RGPD.
En gros c’est un sujet un peu complexe si vous n’êtes pas du métier - il est probablement plus simple de faire appel à un consultant spécialisé qui va vous aider à avancer dans votre projet. Si vous faites votre registre à la main, vous allez en avoir pour 5 semaines de travail temps plein. Si vous utilisez un logiciel, c’est réglé en 3 minutes. Donc à vous de voir comment vous souhaitez avancer (argent vs temps à consacrer à cela). Vous avez des solutions propulsées par des logiciels libres mais ce sont plus des logiciels qui permettent la gestion de nombreuses fiches registre (vous pouvez probablement vivre avec excel au stade ou vous en êtes)
Bon courage,
Édité par @quentin pour éviter d’encourager le spam SEO (ou spamdexing) sur le forum CHATONS ; j’ai extrait les liens du post que voici en dessous sous une forme qui ne sera pas interprétée par les moteurs de recherche :
La loi et l’esprit de la loi. Je rejoins CPM. Quand le seul usage qu’on fait des données personnelles est de l’ordre de la nécessité pour faire tourner le service, et qu’on milite pour voir cesser la marchandisation des données comportementales, on ne craint pas la CNIL, on l’encourage (un peu vertement parfois certes, mais vive la CNIL quand même !).
EDIT : Non puis venir déterrer un post de 4 ans avec comme premier message sur notre forum cette réclame mal déguisée pour un logiciel sans doute propriétaire et d’une utilité à sauver le monde à lui tout seul… En vrai si la modération veut supprimer mon message et celui de monsieur et laisser moisir ce post desuet, on sera pas moins avancé•es. Désolé d’avoir nourri le troll.
Le post au dessus (avant Adrien), qui réveille ce topic, semble être une pub pour un logiciel qui fait des fiches RGPD grâce à une IA. Du coup, je me demande si ce message a été écrit par une personne humaine…
