RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel des résidents de l’Union Européenne et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). Ses objectifs Étapes et périmètre Responsabilités Une obligation de sécurité et de notification des violations de données personnelles pour tous les responsables de traitements SPIP est un CMS libre qui place les libertés personnelles au cœur de sa philosophie. Le sous-traitant vous fournit un site respectant les bonnes pratiques. À vous de les conserver lors des mises à jour éditoriales. Ainsi, par exemple : Contenu Vous devez vérifier que les traitements et données récoltées via votre site internet sont utiles et traités de manière conforme. Par exemple les listes de contacts, emails, autres données personnelles que vous détenez doivent avoir une durée de vie limitée. Profitons de cette actualité pour rappeler quelques principes élémentaires concernant le traitement et stockage des données sur internet. Comme pour tout service connecté à internet, le risque zéro n’existe pas.Résumé du règlement RGPD / DPRG
Le Règlement sera applicable à partir du 25 mai 2018 dans tous les pays de l’Union Européenne. Il s’applique à toutes les entreprises (y compris leurs comités d’entreprise), les administrations et les associations, qui traitent des données à caractère personnel. Les fichiers déjà mis en œuvre à cette date devront, d’ici là, être mis en conformité avec le Règlement.
Le représentant légal de votre structure est le point de contact de l’autorité. Il a mandat pour « être consulté en complément ou à la place du responsables de traitement sur toutes les questions relatives aux traitements »
Le sous-traitant est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière d’accountability. Il a notamment une obligation de conseil auprès du responsables de traitement pour la conformité à certaines obligations du règlement (analyse d’impact, failles, sécurité, destruction des données, contribution aux audits).
Les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées.
Lorsqu’il constate une violation de données à caractère personnel, le responsable de traitement doit notifier à l’autorité de protection des données la violation dans les 72 heures. L’information des personnes concernées est requise si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne.Conformité au RGPD / DPRG et sites développés avec SPIP
Ce que le sous-traitant délivre pour les services gérés au nom du responsable
Le responsable du traitement décide des données personnelles traitées via son site internet sauf si le sous-traitant considère, en tant que co-responsable, que le risque est disproportionné/avéré.Ce que vous devez faire pour mettre votre site et services annexes en conformité
Vous devez avoir une procédure en place pour répondre aux demandes d’accès, de suppression ou modification des données personnelles.Les précautions de base (rappel)
Sources et liens utiles
Accueil / Tutos & veille internet / Le réglement européen RGPD / GDPR : impact sur vos sites et services internet
Le réglement européen RGPD / GDPR : impact sur vos sites et services internet
Le règlement européen sur la protection des données à caractère personnel entre en application le 25 mai 2018 et remplace la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Vous recevez, traitez, stockez des données personnelles de clients, de prospects, de salariés ? Alors vous êtes concerné.
Cet article est un bref résumé de l’impact du RGPD pour votre site internet et services associés. Il donne des exemples de mise en conformité avec le nouveau règlement.
Cet article est à visée informative et n’est pas exhaustif. Il est amené à évoluer selon la règlementation. Il ne constitue pas un cadre juridique, ni un engagement formel.
Notes
[1] Si vous gérez les paramètres de votre nom de domaine vous devez vous-même réserver un certificat SSL/TLS et me fournir les clés pour installer le certificat sur le serveur qui héberge votre site
Lien
Publié le 28 avril 2018
Mis à jour le 26 janvier 2024