Aller au contenu principal

Bonjour, je suis la DPO de LunaWeb, votre nouvelle référente en matière de protection des données et de RGPD :)

… DPO ? RGPD ?

… Mais que sont donc ces acronymes barbares ?

Le RGPD

Ce vendredi 25 mai 2018 est entré en vigueur le Règlement UE n°2016/679 du 27/04/2016, RGPD de son petit nom. Il s’agit du Règlement Général sur la Protection des Données, un règlement européen destiné, comme son nom l’indique, à protéger les données personnelles à l’ère du numérique et des traitements de données à grande échelle.

 

gravure illustrant une pile de livres - mise en application RGPD - LunaWeb

Juridiquement, est qualifiée de donnée à caractère personnel : “Toute information se rapportant à une personne physique identifiée ou identifiable; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale”.

Ces données qui nous définissent sont actuellement récoltées, croisées, analysées, vendues et revendues sans notre accord, leur usage étant caché derrière le langage opaque des mentions légales et autres conditions générales. Le RGPD a pour vocation de nous redonner le pouvoir sur nos données, en contraignant ceux qui souhaitent les utiliser à obtenir pour cela notre consentement éclairé. Cela implique notamment de nous expliquer de manière simple et compréhensible comment nos données seront exploitées, et quels seront nos recours une fois notre consentement donné.

L’aspect contraignant repose notamment sur le montant des amendes administratives en cas de non respect du RGPD, pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial. Autant dire que les géants d'Internet, régulièrement sujets à polémiques et scandales divers concernant nos données, vont maintenant se montrer particulièrement consciencieux en matière de politique de gestion des données personnelles.

Mais Google, Apple, Facebook et Amazon ne sont pas les seuls concernés. Tout site ou service web, aussi petit soit-il, qui recueille des données à caractère personnel, pour quelque raison que ce soit, doit le faire en conformité avec le RGPD. De manière plus générale, cela concerne également toutes les entreprises, puisqu’elles gèrent par exemple les données de leurs employés ou des fichiers clients.

Ainsi, depuis le 25 mai, toute donnée à caractère personnelle, qu’elle provienne d’un contexte numérique ou physique, est protégée par le RGPD.

Ce que le RGPD implique pour LunaWeb

Chez LunaWeb, nous sommes donc doublement concernés par le RGPD. D’une part en tant qu’entreprise manipulant les données à caractère personnel de ses salariés. Et, bien évidemment, par notre activité de créateurs d’applications web.

gravure d'une femme-lunaweb

Depuis le début de l’année, nous travaillons ainsi à l’analyse et la mise en application des bonnes pratiques du RGPD. Après avoir étudié les 99 articles du Règlement, nous sommes passés à la pratique.

Concernant les applications déjà développées pour nos clients, nous effectuons des missions d’accompagnement pour la mise en conformité de l’existant. Nous commençons par cataloguer les données à caractère personnel utilisées et les traitements auxquelles elles sont soumises. Puis, pour chacun de ces traitements, nous émettons des recommandations spécifiques afin de mettre en conformité les applications et les fonctionnalités concernées. Vient enfin la mise en place au sein de chaque application de ces préconisations, ainsi que la rédaction des documents de suivi nécessaires pour la traçabilité requise par le RGPD.

Nous incluons également dans les nouveaux projets un volet RGPD, afin de prendre en compte, dès la conception, l’adéquation entre les traitements de données à caractère personnel et le RGPD. Pour ces projets, nous procédons de manière similaire : audit des besoins de l’application en matière de traitement de données personnelles, préconisations selon ces besoins, puis mise en application. Ces différentes étapes prennent place tout au long du projet, depuis la conception jusqu’au développement.

En interne, nous appliquons la même démarche pour la mise en conformité de LunaWeb et de l’utilisation de toutes les données à caractère personnel qui y circulent.

Pour faciliter ce travail exigeant rigueur et minutie, nous avons mis en place une base documentaire afin de recenser tout le savoir et l’expérience que nous accumulons sur le sujet. Cela va de documents de vulgarisation du RGPD à des guides pratiques et des checklists concernant des cas concrets que nous avons rencontrés.

Et la DPO, dans tout ça ?

Le DPO, ou Data Protection Officer (DPD ou Délégué à la Protection des Données, en bon français), d’un organisme y est la personne référente en matière de protection des données. Il a pour mission d’informer, de conseiller et de contrôler la bonne mise en application du RGPD. C’est également l’interlocuteur privilégié de la CNIL, qui est l’autorité de contrôle française en charge du RGPD.

gravure étoile de shérif - lunaweb

Depuis le 25 mai, je porte officiellement ce rôle, afin d’accompagner nos équipes et de leur apporter une expertise approfondie lorsque cela est nécessaire. Je coopère également selon le contexte et les problématiques avec nos clients, nos utilisateurs, et tout interlocuteur concerné.

Rédigé par

Sandrine Pawlicki
Développeuse back-end