Un guide pratique de checklist RGPD

Ce guide explique checklist RGPD de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.

Une liste de contrôle GDPR ne remplace pas les conseils juridiques, mais constitue un moyen pratique de détecter les lacunes avant les clients, les régulateurs ou les incidents. Le GDPR est construit autour de la responsabilité : les organisations doivent être capables de montrer ce qu'elles traitent, pourquoi, en vertu de quelle base juridique, avec quelles garanties et pendant combien de temps.

Utilisez cette liste de contrôle comme examen opérationnel des sites Web, des produits SaaS, des systèmes marketing et des outils internes.

1. Cartographiez vos données

Créez un enregistrement des données personnelles que vous traitez. Inclure:

• Formulaires de contact.
• Outils d'analyse.
• enregistrements CRM.
• Listes de marketing par e-mail.
• Soutenir les conversations.
• Données de facturation.
• Événements d’utilisation du produit.
• Journaux du serveur.
• Systèmes d'authentification.
• Scripts et pixels tiers.

Pour chaque activité de traitement, enregistrez les catégories de données, la finalité, la base juridique, la conservation, les destinataires, le lieu de stockage et le propriétaire responsable. GDPR L'article 30 exige que de nombreuses organisations enregistrent les activités de traitement, et même lorsqu'un enregistrement formel de l'article 30 n'est pas requis, cet exercice est essentiel.

2. Identifier une base juridique

Chaque activité de traitement nécessite l'une des six bases juridiques de l'article 6 de l'GDPR : consentement, contrat, obligation légale, intérêts vitaux, mission publique ou intérêts légitimes. Voir le texte de GDPR Article 6.

Ne négligez pas votre consentement. Le consentement doit être librement donné et révocable. Le contrat ne s'applique que lorsque le traitement est nécessaire au contrat. Les intérêts légitimes nécessitent un test de mise en balance et ne peuvent pas prévaloir sur les droits des personnes.

Pour l'analyse des sites Web publics, de nombreuses équipes s'appuient sur le consentement pour les outils basés sur les cookies ou choisissent des analyses sans cookies qui minimisent les données personnelles et évitent le stockage sur l'appareil.

3. Consultez les règles en matière de cookies et de suivi

GDPR n’est qu’une partie de l’image. En Europe, les règles ePrivacy régissent le stockage ou l'accès aux informations sur l'appareil d'un utilisateur. Les cookies d'analyse, les pixels publicitaires, les identifiants de stockage local et certains liens de suivi peuvent nécessiter un consentement.

Auditez votre site dans un profil de navigateur propre :

• Quels scripts se chargent avant le consentement ?
• Quels cookies sont définis avant le consentement ?
• Le rejet de tout suivi non essentiel fonctionne-t-il ?
• Les événements d’analyse sont-ils toujours envoyés après un refus ?
• Les valeurs de formulaire ou les données personnelles sont-elles envoyées aux fournisseurs d’analyses ?

Si vous parvenez à répondre aux besoins de votre entreprise grâce à des analyses globales sans cookies, vous pourrez peut-être supprimer une source majeure de complexité en matière de consentement.

4. Rendre les avis de vie privée précis

GDPR Les articles 13 et 14 exigent des informations transparentes sur le traitement. Votre avis de vie privée doit expliquer :

• Qui est le contrôleur.
• Quelles données sont collectées.
• Pourquoi il est collecté.
• Bases juridiques.
• Destinataires et vendeurs.
• Transferts internationaux.
• Délais de conservation.
• Droits et comment les exercer.
• Droits de réclamation.
• Coordonnées pour les demandes de vie privée.

L'avis doit correspondre à la réalité. Si votre site charge Google Analytics, Meta Pixel, un outil de carte thermique, un widget de discussion et un gestionnaire de formulaire CRM, la politique doit en tenir compte. Mieux encore, supprimez les outils dont vous n'avez pas besoin.

5. Préparez-vous aux droits des personnes concernées

Les personnes peuvent demander l'accès, la correction, la suppression, la restriction, la portabilité, l'objection ou le retrait du consentement. Créez un workflow avant l'arrivée de la première demande.

Liste de contrôle:

• E-mail ou formulaire d'admission.
• Règles de vérification d'identité.
• Étapes de recherche du système.
• Étapes de demande du fournisseur.
• Modèles de réponse.
• Suivi des délais.
• Enregistrement du résultat.

Les données analytiques sont souvent difficiles à connecter à une personne si elles sont bien conçues. C'est un avantage. Si votre outil d'analyse ne peut pas identifier les visiteurs, de nombreuses demandes de droits deviennent plus faciles car il n'y a pas de profil d'analyse au niveau de la personne à récupérer.

6. Sécurisez les données

GDPR L'article 32 exige des mesures techniques et organisationnelles appropriées. Pour la plupart des équipes, cela signifie :

• Authentification multifacteur.
• Accès avec moindre privilège.
• Chiffrement en transit et au repos le cas échéant.
• Journalisation et pistes d’audit.
• Contrôles d'accès des fournisseurs.
• Protection des sauvegardes.
• Plans de réponse aux incidents.
• Formation du personnel.

N'oubliez pas les exportations. Les fichiers CSV, les captures d'écran du tableau de bord et les extraits BI deviennent souvent le point le plus faible en matière de vie privée.

7. Examiner les fournisseurs et les contrats

Pour chaque fournisseur traitant des données personnelles, indiquez s'il s'agit d'un sous-traitant, d'un responsable du traitement ou d'un co-responsable du traitement. Les sous-traitants ont besoin des conditions de traitement des données de l’article 28. Vérifiez les sous-traitants, les mécanismes de transfert, les conditions de suppression, les mesures de sécurité et les droits d'audit.

Les fournisseurs d'analyse méritent une attention particulière car ils se trouvent sur des pages publiques et peuvent recevoir des adresses IP, des agents utilisateurs, URLs, des données de campagne et des détails sur les événements de chaque visiteur.

8. Vérifiez les transferts internationaux

Les transferts en dehors du EEA nécessitent un mécanisme juridique, tel qu'une décision d'adéquation, des clauses contractuelles types, des règles d'entreprise contraignantes ou une autre voie du chapitre V du GDPR. Le cadre de vie privée des données EU-US a modifié les options de transfert pour les organisations américaines participantes, mais il ne supprime pas la nécessité de comprendre la participation des fournisseurs, leur portée, les transferts ultérieurs et la configuration du produit.

9. Réduire et supprimer

Définissez la rétention par objectif. L’analyse de sites Web n’a peut-être pas besoin d’années de données brutes sur les événements. Les journaux du serveur peuvent ne nécessiter que des semaines ou des mois, sauf si cela est nécessaire pour des raisons de sécurité. Les anciennes listes de prospects doivent être nettoyées. Les comptes dormants doivent être examinés.

La minimisation des données est l'un des principes de l'article 5 de GDPR. C’est également le moyen le plus simple de réduire l’impact des violations.

10. Documenter les décisions

Conservez les preuves :

• Cartes de données.
• Évaluations d’intérêts légitimes.
• Enregistrements de consentement.
• Avis des fournisseurs.
• DPIAs si nécessaire.
• Contrôles de sécurité.
• Calendriers de rétention.
• Versions de l'avis de vie privée.

Les programmes de protection de la vie privée les plus matures ne sont pas ceux qui nécessitent le plus de paperasse. Ce sont ceux où la collecte de données est intentionnelle et facile à expliquer.

Quand exécuter cette liste de contrôle

Exécutez la liste de contrôle avant de lancer un nouveau site Web, d'ajouter un outil de suivi, de changer de plate-forme CRM ou de messagerie électronique, d'entrer sur un nouveau marché EU ou de connecter l'analyse à la publicité. Exécutez-le également après des incidents : une fuite de feuille de calcul, une bannière de consentement brisée, une intégration surprise d'un fournisseur ou une plainte client révèlent généralement une lacune dans le processus qui mérite d'être corrigée.

Vérification du lancement final

Avant de lancer une nouvelle configuration de suivi, notez chaque événement collecté, la décision prise en charge par chaque événement, s'il utilise du stockage ou des identifiants, quels fournisseurs le reçoivent et quand les enregistrements bruts expirent. Testez ensuite la page dans un profil de navigateur propre et comparez ce qui se charge avec l'avis de vie privée.

Si le navigateur affiche toujours des appels tiers non planifiés, des identifiants persistants ou des données personnelles dans URLs, la liste de contrôle n'est pas encore complète. Corrigez d’abord l’implémentation, puis mettez à jour les documents.