Mettre son site internet en conformité avec le RGPD
Mettre son site internet en conformité avec le RGPD
Avertissement: "Mettre son site internet en conformité avec le RGPD" n'est qu'une partie de la mise en conformité des activités de votre structure avec ce règlement.
RGPD : passer à l'action (CNIL)
Les obligations légales pour un site internet
Le bandeau / pop-up.... d'information sur l'utilisation des cookies
Les éditeurs de sites internet ont l'obligation de recueillir le consentement des utilisateurs préalablement au dépôt de certains cookies (de publicité ciblée, de réseaux sociaux ou de mesure d’audience sous conditions) et de leur fournir un moyen de s'y opposer. Et ça va plus loin que de faire apparaître une fenêtre avec deux boutons "J'accepte" / "Je refuse".
Voir : Cookies : comment mettre mon site web en conformité ? (CNIL)
Réponse rapide : il n'y a pas de solution technique universelle qui fonctionnerait pour tout type de site internet. Même sur Wordpress, il existe quantité de greffons pour ça.
Trouver le bon, le paramétrer comme il faut, demande des compétences et du temps de mise en place ET de suivi. Soit vous avez ces compétences en interne, soit vous devrez recourir à un prestataire... Quoi qu'il en soit, on entre là dans un domaine technique qui dépasse le cadre des activités d'un centre de ressource en médiation numérique. Zoomacom, par exemple, peut vous expliquer ce que vous devriez légalement faire et pourquoi vous devriez le faire, vous expliquer "en gros" comme ça fonctionne techniquement, mais il ne pourra pas le faire pour vous. Nous-mêmes faisons appel à un prestataire technique, la société coopérative Openscop, pour ça.
Plus d'infos:
Cookies & traceurs : que dit la loi ? (CNIL)
Un « bandeau cookie » 100% conforme au RGPD
RGPD : le bandeau cookies ne suffit plus !
Une rubrique "Mentions légales"
ex. https://www.zoomacom.org/mentions-legales/
Outil: ces mentions légales ont étés générées et offertes par Subdelirium sous licence CC
Une rubrique "Politique de confidentialité"
ex. https://www.zoomacom.org/politique-confidentialite/
Voir aussi
Quelles sont les mentions légales pour un site internet professionnel?
https://www.francenum.gouv.fr/comprendre-le-numerique/quelles-sont-les-mentions-legales-pour-un-site-internet-professionnel
Données personnelles et RGPD
Portail CNFS 42 Formation Conseillers Numériques France Services - Loire - 22 octobre 2021
Déroulé: ModuleRGPDderoule.pdf (48.4kB)
RessourcesMedNumRGPD
Données personnelles et RGPD
Déroulé: ModuleRGPDderoule.pdf (48.4kB)
Prise de note collaborative
Zoomapad: https://pad.zoomacom.net/p/cnfs421-rgpd-68d2i7lPages ressources:
(page Wiki) Ressources Médiation numérique: Ce que dit la LoiRessourcesMedNumRGPD
RGPD
Toutes les pages taguées "RGPD" sur ce wiki:- Mettre son site internet en conformité avec le RGPD
- Médiation numérique > RGPD : Ressources
- CNFS42 G4 Données personnelles et RGPD
- CNFS42 G5 Données personnelles et RGPD
- Obligations côté structure proposant l'accès à des postes informatiques connectés
- CNFS42 G3 Données personnelles et RGPD
- RGPD comment (ne pas) aborder la mise en conformité des activités de votre structure avec ce règlement
Médiation numérique > RGPD : Ressources
Médiation numérique > RGPD : Ressources
Des vidéos pour expliquer le RGPD en quelques minutes
GDPR / RGPD expliqué en emojis - Cookie connectéhttps://youtu.be/u4M5lVYv3UI
RGPD / GDPR : FAQ avec la CNIL - Cookie connecté
https://youtu.be/OUMGp3HHel4
Formation-initiation : RGPD, que doit faire mon association ? ADDAMIR 21
https://youtu.be/ybQToRE4qvM
LA MINUTE RGPD | Qui est la CNIL ? RGPD Academy TV
https://youtu.be/rUsNCbqwiLg
RGPD et collectivités
Cas "relativement" courant: le Médiateur numérique / Conseiller Numérique France Services d'une structure se voit de fait, plus ou moins, confier la mission de mettre la structure en conformité avec le RGPD. Parce que c'est un "truc numérique" et que donc c'est pour lui-elle.Sauf que DPO (Délégué à la Protection des Données) c'est un rôle juridique qui n'est pas le sien.
Son rôle, en revanche, peut être:
- d'expliquer le RGPD, d'orienter les décisionnaires de la structure vers une personne/structure ressource compétente.
- d'accompagner la démarche de mise en place, puis le suivi des procédures, du RGPD dans la structure.
Ressources pour l'expliquer:
Désigner un délégué à la protection des données dans une collectivité (CNIL)
RGPD Mairie : Tout savoir sur la mise en conformité RGPD pour les collectivités (Site Internet Mairie)
Obligations côté structure proposant l'accès à des postes informatiques connectés
Obligations côté structure proposant l'accès à des postes informatiques connectés
Guide juridique : Internet en libre accès, quelles obligations ?
31 janvier 2018
Avec l’aide de La Quadrature du Net, le projet de recherche netCommons vient de publier un guide pratique destiné aux organisations qui fournissent un libre accès à Internet (bibliothèques, locaux associatifs, magasins…). Face aux zones d’ombre (parfois entretenues par les pouvoirs publics) qui entourent nos droits, c’est à chacune et chacun d’entre nous de les comprendre et de les faire respecter.
Plus d'infos: https://www.laquadrature.net/2018/01/31/guide_internet_libre_acces/
Le guide, format pdf : https://www.netcommons.eu/sites/default/files/2018-01-29-guide_internet_en_libre_acces.pdf
Note RGPD: dans le cadre de la rédaction d'un Registre de Traitement des Données, on pourrait considérer "l'accès public à des postes informatiques" comme UN traitement spécifique (parmis d'autres), avec sa propore fiche dans le registre.
Réglements intérieurs/Charte d'utilisation....
Modèle de documents réglementaires d'un espace public numérique :Charte_aidant__numrique.docx (19.0kB)
Rglement_intrieur_exemple__format_livret_v2.docx (44.2kB)
Charte_dutilisation.docx (42.2kB)
Ces formes de réglement intérieur devraient être personnalisés et adaptés à la structure.
Ils devraient être simples à comprendre plutôt que de ressembler à des contrats ou des documents administratifs.
Vous pourriez utiliser le guide Facile à lire et à comprendre (FALC): utiliser un vocabulaire abordable, sans jargon, une syntaxe simple, des polices de caractère lisibles etc. L’Unapei diffuse un Guide réunissant tous ces principes.
Plus d'infos: https://www.unapei.org/actions/agir-avec-nous/transcrire-en-falc/
Outil: Plate-forme web d’écriture en FALC / traducteur FALC http://sioux.univ-paris8.fr/lirec/
Précisez ce que l'usager à le droit de faire ou pas, la durée, etc.
- "L’accès à la borne est limité à trente minutes consécutives. Pour plus de disponibilité, le jeu en réseau n’est pas autorisé sur la borne et l’accès aux réseaux sociaux limité à l’envoi de quelques messages."
Préciser ce que la structure propose, ou non, en terme d'accompagnement :
- "L’animateur est là pour orienter, informer les utilisateurs et les sensibiliser aux problèmes de sécurité informatique inhérents au système".
- "il n’y a pas d’accompagnement ni de temps de réponse individuelle sur les postes en accès libre. Mais des sessions collectives sont organisées etc."
Vous pouvez vous inspirer de nombreux exemples mis en place dans les médiathèques.
Consultez ce support de formation à partir de la diapo 52:
https://fr.slideshare.net/angiegaudion/offrir-un-accs-internet-en-bibliotheque-modalits-autorisations-et-obligations-lgales
Par ex.
Bibliothèque de Saint-Fons, diapo 56 du support https://fr.slideshare.net/angiegaudion/offrir-un-accs-internet-en-bibliotheque-modalits-autorisations-et-obligations-lgales
Vous pouvez utiliser un moteur de recherche pour trouver d'autres exemples, avec ces requêtes: "accès public à internet réglement intérieur" "accès public à internet charte d'utilisation"
Voir aussi
La Charte Bib' Lib
La charte du droit fondamental des citoyens à accéder à l'information et aux savoirs par les bibliothèques a pour principal objectif d’affirmer le rôle essentiel et stratégique des bibliothèques dans les dispositifs des politiques publiques favorisant l’exercice des droits fondamentaux du citoyen à s’informer, apprendre, partager et inventer ses usages. Il s’agit aussi d’encourager et de valoriser auprès des publics, des professionnels et des tutelles ces lieux publics d’accès à la culture, à la formation et leurs actions en faveur du partage des savoirs et savoir-faire.https://www.abf.asso.fr/4/152/533/ABF/charte-bib-lib
Outils
Gérer les ordinateurs publics sans logiciel de gestion de postes publics(Un script pour réinitialiser une session Windows)
Si vous êtes dans une petite structure ou pour une raison quelconque vous ne disposez de solution de gestion du parc informatique destiné aux usagers, vous êtes certainement contraints de passer sur chaque machine pour nettoyer et supprimer les fichiers enregistrés par le public. Cette opération est fastidieuse et chronophage. Sachez qu’un simple script peut vous faciliter la vie ! C’est ce que nous allons voir dans cet article.
https://biblionumericus.fr/2021/05/27/gerer-les-ordinateurs-publics-sans-logiciel-de-gestion-de-postes-publics/
RGPD comment (ne pas) aborder la mise en conformité des activités de votre structure avec ce règlement
RGPD comment (ne pas) aborder la mise en conformité des activités de votre structure avec ce règlement
RGPD et médiateurs numériques dans une structure
Dans une structure, la tentation est grande pour la direction, les collègues... de considérer que "le numérique" c'est le boulot, la responsabilité, "le truc" du médiateur numérique.Et que tout ce qui implique d'avoir recours à un ordinateur ou internet c'est de fait "du numérique".
Par conséquent, il n'est pas inenvisageable que parfois, on refile la question de la mise en conformité de la structure avec le RGPD au médiateur numérique...
SAUF QUE OUI MAIS NON...
La mise en conformité au RGPD c'est avant tout une question juridique, qui implique toute la structure et ses pratiques quant à la gestion des données personnelles.
S'il est souhaitable que le médiateur numérique de la structure soit associé à la démarche, à différent niveaux, il n'est pas juriste, ni responsable des pratiques de ses collègues, ni détenteur de suffisament de pouvoir au sein de sa structure pour pouvoir les faire changer d'habitudes/d'outils.
Démarche, idées reçues
"Oui, mais c'est conforme #RGPD, cet outil, au moins ?" ➡ debunking point par point de quelques idées reçues trop souvent répétées. Un thread #MythesRGPD #enseignement . pic.twitter.com/OzNDhMOygZ
— Monsieur Relou (@MonsieurRelou) February 8, 2021
Pour une bonne compréhension de ce qui suit :
- DCP = Données à Caractère Personnel
- RT = Responsable de Traitement
https://twitter.com/MonsieurRelou/status/1358731472425918465?s=20
La conformité n’est pas celle d’un outil, mais celle d’un traitement de DCP lié à une tâche (administrative ou pédagogique). Un même outil peut engendrer des traitements très différents, selon les finalités recherchées ou le régime contractuel privilégié, par exemple.
L’entrée par outil n’est pas pertinente, car centrée sur les usages visibles et non sur les conditions (souvent invisibles pour l’enseignant) auxquelles les traitements de DCP sont opérés. Or, c’est précisément là que se joue cette fameuse conformité.
La conformité n’est pas "constatable sur pièces”. Elle doit pouvoir être démontrée : respect de standards techniques (par l’opérateur), souscription d’un régime contractuel protecteur (par le RT), mise en place de dispositions locales spécifiques (CGU, registre, info public).
La conformité RGPD ne peut pas faire l’économie de sa propre démonstration. Les textes imposent qu’elle soit construite, documentée et assumée par le responsable de traitement, au nom du principe de “redevabilité” (accountability).
La conformité n’est pas “déclarative”, au sens d’annoncée par le prestataire et réputée démontrée (hop pouf). C’est le résultat d’un process interne (et actif !) de responsabilisation, au sein de la structure souhaitant contractualiser avec le sous-traitant.
Les décisions de conformité ont une portée locale, limitée à la structure pilotée par le RT ayant validé le déploiement. La décision d’une académie (par exemple) ne peut pas préjuger de celle des autres.
L’entrée par outil n’est pas pertinente, car centrée sur les usages visibles et non sur les conditions (souvent invisibles pour l’enseignant) auxquelles les traitements de DCP sont opérés. Or, c’est précisément là que se joue cette fameuse conformité.
La conformité n’est pas "constatable sur pièces”. Elle doit pouvoir être démontrée : respect de standards techniques (par l’opérateur), souscription d’un régime contractuel protecteur (par le RT), mise en place de dispositions locales spécifiques (CGU, registre, info public).
La conformité RGPD ne peut pas faire l’économie de sa propre démonstration. Les textes imposent qu’elle soit construite, documentée et assumée par le responsable de traitement, au nom du principe de “redevabilité” (accountability).
La conformité n’est pas “déclarative”, au sens d’annoncée par le prestataire et réputée démontrée (hop pouf). C’est le résultat d’un process interne (et actif !) de responsabilisation, au sein de la structure souhaitant contractualiser avec le sous-traitant.
Les décisions de conformité ont une portée locale, limitée à la structure pilotée par le RT ayant validé le déploiement. La décision d’une académie (par exemple) ne peut pas préjuger de celle des autres.
Voir aussi
Explications détaillées de la CNIL avec des exemples de bonnes et mauvaises pratiques, pour comprendre les 4 critères (cumulatifs) de la définition du consentement en matière de traitement des données personnelles.- Entreprises : comment mettre en œuvre les droits des utilisateurs conformément au RGPD ? (FranceNum, Le portail de la transformation numérique des entreprises)
- Mettre son site internet en conformité avec le RGPD
- Incendie OVHcloud : les entreprises découvrent leur absence de sauvegardes (...) "La mise en œuvre des sauvegardes, mais surtout des plans de reprise d’activité est de la responsabilité du directeur informatique chez le client et de son PDG ! Mettre tout en œuvre pour garantir la sécurité de ses données est une obligation réglementaire, écrite noire sur blanc dans le RGPD. Ceux qui n’ont pas souscrit à une offre de PRA ou qui n’ont pas mis en place eux-mêmes un tel dispositif ne peuvent s’en prendre qu’à eux-mêmes", lance Christophe Bertrand, analyste au cabinet de conseil ESG."