Le R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD \/ GDPR) fait partie des cadres de conformit\u00e9 les plus structurants pour tout propri\u00e9taire de site. Blog perso, SaaS, e-commerce, site vitrine : d\u00e8s que tu traites des donn\u00e9es personnelles de r\u00e9sidents de l\u2019UE, la conformit\u00e9 est obligatoire \u2014 y compris si ton entreprise est hors UE.<\/p>\n\n\n\n
L\u2019enjeu est double : prot\u00e9ger r\u00e9ellement les personnes (les data subjects<\/em>) et \u00eatre capable de d\u00e9montrer<\/strong> ta conformit\u00e9. En cas de manquement, les sanctions peuvent monter jusqu\u2019\u00e0 20 M\u20ac ou 4 % du chiffre d\u2019affaires annuel mondial<\/strong> (le montant le plus \u00e9lev\u00e9 \u00e9tant retenu).<\/p>\n\n\n\n Ce guide prend la forme d\u2019une checklist compl\u00e8te<\/strong>, structur\u00e9e comme un audit : inventaire des donn\u00e9es, gouvernance, droits des utilisateurs, consentement, cas particuliers (DPIA, transferts hors UE), mise en \u0153uvre pratique (s\u00e9curit\u00e9, formulaires, e-mails marketing, gestion de violation), et focus WordPress.<\/p>\n\n\n\n Le General Data Protection Regulation (GDPR)<\/strong> \u2014 en vigueur dans l\u2019Union europ\u00e9enne depuis le 25 mai 2018<\/strong> \u2014 encadre la mani\u00e8re dont les organisations collectent, utilisent, stockent et partagent les donn\u00e9es personnelles<\/strong>. Il s\u2019applique aux organisations situ\u00e9es dans l\u2019UE, mais aussi \u00e0 celles hors UE<\/strong> d\u00e8s lors qu\u2019elles traitent des donn\u00e9es de r\u00e9sidents de l\u2019UE.<\/p>\n\n\n\n Avant de cocher la moindre case, il faut clarifier ton r\u00f4le RGPD : c\u2019est lui qui d\u00e9termine tes obligations (et les documents\/contrats \u00e0 produire). Une m\u00eame organisation peut cumuler plusieurs r\u00f4les selon les traitements.<\/p>\n\n\n\n La checklist ci-dessous est volontairement exhaustive. Pour chaque point, je pr\u00e9cise \u00e0 qui \u00e7a s\u2019applique (Data Controller<\/em>, Data Processor<\/em>) et la r\u00e9f\u00e9rence RGPD correspondante.<\/p>\n\n\n\n S\u2019applique \u00e0 : Data Controller, Data Processor<\/em><\/p>\n\n\n\n Ici, on parle d\u2019un inventaire concret des \u00ab colonnes \u00bb r\u00e9ellement stock\u00e9es : par exemple nom, adresse, e-mail, identifiant, adresse postale, num\u00e9ro de s\u00e9curit\u00e9 sociale, etc. Pour chaque type de donn\u00e9e, documente : la source, avec qui c\u2019est partag\u00e9, la finalit\u00e9, et combien de temps tu conserves.<\/p>\n\n\n\n Article 30 \u2013 Records of processing activities (registre des activit\u00e9s de traitement)<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller, Data Processor<\/em><\/p>\n\n\n\n \u00c7a inclut les bases de donn\u00e9es (ex. MySQL), mais aussi des stockages hors-ligne (papier), des exports CSV, des sauvegardes, des tickets de support, etc. L\u2019objectif : visualiser les flux et r\u00e9duire les zones grises.<\/p>\n\n\n\n Article 30 \u2013 Records of processing activities<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller, Data Processor<\/em><\/p>\n\n\n\n Ta privacy policy doit d\u00e9crire (ou pointer vers) les traitements : types de donn\u00e9es collect\u00e9es, o\u00f9 elles sont stock\u00e9es, et les processus associ\u00e9s. Elle doit \u00eatre facilement accessible (footer, pages de formulaire, parcours d\u2019achat\u2026).<\/p>\n\n\n\n Article 30 \u2013 Records of processing activities<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller<\/em><\/p>\n\n\n\n Pour chaque traitement, tu dois pouvoir expliquer pourquoi<\/em> tu traites les donn\u00e9es (ex. ex\u00e9cution d\u2019un contrat, obligation l\u00e9gale, int\u00e9r\u00eat l\u00e9gitime, consentement\u2026).<\/p>\n\n\n\n Article 6 \u2013 Lawfulness of processing<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller, Data Processor<\/em><\/p>\n\n\n\n Un DPO (d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es) n\u2019est obligatoire que dans trois sc\u00e9narios :<\/p>\n\n\n\n Si un DPO est requis, il doit conna\u00eetre les lignes directrices RGPD et comprendre les processus internes impliquant des donn\u00e9es personnelles.<\/p>\n\n\n\n Article 37 \u2013 Designation of the data protection officer<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller, Data Processor<\/em><\/p>\n\n\n\n La conformit\u00e9 s\u2019effondre vite si les personnes qui arbitrent les outils, le tracking, le CRM, ou les int\u00e9grations n\u2019ont pas une vision \u00e0 jour des obligations (privacy by design, minimisation, preuves, etc.).<\/p>\n\n\n\n Article 25 \u2013 Data protection by design and by default<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller, Data Processor<\/em><\/p>\n\n\n\n Si tu op\u00e8res un produit SaaS (ou un site \u00e0 forte surface d\u2019attaque), pars d\u2019une checklist s\u00e9curit\u00e9 et v\u00e9rifie que tes mesures techniques sont r\u00e9alistes et maintenues dans le temps.<\/p>\n\n\n\n Article 25 \u2013 Data protection by design and by default<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Processor<\/em><\/p>\n\n\n\n Beaucoup d\u2019incidents viennent d\u2019une erreur humaine (phishing, partage de lien interne, export envoy\u00e9 au mauvais destinataire\u2026). Les personnes qui ont acc\u00e8s \u00e0 des syst\u00e8mes internes doivent conna\u00eetre les risques.<\/p>\n\n\n\n Article 25 \u2013 Data protection by design and by default<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Processor<\/em><\/p>\n\n\n\n Si tu relies des sous-traitants \u00e0 ton propre service (par ex. infrastructure, support, analytics, e-mailing), tes clients doivent en \u00eatre inform\u00e9s. Le consentement passe par l\u2019acceptation de la politique de confidentialit\u00e9 selon ce cadre.<\/p>\n\n\n\n Article 28 \u2013 Processor<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller, Data Processor<\/em><\/p>\n\n\n\n Une entreprise hors UE qui collecte des donn\u00e9es de citoyens de l\u2019UE doit d\u00e9signer un repr\u00e9sentant dans un \u00c9tat membre, capable de traiter les questions li\u00e9es au traitement. Les autorit\u00e9s locales doivent pouvoir contacter ce repr\u00e9sentant.<\/p>\n\n\n\n Article 27 \u2013 Representatives of controllers or processors not established in the Union<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller, Data Processor<\/em><\/p>\n\n\n\n Une violation de donn\u00e9es personnelles doit \u00eatre notifi\u00e9e dans les 72 heures<\/strong> \u00e0 l\u2019autorit\u00e9 de contr\u00f4le comp\u00e9tente. Tu dois pr\u00e9ciser quelles donn\u00e9es ont fuit\u00e9\/perdues, les cons\u00e9quences, et les contre-mesures mises en place. Sauf si les donn\u00e9es \u00e9taient chiffr\u00e9es (encrypted), tu dois aussi informer la personne concern\u00e9e (data subject).<\/p>\n\n\n\n 72 heures pour l\u2019autorit\u00e9, et information des personnes concern\u00e9es lorsque le risque est significatif (sauf exception, notamment chiffrement).<\/p>\n\n<\/div>\n\n\n\n Article 33 \u2013 Notification of a personal data breach to the supervisory authority ; Article 34 \u2013 Communication of a personal data breach to the data subject<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller<\/em><\/p>\n\n\n\n Le contrat doit inclure des instructions explicites sur le stockage\/traitement, et d\u00e9tailler : l\u2019objet et la dur\u00e9e du traitement, la nature et la finalit\u00e9, les types de donn\u00e9es personnelles, les cat\u00e9gories de personnes concern\u00e9es, ainsi que les obligations et droits du controller.<\/p>\n\n\n\n Exemple courant : un contrat avec ton h\u00e9bergeur. Les m\u00eames exigences s\u2019appliquent lorsqu\u2019un processor fait appel \u00e0 un sub-processor pour l\u2019assister dans les traitements pour le compte du controller.<\/p>\n\n\n\n Article 28 \u2013 Processor ; Article 29 \u2013 Processing under the authority of the controller or processor<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller, Data Processor<\/em><\/p>\n\n\n\n Il te faut un processus clair pour g\u00e9rer les demandes d\u2019acc\u00e8s (identification, d\u00e9lai, format de r\u00e9ponse, tra\u00e7abilit\u00e9).<\/p>\n\n\n\n Article 15 \u2013 Right of access by the data subject<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller, Data Processor<\/em><\/p>\n\n\n\n Pr\u00e9vois un m\u00e9canisme permettant de rectifier des donn\u00e9es inexactes (self-service via compte, ou proc\u00e9dure support).<\/p>\n\n\n\n Article 16 \u2013 Right to rectification<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller, Data Processor<\/em><\/p>\n\n\n\n L\u2019objectif est d\u2019\u00e9viter la \u00ab r\u00e9tention par d\u00e9faut \u00bb. Exemple : suppression automatique des donn\u00e9es de clients dont le contrat n\u2019a pas \u00e9t\u00e9 renouvel\u00e9.<\/p>\n\n\n\n Article 5 \u2013 Principles relating to processing of personal data<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller, Data Processor<\/em><\/p>\n\n\n\n Mets en place un process pour recevoir, v\u00e9rifier, ex\u00e9cuter et tracer les demandes de suppression (droit \u00e0 l\u2019oubli).<\/p>\n\n\n\n Article 17 \u2013 Right to erasure (‘right to be forgotten’)<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller, Data Processor<\/em><\/p>\n\n\n\n Ils ont le droit de restreindre certains usages (par exemple pendant une contestation, ou en attendant une v\u00e9rification).<\/p>\n\n\n\n Article 18 \u2013 Right to restriction of processing<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller, Data Processor<\/em><\/p>\n\n\n\n La portabilit\u00e9 suppose un export dans un format structur\u00e9<\/strong>, couramment utilis\u00e9<\/strong> et lisible par machine<\/strong> (machine-readable).<\/p>\n\n\n\n Article 20 \u2013 Right to data portability<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller<\/em><\/p>\n\n\n\n Ce point ne concerne que les organisations qui font du profilage ou de la d\u00e9cision automatis\u00e9e pouvant produire des effets juridiques ou un impact significatif.<\/p>\n\n\n\n Article 22 \u2013 Automated individual decision-making, including profiling<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller<\/em><\/p>\n\n\n\n Concr\u00e8tement : si ton site collecte des donn\u00e9es, affiche un lien visible vers ta politique de confidentialit\u00e9 et fais valider les conditions. Le consentement n\u00e9cessite une action affirmative<\/strong> : les cases pr\u00e9-coch\u00e9es sont interdites.<\/p>\n\n\n\n Article 7 \u2013 Conditions for consent<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller<\/em><\/p>\n\n\n\n Le texte doit \u00eatre clair, simple, et ne pas masquer l\u2019intention. Sinon, l\u2019accord peut \u00eatre consid\u00e9r\u00e9 comme invalide. Et si tu fournis des services \u00e0 des enfants, la politique doit \u00eatre suffisamment accessible pour eux.<\/p>\n\n\n\n Article 7.2 \u2013 Conditions for consent<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller<\/em><\/p>\n\n\n\n Si l\u2019opt-in est \u00e0 un clic, l\u2019opt-out doit l\u2019\u00eatre aussi (pas de parcours cach\u00e9, pas de friction artificielle).<\/p>\n\n\n\n Article 7.3 \u2013 Conditions for consent<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller<\/em><\/p>\n\n\n\n Pour les enfants de moins de 16 ans, tu dois t\u2019assurer qu\u2019un repr\u00e9sentant l\u00e9gal a consenti au traitement. Si le consentement est donn\u00e9 via le site, tu dois essayer de v\u00e9rifier qu\u2019il provient bien du repr\u00e9sentant l\u00e9gal (et non de l\u2019enfant).<\/p>\n\n\n\n Article 8 \u2013 Conditions applicable to child’s consent in relation to information society services<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller<\/em><\/p>\n\n\n\n Par exemple via un e-mail annon\u00e7ant les changements \u00e0 venir, en expliquant simplement ce qui a \u00e9volu\u00e9.<\/p>\n\n\n\n Article 7 \u2013 Conditions for consent<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller<\/em><\/p>\n\n\n\n La conformit\u00e9 n\u2019est pas un projet one-shot : nouveaux plugins, nouveau prestataire, nouveau pays de traitement, changement de finalit\u00e9\u2026 tout \u00e7a doit d\u00e9clencher une revue des pratiques et de la documentation.<\/p>\n\n\n\n Article 25 \u2013 Data protection by design and by default<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller<\/em><\/p>\n\n\n\n C\u2019est surtout pertinent si tu fais du traitement \u00e0 grande \u00e9chelle, du profilage, ou d\u2019autres activit\u00e9s pr\u00e9sentant un risque \u00e9lev\u00e9 pour les droits et libert\u00e9s des personnes. Dans ces cas, une DPIA doit \u00eatre r\u00e9alis\u00e9e.<\/p>\n\n\n\n Article 35 \u2013 Data protection impact assessment<\/p>\n\n<\/div>\n\n\n\n S\u2019applique \u00e0 : Data Controller, Data Processor<\/em><\/p>\n\n\n\n Tu dois aussi d\u00e9clarer<\/strong> ces flux transfrontaliers dans ta politique de confidentialit\u00e9. Si le pays n\u2019est pas jug\u00e9 ad\u00e9quat, utilise des Standard Contractual Clauses (SCCs)<\/strong> ou des Binding Corporate Rules (BCRs)<\/strong>.<\/p>\n\n\n\n Article 45 \u2013 Transfers on the basis of an adequacy decision<\/p>\n\n<\/div>\n\n\n\n Au-del\u00e0 des processus internes, le RGPD d\u00e9finit explicitement des droits applicables \u00e0 tous les Data Subjects<\/em>. C\u2019est une bonne grille de contr\u00f4le pour valider que tes parcours (privacy policy, formulaires, support, exports) couvrent bien les exigences.<\/p>\n\n\n\n Le controller doit prendre des mesures appropri\u00e9es pour fournir toute information relative au traitement de mani\u00e8re concise, transparente, compr\u00e9hensible et facilement accessible, en langage clair et simple \u2014 en particulier pour les informations destin\u00e9es sp\u00e9cifiquement \u00e0 un enfant. L\u2019information doit \u00eatre fournie par \u00e9crit, ou par d\u2019autres moyens, y compris \u00e9lectroniques lorsque c\u2019est appropri\u00e9.<\/p>\n\n\n\n Article 12<\/p>\n\n<\/div>\n\n\n\n Les informations \u00e0 fournir incluent :<\/p>\n\n\n\n Article 13<\/p>\n\n<\/div>\n\n\n\n Lorsque les donn\u00e9es proviennent d\u2019une autre source que la personne concern\u00e9e, des informations similaires doivent \u00eatre fournies, y compris les cat\u00e9gories de donn\u00e9es personnelles concern\u00e9es et la source des donn\u00e9es.<\/p>\n\n\n\n Article 14<\/p>\n\n<\/div>\n\n\n\n La personne peut demander confirmation que ses donn\u00e9es sont trait\u00e9es et acc\u00e9der notamment \u00e0 :<\/p>\n\n\n\n Article 15<\/p>\n\n<\/div>\n\n\n\n La personne a le droit d\u2019obtenir, dans les meilleurs d\u00e9lais, la correction de donn\u00e9es inexactes et de compl\u00e9ter des donn\u00e9es incompl\u00e8tes.<\/p>\n\n\n\n Article 16<\/p>\n\n<\/div>\n\n\n\n La personne peut obtenir l\u2019effacement lorsque :<\/p>\n\n\n\n Article 17<\/p>\n\n<\/div>\n\n\n\n La personne peut obtenir la limitation lorsque :<\/p>\n\n\n\n Article 18<\/p>\n\n<\/div>\n\n\n\n Le controller doit communiquer toute rectification, tout effacement ou toute limitation \u00e0 chaque destinataire auquel les donn\u00e9es ont \u00e9t\u00e9 divulgu\u00e9es, sauf si cela s\u2019av\u00e8re impossible ou exige des efforts disproportionn\u00e9s.<\/p>\n\n\n\n Article 19<\/p>\n\n<\/div>\n\n\n\n La personne peut recevoir ses donn\u00e9es dans un format structur\u00e9, couramment utilis\u00e9 et lisible par machine, et les transmettre \u00e0 un autre controller sans entrave.<\/p>\n\n\n\n Article 20<\/p>\n\n<\/div>\n\n\n\n La personne peut s\u2019opposer, pour des raisons tenant \u00e0 sa situation particuli\u00e8re, \u00e0 tout moment, aux traitements fond\u00e9s sur l\u2019int\u00e9r\u00eat l\u00e9gitime ou l\u2019int\u00e9r\u00eat public, y compris le profilage.<\/p>\n\n\n\n Article 21<\/p>\n\n<\/div>\n\n\n\n La personne a le droit de ne pas \u00eatre soumise \u00e0 une d\u00e9cision fond\u00e9e exclusivement sur un traitement automatis\u00e9, y compris le profilage, produisant des effets juridiques ou l\u2019affectant de mani\u00e8re significative.<\/p>\n\n\n\n Article 22<\/p>\n\n<\/div>\n\n\n\n Si ton site utilise des cookies non essentiels, il faut obtenir un consentement explicite avant<\/strong> de les activer.<\/p>\n\n\n\n Exigences fonctionnelles :<\/p>\n\n\n\n Le scroll ou l\u2019absence d\u2019interaction ne vaut pas consentement.<\/p>\n\n<\/div>\n\n\n\n Tout formulaire qui collecte des donn\u00e9es personnelles doit \u00eatre conforme. V\u00e9rifie syst\u00e9matiquement :<\/p>\n\n\n\n Sous WordPress, une partie de la conformit\u00e9 se joue dans l\u2019hygi\u00e8ne technique (mises \u00e0 jour) et dans l\u2019\u00e9cosyst\u00e8me plugins (forms, analytics, cookies, e-commerce). Une checklist pragmatique :<\/p>\n\n\n\n Le RGPD pr\u00e9voit deux niveaux d\u2019amendes administratives :<\/p>\n\n\n\n Au-del\u00e0 des amendes, l\u2019autorit\u00e9 peut aussi : \u00e9mettre des avertissements, interdire temporairement ou d\u00e9finitivement des traitements, ordonner la suppression de donn\u00e9es, ou restreindre les transferts.<\/p>\n\n\n\n C\u2019est une liste d\u2019actions \u00e0 effectuer pour se conformer au RGPD. Elle sert \u00e0 identifier les \u00e9carts et \u00e0 structurer l\u2019am\u00e9lioration de tes pratiques de protection des donn\u00e9es.<\/p>\n\n\n\n Le data controller<\/strong> (souvent le propri\u00e9taire du site \/ de l\u2019activit\u00e9) est principalement responsable. Les data processors<\/strong> ont \u00e9galement des obligations de conformit\u00e9.<\/p>\n\n\n\n Oui, d\u00e8s lors qu\u2019elles traitent des donn\u00e9es personnelles de r\u00e9sidents de l\u2019UE, quel que soit le pays d\u2019implantation.<\/p>\n\n\n\n Jusqu\u2019\u00e0 20 M\u20ac<\/strong> ou 4 %<\/strong> du chiffre d\u2019affaires annuel mondial, selon le montant le plus \u00e9lev\u00e9.<\/p>\n\n\n\n Oui si ton site utilise des cookies non essentiels et que tu as des visiteurs dans l\u2019UE : le consentement explicite doit \u00eatre obtenu avant activation.<\/p>\n\n\n\n Uniquement si : (1) tu es une autorit\u00e9\/organisme public, (2) tes activit\u00e9s de base impliquent un suivi r\u00e9gulier et syst\u00e9matique \u00e0 grande \u00e9chelle, ou (3) tu traites des donn\u00e9es sensibles \u00e0 grande \u00e9chelle.<\/p>\n\n\n\n Cette checklist est un guide g\u00e9n\u00e9ral et ne constitue pas un conseil juridique. Pour un avis adapt\u00e9 \u00e0 ton contexte (secteur, pays, nature des traitements, transferts), il faut consulter un professionnel qualifi\u00e9.<\/p>\n\n\nRGPD : de quoi parle-t-on exactement ?<\/h2>\n\n\n\n
Comprendre ton r\u00f4le : controller, processor, personnes concern\u00e9es<\/h2>\n\n\n\n
\n\n
Les 7 principes cl\u00e9s du RGPD (\u00e0 garder en t\u00eate pendant l\u2019audit)<\/h2>\n\n\n\n
\n\n
Checklist RGPD compl\u00e8te (avec r\u00e9f\u00e9rences d\u2019articles)<\/h2>\n\n\n\n
1) Donn\u00e9es (inventaire, flux, politique de confidentialit\u00e9)<\/h3>\n\n\n\n
1.1 Tu as une liste de tous les types de donn\u00e9es personnelles d\u00e9tenues, leur source, les partages, l\u2019usage, et la dur\u00e9e de conservation<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
1.2 Tu as une liste des endroits o\u00f9 les donn\u00e9es sont stock\u00e9es et la mani\u00e8re dont elles circulent entre ces emplacements<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
1.3 Tu disposes d\u2019une politique de confidentialit\u00e9 accessible publiquement qui d\u00e9crit tous les traitements li\u00e9s aux donn\u00e9es personnelles<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
1.4 Ta politique de confidentialit\u00e9 explicite la base l\u00e9gale du traitement<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
2) Responsabilit\u00e9, gouvernance et management<\/h3>\n\n\n\n
2.1 Tu as nomm\u00e9 un DPO (Data Protection Officer) si ton cas le requiert<\/h4>\n\n\n\n
\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
2.2 Tu sensibilises les d\u00e9cideurs aux exigences RGPD<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
2.3 Tu maintiens un niveau de s\u00e9curit\u00e9 technique \u00e0 jour<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
2.4 Tu formes les \u00e9quipes aux bonnes pratiques de protection des donn\u00e9es<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
2.5 Tu tiens une liste de tes sous-traitants (sub-processors) et tu les mentionnes dans ta politique de confidentialit\u00e9<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
2.6 Si tu es hors UE, tu as d\u00e9sign\u00e9 un repr\u00e9sentant dans l\u2019UE<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
2.7 Tu notifies les violations de donn\u00e9es \u00e0 l\u2019autorit\u00e9 et aux personnes concern\u00e9es<\/h4>\n\n\n\n
D\u00e9lai et contenu de la notification<\/h4>\n\n\n
R\u00e9f\u00e9rences RGPD<\/h4>\n\n\n
2.8 Tu as un contrat avec chaque sous-traitant (processor) avec lequel tu partages des donn\u00e9es<\/h4>\n\n\n\n
R\u00e9f\u00e9rences RGPD<\/h4>\n\n\n
3) Nouveaux droits des utilisateurs (processus et automatisation)<\/h3>\n\n\n\n
3.1 Tes utilisateurs peuvent demander facilement l\u2019acc\u00e8s \u00e0 leurs donn\u00e9es<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
3.2 Tes utilisateurs peuvent corriger leurs donn\u00e9es pour garantir l\u2019exactitude<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
3.3 Tu supprimes automatiquement les donn\u00e9es dont tu n\u2019as plus l\u2019usage<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
3.4 Tes utilisateurs peuvent demander facilement la suppression de leurs donn\u00e9es (droit \u00e0 l\u2019effacement)<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
3.5 Tes utilisateurs peuvent demander facilement la limitation du traitement<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
3.6 Tes utilisateurs peuvent demander la portabilit\u00e9 (remise \u00e0 eux-m\u00eames ou \u00e0 un tiers)<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
3.7 Tes utilisateurs peuvent s\u2019opposer au profilage ou \u00e0 des d\u00e9cisions automatis\u00e9es qui les impactent<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
4) Consentement (collecte, preuve, retrait)<\/h3>\n\n\n\n
4.1 Si tu te bases sur le consentement, il doit \u00eatre libre, sp\u00e9cifique, inform\u00e9 et r\u00e9vocable<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
4.2 Ta politique de confidentialit\u00e9 est compr\u00e9hensible et sans ambigu\u00eft\u00e9<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
4.3 Retirer son consentement doit \u00eatre aussi simple que le donner<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
4.4 Donn\u00e9es d\u2019enfants : v\u00e9rification d\u2019\u00e2ge et consentement du repr\u00e9sentant l\u00e9gal<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
4.5 En cas de mise \u00e0 jour de la politique de confidentialit\u00e9, tu informes les clients existants<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
5) Suivi (maintenance de la conformit\u00e9)<\/h3>\n\n\n\n
5.1 Tu revois r\u00e9guli\u00e8rement tes politiques : changements, efficacit\u00e9, nouveaux usages et contexte pays<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
6) Cas particuliers (DPIA, transferts hors UE)<\/h3>\n\n\n\n
6.1 Tu sais quand r\u00e9aliser une DPIA (Data Protection Impact Assessment) pour un traitement \u00e0 haut risque<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
6.2 Tu ne transf\u00e8res des donn\u00e9es hors UE que vers des pays offrant un niveau de protection ad\u00e9quat (ou avec garde-fous)<\/h4>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
Droits des personnes concern\u00e9es : ce que tu dois \u00eatre capable de fournir<\/h2>\n\n\n\n
Droit \u00e0 une information transparente<\/h3>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
Droit de recevoir des informations sp\u00e9cifiques lorsque les donn\u00e9es sont collect\u00e9es directement<\/h3>\n\n\n\n
\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
Droit de recevoir des informations sp\u00e9cifiques lorsque les donn\u00e9es ne sont pas collect\u00e9es directement<\/h3>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
Droit d\u2019acc\u00e8s<\/h3>\n\n\n\n
\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
Droit de rectification<\/h3>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
Droit \u00e0 l\u2019effacement (droit \u00e0 l\u2019oubli)<\/h3>\n\n\n\n
\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
Droit \u00e0 la limitation du traitement<\/h3>\n\n\n\n
\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
Droit d\u2019\u00eatre notifi\u00e9 en cas de rectification, effacement ou limitation<\/h3>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
Droit \u00e0 la portabilit\u00e9<\/h3>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
Droit d\u2019opposition<\/h3>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
Droit de ne pas faire l\u2019objet d\u2019une d\u00e9cision automatis\u00e9e<\/h3>\n\n\n\n
R\u00e9f\u00e9rence RGPD<\/h4>\n\n\n
Mise en \u0153uvre pratique : les \u00e9tapes concr\u00e8tes c\u00f4t\u00e9 site web<\/h2>\n\n\n\n
1) S\u00e9curiser ton site (mesures de base, mais indispensables)<\/h3>\n\n\n\n
\n\n
2) Mettre une banni\u00e8re de consentement cookies (et la faire correctement)<\/h3>\n\n\n\n
\n\n
Point de vigilance<\/h4>\n\n\n
3) Passer en revue tous les formulaires du site<\/h3>\n\n\n\n
\n\n
4) Obtenir un vrai consentement pour les e-mails marketing<\/h3>\n\n\n\n
\n\n
5) Se pr\u00e9parer \u00e0 une violation de donn\u00e9es (avant qu\u2019elle arrive)<\/h3>\n\n\n\n
\n\n
Focus WordPress : points d\u2019attention sp\u00e9cifiques<\/h2>\n\n\n\n
\n\n
Sanctions RGPD : amendes et autres mesures<\/h2>\n\n\n\n
\n\n
FAQ (questions fr\u00e9quentes)<\/h2>\n\n\n\n
Qu\u2019est-ce qu\u2019une checklist de conformit\u00e9 RGPD ?<\/h3>\n\n\n\n
Qui est responsable de la conformit\u00e9 RGPD ?<\/h3>\n\n\n\n
Le RGPD s\u2019applique-t-il aux entreprises am\u00e9ricaines ?<\/h3>\n\n\n\n
Quelle est la sanction maximale en cas de non-conformit\u00e9 ?<\/h3>\n\n\n\n
Ai-je besoin d\u2019une banni\u00e8re cookies ?<\/h3>\n\n\n\n
Dois-je nommer un DPO ?<\/h3>\n\n\n\n
Note importante<\/h2>\n\n\n\n
R\u00e9f\u00e9rences \/ Sources<\/h2>\n