 Bien bonjour à tous j'espère que vous avez toutes et tous fini de digérer parce que pas nous voilà alors pour vous expliquer un petit peu donc moi je suis florien voilà c'est marqué là et je vous demande d'applaudir très fort flor parce que flor en fait à la base elle n'est pas du tout de la commu world press bonjour à tous merci donc voilà et en fait cette conférence on a décidé de vous parler du rgpd mais on s'est dit on a deux options soit on commence à sortir en fait les bouquins de droit et on leur fait un truc se pourrifique pendant 40 minutes on leur parle de droit de droit de droit de droit soit on leur fait un retour d'expérience donc on a opté pour la version 2 parce qu'on s'est dit que ce serait peut-être un tout petit peu plus vivant d'où le nom extrêmement long de cette conférence comment le rgpd peut influencer peut influer pardon le périmètre technique d'un projet web et c'est là que flor va commencer à vous parler de rgpd attention vous vous accrochez mais vous allez voir elle est très pédagogue je vais essayer de pas trop vous ennuyer parce que c'est vrai que le rgpd c'est quelque chose d'assez d'assez long alors vous savez tous que il y a eu une montée en puissance du numérique depuis 78 c'est bien pour ça il s'assoit non mais c'est incroyable tu ne te sens pas concerné donc depuis 78 où a été créé donc la loi informatique et libertés et la CNIL donc les entreprises ont été obligées de prendre des mesures techniques organisationnelles et la protection des données qui a été imposée donc aux entreprises les entreprises ont été obligées de prendre un certain nombre de mesures pour pouvoir s'organiser en interne pour protéger les données qui concernent ses clients ou les personnes concernées flor c'est quoi par exemple des données techniques organisationnelles c'est pas des données ce sont des mesures des mesures pardon excuse moi mesure technique c'est tout ce qui va concerner l'organisation d'un site web par exemple alors je parlais du site web parce que bien évidemment vous êtes concerné tout ce qui peut être sécurité au niveau du site web et mesures organisationnelles c'est tout ce qui va concerner vos salariés vous allez apprendre à vos salariés apprendre soins des données qu'ils collectent et qu'ils traitent pour le compte de vos clients faut savoir qu'il y a un certain nombre de menaces aussi hein vous le savez tous hein quand vous créez un site internet si vous ne prenez pas les mesures de sécurité adéquates il peut y avoir des menaces donc des menaces telles que la compromission des ressources applicatives le vol de données ou le déni de service face à ces menaces si vous n'avez pas mis en place les mesures de sécurité technique adéquates vous pouvez avoir des sanctions très lourdes en cas de non respect de la violation des données c'est quoi par exemple les sanctions les sanctions alors les sanctions donc j'en parlais après c'était une ou deux diapos après vous donnez quelques exemples de sanctions qui ont pu arriver donc récemment mais je non mais j'en dirais un petit peu plus tout à l'heure donc pour l'instant on voit vous surtout vous parlez des objectifs du rgpd donc le rgpd donc a été mis en place en 2018 je pense que vous le savez tous vous êtes bien obligé de le savoir puisque vous touchez au système d'information en fait en sous-titrage elle vous dit que vous n'avez plus d'excuse tout le monde le connaît ici le rgpd ah super donc vous l'appliquez tous dans vos entreprises et chez vos clients super vous savez que vous avez un devoir de conseil vis-à-vis de vos clients parfait et vous leur donnez ce conseil au niveau du rgpd parfait très bien donc bah écoutez je vais on va voir ça par rapport à ce que je vais dire aujourd'hui donc les objectifs du rgpd sont bien évidemment d'harmoniser les mesures de protection des données au travers de l'union européenne d'accord d'éviter les risques de violation de données c'est à dire ça peut être toutes les fuites de données qui peuvent arriver quand vous utilisez un site internet via un formulaire de contact ou quand vous utilisez une plateforme interactive où vous n'avez pas mis en place les mesures de sécurité adéquates le rgpd donc l'objectif aussi c'est de responsabilité les responsabilisés pardon les entreprises parce qu'avant 2018 les entreprises n'étaient pas responsables elles devaient juste tenir un registre des traitements qu'elles effectueraient en leur sein et depuis 2018 donc le rgpd a rendu les entreprises responsables des données qu'elle collecte ça veut dire que s'il y a d'exanctions c'est pour vous et comme la plupart d'entre vous sont considérés comme des sous-traitants vous êtes responsables si vous n'êtes si vous ne remplissez pas votre devoir de conseil auprès de vos clients attend ça veut dire que si jamais nous là tous dans la salle en tant que prestataire on a un client on lui dit monsieur le client ton rgpd bof bof le client nous dit écoute polo moi mon rgpd je fais une petite barre de acceptation des cookies là j'ai mis la petite case pour le formulaire c'est 90 % de ce qu'on fait et 3 quart des temps mais sinon ton rgpd 8 ça me passe par dessus la jambe du coup ça veut dire qu'il peut se retourner après contre nous non ça veut dire que la qunille peut se retourner je veux dire elle peut se retourner contre tout à fait puisque vous agissez en qualité de sous-traitants selon l'article 28 du rgpd dont je vais pas vous lister parce qu'il est vraiment très énorme vous avez certains devoirs et obligations vis-à-vis de vos clients de serait-ce que de remonter s'il y avait une violation des données par exemple donc une fuite des données sur le site internet si vous n'avez pas pris les mesures adéquates pour la protection de ces données via le site internet ou via la plateforme que vous auriez mise en place vous pouvez être sanctionné autrement dire retenez que si vous avez une fuite il faut appeler votre client et pas le plombier et enfin ah j'avais pas fini tu vas vite ah oui il faut peut-être que j'aille un petit peu plus vite donc respecter le droit des personnes concernées donc qu'est ce que c'est les personnes concernées ont des droits sur leurs données que vous connaissez tous vous les connaissez les cinq droits des personnes vous pouvez pas me les citer je pense allez le lever la main allez c'est parti le droit des personnes sur les données ah parfait parfait droit à l'oubli oui droit à la récupération oui tout à fait portabilité des données le principal droit auquel vous devez faire attention c'est le droit d'accès toutes les personnes concernées doivent pouvoir accéder à leurs données ce qui veut dire que quand vous mettez en place une plateforme interactive alors moi ce que je conseille à mes clients c'est toujours de créer un bouton qui permet aux utilisateurs de récupérer l'ensemble de leurs données et d'accéder à leurs données pour les modifier, les rectifier et limiter leur utilisation ou quand vous êtes sur votre presse d'utiliser l'extension développée par Jean-Baptiste il a fait une petite extension j'ai plus j'ai plus le nom en tête si quelqu'un là il a fait une petite extension qui est très bien et qui permet de gérer ça tout seul voilà mais vous la trouvez sur le ripot sinon en cherchant Jean-Baptiste c'est juste un bouton qui doit être vraiment facile d'accès pour tous les utilisateurs qu'ils puissent récupérer leurs données en toute sécurité donc ça passe un pérate pardon ah pardon donc droit d'accès, droit de rectification, droit à la limitation, droit à la portabilité, droit à l'oubli il y en a deux autres alors c'est le droit de donner des directives après le décès d'accord et après vous aviez le droit à la portabilité c'est bon j'ai l'autorisation de chansons de slide donc ça passe impérativement par imposer la sécurisation des sites et plateformes qui sont les cibles préférées des hackers et la porte d'entrée des attaques malveillantes voilà tu peux merci Flore de motorisation j'ai de slide alors un peu d'événements c'est là où on en arrive aux sanctions donc les choses qui font très mal vous avez certainement eu vent d'infogrèves qui a été condamné à payer une amende de 250 000 euros parce qu'il y avait un défaut sur le respect des durées de conservation et de sécurité des données il faut savoir qu'en matière de durée de conservation quand vous créez un bandeau de cookies par exemple il faut impérativement que vous mettez sur le site internet une durée de conservation limite des cookies vous regardez tous avec des gros yeux mais vous le savez est-ce qu'il y a une durée de conservation limite maximum ? oui 13 mois et au bout de 13 mois normalement vous devez les supprimer mais généralement c'est redondant puisque la personne retourne sur le site donc du coup la durée de 13 mois se reprolonge d'autant il y a eu un deuxième cas du coup ouais 13 mois non ça dépend des données parce que tout ce qui va être cookie fonctionnel ça il n'y a pas de durée de conservation bien obligé d'avoir les cookies fonctionnels pour pouvoir naviguer sur le site internet tout ce qui va être cookie d'analyse c'est plutôt les cookies d'analyse qui vont avoir une durée de conservation limitée mais je vais pas vous faire un cours sous les cookies sinon je vais tenir au-delà de 40 minutes ça va être un petit peu compliqué du coup on a un deuxième cas un deuxième cas qui est d'édalus biologie donc qui commercialise des solutions logicielles pour les laboratoires d'analyse qui a été condamné à 1 500 000 euros à cause d'une fuite de données médicales il y a eu aussi un blocage du site par un manque de sécurité des données il y a un manque moins l'obligation du sous-traitant de respecter les instructions du responsable de traitement c'est votre client qui vous dit comment je dois gérer les données comment je dois collecter les données comment je dois traiter les données vous avez uniquement une obligation de remonter de l'information si les personnes concernées vous dites voilà je veux accéder à mes données si elle s'adresse à vous le groupe accorde aussi je crois que ça date de la semaine dernière c'est un groupe de réservations hotelières qui en a eu pour 600 000 euros d'amende manquement l'obligation d'informer les personnes concernées alors quand vous allez chez vos clients quand vous faites une commande pour mettre en place un site internet vous devez lui proposer de mettre une politique de confidentialité vous connaissez tous la politique de confidentialité des données dans la politique de confidentialité vous avez tout ce qui concerne l'information des personnes juste un sondage à main levée dans la salle vraiment sondage à main levée pour qui est-ce que la majorité des clients fait faire sa politique de confidentialité par un avocat maintenant pour qui la majorité des clients font faire leur politique de confidentialité par un site internet où ils font un copier collé voilà vous connaissez donc tous le contenu des politiques de confidentialité d'accord vous le connaissez par coeur donc dessus vous notez comment vous collectez comment le client collecte des données les données, comment elles sont conservées comment elles sont hébergées d'accord c'est tout ce qu'il faut reprendre et dans la politique de confidentialité des données bien évidemment vous avez aussi la politique de gestion des cookies où vous expliquez à l'intérieur les cookies que vous mettez sur un site internet pour qu'ils fonctionnent d'accord cookies fonctionnels, cookies d'analyses, cookies publicitaires cookies de vidéos etc et vous expliquez aux personnes concernées comment elles peuvent éviter l'utilisation de ces cookies comment elles vont aller paramétrer leurs navigateurs pour ne pas avoir de cookies sur leurs ordinateurs et ensuite Amazon Europe Core qui a été condamné à 35 millions millions d'euros d'amende pour le respect de la législation sur les cookies donc là j'ai parlé que des gros pardon vas-y je disais juste ça picote 35 millions bah oui voilà donc là ce ne sont que les gros mais il faut savoir que ça arrive aussi au plus petit pour vous donner des exemples il y a deux médecins qui ont été condamnés en septembre 2020 à 3000 et 6000 euros pour un défaut de durée de conservation des données en fait ils n'avaient pas donné les instructions au concepteur de site web pour pouvoir conserver les données les durées de conservation n'étaient tout simplement pas respectées en matière de cookies alors c'est moi qui vais parler un peu du coup je ne vais pas vous la faire la majorité d'entre vous savent comment fonctionne un projet web d'accord on a le projet de A à Z on a le recueil du besoin client ok évidemment vous avez le client qui vous appelle qui vous dit bonjour monsieur, bonjour madame j'ai besoin cet internet tout ça ok très bien on prévoit un rendez vous on fait un beau brief après on va faire des ateliers pour rentrer plus en profondeur vraiment comprendre ce dont le client a besoin surtout ce dont le client de nos clients ont besoin l'élaboration du cahier des charges du plan fonctionnel ensuite on passe un phase de production évidemment il y a toute la phase de planification je sautais de trop trucs il y a les phases de recette recette interne recette client et la mise en production ce matin ça ne s'arrête pas là il y a le suivi après le projet mais du coup ça fonctionne en fait pas vraiment tout à fait comme ça vous savez le 3 quarts du temps comment ça fonctionne et là sur le 4 clients qu'on a eu on a eu un truc un peu particulier d'abord on nous a dit oui il faudrait faire un site vitrine on a dit bon c'est cool ça va un site vitrine tranquille quoi nous on a fait comme d'habitude on a fait le bandeau de gestion de gestion des cookies on a paramétré correctement la gestion des cookies 13 mois tout ça machine c'est ce qu'il dit on a paramétré les formuleurs tout bien comme il faut en disant première cas j'accepte la petite confidentialité deuxième cas j'accepte d'être au contactaire des fins commerciales parce que ce sont 2 consentements séparés et jusque là ça allait bien en fait site vitrine avec une haume des pages internes une page contact on a dit oui mais en fait on est une boîte de consulting on a quand même quelques gros clients comme des clients chez qui il y a des grèves actuellement parce qu'on ne peut plus mettre des sens dans nos voitures vous voyez de qui je parle je ne citerai pas de marque et du coup il faut que ces clients-là puissent prendre rendez-vous directement avec les consultants de notre équipe sur la plateforme wow commence à avoir 2-3 enjeux techniques il faut qu'ils puissent prendre rendez-vous mais faut aussi en fonction des niveaux qui puissent acheter du crédit les crédits c'est à coût de 10 000 euros on est d'accord c'est pas le truc où vous mettez votre carte bleue et puis ensuite il faut qu'il y ait des niveaux de manager qui puissent acheter les crédits d'autres qui puissent dispatcher les crédits d'autres qui puissent autoriser la prise de rendez-vous des niveaux du dessous etc etc puis il faut que les consultants puissent gérer leur agenda et puis en plus de gérer leur agenda il faut qu'ils puissent accepter ou refuser les rendez-vous consulter les crédits pour vérifier qu'il y a bien encore des crédits et puis que si vous n'avez plus de crédit vous puissiez pas prendre rendez-vous 2-3 petits détails comme ça qui commençaient à être un petit peu techniques bon ce dû pas de problème on sait faire jusque là c'était tranquille et puis un jour dans une conversation on dit au client mais du coup vous avez quand même des clients qui sont un petit peu capés donc peut-être qu'il va falloir commencer à réfléchir quand même à se poser la question est-ce que vous avez une politique de confidentialité non mais en fait je vais faire un copier collé d'un site internet on y revient oui mais en fait vu le niveau de clients que vous avez là ça va pas suffire parce que là on commence à rentrer sur un fonctionnel un peu plus élevé donc évidemment le site vitrine classique texte, bloc image plus texte enfin tous les blocs classiques formaires de contact blabla et là je me suis fait abetir c'est là que ça scores donc un site vitrine d'accord il faut prendre un certain nombre de mesures de sécurité comme je le disais tout à l'heure il faut vérifier pas mal de choses avant de pouvoir le mettre en ligne notamment vérifier la sécurité par le HTTPS par exemple il faut vérifier aussi tout ce qui peut être droit à l'image si on veut mettre des photos sur le site il faut vérifier qu'on a bien les droits à l'image et les droits de propriété si on donne des citations on va mettre en forme le formulaire de contact donc vous savez tous comment le formulaire de contact rgpd doit être oui ah donc le formulaire de contact doit mentionner doit préciser les mentions obligatoires des mentions facultatives il doit aussi renvoyer une politique de confidentialité et on doit même à cet endroit-là prévoir une case à cocher si on a l'intention d'envoyer une newsletter il faut savoir que toute personne qui souhaite avoir une newsletter doit obligatoirement avoir un acte positif c'est-à-dire qu'elle doit cocher la case pour recevoir les newsletters par contre vous devrez faire attention à ce qu'elle puisse la décocher aussi facilement qu'elle les cocher vous avez aussi le bandeau des cookies dont j'ai parlé tout à l'heure c'est justement d'accord donc là c'est par rapport à l'acceptation des cookies sur les ordinateurs la politique de gestion des cookies dont je vous ai parlé tout à l'heure et ces fameuses mentions légales je pense que tous vous proposer des mentions légales à vos clients lorsque vous faites un site internet rédigé par un avocat évidemment il vous connaissez le contenu obligatoire des mentions légales vous savez que votre client peut être condamné à 75.000 euros d'amende s'il n'a pas de mention légale et ça c'est votre devoir de conseil donc les bergeurs sur les mentions légales les bergeurs avec le numéro voilà pareil pour l'éditeur pareil pour l'éditeur donc l'éditeur ça va être le siège social pas l'éditeur oui l'éditeur tout à fait le siège social le numéro d'RCS le numéro de TVA une adresse de contact ou soit un numéro de téléphone après si vous êtes dans le cas d'une profession réglementée vous avez aussi le numéro de la profession réglementée à mettre ça vous arrive certainement quelques fois de faire un site internet pour un avocat ou pour un médecin ou même un expert comptable donc la profession réglementée vous devez mettre le numéro de la profession réglementée et après tout ce qui est droit de propriété intellectuelle pour la protection des marques alors bon pour l'espace client on a un fonctionnement en silo et en fait vous l'aurez compris le cabinet de consulting qui était notre client à nous, agence il n'est pas qu'un seul client qui fabrique le truc qu'on met dans les voitures et je sais qu'il y a des grèves en ce moment il a d'autres clients sauf qu'évidemment il faut une étanchéité totale entre les données du client A parce que forcément si vous prenez l'entreprise A et l'entreprise B il ne faut pas qu'il y ait de bazar qui se mélange donc ça c'est bon et du coup, périmètre technique il faut absolument que le manager de l'entreprise A ne puisse voir que les subordonnés j'aime pas ce mot mais j'en ai pas trouvé d'autre de l'entreprise A et les gens de l'entreprise B de l'entreprise B, tout va bien et les consultants et administrateurs pareil il peut voir tous les profils c'est à dire que de leur côté notre client le responsable de la société qui est à notre client lui a un axe administrateur il peut aller se battre des partout il n'y a pas de problème et les consultants, eux, ils peuvent voir toutes les personnes inscrites sur la plateforme du coup on a quand même toute une partie où il faut s'iloter des données à côté bon, là on commence à bien s'amuser et c'est là que je me suis encore fait tirer les oreilles oui, c'est vrai, c'est là qu'on s'amuse donc généralement quand vous mettez en place une plateforme, vous mettez des conditions générales d'utilisation chaque personne doit savoir comment elle utilise la plateforme vous en mettez, je suppose, tous des conditions générales d'utilisation quand vous créez une plateforme, vous expliquez le pourquoi du comment, vous expliquez ce que l'utilisateur ne doit pas faire et vous donnez surtout une définition que vous allez utiliser dans les conditions générales d'utilisation évidemment voilà, donc il y a aussi une politique de protection des données qui est généralement très similaire à celle qui existe déjà pour le site internet du même client d'accord, donc la politique de protection des données c'est de se poser les questions qui, quoi pardon, quoi, qui, où, comment et quand et tout ça par rapport aux données, qu'est-ce que je collecte comme données, qui collecte les données, où je vais mettre mes données d'accord, comment je vais les traiter et quand je vais pouvoir les détruire vous devez informer les personnes concernées du sort des données qu'elles vous confient parce que je vous le dis, elles ne vous appartiennent pas même si c'est la richesse d'une entreprise, les données qu'on vous confie ne vous appartiennent pas et alors pour vous expliquer un petit peu quand on a fait la première réunion sur la protection des données et qu'on est arrivé sur la partie CGU condition générale d'utilisation en fait pour faire ça il a fallu faire un schéma alors je ne vous l'ai pas mis parce qu'on n'avait pas fait de photos à l'époque de ce schéma mais ça a fait un truc avec une patate là une patate là, une patate là, une patate là et des flèches qui parlent dans tous les sens voilà donc autant vous dire que ça c'est de la ratioche de cheveux pur et simple et c'est une vraie joie à gérer et sur l'espace client du coup on s'est retrouvé avec nos 5 profils utilisateurs, administrateurs consultants, clients responsables du compte entreprise, client mid manager et client officiateur restreint je lui ai encore tapé sur les doigts parce que pour avoir tous enfin ces 5 utilisations possibles on devait déterminer les rôles de chacun, d'accord déterminer aussi les accès que chacun pouvait avoir ce qui veut dire gérer les habilitations qui a le droit de faire quoi et donc on gère les habilitations selon les missions ou les tâches de la personne dans l'entreprise je vous donne un exemple tout bête un salarié ne va pas aller accéder à un dossier RH par exemple c'est un exemple tout bête donc on leur fait signer un engagement de confidentialité au salarié pour qu'il n'y ait pas de problème sur l'intégrité des données et la confidentialité des données on est d'accord qu'on parle du salarié de notre client à nous et pas du salarié du client on parle uniquement des informations que vous devez donner à vos clients d'accord dans la conception du site web et des plateformes ça c'est vraiment des informations que vous devez lui donner donc l'espace client par co-utilisateur du consultant je crois tout va bien on en a parlé un petit peu de tout à l'heure la connexion à leur espace consultant alors on leur a fait un joli dashboard tout ça avec des belles interfaces des jolis icônes tout ça le remplissage de leur profil consultable par le client parce que oui en fait le truc c'est que le client doit choisir son consultant surtout le panel de consultant disponible dans la société de notre client ça veut dire quoi ça veut dire que grosso modo on arrive et on a Gérard et Gérard fait son profil Gérard Bouchard 53 ans habite plutôt surnante et puis on a le profil de l'autre consultant qui s'appelle Sylvie etc etc et en fait le truc c'est que quelque part l'objectif de chacun des consultants ça va être d'être le plus bouqué possible donc d'avoir un profil le plus sexy possible c'est un peu comme sur les plateformes de type malt et autres vous essayez de faire un truc un peu convainquant donc voilà même si ils sont pas en freelance même si ils sont en interne il faut quand même qu'ils attirent le challenge donc voilà ils doivent pouvoir gérer leur agenda qui évidemment lui-même doit pouvoir être synchronisé avec leur Google Calendar la gestion de leur disponibilité ou de leurs indispensabilités c'est-à-dire que en plus de la synchronisation avec Google Calendar ils doivent pouvoir dire voilà la mardi en 8 j'ai rendez-vous chez le dentiste donc mardi en 8 je bloque ma matinée et je ne serai pas dispo je ne pourrais pas prendre rendez-vous et la gestion des réservations j'accepte ou je refuse une réservation et le schéma que nous avait demandé de faire le client en fait quand on a fait qu'il y a des charges et nous on se dit bon c'est pas déconnant voilà on travaille le cas des charges avec lui et puis on se dit bah en fait c'est logique comme besoin c'est de dire bah quand j'ai quelqu'un qui bouc un de mes consultants mon consultant reçoit une alerte par mail jusque là, classique et le client nous avait dit mais moi ce que je voudrais c'est que quand il reçoit le mail il est un lien où il clique pour accepter et automatiquement ça valide l'acceptation sans qu'il ait besoin de se reconnecter sur la plateforme et un lien sur lequel il clique pour refuser pour reprendre de choisir une autre disponibilité mais il a toujours pas besoin de se reconnecter sur la plateforme pour accepter ou refuser et là elle a encore sorti le fouet et puis de l'autre côté on a l'utilisateur de données et de l'autre côté on a l'utilisateur restreint l'utilisateur restreint lui c'est le profil le gars il est en low cost et puis il est pas en business il se connecte à son espace il arrive, il remplit son petit profil je veux dire voilà moi je suis Jean-Michel je travaille chez une entreprise qui fait grève machin blabla et en fait je dois pouvoir demander de réserver une séance mais il faut qu'en fait cette réservation de séance soit validée entre autres par le consultant mais aussi par mon manager parce que comme c'est des crédits il faut pas que je puisse se dépenser n'importe comment et que je puisse dans mon tableau de bord moi d'utilisateur de base accéder à mes réservations les séances que j'ai réservées pour pouvoir dire bah c'est un peu comme sur Dr.Lib j'ai réservé une consultation tel jour à telle heure bah tiens peut-être que j'ai besoin de la décaler peut-être que j'ai besoin de l'annuler et puis on a l'espace client min manager alors lui il a le niveau du dessus c'est à dire qu'il fait plein de trucs que fait le précédent dont on vient de parler donc je vais pas revenir dessus voilà, connexion à son espace, remplissage du profil machin etc et en plus du coup il doit valider les séances de consulting de son N-1 et il a le droit lui d'utiliser les crédits de l'entreprise directement c'est à dire qu'en gros il sait combien de crédits sont affectés à son pôle avec tous les salariés qu'il a en-dessous de lui et lui il a le droit les utiliser directement et d'accepter ou de refuser des rendez-vous pour ses N-1 bon et puis alors responsable du compte entreprise alors responsable du compte entreprise en gros c'est monsieur ou madame moulat d'accord, lui il gère il gère la thune c'est à dire qu'en gros il arrive lui il a fait un gros chéco le service achat surtout il a fait un gros chéco à notre client ils ont mis 10 000 euros converti en crédit un crédit égal à un euro et lui il a accès à la patate de 10 000 euros et lui il dit bon bah voilà alors en dessous j'ai manager 1, manager 2, manager 3 lui il a une grosse équipe je vais quand même lui fier 5000 et puis je vais répartir les 5000 restants à peu près à part égale entre les 2 autres voilà donc lui il peut faire ça et puis au bout d'un an il peut dire bah tiens tu t'en sers jamais donc en fait je t'en transfère un petit peu là ou etc parce que là tout va bien et c'est déjà pas mal et voilà faut dire que c'est à partir de toutes ces définitions de poste avec ces différentes administrations d'accord qu'on a pu gérer les habilitations et les droits d'accès on a vraiment besoin de connaître la ségralité des tâches de chacun pour pouvoir dire voilà vous avez le droit d'accéder à telle ou telle brique sur la plateforme donc là on y arrive à l'alerte sur l'espace client donc il faut avoir un mot de passe suffisamment complexe aujourd'hui c'est vrai que l'acnil réfléchit toujours sur des mots de passe de plus en plus complexe parce que ça devient de plus en plus facile pour les hackers de voler les mots de passe on en arrive vraiment à des suites alphanumériques avec des caractères spéciaux parfois qui font au moins une quinzaine de caractères donc ça devient parfois extrêmement compliqué mais généralement ces mots de passe sont utilisés dans le cadre de données sensibles donc ce qui peut être données de santé pardon données d'infraction aussi par exemple ensuite on a si on a des profils consultant et des profils utilisateurs il faut qu'il soit restreint et il faut collecter juste ce qu'il faut ça c'est vraiment imposé par l'acnil de collecter jamais plus de données que ce qui est nécessaire et enfin on autorise la portabilité des données sur une plateforme c'est ce dont je vous parlais tout à l'heure avec le fameux bouton que vous ajoutez pour que la personne puisse récupérer ces données intégralement par exemple petit exemple sur le formulaire pour venir au WorldCamp vous avez toutes et tous indiqué votre taille de t-shirt mais nous n'avons pas de t-shirt au WorldCamp une donnée non nécessaire elle t'est vraiment bien compatible par rapport au RGPD exactement au final au final ça c'est un peu corsé parce que du coup nécessairement on a vu qu'il nous reste à 10.500 au final ça c'est un peu corsé parce que du coup en fait on a pas pris en compte le RGPD au début du projet on l'a pris en compte parce que dans une conversation on a dit au client mais en fait là faut une poissie d'identiédité un peu plus costaue faut des conditions générales d'utilisation donc faut aller voir quelqu'un c'est comme quand vous allez pas hyper hyper bien on vous dit il faut aller voir quelqu'un bah là pareil on lui a dit il faut aller voir quelqu'un faut vous faire suivre et du coup bah nécessairement je suis arrivé c'est ça comme zéro et du coup c'était prêt en compte en cours de projet donc qu'est ce qui s'est passé c'est qu'il y a un périmètre technique parce que par exemple le coup de je te valide ou je te pas valide le rendez-vous dans le mail sans me reconnecter à la plateforme ça c'est pas bon parce que madame RGPD qu'est ce qu'elle a dit tirage d'oreille la donnée ne doit pas transiter à l'extérieur de la plateforme exactement donc en fait qu'est ce qu'il aurait fallu faire théoriquement si je me souviens bien c'est qu'il aurait fallu juste dire au consultant vous avez une demande de rendez-vous connectez vous à la plateforme mais j'ai retenu les trucs tout devait se faire au travers de la plateforme et pas en envoyant systématiquement un mail avec de nouvelles données à l'intérieur du coup bah comme on a revu le périmètre technique bah forcément on a repassé du temps sauf que c'est un peu compliqué de justifier au client pour lui expliquer que bah parce qu'en fait nous même on savait pas que au niveau RGPD ce serait aussi complexe que ça il allait falloir revoir la moitié du périmètre du projet et que donc il allait falloir lâcher encore plus d'argent et plus de temps un peu renier nos marges parce que bon bah on sentait un peu pété aussi quand même hein faut être honnête parce que bah on s'est dit bah on s'est planté là-dessus c'est voilà il faut avoir l'hauté de le dire c'est planté on a dit bah ouais en fait il aurait fallu dès le début dire à RGPD mais on l'a pas fait donc du coup on a diminué nos marges il y a encore des conséquences alors il y a toujours des conséquences bien évidemment la notoriété du client qui devient difficile à voir si le site internet les personnes, enfin les clients auront plus de mal à vouloir se connecter sur un site en lequel ils n'ont pas confiance que sur un site qui est bien conforme au RGPD on a toujours une exposition en menace si on n'a pas pris les mesures de sécurité adéquates par rapport aux données traitées donc je rappelle toujours qu'il y a une différence entre traitées de la donnée courante et traitées des catégories de données particulières comme les données de santé ou autres religieuses philosophiques etc je vous les passe au cours du coup un site moins responsable du coup comment est ce qu'on aurait pu faire autrement en fait le schéma idéal ça va être de se dire on fait le recueil du besoin, le brief, les ateliers et après avoir fait les ateliers et le brief pour savoir où est ce qu'on veut aller on fait une petite pause, on fait la concertation avec un expert en protection des données la dame là par exemple et puis ensuite du coup on élabore et ensuite seulement on passe au développement en accord avec cette partie fonctionnelle précédemment validé sur la partie légale voilà donc du coup on a mis en place ce qu'on appelle les 4 règles d'hygiène donc tout ce que j'ai rappelé, tout ce que j'ai dit tout ce que j'ai dit plus haut donc la sécurité des sites et application web à prendre en compte dès le début bien évidemment l'intégrité du comportement de l'application côté client que les données soient toujours protégées configurer l'infrastructure d'hébergement donc faire toujours attention à avoir un hébergement si possible dans l'Union européenne dans le meilleur des cas et quand on traite des données sensibles d'avoir un hébergement HDS donc hébergement de données de santé permettre de détecter les vulnérabilités et les attaques éventuelles généralement on fait des audites où on peut faire des tests d'intrusion ce que je veux dire par là c'est qu'un site web il peut venir sur le site web que vous avez fait par exemple et se faire passer pour un utilisateur mais s'enregistrer etc et du coup vous recevez une sanction directement dans votre boîte mail en disant votre site n'est pas conforme et on vous met en demeure de le mettre en conformité il faut savoir que ça peut venir par tous les bouts je peux il vas-y Flo pour vos clients pour vos clients soyez vous-même conforme au rgpd donc oui fatalement donc oui au regard du rgpd suivant le cas vous serez responsable de traitement c'est à dire que vous c'est vous qui définissez les traitements vous pouvez être sous-traitant c'est à dire que vous collectez les données pour le compte de vos clients ou encore correspondable de traitement ça veut dire que vous mettez en oeuvre les finalités et les moyens du traitement avec votre client et vous avez des obligations d'information et un devoir de conseil surtout une petite phrase que j'aime bien donc si vous ne prenez pas soin de vos clients votre concurrent le fera et on sait tout ce que ça pique quand c'est un concurrent qui s'en occupe voilà donc merci beaucoup pour votre écoute donc je suis floor chatelé du coup je vais me permettre de présenter cette grande dame s'agit de madame floor chatelé qui est fondatrice de la société aporia spécialiste en réglementation générale à protection des données et en droit de la protection des données qui a aussi fondé un outil qui s'appelle mon auditeur gpd et vous avez les deux liens en dessous voilà et vous pouvez flasher son QR code vous pouvez flasher pour cette dame voilà et moi je suis floor chatelé donc je suis co-fondateur de l'agence 810 avec mon associe estel qui est dans la salle on a aussi fondé on a aussi créé une marque qui s'appelle forti qui est la destination des startups qui les accompagne sur l'accélération de leur go-to-market et vous avez pareil les liens ici présents voilà merci beaucoup et on est dans les temps c'est de gestion du temps je crois qu'on se rend en 2006 on pourrait d'haber merci Florian en tout cas une question donc tout à l'heure vous avez parlé le client reçoit une confirmation pour annuler ou confirmer un rendez-vous en quoi des données personnelles transitent dans ce mail c'est n'est qu'il n'y a pas vraiment de données réelles c'est juste une confirmation ou une information moi j'ai ce système-là sur en mes sites où il y a des prises de rendez-vous en ligne c'est juste un lien de confirmation j'ai juste les informations de telle heure le nom le prénom mais le nom le prénom et la donnée personnelle la personne est informée que lorsqu'elle clique les données sont transmises à la société dans le cadre de la gestion commercial ou de prestations de services donc ça on est parfaitement informé mais mon lien ne contient en aucun cas une transmission des données personnelles alors que tout à l'heure vous parliez du cas où il y a une donnée personnelle qui est transmise j'ai pas trop compris le... il peut exister des données personnelles bien évidemment qui seraient transmises après le RGPD c'est un processus global ça veut dire que vous passez en premier lieu par l'information de la personne d'accord vous allez l'informer que vous allez lui envoyer un mail donc vous utilisez non seulement son nom prénom mais vous utilisez aussi son adresse mail elle peut être nominative qui est aussi une donnée personnelle donc il faut vraiment qu'elle soit informée de ce qu'elle va recevoir donc il faut bien faire attention à chaque fois de faire l'information globale sur le mail que vous envoyez par la suite et en fait le point c'est que ce que dit le RGPD c'est que globalement moins la donnée transite mieux c'est c'est-à-dire qu'il vaut mieux un simple mail qui te dit il faut que tu te connectes à la plateforme parce qu'il y a quelqu'un qui a voulu prendre un rendez-vous et il faut lui dire si oui ou non tu peux que de faire transiter la donnée dans un mail puis la refaire transiter dans un autre sens pour qu'elle aille plus chez l'utilisateur final tu as une validation elle transite ta donnée non mais ta validation générée par le système on envoie un mail administrateur pour dire monsieur un tel ou madame un tel donc on a le nom le prénom mais ça le client on est informé son numéro de téléphone éventuel s'il a aussi il y a un texto qui peut être envoyé dans les deux cas comme je vous l'ai dit c'est le client est parfaitement informé des données qui vont être transmises mais à partir de moi où on accepte via le lien codé qui est donné qui est généré il n'y a pas de transmission c'est juste le système reçoit la confirmation du rendez-vous en mettant il va donc générer un mail au client pour lui dire c'est accepté et générer un autre mail à l'administrateur pour lui dire vous avez confirmé alors le point commun entre ça c'est soit l'adresse mail soit l'identifiant de celui qui a pris le rendez-vous et du coup la donnée elle transite via le mail via Outlook il y a bien une donnée qui transite mais si le client est informé il n'y a pas de difficulté le client peut tout à fait être informé qu'on va lui adresser un mail pour confirmer son rendez-vous et là il faut faire attention que ce soit sécurisé mais après vous ne pouvez pas mettre la passagerie c'est là où existe toute la difficulté dont vous en votre qualité de sous-traitant il faut que vous fassiez prendre à la donnée le moins de risques possibles rien que de faire de dire on va envoyer un mail au destinataire pour qu'il puisse confirmer son rendez-vous c'est déjà un risque en fait d'accord puisque ça c'est chebinement que vous proposer à la donnée alors peut-être qu'il y a une meilleure solution où en effet l'utilisateur aurait quelque chose de plutôt anonyme où il aurait juste besoin de cliquer dessus pour se rendre sur la plateforme pour valider son rendez-vous vous voyez il faut peut-être prendre les choses de l'autre côté en fait votre devoir c'est de faire prendre le moins de risques possibles à la donnée d'accord surtout la donnée de votre client en l'occurrence donc on pense qu'un accès à la plateforme directement serait plus judicieux que l'envoi d'un mail voilà est-ce que j'ai été claire merci bonjour non c'était pour savoir comment on se protège nous en tant que prestataires pour pas avoir de problèmes avec la CNIL de nos clients pour pas avoir de problèmes justement que ça ne retombe pas sur la figure être conforme au RGPD non non non mais c'est vous-même la sécurité qui sont le Béhabat, votre site internet conforme une politique de confidentialité qu'il y a un engagement de conserve financialité vis-à-vis de vos salariés après tout dépend combien vous êtes avoir des profils d'habilitation qui sont bien gérés dans l'entreprise avoir des profils de des procédures de suppression des données puisque vous ne pouvez pas conserver les données de vos clients indéfiniment c'est ce qu'on appelle la procédure d'archivage et en fait c'est tout ce que vous devez faire au sein de vos entreprises justement pour vous-même être conforme il faut savoir qu'aujourd'hui le fait de ne pas être conforme risque par exemple de ne pas vous faire remporter certains marchés publics parce qu'il y a des marchés publics on vous oblige d'être conforme au RGPD moi j'ai compris la question en tant que prestataire je fais un site pour quelqu'un, pour un client j'ai un devoir d'informer mon client de lui dire tu dois avoir une page de mention légale si il nous la fornit pas si il nous la fornit pas et du coup on ne peut pas lui mettre le couteau sur la gorge et lui le taper dessus non non non non du tout, la responsabilité ne peut pas être recherchée mais ça va partir de votre devoir de conseil en tant que prestataire et en tant que professionnel du système d'information en fait ce que la dame nous dit c'est qu'en gros il faut pouvoir attester de notre devoir de conseil en gros quand vous avez eu le call avec le client qui vous dit moi ta RGPD je m'en balance il est très gentiment un petit mail comme vu lors de notre rendez-vous je vous ai informé que bla bla bla bla bla vous laissez une trace écrite gentiment et poliment et si le client ne vous répond pas et qu'il ne fait rien c'est sa responsabilité vous vous êtes dégagé de toute responsabilité légale vis-à-vis de ça pour la faire courte exactement là on va se faire trop les secs d'abord merci pour cet hommage la mission c'est pas sorcier le RGPD j'ai mis comment ça marche même si Florian était un peu en dessous c'était très bien Florian et la question s'adresse à Florian oui monsieur Bata la question s'adresse à Florian tu nous expliques que par rapport à ton client vu que tu avais été un petit peu en dessous par rapport au RGPD tu t'es assis sur ta barge on ne s'est pas complètement assis mais on a fait un effort qu'est-ce que tu as fait de tes clients précédents qu'est-ce que j'ai fait de mes clients précédents en fait sur nos clients précédents entre guillemets par chance il y a des demandes qui nécessitent autant de transites de données donc on a vu la chance d'avoir soit des clients qui effectivement étaient assez capés en interne pour pouvoir avoir un service juridique qui lui a rédigé tout ce qu'il fallait et nous ont fourni tout ce qui allait bien soit avoir des clients qui nous ont dit bah nous le RGPD on s'en balance par écrit et on va aller prendre une petite confidentialité et des mentions légales sur un site tout fait et du coup on a dit bah ok très bien nous on a fait notre devoir de conseil à partir de là bah ma foi tu veux pas nous écouter c'est pas grave après on a d'autres clients qu'on a aussi envoyé à Poria en disant bah voilà là vous avez une vraie nécessité donc par contre au lieu de vous embêter vu que vous avez pas encore de cabinet juridique externe mais vous faites plusieurs millions d'euros par an allez voir la dame là bas voilà et la dame là bas les a très bien conseillé une dernière micro question micro question promis c'est quoi la diff entre une politique de confidentialité et une politique de protection des données personnelles c'est pareil c'est plus global oui oui c'est la même chose c'est le nom qui diffère quelques fois sur les sites on a politique de confidentialité ou d'autrefois on a politique de protection des données il y a même certains sites qui mettent directement tout dans les mentions légales ils mettent même leurs mentions légales d'accord il y en a qui mélangent condition générale d'utilisation en fait le principal vraiment ce que je peux vous conseiller c'est d'avoir une information claire et précise elle doit pouvoir être relu par des enfants de 10 ans et lui est comprise donc une information claire précise ça c'est vraiment très très important merci beaucoup merci merci