RGPD et vos applications développées avec Windev, Webdev, ou Windev Mobile

Toutes les entreprises et les administrations ont l'obligation de se mettre en conformité avec la réglementation RGPD depuis le 25 mai dernier.

Cela concerne bien évidemment aussi les applications spécifiques développées avec Windev, Webdev et Windev Mobile, dès qu'elles manipulent des données personnelles.

Si vous ne l'avez pas déjà fait, il faut au minimum comprendre les enjeux du RGPD et les conséquences pour votre entreprise. Pour cela, le site de la CNIL vous donnera les informations essentielles pour mieux comprendre : https://www.cnil.fr/fr/rgpd-passer-a-laction

Le RGPD se résume en 6 points :

1.        Réduction de la collecte d'informations

Les entreprises (employeurs, commerçants, services en ligne) n'ont le droit de recueillir auprès de leurs collaborateurs, clients ou utilisateurs que des données personnelles nécessaires à leurs activités. Et non pas celles qui risquent de leur être utiles un jour. Chaque activité doit être consignée dans un registre, sous forme de fiche précisant l'objectif légitimement poursuivi (gestion de la paie, fidélisation de la clientèle), le type d'informations mémorisées (nom, prénom. Date de naissance …), leurs destinataires (services internes ou externes. Partenaires…) et leur durée de conservation. 

2.       Information simplifiée des Individus

Aucun recueil de données ne peut être réalisé sans le consentement explicite de la personne concernée, le support utilisé (formulaire, questionnaire…) doit, par ailleurs, comporter des mentions d’information. Pour préciser, notamment, la raison de cette démarche, son fondement juridique, ses bénéficiaires, la durée de conservation des informations et les moyens d’y accéder pour les rectifier ou les effacer. Ces indications ne doivent pas être noyées dans des conditions générales d'utilisation.

3.        Portabilité des données

Ce nouveau droit garantit aux individus la récupération à tout moment de leurs Infos personnelles. Afin de les communiquer à une autre plateforme ou, tout simplement, de les stocker dans l'espace de leur choix.

4.       Gain de temps pour exercer ses droits

Désormais, tout un chacun a la possibilité de faire valoir ses droits en ligne concernant l’accès à ses informations personnelles, leur rectification, l’opposition (par exemple, à la publication sur un site) ou encore leur effacement, leur portabilité et la limitation du traitement. L’organisme est tenu d'y répondre dans un délai d'un mois, contre deux auparavant.

5.        Champ d'application étendu

Le RGPD s’applique à toutes les organisations privées ou publiques traitant des données privées de résidents européens. Peu importe où elles sont établies dans le monde.

6.       Sanctions renforcées

En cas de violation des droits d'une personne, la Cnil est habilitée a intervenir. L’entreprise responsable encours alors une amende dont le montant peut atteindre 4% de son chiffre d'affaires mondial.

PCSOFT présente sa vision du RGPD sur la page suivante : http://bit.ly/2Kj6PIX

Pour les applications développées avec Windev, Webdev et Windev Mobile, le passage par la version 23 n'est pas obligatoire, mais elle facilitera les choses dans la mesure où elle inclus des outils pour faciliter l'identification des données manipulées et les traitements effectués (audit des données personnelles).

Que vous ayez une ancienne application ou une nouvelle application développée avec Windev, Webdev ou Windev Mobile, il faudra mener les actions suivantes, pour chaque application:

1. Faire un audit des données à caractère personnel de personnes physiques, manipulées par votre application (la version 23 permet de cocher les rubriques concernées). Les données des personnes morales (entreprises), ne sont pas concernées (voir http://bit.ly/2KjM4wM).
2. Faire un audit des traitements (automatisés ou manuels, utilisant des fichiers de données) utilisant ces données personnelles, c'est à dire en établir une liste en décrivant l'objet du traitement
3. Pour chaque traitement : 
1. Mettre en place ou actualiser la procédure de consentement de l'utilisateur 
2. Définir le but du traitement de manière déterminé et explicite
3. Vérifier que les données collectées sont pertinentes et limitées à la finalité du traitement
4. Vérifier que les données sont à jour et supprimées si elles sont obsolètes
5. Vérifier qu'en fin de traitement, les données utilisées pour celui-ci soient supprimées
6. Vérifier la sécurité d'accès aux données : cryptage, protection par mot de passe
4. Définir une procédure de suppression des données d'une personne (droit à l'oubli)
5. Définir une procédure de transfert des données d'une personne (droit à la portabilité)

Si votre société à plus de 250 employés, vous devrez nommé un DPO (Data Protection Officer) qui sera le responsable de l'application du règlement RGPD dans l'entreprise.

En cas de fuite de données, il est nécessaire de faire une déclaration à la CNIL dans les 72 heures.

Dans tous les cas, il faudra tenir à jour un registre des traitements des données personnelles.  Il s'agira d'un simple tableau pour des sociétés de moins de 250 personnes et d'un document beaucoup plus complet pour les sociétés de plus de 250 personnes.

Pour les risques élevés, vous pouvez vous aider de l'outil proposé par la CNIL : http://bit.ly/2KiErqk. Cet outil est à mettre en oeuvre dans des cas ou il y a des risques potentiels. Il peut être utile aussi en avant projet pour valider l'aspect juridique d'un traitement ou d'un nouveau service.

Enfin, vous devrez informer vos utilisateurs et personnes physiques concernées de votre politique de confidentialité des données personnelles. Sur un site Web, ou une application "desktop", il faudra le faire via un page dédiée. 

Pour mettre en conformité vos applications développées sous Windev, Webdev ou WindevMobile, avec la réglementation RGPD, contactez-nous sur www.sealog.fr.