Axelles Communication - Agence de communication - Nantes
Menu

Notre démarche RGPD

RGPD démarche de mise en conformité

La sécurité de nos applications et la protection des données personnelles de nos clients sont au cœur de nos préoccupations. C’est pourquoi nous avons, depuis plusieurs mois déjà, engagé une démarche RGPD active pour que vos données et celles des contacts que nous traitons pour nos clients soient en parfaite conformité avec ce nouveau règlement.

Etape préliminiare indispensable, nous avons déjà désigné un responsable qualifié (Correspondant Informatique & Liberté) qui deviendra notre DPO le 25 mai.

Les actions que nous mettons en place dans notre démarche de conformité sont les suivantes :


1- Des contrats spécifiques RGPD

Ces contrats et conditions générales contiendront des clauses particulières protectrices de vos intérêts et de la confidentialité de vos données.


2- La sécurité des traitements

Nous avons engagé depuis quelques mois une revue complète de notre politique de traitement et de stockage des données personnelles en interne et en collaboration avec nos partenaires (hébergeurs, registrars, SI). Les objectifs :

  • Assurer une meilleure mise en sécurité des données au niveau de nos serveurs mais également en interne pour ce qui concerne les échanges hors web.
  • Limiter les informations stockées au strict minimum et pour une durée de conservation n’excédant pas les besoins réels.
  • Chiffrer ou anonymiser toutes les données qui peuvent l’être sans que cela n’impacte négativement les process de traitement.
  • Limiter strictement à nos salariés habilités l’accès aux données de nos clients, soit par des codes d’accès renforcés et personnalisés, soit par le chiffrement des données les plus sensibles


3- La cartographie des données

Le RGPD impose de tenir à jour un registre des traitements et de conservation. Nous avons déjà mis en place un logiciel de suivi de ces registres. Celui-ci permet de cartographier nos données, celles de nos clients et en particulier :

  • Quels sont les responsables des traitements de données personnelles chez nos clients ?
  • Qui sont les sous-traitants qui travaillent sur ces traitements  ?
  • Où sont conservées ces données et sous quelle forme ?
  • À qui ces données sont transmises et comment ?
  • Combien de temps ces données sont conservées ?
  • Quelles sont les mesures de sécurité mises en places sur ces traitements ?


4- La gestion des risques - le PIA

Pour chaque traitement de données sensibles, il est impératif d’élaborer une analyse d’impact (PIA ou Privacy Impact Assessment). Notre première action a consisté à nous former sur le logiciel PIA fourni par la CNIL, cet outil permet de simplifier l’analyse d’impact et d’évaluer les risques de chaque traitement. Le logiciel étant encore en version beta, nous suivons régulièrement les améliorations apportées pour être totalement opérationnels le 25 mai prochain.


5- L'information

La majorité des données que nous traitons émanent de nos clients ou leur sont délivrées d’une manière ou d’une autre. Il nous est apparu indispensable que la chaîne "client/sous-traitant" soit la plus homogène possible. Nous nous devons pour cela être, vis-à-vis de nos clients, force de proposition, conseil et accompagnateur. C’est pourquoi nous lançons début 2018 une série d’ateliers de sensibilisation et d’accompagnement.



Notre engagement dans cette démarche vers la conformité ne s'arrêtera pas au soir du 25 mai 2018. Nous savons déjà que les actions mises en place ne sont que le début d'un travail quotidien d'amélioration, de suivi, d'information, de conseil, de surveillance. Mais les bases sont posées : les hommes sont prêts et les outils en cours d'achévement. Un grand pas qui nous permet dès aujourd'hui d'assurer à nos partenaires et clients de pouvoir aborder sereinement l'évolution indispensable de nos métiers, vers une meilleure prise en compte de la protection des informations qui nous confiées.

Pour en savoir un peu plus sur le RGPD, voir notre article "RGPD, comment s'organiser".


Le RGPD : Règlement européen pour la protection des données à caractère personne (ou GPDR en anglais) est applicable dans tous les Etats membres de l'Union Européenne le 25 mai 2018. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données




En savoir plus sur la démarche RGPD d'Axellescom