Pourquoi une approche structuree aide
Le RGPD peut sembler accablant quand on le lit a froid: 99 articles, langage juridique dense, aucun point de depart evident. GDPRWise enleve l’essentiel de cette friction en faisant le travail structurel pour vous, mais vous tirez encore plus de valeur du parcours quand vous le suivez avec un plan.
Voici ce plan. Cinq etapes ciblees, plus une sixieme note sur la securite et les droits des personnes concernees. Vous n’avez pas a tout faire d’un coup; faites une pause, reflechissez et affinez la ou cela a du sens avant d’appuyer sur le bouton Generer la politique de confidentialite.
Si vous etes comptable, avocat ou professionnel IT proposant GDPRWise a vos clients, nous avons un Guide du revendeur distinct pour vous.
Etape 1 - Lancez le scan IA du site
Commencez par le scan. C’est le point d’entree qui n’existait pas dans les versions precedentes de GDPRWise et il change la facon dont le reste du travail se vit.
Le scan visite votre site et detecte:
- Cookies et traceurs
- Scripts tiers et services integres
- Formulaires qui collectent des donnees personnelles
- Signaux qui rattachent votre entreprise a une fondation sectorielle
Combine a la fondation sectorielle, le scan prepopule votre dossier qui demarre environ 60 a 70 pour cent complet. Des outils comme Google Analytics, Stripe, Mailchimp ou votre systeme de reservation sont reconnus automatiquement et ajoutes comme activites de traitement avec des finalites, bases legales et durees de conservation par defaut sensees.
Ce que vous faites a cette etape:
- Lancez le scan sur votre domaine principal
- Lisez ce qui a ete detecte et ajoute
- Notez ce qui parait inconnu ou inattendu, vous le confirmerez ou corrigerez aux etapes suivantes
Le scan n’est pas la fin du travail; c’est l’avance que vous prenez.
Etape 2 - Affinez votre dossier client
Ouvrez Mon dossier client. C’est ici que vous listez les traitements (les interactions avec vos clients) qui impliquent des donnees personnelles. Le scan et la fondation sectorielle ont deja ajoute les evidents; votre travail consiste a les confirmer et a ajouter ce qui est specifique a votre entreprise.
Pourquoi cela compte: le dossier client est ce qui vous permet de dire a vos clients, dans votre politique de confidentialite, exactement quelles donnees vous utilisez et pourquoi. C’est aussi ce qu’une autorite de controle demande en premier si elle vient un jour frapper a votre porte.
Ce que nous recommandons:
- Ouvrez les logiciels que vous utilisez au quotidien pour servir vos clients (CRM, facturation, mailing, reservation, support) afin de ne rien oublier
- Confirmez les traitements suggeres qui s’appliquent et retirez ce qui ne convient pas
- Utilisez la section A envisager en bas: elle liste des traitements courants dans votre secteur que le scan n’a peut-etre pas detectes
- Completez la base legale et la duree de conservation si elles n’ont pas ete remplies par la fondation
Vous n’essayez pas d’ecrire un document parfait. Vous capturez la realite de la facon dont votre entreprise gere les donnees clients.
Etape 3 - Completez votre dossier personnel
Ouvrez Mon dossier personnel. Il fonctionne comme le dossier client, mais pour les donnees personnelles des personnes qui travaillent dans ou pour votre entreprise: salaries, freelances, contractants et dirigeants.
Meme si vous n’avez pas de personnel salarie, ne sautez pas cette etape. Le dossier suggere des traitements autour des contractants independants, comptables, membres du conseil et autres personnes dont vous traitez les donnees. On oublie facilement que payer un freelance signifie aussi traiter ses donnees personnelles.
Ce que vous couvrez ici:
- Systemes de paie et RH
- Recrutement et candidatures
- Controle d’acces et usage IT (connexions, surveillance, appareils)
- Videosurveillance si vous l’utilisez
- Contacts contractants et fournisseurs lorsqu’ils impliquent des donnees personnelles
Le dossier personnel produit une politique de confidentialite du personnel distincte que vous remettez a votre equipe, en plus de la politique client publiee sur votre site.
Etape 4 - Documentez le partage de donnees avec des tiers
Ouvrez Mon dossier tiers. La plupart des dirigeants de PME partagent plus de donnees personnelles qu’ils ne le pensent: avec des comptables, avocats, fournisseurs, prestataires de paiement, hebergeurs, plateformes d’e-mailing, outils de reservation, helpdesks et plus. Chaque fois que ces outils stockent des donnees sur leurs serveurs, vous partagez des donnees personnelles avec ce tiers.
C’est un autre domaine ou le scan IA travaille pour vous. Chaque cookie, traceur, script tiers et service integre detecte par le scan sur votre site pointe vers un tiers qui recoit deja vos donnees: Google (Analytics, Maps, reCAPTCHA), Meta (Pixel), Stripe, Mailchimp, Hotjar, votre widget de chat, votre CDN, etc. GDPRWise prepopule le dossier tiers avec ces trouvailles afin que vous n’ayez pas a vous souvenir de chaque script ajoute par votre developpeur.
Le RGPD exige que:
- Chaque partage de donnees personnelles soit documente
- Les deux parties s’accordent pour traiter les donnees de maniere conforme au RGPD (en general via un contrat de sous-traitance, aussi appele DPA)
Ce que vous faites ici:
- Examinez les tiers ajoutes par le scan depuis votre site (cookies, traceurs, embeds, scripts heberges) et confirmez qu’ils s’appliquent
- Ajoutez les tiers hors site que le scan ne peut pas voir: votre comptable, votre banque, prestataire de paie, fournisseurs, freelances et tout flux hors ligne
- Recoupez avec vos dossiers client et personnel pour vous assurer que chaque traitement impliquant un tiers a son tiers liste
- Le cas echeant, laissez GDPRWise envoyer une demande au tiers pour qu’il accepte un accord standard de partage de donnees; cela couvre l’obligation de documentation sans avoir a rediger des contrats manuellement
Nous avons un article dedie sur la gestion du dossier tiers; voir Gerer votre dossier tiers.
Etape 5 - Generez et publiez votre politique de confidentialite
Une fois que vos trois dossiers refletent la realite de ce que fait votre entreprise, allez dans la section Documents RGPD et generez votre politique de confidentialite. C’est le moment ou le travail paie: un document sur mesure, pret pour audit, qui reflete vos dossiers a l’identique.
Quelques choses a savoir:
- Quand vous changez quelque chose dans un dossier, le bouton Generer la politique devient orange pour vous rappeler qu’une nouvelle version est due. Les versions precedentes sont conservees, a un clic.
- Si nous mettons a jour le modele sous-jacent suite a un changement reglementaire, nous vous prevenons. Vous decidez quand regenerer.
- Nous recommandons aussi de generer votre registre des traitements et de le parcourir avec un collegue pour valider exactitude et exhaustivite. Si une autorite de controle vous contacte un jour, c’est tres probablement le premier document qu’elle demandera.
Puis publiez:
- Placez la politique sur votre site a une URL stable
- Liez-la depuis votre pied de page, votre formulaire de contact, votre paiement et votre creation de compte
- Referencez-la dans vos communications afin que les prospects puissent la lire avant de partager leurs donnees
L’apercu du document inclut des conseils sur ou et comment publier, et un article distinct sur publier votre politique detaille le placement pratique.
Etape optionnelle agreable: envoyez un court message a vos clients existants pour les informer que vous avez une politique nouvelle et amelioree. Ils apprecieront la transparence, et vous pouvez toujours mentionner GDPRWise au passage.
Etape 6 (bonus) - Securite et droits des personnes concernees
Nous avons promis cinq etapes, et les etapes 1 a 5 couvrent le volet documentaire du RGPD. Mais la reglementation exige aussi deux choses que les documents seuls ne resolvent pas:
- Securite - votre entreprise doit reellement traiter les donnees personnelles de maniere securisee. Chiffrement, controle d’acces, sauvegardes securisees, hygiene de mot de passe, due diligence fournisseurs. Votre politique generee declare que votre entreprise fait ces choses; assurez-vous que c’est vrai.
- Droits des personnes concernees - le RGPD donne aux individus le droit d’acces, de rectification, d’effacement, de portabilite et d’opposition. Il vous faut une procedure pour traiter ces demandes dans les delais legaux.
Le dossier et la politique GDPRWise capturent les engagements. Les mettre en oeuvre dans la pratique est de votre responsabilite. Notre base de connaissances couvre les deux domaines en profondeur, et si vous souhaitez de l’aide externe, nous orientons volontiers vers des partenaires qualifies.
Recapitulatif rapide
| Etape | Ce que vous faites | Ou dans GDPRWise |
|---|---|---|
| 1 | Lancer le scan IA du site | Scan Gratuit / discovery |
| 2 | Affiner les traitements clients | Mon dossier client |
| 3 | Ajouter les traitements personnel | Mon dossier personnel |
| 4 | Documenter le partage avec des tiers | Mon dossier tiers |
| 5 | Generer et publier la politique | Documents RGPD |
| 6 | Mettre en oeuvre securite et droits | Base de connaissances, vos operations |
Vous n’avez pas a etre parfait du premier coup. La plupart des dirigeants de PME reviennent a leurs dossiers deux a trois fois le premier mois, et c’est exactement ainsi que la plateforme est concue pour etre utilisee. L’objectif est un dossier qui reflete la realite de votre entreprise; tout le reste en decoule.
Lancez le scan gratuit de GDPRWise en 2 minutes et laissez la plateforme prepopuler votre dossier. Parcourez ensuite les cinq etapes a votre rythme.