Pourquoi une approche structurée aide
Le RGPD peut sembler accablant quand on le lit à froid: 99 articles, langage juridique dense, aucun point de départ évident. GDPRWise enlève l’essentiel de cette friction en faisant le travail structurel pour vous, mais vous tirez encore plus de valeur du parcours quand vous le suivez avec un plan.
Voici ce plan. Cinq étapes ciblées, plus une sixième note sur la sécurité et les droits des personnes concernées. Vous n’avez pas à tout faire d’un coup; faites une pause, réfléchissez et affinez là où cela a du sens avant d’appuyer sur le bouton Générer la politique de confidentialité.
Si vous êtes comptable, avocat ou professionnel IT proposant GDPRWise à vos clients, nous avons un Guide du revendeur distinct pour vous.
Étape 1 - Lancez le scan IA du site
Commencez par le scan. C’est le point d’entrée qui n’existait pas dans les versions précédentes de GDPRWise et il change la façon dont le reste du travail se vit.
Le scan visite votre site et détecte:
- Cookies et traceurs
- Scripts tiers et services intégrés
- Formulaires qui collectent des données personnelles
- Signaux qui rattachent votre entreprise à une fondation sectorielle
Combiné à la fondation sectorielle, le scan prépopule votre dossier qui démarre environ 60 à 70 pour cent complet. Des outils comme Google Analytics, Stripe, Mailchimp ou votre système de réservation sont reconnus automatiquement et ajoutés comme activités de traitement avec des finalités, bases légales et durées de conservation par défaut sensées.
Ce que vous faites à cette étape:
- Lancez le scan sur votre domaine principal
- Lisez ce qui a été détecté et ajouté
- Notez ce qui paraît inconnu ou inattendu, vous le confirmerez ou corrigerez aux étapes suivantes
Le scan n’est pas la fin du travail; c’est l’avance que vous prenez.
Étape 2 - Affinez votre dossier client
Ouvrez Mon dossier client. C’est ici que vous listez les traitements (les interactions avec vos clients) qui impliquent des données personnelles. Le scan et la fondation sectorielle ont déjà ajouté les évidents; votre travail consiste à les confirmer et à ajouter ce qui est spécifique à votre entreprise.
Pourquoi cela compte: le dossier client est ce qui vous permet de dire à vos clients, dans votre politique de confidentialité, exactement quelles données vous utilisez et pourquoi. C’est aussi ce qu’une autorité de contrôle demande en premier si elle vient un jour frapper à votre porte.
Ce que nous recommandons:
- Ouvrez les logiciels que vous utilisez au quotidien pour servir vos clients (CRM, facturation, mailing, réservation, support) afin de ne rien oublier
- Confirmez les traitements suggérés qui s’appliquent et retirez ce qui ne convient pas
- Utilisez la section À envisager en bas: elle liste des traitements courants dans votre secteur que le scan n’a peut-être pas détectés
- Complétez la base légale et la durée de conservation si elles n’ont pas été remplies par la fondation
Vous n’essayez pas d’écrire un document parfait. Vous capturez la réalité de la façon dont votre entreprise gère les données clients.
Étape 3 - Complétez votre dossier personnel
Ouvrez Mon dossier personnel. Il fonctionne comme le dossier client, mais pour les données personnelles des personnes qui travaillent dans ou pour votre entreprise: salariés, freelances, contractants et dirigeants.
Même si vous n’avez pas de personnel salarié, ne sautez pas cette étape. Le dossier suggère des traitements autour des contractants indépendants, comptables, membres du conseil et autres personnes dont vous traitez les données. On oublie facilement que payer un freelance signifie aussi traiter ses données personnelles.
Ce que vous couvrez ici:
- Systèmes de paie et RH
- Recrutement et candidatures
- Contrôle d’accès et usage IT (connexions, surveillance, appareils)
- Vidéosurveillance si vous l’utilisez
- Contacts contractants et fournisseurs lorsqu’ils impliquent des données personnelles
Le dossier personnel produit une politique de confidentialité du personnel distincte que vous remettez à votre équipe, en plus de la politique client publiée sur votre site.
Étape 4 - Documentez le partage de données avec des tiers
Ouvrez Mon dossier tiers. La plupart des dirigeants de PME partagent plus de données personnelles qu’ils ne le pensent: avec des comptables, avocats, fournisseurs, prestataires de paiement, hébergeurs, plateformes d’e-mailing, outils de réservation, helpdesks et plus. Chaque fois que ces outils stockent des données sur leurs serveurs, vous partagez des données personnelles avec ce tiers.
C’est un autre domaine où le scan IA travaille pour vous. Chaque cookie, traceur, script tiers et service intégré détecté par le scan sur votre site pointe vers un tiers qui reçoit déjà vos données: Google (Analytics, Maps, reCAPTCHA), Meta (Pixel), Stripe, Mailchimp, Hotjar, votre widget de chat, votre CDN, etc. GDPRWise prépopule le dossier tiers avec ces trouvailles afin que vous n’ayez pas à vous souvenir de chaque script ajouté par votre développeur.
Le RGPD exige que:
- Chaque partage de données personnelles soit documenté
- Les deux parties s’accordent pour traiter les données de manière conforme au RGPD (en général via un contrat de sous-traitance, aussi appelé DPA)
Ce que vous faites ici:
- Examinez les tiers ajoutés par le scan depuis votre site (cookies, traceurs, embeds, scripts hébergés) et confirmez qu’ils s’appliquent
- Ajoutez les tiers hors site que le scan ne peut pas voir: votre comptable, votre banque, prestataire de paie, fournisseurs, freelances et tout flux hors ligne
- Recoupez avec vos dossiers client et personnel pour vous assurer que chaque traitement impliquant un tiers a son tiers listé
- Le cas échéant, laissez GDPRWise envoyer une demande au tiers pour qu’il accepte un accord standard de partage de données; cela couvre l’obligation de documentation sans avoir à rédiger des contrats manuellement
Nous avons un article dédié sur la gestion du dossier tiers; voir Gérer votre dossier tiers.
Étape 5 - Générez et publiez votre politique de confidentialité
Une fois que vos trois dossiers reflètent la réalité de ce que fait votre entreprise, allez dans la section Documents RGPD et générez votre politique de confidentialité. C’est le moment où le travail paie: un document sur mesure, prêt pour audit, qui reflète vos dossiers à l’identique.
Quelques choses à savoir:
- Quand vous changez quelque chose dans un dossier, le bouton Générer la politique devient orange pour vous rappeler qu’une nouvelle version est due. Les versions précédentes sont conservées, à un clic.
- Si nous mettons à jour le modèle sous-jacent suite à un changement réglementaire, nous vous prévenons. Vous décidez quand régénérer.
- Nous recommandons aussi de générer votre registre des traitements et de le parcourir avec un collègue pour valider exactitude et exhaustivité. Si une autorité de contrôle vous contacte un jour, c’est très probablement le premier document qu’elle demandera.
Puis publiez:
- Placez la politique sur votre site à une URL stable
- Liez-la depuis votre pied de page, votre formulaire de contact, votre paiement et votre création de compte
- Référencez-la dans vos communications afin que les prospects puissent la lire avant de partager leurs données
L’aperçu du document inclut des conseils sur où et comment publier, et un article distinct sur publier votre politique détaille le placement pratique.
Étape optionnelle agréable: envoyez un court message à vos clients existants pour les informer que vous avez une politique nouvelle et améliorée. Ils apprécieront la transparence, et vous pouvez toujours mentionner GDPRWise au passage.
Étape 6 (bonus) - Sécurité et droits des personnes concernées
Nous avons promis cinq étapes, et les étapes 1 à 5 couvrent le volet documentaire du RGPD. Mais la réglementation exige aussi deux choses que les documents seuls ne résolvent pas:
- Sécurité - votre entreprise doit réellement traiter les données personnelles de manière sécurisée. Chiffrement, contrôle d’accès, sauvegardes sécurisées, hygiène de mot de passe, due diligence fournisseurs. Votre politique générée déclare que votre entreprise fait ces choses; assurez-vous que c’est vrai.
- Droits des personnes concernées - le RGPD donne aux individus le droit d’accès, de rectification, d’effacement, de portabilité et d’opposition. Il vous faut une procédure pour traiter ces demandes dans les délais légaux.
Le dossier et la politique GDPRWise capturent les engagements. Les mettre en œuvre dans la pratique est de votre responsabilité. Notre base de connaissances couvre les deux domaines en profondeur, et si vous souhaitez de l’aide externe, nous orientons volontiers vers des partenaires qualifiés.
Récapitulatif rapide
| Étape | Ce que vous faites | Où dans GDPRWise |
|---|---|---|
| 1 | Lancer le scan IA du site | Scan Gratuit / discovery |
| 2 | Affiner les traitements clients | Mon dossier client |
| 3 | Ajouter les traitements personnel | Mon dossier personnel |
| 4 | Documenter le partage avec des tiers | Mon dossier tiers |
| 5 | Générer et publier la politique | Documents RGPD |
| 6 | Mettre en œuvre sécurité et droits | Base de connaissances, vos opérations |
Vous n’avez pas à être parfait du premier coup. La plupart des dirigeants de PME reviennent à leurs dossiers deux à trois fois le premier mois, et c’est exactement ainsi que la plateforme est conçue pour être utilisée. L’objectif est un dossier qui reflète la réalité de votre entreprise; tout le reste en découle.
Lancez le scan gratuit de GDPRWise en 2 minutes et laissez la plateforme prépopuler votre dossier. Parcourez ensuite les cinq étapes à votre rythme.