Protection des données pour les agences et WordPress les promoteurs

Nils Möllers Dernière mise à jour le 21.10.2020
5 Min.
Protection des données pour les agences
Dernière mise à jour le 21.10.2020

Le développement du marché numérique n'est pas un sujet nouveau pour les entreprises et les indépendants. Malheureusement, on ne peut pas nécessairement en dire autant de la protection des données des agences. Que doivent envisager les agences et les indépendants en termes de protection des données ? Et qu'en est-il du traitement des WordPress commandes ? Une vue d'ensemble.

Le règlement de base sur la protection des données (RGPD) est en vigueur depuis près de deux ans - il emploie également tous ceux qui WordPress travaillent dans le domaine de la protection des données. Cependant, le sujet de la protection des données existe depuis 1971, et il existe une tension croissante entre la protection des données et la numérisation responsable des processus commerciaux. Il est donc d'autant plus important de connaître les règles centrales.

Note : Cet article de base ne remplace pas le conseil juridique. Pour vérifier vos mesures et votre site web, vous devez toujours contacter un cabinet d'avocats spécialisé dans le droit en ligne et la protection des données.

Quand une agence doit-elle nommer un délégué à la protection des données ?

Il y a eu des discussions animées ici dans le passé. Cependant, nous pouvons maintenant établir les points clés suivants pour les français agences :

  1. L'Agence emploie plus de 20 personnes qui traitent des données à caractère personnel
  2. L'Agence effectue des opérations de traitement Analyse d'impact sur la protection des données doivent être évaluées
  3. L'agence est active dans le domaine des études de marché ou d'opinion 
  4. L'Agence traite notamment données personnelles sensibles

Dans le but de réduire la bureaucratie, les groupes parlementaires CDU/CSU avaient introduit la demande, lors de la consultation législative, de porter à 50 personnes la limite de l'obligation de désigner un délégué à la protection des données des entreprises (article 38 BDSG). Finalement, un accord a été conclu à la mi-2019 sur une limite de 20 employés.

La question fondamentale ici est de savoir si le relèvement de la limite était judicieux, puisque la protection des données doit être respectée par chaque entreprise. Même une entreprise d'une personne.

Que faut-il respecter en termes de droit de la protection des données pour les logiciels d'agence ?

De nombreuses agences travaillent avec des logiciels d'agence, des systèmes de billetterie ou de gestion des flux de travail pour automatiser les processus et garder une vue d'ensemble. En général, ces solutions logicielles traitent les données personnelles des clients et d'autres partenaires. C'est pourquoi la réglementation sur la protection des données s'applique également ici.

En principe, les agences doivent veiller à ce qu'il y ait un niveau de protection adéquat pour les logiciels importés. Outre un concept d'autorisation et de suppression, d'autres mesures technico-organisationnelles (TOM) conformément à l'article 32RGPD , afin d'utiliser le logiciel en question d'une manière compatible avec la protection des données.

L'adéquation économique doit être prise en compte. Par exemple, les TOM d'une petite agence ne peuvent, pour des raisons économiques, répondre aux mêmes normes dans tous les domaines que les mesures d'une grande entreprise.

Dans la plupart des cas, ce logiciel est un service en nuage. Il s'agit par exemple de

  • lundi.com
  • Suite Google ou
  • Bureau d'assistance d'Atlassian Jira

pour n'en citer que quelques-uns. Un contrat de traitement doit absolument être conclu avec ces fournisseurs, car les données à caractère personnel sont traitées par les outils conformément aux instructions.

Google RGPD
Google fournit ses propres ressources pour ses services de cloud computing

Lors de la conclusion du traitement d'une commande (avant le début de la coopération), les agences ou les promoteurs doivent mesures techniques et organisationnelles du service.

Le contrat de traitement des commandes devrait également contenir, entre autres, les éléments suivants l'assistance pour faire valoir les droits des personnes concernées, les normes de qualité, les sous-traitants, le cas échéant.

Le WordPress développement est-il un traitement des commandes ?

De nombreuses agences désespèrent de savoir si elles traitent les données en tant que sous-traitants ou en tant que (propres) responsables du traitement. En fait, l'évaluation est assez simple : le responsable du traitement est la personne qui décide des finalités et des moyens du traitement des données à caractère personnel (article 4, paragraphe 7RGPD). D'autre part, une agence agit en tant que sous-traitant au titre de l'article 4, paragraphe 8RGPD , lorsqu'elle traite des données à caractère personnel pour le compte du commettant.

Mais le problème est que les agences et les indépendants proposent souvent des services intégrés. Dans de tels cas, il n'est pas toujours possible de vérifier très clairement s'il n'y a pas un mélange de responsabilités. L'opinion dominante des délégués à la protection des données est actuellement que, en cas de doute, le traitement d'une commande est terminé. Soit dit en passant, cela place l'agence dans une meilleure position en termes de responsabilité que si elle n'avait pas de contrat pour le traitement commandé.

Que devez-vous prendre en compte lors WordPress de l'hébergement ?

L'hébergement de sites web fait également partie de la protection des données des agences. Outre la disponibilité d'un Certificat SSL il est très important que l'hébergement soit effectué dans un centre de données certifié. Par exemple, la norme ISO/EN 27001, où la même exigence de l'article 32 RGPDs'applique : les agences et les promoteurs doivent garantir la disponibilité, l'intégrité et la confidentialité par un niveau de sécurité approprié.

Outre les mesures préventives, une Stratégie de sauvegarde peut être mis en œuvre. Dans la pratique, les sauvegardes incrémentielles quotidiennes et les sauvegardes complètes hebdomadaires, qui sont stockées pendant 90 jours maximum, ont fait leurs preuves.

Stratégie de sauvegarde
Les sauvegardes automatiques renforcent la sécurité

Toutefois, les sauvegardes ne doivent pas être stockées à un seul endroit. En règle générale, les centres de données offrent la possibilité d'accéder à plusieurs compartiments d'incendie.

Que doit remplir une WordPress page pour la protection des données ?

En principe, les sites web doivent se conformer aux principes du règlement de base sur la protection des données. Par conséquent, appliquez :

  • Le principe de la minimisation des données
  • Le respect des bases juridiques pour le traitement des données à caractère personnel
  • Il en va de même pour le respect d'une finalité raisonnable du traitement

Traditionnellement, chaque site web devrait avoir une déclaration de confidentialité complète et précise pour répondre aux exigences en matière d'information.

WordPress  Page sur la vie privée
Définissez la page de la politique de confidentialité dansWordPress

En outre, les bases juridiques des différents traitements doivent être établies, notamment en ce qui concerne l'utilisation de cookies de tiers. Cette exigence peut être mise en œuvre très facilement avec un gestionnaire de consentement de cookie. À cet égard, les aspects WordPress suivants doivent être pris en compte :

De même, pour certains traitements (inscriptions, formulaires de contact, etc.) Déclarations de consentement qui remplissent les conditions prévues à l'article 7RGPD .

WordPress  Plugin Gestion
Pratique : Plugins et mise à jour Themes centralisée dans le backend d'hébergement

Protection des données pour les agences : quand faut-il obtenir un consentement ?

En principe, le règlement de base sur la protection des données doit être compris comme une interdiction soumise à autorisation. Cela signifie que, dans un premier temps, aucune donnée à caractère personnel ne peut être traitée. Toutefois, comme les données à caractère personnel doivent souvent être traitées, le législateur européen a défini les infractions dites "fondées sur l'autorisation" - en Article 6, premier alinéa lit. a à f RGPD.

RGPD Texte
Le texte du RGPD sur eur-lex.europa.eu

Le consentement est toujours nécessaire si l'un des éléments de l'autorisation visée à l'article 6, paragraphe 1, lettres b à fRGPD , n'est pas pertinent. Ce consentement doit remplir les conditions suivantes Article 7 remplir. Elle précise entre autres choses :

  • "Lorsque le traitement est fondé sur le consentement, le responsable du traitement doit être en mesure de démontrer que la personne concernée a consenti au traitement de ses données à caractère personnel
  • "La personne concernée a le droit de retirer son consentement à tout moment. La révocation du consentement n'affecte pas la licéité du traitement effectué sur la base du consentement jusqu'à ce qu'il soit révoqué. La personne concernée doit être informée avant que son consentement ne soit donné. La révocation du consentement est aussi simple que l'octroi du consentement".

Ainsi, le consentement doit toujours être éclairé, transparent, vérifiable, volontaire et révocable.

En outre, il existe une Considérant 32 au RGPD. les exemples qui y sont donnés sont destinés à faciliter la rédaction d'un consentement à la pratique commerciale. Toutefois, les solutions développées en interne - ainsi que les solutions associées WordPress Plugins - doivent être régulièrement contrôlées sur le plan juridique quant à leur recevabilité, par exemple par un cabinet d'avocats approprié.

Questions sur la protection des données pour les agences

Vous avez des questions sur la protection des données pour les agences et les indépendants ? Veuillez utiliser la fonction de commentaire. Vous souhaitez être informé des nouveaux articles sur le thème du droit en ligne ? Alors suivez-nous sur Twitter, Facebook ou sur notre Newsletter.

Nils Möllers est le fondateur et le directeur général de Keyed GmbH de la région du Münsterland - en tant que responsable certifié de la protection des données et expert de la protection des données dans le domaine du marketing, des groupes d'entreprises et des systèmes de franchise. Nils Möllers conseille également les entreprises dans le domaine de la sécurité informatique, en accompagnant la norme ISO27001.

Articles connexes

Commentaires sur cet article

Ecrire un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués par * .