Comment créer des formulaires conformes au RGPD

Comment créer des formulaires conformes au RGPD

Si vous collectez des données via un formulaire Web et faites des affaires dans l’UE, alors vous devez vous assurer que votre organisation est conforme au RGPD lors de l’envoi, de la réception et du stockage des informations soumises.

À quelles organisations le RGPD s’applique-t-il? Le RGPD s’applique à toute organisation qui fait des affaires dans l’Union européenne. Même si vous exploitez votre entreprise aux États-Unis, si vous vendez des biens ou des services à des clients dans l’UE, alors votre entreprise doit se conformer au RGPD.

Qu’est-ce que le RGPD?

Le Règlement général sur la protection des données est un ensemble de lois sur la cybersécurité et la protection des données adoptées et régies par l’Union européenne dans le but de définir les droits des consommateurs en relation avec leurs données personnelles. Le RGPD revendique la juridiction sur toute entreprise opérant dans un pays de l’UE, y compris les entreprises d’autres pays qui mènent des affaires numériques à l’intérieur des frontières de l’UE.

Le cœur de cette législation est la protection des données. Depuis l’adoption du RGPD, d’autres entités gouvernementales ont suivi et adopté une législation similaire sur la confidentialité des données, comme la Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA) au Canada, la California Consumer Privacy Act (CCPA), et la Data Protection Act 2018 (DPA).

Certains des aspects essentiels du RGPD qui impactent la collecte de données et les opérations commerciales comprennent:

  • Les sujets de données et la propriété des données: le RGPD définit les “sujets de données” comme des consommateurs individuels avec des données privées qui peuvent être utilisées à des fins commerciales. Ces sujets sont la base de la loi, et tous les droits à la protection des données et à la vie privée découlent des droits de ces individus (plutôt que, par exemple, le droit d’une entreprise de collecter des données).
  • Divulgations et utilisation équitable : Toutes les entreprises opérant dans l’UE doivent, lorsqu’elles recueillent des données pour quelque raison que ce soit, divulguer clairement la raison de cette collecte de données au sujet des données. De plus, elles doivent justifier à la fois à ce sujet et à tout audit du RGPD que les données qu’elles collectent sont liées à des pratiques commerciales bien définies alignées sur les produits et services. Les entreprises ne peuvent pas simplement vendre les données des utilisateurs à des tiers comme bon leur semble.
  • Sécurité : Toutes les données privées doivent être sécurisées à l’aide de mesures de cybersécurité modernes. Cela inclut les données elles-mêmes et toutes les données créées à la suite de l’utilisation de ces informations – à savoir, des données comme les journaux d’audit, les adresses IP, etc.
  • Localité : Les entreprises qui recueillent des informations auprès des citoyens de l’UE ne sont pas autorisées à transmettre ces informations en dehors des frontières de l’UE pour éviter les défis juridictionnels. Par exemple, une entreprise ne peut pas prendre des informations et les transmettre de serveurs français à des serveurs américains pour éviter les pénalités en vertu du RGPD.
  • Consentement : Tous les efforts de collecte de données doivent inclure un consentement clair, sans équivoque et non contraint du sujet des données.

Ces approches peuvent sembler restrictives et complexes pour les individus et les entreprises en dehors de l’UE. Cependant, ils exigent simplement, pour la plupart, une nouvelle approche de la gestion des données en ligne. Les organisations doivent s’assurer que ces contrôles de confidentialité des données font partie de leur stratégie de gestion intégrée des risques.

Que dit le RGPD sur le consentement ?

Le consentement est souvent la partie la plus importante et la plus difficile de la conformité au RGPD simplement parce qu’il exige que les entreprises s’assurent qu’elles sont claires et spécifiques sur leurs pratiques commerciales.

Cependant, le RGPD clarifie les obligations de toute entreprise en ce qui concerne le consentement :

  • La nécessité de la collecte de données : En premier lieu, une entreprise doit avoir une raison justifiable pour collecter des données. Il s’agit d’une question de conformité légale que les organisations restreignent leurs activités de collecte de données à ce qui concerne directement leurs opérations et la fourniture de services aux sujets des données.
  • Donné librement : Le consentement ne doit pas être forcé ou obtenu sous de faux prétextes. Alors que vous pouvez faire de la demande de données une condition préalable pour les produits et services, vous ne pouvez pas imposer de difficultés ou de pénalités aux utilisateurs pour ne pas avoir fourni ou révoqué les données fournies.
  • Spécifique et unique : Il n’y a pas d’avis généraux pour le consentement en vertu du RGPD. Chaque demande doit être spécifique pour son support et son objectif, et chaque demande doit appeler à un mécanisme de consentement individuel. Ainsi, par exemple, si vous demandez la permission d’utiliser des cookies pour recueillir des données ainsi que la permission d’envoyer des emails, celles-ci doivent être des demandes séparées.
  • Informé et sans ambiguïté : Peu importe le nombre de demandes que vous faites, chacune doit fournir une description détaillée des données qui sont collectées, pourquoi les données sont collectées, à quelles fins, et dans quelle mesure. Cela sert deux objectifs : un, cela permet aux sujets de données de donner un consentement éclairé sur la divulgation de leurs données, et deux, cela oblige l’organisation collectrice à définir strictement les limites de leur utilisation des données.
  • Révocation : Le sujet de données peut, à tout moment, révoquer le consentement pour les permissions précédemment fournies. Cela inclut l’arrêt des emails ou la suppression des cookies ou d’autres formes de collecte de données.

Les utilisateurs en dehors de l’UE commencent déjà à voir l’impact de ces règles, avec des demandes de plus en plus descriptives et omniprésentes pour les cookies et le suivi sur les sites de e-commerce et de reportage d’actualités.

Qu’est-ce qui fait un formulaire conforme au RGPD?

Une grande partie du maintien de la conformité au RGPD consiste à s’assurer que vos demandes d’information respectent les exigences énumérées ci-dessus. Cela signifie, à son tour, d’avoir des formulaires conformes et des outils de sécurité des données pour correspondre à ces efforts de conformité réglementaire. Les organisations doivent s’assurer que les politiques de gestion des risques de tiers incluent des politiques sur l’utilisation des formulaires web.

En général, les formulaires de consentement et de collecte d’informations conformes au RGPD incluent certaines des meilleures pratiques suivantes:

  • Évitez les formulaires pré-cochés : Mettre en œuvre un formulaire avec des cases à cocher de consentement déjà pré-remplies viole les règles contre la limitation du consentement informé et non contraint. Tenter de persuader les consommateurs de consentir à quelque chose qu’ils ne feraient peut-être pas autrement peut sembler être une tromperie. Pire encore, cela pourrait être interprété comme un moyen de profiter des consommateurs qui pourraient ne pas remarquer la case à cocher réelle.
  • Fournir des formulaires de consentement individuels : Les organisations ne devraient pas créer d’énormes formulaires web qui demandent aux répondants une longue liste de consentements. Pour commencer, c’est une mauvaise expérience utilisateur. Mais cela viole également plusieurs aspects du RGPD. Il est important d’utiliser différents formulaires très descriptifs qui définissent clairement à quoi le destinataire donne son consentement.
  • Granulariser les options de consentement : Chaque forme individuelle de consentement doit avoir sa propre description et ses propres mécanismes pour montrer le consentement. Si vous incluez quelque chose comme le consentement pour les e-mails marketing à côté d’autres types de collecte de données, alors cela devrait être sa propre section, avec ses propres cases à cocher ou interrupteurs. En cas de doute, rendez-le granulaire.
  • Rendre la désinscription facile : Le RGPD est un système “opt-in”, ce qui signifie que les utilisateurs doivent opter pour la collecte de données. Les organisations doivent également rendre facile et intuitif de se désinscrire de cette collecte de données ou de communications.
  • Enregistrer le consentement dans des systèmes sécurisés : Tous les enregistrements du consentement du sujet doivent être enregistrés dans des systèmes sécurisés pour l’audit et la confidentialité. Ainsi, le système back-end d’une organisation doit inclure des mécanismes de sécurité pour protéger les enregistrements de consentement – en utilisant la sécurité et le cryptage conformes au RGPD.

Lancer et maintenir des formulaires RGPD avec Kiteworks

Les organisations qui mènent ou prévoient de mener des opérations dans l’UE doivent disposer de systèmes conformes au RGPD qui peuvent soutenir le stockage et la collecte de données qui répondent à la fois aux lois de sécurité et de consentement.

La plateforme Kiteworks offre une capacité de formulaire web qui répond à ces exigences. Le système de gestion de fichiers et de documents de Kiteworks offre une infrastructure cloud extensive et flexible avec des formulaires faciles à créer qui peuvent soutenir la conformité au RGPD de l’engagement de l’utilisateur au stockage sur serveur.

Kiteworks comprend également ce qui suit :

  • Sécurité et conformité : Kiteworks utilise le chiffrement AES-256 pour les données au repos et TLS 1.2+ pour les données en transit. Son appliance virtuelle durcie, ses contrôles granulaires, l’authentification, les autres intégrations de la pile de sécurité, ainsi que la journalisation complète et les rapports d’audit permettent aux organisations de démontrer facilement et rapidement la conformité avec les normes de sécurité. Il dispose de rapports de conformité prêts à l’emploi pour les réglementations et normes de l’industrie et du gouvernement, tels que HIPAA, PCI DSS, SOC 2, et le RGPD.
     

    De plus, Kiteworks se vante de la certification et de la conformité avec diverses normes qui incluent, mais ne se limitent pas à, FedRAMP, FIPS (Normes fédérales de traitement de l’information), FISMA (Loi sur la gestion de la sécurité de l’information fédérale), CMMC (Certification du modèle de maturité en cybersécurité), et IRAP (Programme d’évaluateurs enregistrés en sécurité de l’information).

  • Journalisation des audits : Avec les journaux d’audit immuables de la plateforme Kiteworks, les organisations peuvent avoir confiance que les attaques sont détectées plus tôt et maintiennent la bonne chaîne de preuves pour effectuer des analyses judiciaires. Comme le système fusionne et standardise les entrées de tous les composants, son système de journalisation unifié et ses alertes font gagner un temps précieux aux équipes du centre d’opérations de sécurité et aident les équipes de conformité à se préparer pour les audits.
  • Intégration SIEM : Kiteworks soutient l’intégration avec les principales solutions de gestion des informations et des événements de sécurité (SIEM), y compris IBM QRadar, ArcSight, FireEye Helix, LogRhythm et autres. Il dispose également du Forwarder Splunk et inclut une application Splunk.
  • Visibilité et gestion : Le tableau de bord CISO dans Kiteworks donne aux organisations un aperçu de leurs informations : où elles se trouvent, qui y accède, comment elles sont utilisées, et si les envois, partages et transferts de données sont conformes aux réglementations et aux normes. Le tableau de bord CISO permet aux dirigeants d’entreprise de prendre des décisions éclairées tout en offrant une vue détaillée de la conformité.
  • Environnement cloud monolocataire : Les transferts de fichiers, le stockage de fichiers et l’accès des utilisateurs se font sur une instance dédiée de Kiteworks, déployée sur site, sur les ressources Infrastructure-as-a-Service d’une organisation, ou hébergée en tant qu’instance monolocataire privée par Kiteworks dans le cloud par le serveur Cloud de Kiteworks. Cela signifie pas de runtime partagé, pas de bases de données ou de dépôts partagés, pas de ressources partagées, ou de potentiel pour des violations ou des attaques inter-cloud.

Pour en savoir plus sur la plateforme Kiteworks et ses capacités de formulaire web sécurisé, planifiez une démo personnalisée qui peut être adaptée à vos exigences spécifiques en matière de RGPD.

Ressources supplémentaires

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks