class: middle #Comment on a fait chez Gens De Confiance pour s’aligner avec les obligations du RGPD ? .left[ ## Gens De Confiance : ### Virginie, Product Owner Site de petites annonces accessible sur recommandation 350 000 membres validés [gensdeconfiance.fr](https://gensdeconfiance.fr)] .left[ ### Aleth Gueguen : Consultante vie privée Accompagne les entreprises du numérique pour s’aligner avec le RGPD [gdpr4saas.eu](https://gdpr4saas.eu)] --- # Notre projet RGPD ## Importance de désigner les personnes clé ### Projet porté par la direction. C’est important vu les contraintes que ça impose L’équipe commence à être sensibilisée Y compris les nouveaux, parce que c’est le sens de l’histoire .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] ??? Si c’est pas porté d’en haut, vu les contraintes, c’est fichu --- ## Une personne en charge du projet : Virginie : Product Owner La mieux placée - Interface métier et technique Sera aussi la DPO Pourquoi : > Notre public y est sensible, c’est un enjeu d’image. > Puisqu’on le fait, autant le faire à fond > Ça responsabilise .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] --- ## On a aussi choisi de se faire acompagner ## Par Aleth Gueguen Pour l’audit de nos données & process Plus 4 rendez-vous sur des sujets définis - les contraintes techniques - le marketing - les traitements de données - formation des équipes ## Par un cabinet d’avocat Pour les CGU et la politique de confidentialité .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] --- class: middle # Sensibiliser les équipes Importance de sensibiliser tout le monde Virginie : > Tout le monde y pense, je ne suis pas toute seule à le porter Ça m’aide au quotidien .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] ??? Le fait d’avoir formé tout le monde ça a été important --- # La partie technique Aleth nous a fournit un document avec ses recommandations : c'est devenu notre base de travail. On a pas tout fait mais on a documenté -- ## La sécurité c’est un sujet sur le long terme. Devops qui bosse sur la sécu et AWS L’infra continue à évoluer Accès plus controlés Double authentification pour ceux qui accèdent aux serveurs -- ### Réflexion globale .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] ??? On était en pleine migration AWS. Lié à l’audit AWS, --- # Les process de sécurité ### On a fait certains choix techniques Chiffrer les données “at rest” = impact sur la perf. Coût monstrueux par rapport à notre taille -- ### Politique de mot de passe long Ça pousse à plus respecter la sécurité -- ### Plus de process, plus cadré Lié au fait qu’on grossit plus qu’au RGPD .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] ??? On peut dire que le RGPD c'était un cadre pour gérer la croissance de l'équipe et du business C'est arrivé au bon moment :) .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] --- class: middle # Changer sa façon de développer ### Intégrer les principes du privacy by design Pas mal d’ajustements pour l’équipe de dev -- ### Dev front/App bien sensibilisé App mobile : facile de laisser les données partir à l’extérieur .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] ??? App mobile --- # Collecte des données Est-ce qu’on peut ou pas collecter & utiliser des données Ex: utilisation de services gratuit Ça oblige à être beaucoup plus carré Dès qu'on logge des données perso, faut se poser la question .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] ??? Ex: utilisation de services gratuit on va devoir faire du dev spécifique --- ## Ce qui nous a pris du temps ### notifications push. Changement de fournisseur Test de plusieurs solutions différentes. **3 sprints** -- ### Registre des traitements Inventaire des données (beaucoup) Récupérer les infos - Aller chercher l’info, - Vérifier, - Touver le DPA, le contact fournisseur - Si transfert, documenter. ### Presque 2 semaines .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] ??? Ce qui est lourd, c’est qu’il y a quand même bcp de données --- class: middle # Ce qui a changé pour tous Prise de conscience de l’importance de la protection des données personnelles La sécurité c’est l’affaire de tout le monde Gestion des mots de passe .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] --- ## L’équipe support : ### Ce qu'on a essayé Plusieurs niveaux de rôles pour limiter l’accès aux données -- ### Mais Toutes les personnes du support doivent faire des tâches qui impliquent d’avoir des accès importants. -- ### Beaucoup d’adaptations incrémentales Pas de publication visible de l'extérieur d’avis positif s'il y a des données personnelles dans l’avis Plus de données personnelles dans Slack. .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] ??? Stagiaire qui est arrivée -> moins de droit => galère Mais certains dev n’ont pas accès à tout On a changé plein de petites choses pub externe => référencé par Google Plus de données personnelles dans Slack. Si on a besoin d’identifier une personne : on donne l’id de compte. (Si cette personne demande la suppression de ses données, l’id ne remonte rien) --- #Nos décisions sur le marketing ## Le consentement n'est pas forcément le meilleur choix pour le fondement légal. Dans notre cas, on a choisi l’intérêt légitime pour envoyer notre newsletter. ## Ce qui a motivé notre décision Confusion entre newsletter et mail transactionnel. Très important de recevoir le mail transactionnel. .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] --- ## Notre raisonnement Les gens ne vont pas comprendre. Ils vont croire qu’on fait quelquechose. -- ### Beaucoup de membres historiques / + agés, confondent le site et la newsletter. Newsletter = prolongement du site. > “Je m’inscris sur 1 site de petites annonces, c’est normal que je reçoive des mails de petites annonces.” Fait partie du produit, de l’expérience .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] ??? Gens appellent parce qu’ils reçoivent pas les mails. --- ## Choix de L’Intérêt Légitime ### Obligation de “balancing test” Tu peux te désinscrire facilement. (via un lien) **ET** désincription automatique si pas de click sur les annonces. ### Validé avec notre conseil juridique/ avocat Le consentement n’est pas la réponse à tout .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] ??? Pas de longs débats --- # Documents juridiques Opportunité de mettre à jour Simplification des termes de CGU -- ## CGU Avocats ont fait le texte. Plusieurs aller-retours : 5 ou 6 versions Relecture par Virginie pour s’aligner avec la vision produit -- ### Lié aux CGU de Stripe Paragraphe spécifique sur les paiements. .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] ??? CGU Stripe : Trouver le doc en français. Échange avec support Stripe --- class: middle # Politique de confidentialité Rédigé par les avocats Questionnements sur comment informer : > vos données personnelles sont hébergées par Amazon (AWS) .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] --- ## 2 sprints -> sujet principaux RGPD - Page des cookies, - Consentement, - Versionning CGU - Accès à tout moment aux CGU et à la politique de confidentialité -- ## Acceptation des CGU On enrgistre : - Version des CGU - Version politique confidentialité - Timestamp .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] --- class: middle #Comment on gère les demandes des personnes concernées ### Accès, rectification, suppression, portabilité Pas de demandes pour l’instant .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] ??? On a eu un seul cas de demande d'accès qui n'a même pas été confirmé (A.) Je confirme que pour l'instant, sur toutes les boites que j'ai accompagné, pas de demandes. Peut être parce qu'elles font bien leur boulot d'infos et que les gens ont confiance --- # Gestion de la conformité ### Registre des activités de traitements - C’est une aide au travail - Dès qu’il ya 1 nouvelle idée, je pense : c’est à intégrer dans le registre. - M’aide à formaliser -- ### Comment tu t’organises pour le mettre à jour ? - Pas mis à jour depuis un moment. - Rattrapée par le quotidien - Idéal : le faire en temps réel .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] ??? C'est une feuille Excel. Mais pas très user friendly (A.) Ya des outils mais pas forcément non plus très adapté pour cette taille d'entreprises. --- class: center, middle # Points 2 fois par an .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] ??? (A.) Necessité 2 review / an \+ lettre d’info mensuelle sur actualités vie privé, trucs & astuces / 'n’oubliez pas ...'' --- class: middle # Un tour d’horizon de ce qui a évolué. En 4 mois, notre façon de travailler On se pose la question avant de faire. -- ### L’esprit a changé. On a conscience des données qu’on manipule. Point Tech : on sait mettre à jour/versionner des CGU !! .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] --- class: center, middle ## La confiance c’est important. Lié à notre activité, c’est dans notre ADN. On ne vend pas les données, ça serait dommage qu’on le fasse sans le vouloir. ### C’est LA proposition de valeur de Gens De Confiance. .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th] --- class: center, middle # Merci :) [gensdeconfiance.fr](https://gensdeconfiance.fr) [gdpr4saas.eu](https://gdpr4saas.eu) .footnote[Projet RGPD @GensDeConfiance avec @pl4n3th]