The post Commercial(e) Freelance BtoB Occitanie appeared first on Donneo.

Le recours aux technologies de l’informatique en nuage, hébergement Cloud ou Services Saas est devenu quasi sytématique. Au regard du  RGPD, le fonctionnement de ces outils est susceptible de comporter des risques pour la protection des données personnelles

• Hébergement de la base de données 
• Transferts de données hors de l’Union européenne qui peuvent en résulter, notamment vers des pays hors Europe n’assurant pas un niveau de protection adéquat
• Violation de données en cas de mauvaise configuration du service.

Comme le souligne la CNIL, ces technologies doivent faire l’objet d’une attention particulière. Il faut en conséquence en tant qu’Organisation Responsable de ses traitements de données :

• vérifier auprès de vos sous-traitants,  comme pour tout solution logicielle, que leurs solutions intègrent au sein même du produit et à l’usage, les exigences de traitement  données (accès, modification, minimisation, supression, portabilité, Etc.) dans le fonctionnement même du logiciel
• Interroger vos sous-traitants applicatifs sur leur mise en oeuvre globale du RGPD vis à vis des données que vous leur confiez sur vos salariés, clients ou prospects
• Encadrer les relations contractuelles entre votre organisation (en qualité de  responsable de traitement) et vos sous-traitants fournisseurs de solution cloud /Saas.

En effet, en qualité de « responsable de traitement », vous collectez initalement des données sur vos différents publics et donc décidez « de la finalité et des moyens à mettre en oeuvre pour les traitements de données personnelles » selon la formule consacrée et celà à toutes les étapes du cycle de vie des données de vos salariés, clients prospects, partenaires, membres, Etc.

A ce titre, votre Organisation est responsable du choix de ses sous-traitants au sens du RGPD, du fait qu’au moment du choix, elle doit s’assurer que le produit acheté ou le service souscrit respecte bien les principes de fonctionnement du RGPD et qu’en outre  ce sous traitant met aussi en place en interne ses propres mesures de sécurité organisationnelles et techniques afin d’assurer la protection et la confidentialité des données personnelles qui lui sont confiées en sa qualité de sous traitant, ne serait-ce simplement que pour de l’hébergement ou des sauvegardes.       

Nos prestations d’accompagnement RGPD et conformité logicielle

Audit et contrôle de conformité de vos logicels et développements applicatifs

Nous vous accompagnons pour interroger les éditeurs/intégrateurs sur la conformité de leurs solutions logicielles au regard des exigences de protection des données personnelles édictées par le RGPD (Privacy By Design et Privacy By Default). 

Lors de l’audit, nous vérifions que les principes et fonctionnalités attendues par le RGPD existent et qu’elles répondent bien aux exigences de traitement et de protection des données personnelles des personnes dans leur conception et avec un niveau de sécurité par défaut élevé (chiffrement des données, pseudonymisation, anonymisation, purge automatisée de données pour l’exercice du droit à l’oubli, portabilité des données, sécurité des accès renforcée, sécurisations des flux de transfert de données, cryptage des sauvegardes et limitation de leur conservation, etc…) 

Conduite d’études d’impact (PIA) liés aux outils informatiques 

Lorsqu’un risque élevé d’atteinte à la protection et à la confidentialité des données personnelles est identifié sur un traitement précis, une activité à risque au sens du RGPD, une étude d’impact (PIA en anglais) doit être menée, avant même la lancement du traitement ou sinon le traitement concerné doit être stoppé en attente des résultats de l’étude. Le RGPD le rend d’ailleurs obligatoire dans un certain nombre de cas, notamment les traitements portant sur des données personnelles dites « sensibles ». 

Nous vous accompagnons dans cette démarche, en relation avec vos prestataires et nos partenaires, pour coordonner les parties prenantes, identifier les menaces d’atteinte et de violation des données personnelles, évaluer la probabilité qu’un évènement se produise avec un impact important sur les personnes (taux de survenance et taux de gravité), ainsi que pour définir avec vous les mesures à mettre en oeuvre, tant organisationnelles que techniques, pour annuler ou minimiser le risque et ses conséquences dont les responsabilités associées. 

The post Le Cloud, le Saas et le RGPD appeared first on Donneo.

" Une même organisation peut donc être responsable de traitement et sous-traitant ".

The post Le registre RGPD, un outil de pilotage de votre performance ? appeared first on Donneo.

Il existe une confusion bien présente chez un grand nombre d’organisations lorsqu’il s’agit de constituer des fichiers de personnes à démarcher.

Il n’est pas rare que des entreprises justifient leurs campagnes de démarchage en invoquant le fait que les données personnelles qu’elles utilisent sont issues de bases de données publiques et librement accessibles.

Le fait que des données personnelles soient publiques accessibles par tous ne constitue pas une justification suffisant pour les récupérer et les utiliser.

Au sens du RGPD, on peut affirmer que le caractère public (non confidentiel) des données personnelles ne constitue pas une « base légale » à la collecte et au traitement des données.

Aujourd’hui encore, un grand nombre de données sont récupérées par des sociétés sur des sites web, des annuaires en lignes, des forums, des réseaux sociaux ou encore des sites web d’annonces entre particuliers pour être compilées, structurées, voire enrichies pour être ensuite utilisées comme bases de prospection.

La problématique reste de savoir si les personnes concernées par la prospection :

• Ne se sont pas opposées au démarchage commercial
• Ont bien donné leur accord, leur consentement au sens du RGPD, pour que de tels fichiers de données personnelles soient collectés et exploités commercialement (sauf exceptions particulières prévues par le RGPD).

Cette problématique concerne aussi la responsabilité des organisations selon leur rôle constitutif dans la démarche de prospection :

• Les organisations qui constituent des bases de données pour les revendre à d’autres organisations qui démarchent elles-mêmes les personnes (en BtoB ou BtoC),
• Les organisations qui constituent et exploitent elles-mêmes ces bases de données en prospection pour revendre les résultats issus de la prospection à leurs clients,
• Les organisations qui collectent pour leur propre compte ces données pour réaliser elles-mêmes du démarchage commercial.

II. Les pratiques spécifiques de recours à des logiciels d’extraction de données (webscraping ou web crawling)

Le recours à un logiciel d’extraction (ou web scraping en anglais, pour  extraction de données, grattage d’écran ou Web récolte) permet de collecter automatiquement des coordonnées de contact des internautes dans tous les formats de site web publics de l’Internet, voire à partir de comptes privés. Le but du scraping est de pouvoir finalement collecter et exporter les données d’un site web pour le présenter dans un format plus exploitable pour  la prospection, soit constituer un fichier de prospects sleon la démarche de propection envisagée.

On l’a compris, les données publiquement accessibles sont avant tout des données personnelles et ne sont donc pas librement réutilisables, ni exploitables par défaut.

Les bonnes pratiques pour utiliser un logiciel d’aspiration de données

• Vérifier la nature et l’origine des données

Les entreprises qui souhaitent utiliser des données librement accessibles en ligne doivent s’assurer qu’elles disposent d’une base légale appropriée afin de collecter ces données et  s’assurer donc de la nature et de l’origine des données collectées : s’agit-t-il de données personnelles, voire sensibles ? La personne concernée a-t-elle autorisé le cédant à titre gratuit ou onéreux ?, Etc.  

• Vérifier si les conditions générales d’utilisation (CGU) du site web concerné par l’extraction des données autorisent l’extraction de données.

Les CGU du site n’interdisent-t-elles pas l’aspiration et la réutilisation des données à des fins commerciales, notamment dans le cas de données récupérées en environnement logué ? Dans cette hypothèse, cette pratique n’est donc pas autorisée.

• Informer les personnes concernées par le traitement de leurs données

Pour respecter l’équilibre entre les intérêts des sociétés ayant recours à ces logiciels et les intérêts des personnes concernées, il est primordial que la société utilisant le logiciel d’aspiration de données fournisse, au plus tard au moment de la première communication avec les personnes dont les données sont traitées, les informations prévues à l’article 14 du RGPD et notamment celle relative à la source des données. L’information doit être concise, compréhensible et aisément accessible aux personnes concernées.

• Recueillir un consentement libre, éclairé et univoque

Il est nécessaire de s’assurer du caractère libre, spécifique, éclairé et univoque du consentement. Il faut donc expliquer avec clarté et transparence l’objectif de collecte et d’utilisation prévue des données personnelles.

L’acceptation par un internaute, de manière générale et indifférenciée, des conditions d’utilisation (CGU) d’un service ne peut être assimilée à un consentement spécifique,

Et cela même si les conditions d’utilisation informent l’internaute de son engagement à recevoir de la prospection commerciale par voie électronique.

• Obtenir un consentement spécifique pour tout nouvel objectif de prospection partenaire

Même si les personnes qui ont donné leur accord à un première organisation qui a collecté leurs données (un premier responsable de traitement),  une nouvelle prospection commerciale par une autre organisation qui réutilise ces données ne sera possible qu’avec leur consentement.

De même, lorsqu’une société réutilise des données publiquement accessibles sur l’Internet afin d’effectuer de la prospection directe concernant ses produits et services par message électronique ou automate d’appels, elle doit impérativement recueillir le consentement des personnes avant ces actions.

• Respecter le droit d’opposition prévu par le RGPD

Lorsque la société démarche commercialement les personnes par un autre moyen (par exemple par démarchage téléphonique sans automate d’appel), les logiciels doivent permettre de ne pas collecter les données des personnes inscrites sur des listes anti-prospection auprès d’un opérateur téléphonique ou auprès du dispositif BLOCTEL.

• Adapter les modalités d’exercice du consentement et du droit d’opposition, selon que le démarchage a lieu par voie postale et téléphonique ou par email.

Cela concerne, en lien avec le RGPD, la directive ePrivacy et le code des postes et communications électroniques notamment l’article L34-5, ainsi que la nature des publics concernés (BtoB ou BtoC). Voir nos autres articles à cet effet.

• Minimiser la collecte de données

Se montrer vigilant pour éviter la collecte d’informations non pertinentes ou excessives, notamment si elles sont sensibles (par exemple des informations sur la santé, la religion ou l’orientation sexuelle des personnes).

• Mettre à jour les contrats entre les  clients et l’organsiation  en sa qualité de sous-traitant :

Lorsque vous êtes prestataire et agissez en qualité de sous-traitant au sens du RGPD, vos contrats de sous-traitant avec votre client doit :

• rappeler la responsabilité de votre client (le responsable du traitement) concernant les traitements mis en œuvre pour son compte
• rappeler vos rôles et responsabilités de sous-traitant exécutant ses missions sur son ordre et pour le compte de son client.
• respecter l’ensemble des exigences de l’article 28 du RGPD à reporter dans votre contrat de prestations, en définissant :
  • l’objet et la durée du traitement ;
  • la nature et la finalité du traitement ;
  • le type de données personnelles ;
  • les catégories de personnes concernées ;
  • les obligations et les droits du responsable du traitement
  • vos obligations envers le responsable de traitement avec les mesures mises en œuvre et en cas de violation l’assistance que vous pouvez lui apporter.

III. Rappels utiles sur la prospection commerciale des personnes par des partenaires

L’article 21 du RGDP (Droit d’opposition) édicte dans son alinéa 2, que « lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection ».

Dans l’alinéa 3, ce même article précise que « lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins ».

En outre et comme l’a déjà rappelé la CNIL à maintes reprises, les données personnelles publiquement accessibles  « ne sont pas librement réutilisables par tout responsable de traitement et ne peuvent être réexploitées à l’insu de la personne concernée» (https://www.cnil.fr/fr/la-reutilisation-des-donnees-publiquement-accessibles-en-ligne-des-fins-de-demarchage-commercial)

Selon ces principes et à l’occasion de la publication en février 2022 du nouveau référentiel relatif aux traitements de données à caractère personnel mis en oeuvre aux fins de gestion commerciale, la CNIL a reprécisé les règles en matière de prospection commerciale.

Ainsi, dernièrement la CNIL a mis en demeure tois organismes pour avoir transmis sans consentement préalable et/ou sans information préalable des personnes concernées, des données à caractère personnel à des partenaires à des fins de prospection commerciale par téléphone et ou courriel :

• L’un des organismes avait transféré des données à caractère personnel à certains de ses partenaires qui souhaitaient réaliser des actions de prospection par téléphone. L’organisme en question n’avait pas informé les personnes concernées de ce transfert de données à ses partenaires, alors que c’est un préalable obligatoire (articles 13 et 14 du RGPD) 
• Les trois organismes avaient aussi transféré des données à caractère personnel à leurs partenaires afin que ceux-ci puissent lancer des actions de prospection par courrier électronique et par SMS, sans toutefois avoir pris le soin de recueillir le consentement préalable des personnes concernées. 

La CNIL a donc constaté que les traitements de données invoqués étaient alors dépourvus de « base légale » autorisant les traitements. Dans le cadre, de telles démarches commerciales, il convient donc de faire attention à l’opt-in partenaire et cela concerne aussi bien celui qui transmet les données que celui qui les reçoit, qui doit à son tour recueillir l’accord des personnes. 

The post Prospection commerciale à partir de données publiques récupérées sur internet appeared first on Donneo.

Parmi les avantages d’une mise en place d’un système de management il y a :

• L’amélioration des performances globales de l’organisme avec notamment le renforcement du positionnement sur son secteur,
• La réduction des audits client, la préservation du savoir-faire et des pratiques et la facilitation du travail à l’international,
• L’amélioration des pratiques
• L’implication du personnel au travers de nouvelles responsabilités et un engagement dans le système de management et la participation à la mise en œuvre,
• La compréhension de l’entreprise grâce à l’identification et la description des processus,
La définition d’objectifs partagés.
• La valorisation commerciale et marketing dans le cas d’une certification de type ISO9001

Mettre en  place une démarche de management de la qualité vous permettra :

• d’identifier vos forces et faiblesses (état des lieux, diagnostic, plans d’action)
• d’harmoniser les pratiques collaboratives (procédures, limitation des risques, bonnes pratiques)
• d’impliquer et faire adhérer vos salariés (et notamment améliorer les conditions de travail et l’implication de chacun comme force de proposition)

La qualité c’est du bon sens. Vous en faites certainement tous les jours. Sans forcément le savoir. La norme ISO 9001 fournit un cadre de performance pour les systèmes de management. Il permet aux entreprises de toute taille, quels que soient ses produits ou services d’obtenir un système de management plus robuste permettant d’augmenter la compétitivité des organismes et leur peformance.

Vous souhaitez vous initier aux différentes étapes d’une démarche qualité en formant et informant vos salariés :

pour améliorer vos pratiques et introduire  une culture du management de la qualité ?

pour vous préparez en vue d’une prochaine certification ?  

N’hésitez pas à nous contacter ou à nous appeler pour échanger sans obligation sur nos différents programmes ou élaborer ensemble un parcours de formation à la carte.

E.D, Consultant expert, Formateur QSE ISO 9001

The post Se former et mettre en place un système de management basé sur l’ISO 9001 dans son entreprise. appeared first on Donneo.

La gouvernance des données est l’ensemble des processus, rôles, règles et normes qui permettent d’assurer une utilisation efficace et efficiente des informations, dans le but d’aider les entreprises à atteindre leurs objectifs et à se développer harmonieusement.  

Dans cette démarche, la gouvernance des données personnelles concerne aussi bien les aspects humains, technologiques que organisationnels liés aux traitements des données et la façon dont l’ensemble de votre écosystème collabore ou participe à un management de qualité de la donnée au bénéfice du développement de l’entreprise :

• Savoir faire (hard skills) ou savoir être (soft skills)
• Exigences techniques (sécurité, cybersécurité, conservation, Etc.) 
• Exigences réglementaires

Ainsi par exemple, les exigences en matière de conservation des données (tracabilité des informations, accessibilité, modifications et mise à jour, historique des changements avec la date et l’auteur) seront définies pour assurer la conformité aux exigences réglementaires applicables, telles que le RPGD ou les règmes de conservation et d’archivage des données.

Mais de même lorsque vous créez un site internet, animez des réseaux sociaux, faites de la publicité sur Goole, créez des vidéos en stop motion ou des vidéos d’entreprise, que vous photographiez des évènements, des biens ou des personnes, que vous prenez des photos ou créez des médias à partir d’image, de musique, de  voix, vous devez respecter une certain nombre de régles et bonnes pratiques qui relèvent de multiples réglementations dont le droit à la vie proivé en général, le droit à l’image, le RGPD, le droit d’auteur, le droit de marques, le code de la consommation ou encore les règles publicitaires  pour ne citer que celles-ci.?

Former au « Savoir Faire » exige aussi de former au « Savoir Donnée », un savoir être collaboratif sur les traitements de données dans l’entreprise.

Dans chacune de nos formations, qu’il s’agisse de création vidéo, de gestion de données RH, de prospection commerciale BtoB ou BtoC, d’action marketing, de protection des données personnelles, ou encore de création de site web ou de développement logiciel, nos formateurs experts abordent le périmètre de ce que vous pouvez faire ou ne pas faire, les règles qui s’appliquent et les responsabilité qui sont en jeu à l’égard des tiers.

Aujourd’hui nombre d’entreprises ignorent de bonne foi les contraintes légales, techniques et réglementaires qui s’imposent à eux dans la vie quotidienne de l’entreprise, dans la mise en oeuvre de leurs flux et process d’organisation, dans la maîtrise d’un savoir faire.

Le RGPD une compétence clé et une reconnaissance pour les collaborateurs, un atout qualité pour l’entreprise.

Les avantages pour l’entreprise à former des référents RGPD

• Respecter la réglementation qui exige de sensibiliser les collaborateurs au RGPD
• Nommer des référents internes : une ou plusieurs personnes sensibilisées au RGPD sont autant de référents « bonnes pratiques » pour les services en interne
• Instaurer une relation privilégiée avec votre DPO : les référents sont des correspondants et relais privilégiés pour un DPO externe
• Maîtriser ses flux et process de traitement des données : mieux identifier, protéger et sécuriser les données personnelles de vos clients, prospects, salarié et garnti ainsi votre continuité opérationnelle 
• Valoriser votre patrimoine en améliorant vos tratmetns collaboratifs et partages sur les données
• Améliorer la qualité de votre relation et assitance client en améliorant la qualité de travail collaboratif de vos salariés en lien avec le cycle de vente étendu
• Offrir une reconnaissance forte à vos collaborateurs : le RGPD est une démarche qualité transverse et un projet motivant pour les salariés en les faisant participer à l’amélioration continue du fonctionnement de l’entreprise
• Faire évoluer vos collaborateurs : former au RGPD avec une démarche de formation continue aux nouveautés et bonnes pratiques développe l’employabilité de vos collaborateurs
• Adopter des bonnes pratiques : sensibliser l’ensemble de vos collaborateurs via des rôles référents (en appui d’un DPO si vous le souhaitez) permet d’adapter les comportements et les compétences de chacun aux exigences du RGPD
• Développer des compétences clés de l’entreprise : sensibliser vos collaborateurs au RGPD leur permet d’adapter les évolutions liées au RGPD et d’anticiper la conduite du changement, avec une plus grande souplesse et agilité dans la mise en oeuvre des évolutions ou réorganisations éventuelles  

Vous souhaitez former et informer vos salariés pour mieux maîtriser vos flux et process métiers tout en répondant aux exigences réglementaires du RGPD, n’hésitez pas à nous contacter ou à nous appeler pour échanger sans obligation sur nos différents programmes ou élaborer ensemble un parcours de formation à la carte.

The post Pourquoi former vos salariés au RGPD est un atout de performance pour votre organisation ? appeared first on Donneo.