DEENFRELIDESmy.iacboxMeine WLAN Lösung

§ GDPR : Vos principales obligations en tant qu’opérateur de hotspot WiFi

L’horloge tourne et il ne reste plus beaucoup de temps avant le 25 mai 2018. Les modalités de mise en œuvre de la nouvelle réglementation et du contrôle de conformité annoncé ne sont pas encore claires. Il est néanmoins conseillé de se préparer et de s’assurer que vos opérations sont conformes aux principes les plus importants. Avec l’augmentation du trafic de données au niveau mondial, les cas de vol et d’utilisation abusive de données ne devraient pas diminuer, de sorte que tous les efforts déployés par les législateurs pour accroître la sensibilisation aux problèmes et attribuer davantage de responsabilités aux entreprises devraient être accueillis favorablement. Depuis, le GDPR est devenu un sujet d’intérêt majeur dans les médias. Pourtant, un nombre étonnant d’entreprises sont encore mal préparées – voire pas du tout – à ce qui s’annonce. Nous entendons sans cesse des questions comme celles-ci :

« Est-ce que cela nous concerne vraiment ? Devons-nous faire quelque chose ? » La réponse est simple : OUI.

Toutes les entreprises – des petites aux grandes – sont concernées car elles traitent désormais toutes des données à caractère personnel.

Une fois cette prise de conscience effectuée, les questions qui suivent sont généralement les suivantes : « De quoi s’agit-il au juste ? « De quoi s’agit-il au juste ? » et « Que dois-je faire ? » Les brefs résumés qui suivent vous fourniront les informations de base nécessaires.

@Question#1

L’objectif du règlement général sur la protection des données (ou RGPD) est d’assurer une protection adéquate de la sécurité des données à caractère personnel et de la sphère privée des personnes physiques à l’ère du traitement de masse des données et des réseaux mondiaux de données. Le règlement est entré en vigueur en 2016. Nous traversons actuellement une phase de transition au cours de laquelle il n’y aura pas de contrôle systématique ni de sanctions en cas de violation. Toutefois, à partir du 25 mai, les organisations qui ne se conforment pas au règlement s’exposent à des amendes pouvant aller jusqu’à 4 % de leur chiffre d’affaires mondial.

@Question#2

Dans ces conditions, il convient de revenir sur les principales obligations imposées par le règlement :

  • 1. ART 5/1B et 1C – MINIMISATION DES DONNÉES : Il est interdit de collecter plus de données que ce qui est nécessaire aux fins adéquates pour lesquelles elles sont traitées. Par exemple, si vous offrez aux clients d’un restaurant un accès WiFi gratuit, il n’est pas nécessaire de leur demander leur adresse. Toutefois, si vous souhaitez savoir d’où viennent vos clients – ce qui peut être un intérêt tout à fait légitime pour un restaurateur – vous avez le droit de poser la question, mais vos clients doivent divulguer l’information consciemment et volontairement (voir section 3) et peut-être devriez-vous seulement leur demander leur code postal.

    Comment la boîte à outils sur la protection de la vie privée peut-elle m’aider à cet égard ?

    L’IACBOX peut vous aider même sans le kit, car il rend possible des méthodes d’enregistrement basées sur un concept de minimisation des données dans lequel un numéro de chambre, un numéro de billet ou d’autres paramètres qui ne fournissent que des liens limités avec une personne particulière peuvent être utilisés à des fins d’authentification. Le Privacy Toolkit va encore plus loin puisqu’il peut documenter toutes les connexions – y compris celles effectuées via des systèmes externes (voir les obligations dans la section 4) – et émet également des avertissements lorsque des paramètres critiques pour la protection des données sont configurés.

  • 2. ART 5/1E – LIMITATION DE LA CONSERVATION : Les données ne peuvent être conservées au-delà de la durée nécessaire aux finalités pour lesquelles elles sont traitées ou au-delà de la durée nécessaire pour satisfaire aux exigences légales

    Comment l’IACBOX peut-il m’aider à cet égard ?

    IACBOX fournit une assistance sous la forme d’options configurables d’anonymisation et de suppression. Bien que les données rendues anonymes ne soient plus personnelles et puissent théoriquement être conservées pendant une période infinie, les données dont vous n’avez plus besoin ne sont en fin de compte que du lest, alors pourquoi ne pas vous en débarrasser tout simplement ? Le Privacy Toolkit vous avertit également si vous avez défini des périodes de conservation critiques. Bien entendu, vous pouvez avoir de bonnes raisons de prolonger ces périodes de conservation, c’est pourquoi vous avez la possibilité de désactiver ces avertissements.

  • 3. ART 5/1A – TRAITEMENT LICITE, LOYAL ET TRANSPARENT DES DONNÉES : Les personnes concernées ont le droit de savoir à quelles fins leurs données sont utilisées et doivent pouvoir compter sur le fait qu’elles ne seront pas utilisées à d’autres fins. C’est pourquoi le couplage d’informations est interdit. Les données collectées ne peuvent être utilisées qu’aux fins convenues, par exemple pour permettre aux clients du restaurant d’utiliser le réseau WiFi interne. Il n’est donc plus permis de coupler la fourniture d’un accès WiFi à un abonnement obligatoire à une lettre d’information. Vous pouvez bien entendu inviter vos clients à s’abonner, mais vous devez le faire séparément et de manière évidente.

    Comment l’IACBOX peut-elle m’aider à cet égard ?

    L’API de connexion d’IACBOX permet d’inclure un logiciel de gestion de la relation client (CRM) ou de publipostage. Vous pouvez donc inclure une petite option d’abonnement à une lettre d’information sous la forme d’une case à cocher supplémentaire sur votre page d’inscription afin de permettre aux utilisateurs de confirmer qu’ils souhaitent s’abonner. IMPORTANT : Toute activité de traitement de cette nature doit être justifiée et documentée – voir section 4. Le Privacy Toolkit vous aide à cet égard en stockant les enregistrements et explications nécessaires dans le registre de traitement des données généré dynamiquement.

  • 4. ART 5/2 et 30 – RESPONSABILITÉ ET REGISTRES : Le GDPR exige que toute personne traitant des données à caractère personnel tienne des registres du traitement de ces données et soit en mesure de démontrer que les activités de traitement correspondantes sont conformes aux exigences légales. Ils doivent donc documenter dans un registre de traitement des données quelles catégories de données sont collectées auprès de quelles catégories de personnes et comment les données sont traitées. Les données sont-elles traitées en interne ou confiées à un prestataire de services ? Les données sont-elles transférées vers un pays situé en dehors de l’UE ? Dans l’affirmative, le pays de destination offre-t-il un niveau de protection des données équivalent à celui de l’UE ? C’est peut-être l’aspect le plus problématique, car même si vous externalisez le traitement ou utilisez un fournisseur de services en nuage, vous êtes toujours tenu de garantir la conformité légale en ce qui concerne ce qu’il advient des données obtenues auprès des sujets.

    Comment le Privacy Toolkit peut-il m’aider à cet égard ? 

    Vous pouvez créer un registre de traitement des données généré dynamiquement avec le nouveau Privacy Toolkit pour IACBOX. IACBOX vérifie quelles méthodes d’enregistrement et quels champs de données sont utilisés et génère un registre individuel au format PDF avec un horodatage. Vous pouvez imprimer et classer le registre PDF aussi souvent que vous le souhaitez ; vous pouvez le faire après chaque modification ou seulement en cas de besoin. Si votre IACBOX est connectée via une API de connexion à un PMS, un CRM, une base de données ou un autre backend, vous pouvez utiliser des modules de texte librement modifiables dans lesquels vous pouvez enregistrer ce qui arrive aux données au cours de la connexion – une méthode pratique et fiable pour répondre à votre obligation d’enregistrer les activités de traitement des données. Un modèle d’accord de traitement des données est même fourni afin que vous puissiez l’envoyer pour signature à votre fournisseur externe de traitement des données pour vous assurer que vous et lui vous conformez aux exigences en matière de protection des données.

  • 5. ART 5/1F et 28 – INTÉGRITÉ ET CONFIDENTIALITÉ : Vous devez assurer une sécurité appropriée des données et veiller à ce qu’elles ne puissent pas être altérées. Mais comment faire ? Que se passe-t-il si des pirates informatiques lancent une attaque malveillante ? Ne vous inquiétez pas ; même les sites web gouvernementaux ne sont pas à l’abri de ce genre de choses et il serait injuste que le GDPR vous impose des exigences plus strictes. Toutefois, vous êtes tenu de mettre en place des mesures techniques ou organisationnelles appropriées pour assurer une protection adéquate des données de vos clients. Le GDPR ne précise pas en détail quelles sont ces « mesures » requises. Cependant, vous pouvez être certain qu’il vous sera au moins demandé d’avoir un certificat SSL valide pour votre site web de collecte de données et de conclure des accords d’instruction et de confidentialité avec votre personnel qui entre en contact avec les données correspondantes.

    Comment l’IACBOX et le Privacy Toolkit peuvent-ils m’aider à cet égard ?

    L’IACBOX et le Privacy Toolkit vous apporteront beaucoup, car la tenue de registres ne sera plus simplement une exigence, mais deviendra absolument essentielle pour démontrer que vous remplissez vos obligations légales. Tout d’abord, le certificat SSL de votre IACBOX est toujours maintenu à jour, ce qui vous permet d’être assuré que vous ne violez pas les exigences de base. Deuxièmement, IACBOX enregistre toutes les activités d’accès aux données entreprises par vos utilisateurs administratifs afin de garantir qu’elles sont documentées et traçables. Vous pouvez également utiliser le Privacy Toolkit pour afficher un accord de confidentialité à l’intention de chaque utilisateur administrateur, accord que ces derniers doivent accepter avant de poursuivre leur travail. Les instructions et les accords de confidentialité sont fournis au format PDF afin qu’ils puissent être imprimés et signés, car il s’agit d’un accord de traitement des données, d’une version intégrale du GDPR à des fins de référence, ainsi que d’un modèle de formulaire pouvant être utilisé pour signaler les violations de données et d’une liste des autorités de contrôle compétentes.

  • 6. ART 12, 13 et 15 – INFORMATION ET DROIT D’ACCÈS : Vous êtes tenu de fournir à tout moment des informations aux personnes dont vous traitez les données. Ces informations et votre politique de confidentialité des données doivent être rédigées dans un langage clair et compréhensible et inclure une option de contact pour les personnes concernées.

    Comment l’IACBOX et le Privacy Toolkit peuvent-ils m’aider à cet égard ?

    L’IACBOX exige que vous fournissiez des informations de contact appropriées dans le texte de la politique de confidentialité des données qui doit être affiché sur votre page d’enregistrement. Le texte de la politique est rédigé dans un langage clair et compréhensible. Vous pouvez saisir votre propre texte personnalisé, mais n’oubliez pas d’inclure l’option de contact. Le Privacy Toolkit vous permet de répondre à une demande d’information en envoyant le rapport généré dynamiquement à la personne qui demande l’information. Le rapport détaille exactement la manière dont les données sont traitées, les périodes de suppression étant clairement indiquées. Si l’option de suppression dans la confidentialité des données, avec et sans le Privacy Toolkit, est fixée dans des limites raisonnables (la valeur par défaut est de 6 mois pour l’anonymisation et d’un an pour la suppression), cela devrait suffire. Toutefois, sachez que si vous utilisez des backends, il se peut que des données aient également été traitées ici, auquel cas vous devrez compléter le rapport en conséquence.

Nous supposons que les « catégories particulières de données » visées à l’article 9/1 du GDPR, c’est-à-dire les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins de l’identification unique d’une personne physique, des données relatives à la santé ou des données relatives à la vie sexuelle ou à l’orientation sexuelle ou à la santé d’une personne physique, ne seront normalement pas traitées à l’aide d’IACBOX. En fait, ce traitement est généralement interdit, sauf dans les circonstances justifiées visées à l’article 9/2, lorsque, par exemple, le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée. Dans ce cas, une analyse d’impact relative à la protection des données, telle que prévue à l’article 35, doit être réalisée. 35 doit être préparée. De manière générale, le Privacy Toolkit vous aidera à comprendre les obligations qui incombent à tout responsable du traitement des données, ne serait-ce que pour vous faire prendre conscience des conséquences désagréables qu’une négligence en matière de sécurité des données peut entraîner, que vous exploitiez ou non un hotspot WiFi.

Vous souhaitez commander votre kit de protection de la vie privée dès maintenant ? Veuillez contacter votre partenaire IACBOX local.

Êtes-vous un entrepreneur à la recherche d'une solution à ces exigences? Ou êtes-vous un fournisseur de services et conseillez des entreprises sur des solutions de réseaux sans fil ou filaires ?

Commençons un projet ensemble

Privacy settings

We use cookies to provide social media features and to analyze traffic to our website. More information

Accept all
Save & close