Liste de contrôle DSGVO pour les blogueurs et les entrepreneurs en ligne

Le règlement européen sur la protection des données représente un défi pour de nombreux entrepreneurs dans tous les secteurs. Qu'est-ce qu'il y a à faire? À quoi faut-il penser? Bien entendu, les exigences varient selon que vous êtes le patron d'une grande entreprise ou le propriétaire d'une entreprise à propriétaire unique.

Pour les blogueurs et les entrepreneurs en ligne, il est difficile de sélectionner l'essentiel dans la jungle des exigences. C'est pourquoi Finn m'a demandé si je souhaitais créer une liste de contrôle DSGVO pour les blogueurs et les entrepreneurs en ligne pour Blogmojo. Bien sûr, je suis heureux de donner suite à la demande!

Le premier obligatoire: Je suis un responsable externe externe de la protection des données pour diverses entreprises de taille moyenne et participe activement au sujet de la protection des données depuis des mois. Malgré tout, cet article et cette liste de contrôle ne peuvent remplacer les conseils juridiques individuels.

1. Liste de vérification du site Web

Bien entendu, votre site Web est au cœur de DSGVO. Par conséquent, vous devriez considérer les points suivants:

1.1 Hébergement et sécurité des données

  • Votre site Web possède-t-il un certificat SSL?
  • Avez-vous pris des mesures pour protéger votre blog ou votre site Web contre les pirates informatiques ou des tiers non autorisés (autorisations d'accès à des fichiers sécurisés, mots de passe sécurisés, installation régulière de mises à jour de sécurité, etc.)?
  • Avez-vous conclu un contrat de traitement de données avec votre fournisseur d'hébergement?

1.2 Outils d'analyse

  • Avez-vous un outil d'analyse utilisé?
  • Si oui, lesquels (par exemple statistiques Google Analytics, Piwik ou WordPress.com)?
  • Les adresses IP sont-elles anonymisées?
  • Les données sont-elles sur votre serveur ou chez un tiers?
  • S'il s'agit d'une tierce partie, les données sont-elles correctement protégées? Avez-vous conclu un contrat de traitement de données (ADV) avec le tiers?
  • Vous êtes-vous assuré que les utilisateurs peuvent s'opposer à la capture d'un clic (le lien doit figurer dans la politique de confidentialité)?

1.3 Formulaires

  • Avez-vous inclus des formulaires sur votre site Web qui transmettent des informations personnelles?
  • Si oui, avez-vous indiqué ci-dessous, au-dessus ou à côté du formulaire (en bref), que deviennent les données lorsqu'elles sont envoyées? Et a souligné votre politique de confidentialité, dans laquelle vous décrivez le tout en détail?
  • Important: pas de formulaire sans HTTPS!

1.4 Bulletin d'information

  • Utilisez-vous un service de newsletter ou un plugin?
  • L'inscription est-elle effectuée uniquement après une procédure de double participation (inscription de l'adresse e-mail dans le formulaire d'inscription et confirmation ultérieure par adresse e-mail)?
  • Avez-vous indiqué sur votre formulaire d'inscription ce que le prospect recevra de votre part lors de son inscription? Êtes-vous transparent et avez-vous écrit ouvertement si vous envoyez des offres ainsi que des informations et des articles?
  • Avez-vous un contrat ADV avec votre fournisseur de service de newsletter?
  • Attention aux prestataires de services situés en dehors de l'UE: Dans ce cas, un simple contrat pour ADV ne suffit pas. Pour les fournisseurs non européens, vous devez disposer d'informations supplémentaires de la part de l'importateur de données en matière de protection des données (contractées de préférence). Pour les fournisseurs de services américains tels que Mailchimp, il est également nécessaire que la société poursuive le processus. Bouclier de confidentialité UE-États-Unis est certifié (bien qu'il ne soit toujours pas clair si cela est vraiment suffisant).

1.5 boutique en ligne

En raison de la complexité et de l'individualité, je ne peux que vous donner un aperçu approximatif ici:

  • Utilisez-vous des fournisseurs de services externes (tels que PayPal) pour le traitement des paiements? Si tel est le cas, avez-vous écrit à ce sujet en détail dans la politique de confidentialité et indiqué quelles données sont transférées et où elles sont stockées?
  • Semblable au prestataire de services d’expédition: les adresses électroniques ou les numéros de téléphone mobile sont-ils recueillis aux fins de la notification de la livraison?
  • L'acheteur peut-il ou doit-il s'inscrire pour compléter la commande? Si oui, avez-vous l'étiquette appropriée et proposez-vous une option de commande facultative sans inscription?
  • Aimez-vous la sécurité informatique dans votre boutique en ligne? Si non, alors vous devriez! De nombreuses informations personnelles stockées sur votre système doivent être protégées et l'accès à ces données doit être sécurisé de manière appropriée.
  • Cela commence par le mot de passe: vous êtes-vous assuré que les utilisateurs doivent se conformer à une certaine complexité du mot de passe et que des mots de passe triviaux tels que 1234 ne sont pas du tout possibles?
  • Un autre conseil: évitez de stocker avec vous des données telles que les informations de carte de crédit. Si possible, j'utiliserais toujours un service sécurisé externe pour contourner le stockage de ces informations sensibles.
  • Un scan de sécurité externe par des professionnels serait dans un magasin en ligne tout à fait supérieur!

1.6 plugins, widgets, etc.

  • Utilisez-vous des plugins, des widgets, des iframes, des scripts supplémentaires ou des interfaces sur votre site Web?
  • Est-ce que cela enregistre des informations personnellement identifiables sur votre site Web ou des tiers? Si oui, dans quel but? Et seulement le flux de données nécessaire, de sorte que le fournisseur de services puisse faire son travail ou soit trop transféré?
  • Les données personnelles sont z. B. collectés dans des plugins d'adhésion, de formulaire, sociaux ou de bulletin.
  • Le moyen le plus simple de lire dans la documentation ou sur le site web du développeur, que ce soit un plugin, un widget, etc., est compatible DSGVO. Malheureusement, tous les développeurs ne sont pas aussi transparents (ou même parfaitement conscients des exigences de DSGVO), vous devez donc passer par le service vous-même.
  • Si les données sont transférées, vous avez besoin d'un ADV avec le fournisseur de services. Cela devrait être facile si le partenaire est dans l'UE. Mais s'il est dans un pays tiers, ce qui est plus commun avec les plugins, cela devient plus difficile. Vous avez besoin d'un contrat et, dans tous les cas, de l'ajout de la protection des données dans le transfert et le fournisseur de services.

Si vous ne savez pas quels plug-ins envoient des données, vous pouvez utiliser plus d'outils. J'utilise:

Un aperçu complet des plugins WordPress qui collectent des données personnelles peut être trouvé ici sur le blog: WordPress Plugins & DSGVO: liste des plugins problématiques (+ astuces de plugins!)

1.7 Marketing et publicité

Personnellement, je trouve ce point le plus difficile, car il est assez complexe.

De plus, nombre de mes clients ne savent parfois même pas ce qui se passe dans les services marketing de votre site Web. Par conséquent, bien sûr, des outils tels que Ghostery et le service builtwith.com utile.

  • Utilisez-vous des services tels que Facebook Pixel, DoubleClick, Google AdSense ou similaire? Ensuite, vous devez écrire à ce sujet en détail dans la politique de confidentialité!
  • L'utilisation de trackers publicitaires n'est pas sans controverse. Veillez donc à fournir aux utilisateurs une option de désinscription dans la mesure où vous effectuez un "rapprochement avancé de vos données".
  • Surtout quand reciblage (également appelé remarketing), il serait même préférable que l'utilisateur accepte le suivi via opt-in.

1.8 Médias sociaux

  • Utilisez-vous des plugins ou des widgets de réseaux sociaux tels que Facebook, Twitter, Pinterest et autres?
  • Si oui, assurez-vous de ne pas transmettre d'informations personnelles avant que les utilisateurs ne puissent s'y opposer! Ceci s'applique z. Par exemple, pour les boutons de partage standard ou le plugin de page Facebook.
  • Alternativement, vous pouvez vous référer à vos plateformes sociales avec des liens simples et le plugin pour les boutons de partage Shariff utiliser (si vous utilisez WordPress).
  • Les réseaux sociaux et leur traitement des données personnelles se trouvent-ils dans votre politique de confidentialité? Dans la politique de confidentialité, indiquez également si et comment vous utilisez les données de Facebook pour votre entreprise!
  • Avez-vous fourni une empreinte et une déclaration de confidentialité sur vos pages de médias sociaux ou avez-vous créé des liens vers les pages correspondantes de votre site Web à partir de là?
  • Avez-vous mentionné dans votre politique de confidentialité que cela s'applique également à Facebook, Instagram et autres?

1.9 Politique de confidentialité

Assurez-vous de trouver un passage dans la politique de confidentialité pour toutes les manières mentionnées ci-dessus dans lesquelles les données personnelles sont traitées!

Il existe de bons générateurs pour la politique de confidentialité, tels que: B.:

Assurez-vous cependant qu’ils sont compatibles DSGVO, comme z. T. des informations supplémentaires sont nécessaires, qui ne figuraient pas auparavant dans la politique de confidentialité.

Ne prenez pas simplement tout ce qui n'est pas lu et ajoutez ou modifiez le contenu en fonction de votre application!

2. Répertoire de procédure

Il y a tellement de questions et d'incertitudes au sujet du répertoire des procédures que je dois dire tout de suite: PAS DE PANIQUE! Essayez de garder les choses simples. Personne ne réclame actuellement de thèse de doctorat.

Rédigez les procédures en général et pas spécifiquement pour chaque client. Par expérience, je m'attendrais à environ 20 procédures pour un entrepreneur en ligne pur. Si vous êtes un blogueur, probablement moins.

Vous trouverez plus de détails sur la structure et le contenu d’un répertoire de procédures dans mon Article avec modèle pour le répertoire de procédure,

3. Information requise

Le sujet de l'obligation d'information est nouveau avec le DSGVO et n'existait pas sous cette forme auparavant. Avant de commencer le traitement, vous devez informer la personne concernée de ce que vous faites de ses données, si vous collectez les données directement auprès de celle-ci. Si vous ne recevez pas les données dans le cadre d'un processus directement de la personne concernée, vous devez en informer la personne concernée dans un délai d'environ quatre semaines.

En tant qu'entrepreneur en ligne, vous le faites généralement par le biais de votre politique de confidentialité. Si vous traitez des données en dehors de votre présence en ligne, vous devez également fournir des informations supplémentaires.

Cette information doit également suivre certaines directives. Je ressemble à ça dans le mien Contribution du blog à l'obligation d'information sur mon site décrit plus en détail. Par conséquent, il est important dans la politique de confidentialité que, si vous utilisez des générateurs, vous utilisez uniquement ceux qui cartographient également l'intégralité du contenu de l'obligation d'information (articles 13 et 14 du RGP).

Tout ce qui n'est pas encore inclus dans la politique de confidentialité, vous devez l'écrire vous-même. Ici, il est recommandé de bien travailler avec le répertoire de procédure. Vous pouvez utiliser les informations à nouveau maintenant et il vous suffit de les mettre sous la bonne forme.

4. Traitement des données de commande

En attendant, ce n'est plus un nouveau terme pour vous, n'est-ce pas? Avez-vous des fournisseurs de services dans le bateau ou utilisez-vous un service informatique d'un fournisseur qui traite des données à caractère personnel pour vous? Dans ce cas, vous avez besoin d'un traitement de données de contrat ou d'un contrat de traitement de commande (il s'agit en réalité du terme actuel). Ecrivez une liste de tous les fournisseurs de services et assurez-vous d'avoir un contrat ADV avec tout le monde!

Beaucoup de grandes entreprises ont des modèles standard qu’elles vous proposent en téléchargement. Tout ce que vous avez à faire est de remplir et de signer vos données. Vous pouvez trouver quels sont les fournisseurs qui fournissent déjà un contrat ADV et dans lesquels vous devez rester patient, ici à Blogmojo: Contrats ADV pour les blogueurs et les entrepreneurs en ligne: liste des hébergeurs, outils de newsletter, etc.

Qu'en est-il des transformateurs qui ne sont pas basés dans l'UE, c'est-à-dire dans un pays tiers? Dans ce cas, le contrat ADV sera deux fois plus long, car des informations détaillées sur l'importateur et l'exportateur de données doivent être fournies.

À propos, il existe des règles spéciales pour les plates-formes où les fournisseurs et les utilisateurs doivent s’inscrire. Dans une plateforme d'apprentissage en ligne. Dans le cadre de l'inscription, vous confirmez, en tant qu'utilisateur, les termes et conditions. Par exemple, je fais la même chose quand je propose une formation. Par conséquent, je n'ai pas besoin de ADV avec la plate-forme en ligne. En cas de doute, demandez au fournisseur de plate-forme.

5. Plus à faire

Bien entendu, cela ne se limite pas aux grandes entreprises. La loi ou les lois sont nombreuses. Peut-être que l'un ou l'autre lecteur est également affecté par des procédures soumises à l'évaluation d'impact sur la protection des données? Peut-être avez-vous également besoin d'un responsable de la protection des données? Qu'en est-il des employés? Et beaucoup plus.

Naturellement, cette liste de contrôle ne couvre pas de telles exigences spécifiques. Vous êtes les bienvenus à la mienne 7 étapes pour l'entreprise respectueuse de la vie privée si vous voulez plus d'informations

En raison de la grande incertitude et des nombreuses questions sur DSGVO, je propose régulièrement webinaires gratuits sur. Je vous soutiens dans la préparation du répertoire procédural et répond à vos questions.

6. Cours en ligne

Vous voulez tout expliquer en détail? Ou avez-vous des questions?

Récemment, j’ai également proposé un cours en ligne, dans lequel je vais aborder les questions les plus importantes concernant le DSGVO et expliquer, étape par étape, ce que vous devez considérer en tant qu’individu ou propriétaire d’une petite entreprise.

Le cours comprend:

  • 3 heures de vidéos: sur des sujets tels que le traitement des données de commande, l'obligation d'information, le site Web et bien plus encore
  • Patterns et modèles télécharger tout le contenu essentiel
  • Accès à un groupe de soutien exclusif, dans lequel je réponds personnellement à vos questions sur le GDPR

Cliquez ici pour le cours!

À propos de l'auteur

En tant que défenseur de la vie privée, je soutiens mes clients depuis plus de 10 ans. Peu importe qu'il s'agisse d'une feuille de route pour la protection des données ou d'une feuille de route pour la sécurité informatique. Avec humour, joie et enthousiasme pour ces sujets, j'accompagne mes clients sur le chemin de la sécurité optimale. Vous pouvez en savoir plus sur moi sur mon site regina-stoiber.com,

Enfin, comme toujours, il y a quelque chose à épingler:

Avec notre liste de contrôle DSGVO, vous pouvez vérifier si votre entreprise ou votre blog en ligne est prêt pour DSGVO. Il contient une liste complète de questions sur le site Web, ainsi que des informations sur l'ADV, le répertoire des procédures et l'obligation de fournir des informations.

Dirigeant SEO SEA Expertise

Si vous avez des craintes avant de vous lancer dans un projet de communication ou de marketing digitale ou si vous vous posez encore beaucoup de questions sur la meilleure manière de procéder, contactez-moi. Je serai ravi de répondre à vos questions.