Documentation RGPD
Registre des Activités de Traitement des Données Personnelles
🔒 Document Confidentiel - Usage Interne
Dernière mise à jour : 11 novembre 2025
⚠️ ATTENTION - Document obligatoire :
Conformément à l'article 30 du RGPD, ce registre des activités de traitement doit être tenu à jour et présenté à la CNIL sur demande. Les informations entre crochets [XXX] doivent être complétées par vos données réelles.
1. Informations générales sur l'organisme
| Élément | Information |
|---|---|
| Nom de l'organisme | Oozia |
| Forme juridique | [SARL / SAS / SASU / SA] |
| Adresse du siège social | [Adresse complète] |
| SIRET | [Numéro SIRET - 14 chiffres] |
| Représentant légal | [Nom Prénom], [Fonction] |
| Email de contact | [email protected] |
| Téléphone | 01 23 45 67 89 |
| Délégué à la Protection des Données (DPO) | [Nom Prénom du DPO] ou [Non applicable - structure < 250 salariés] Email : [email protected] (si applicable) |
📌 Note sur le DPO
La désignation d'un DPO est obligatoire si :
- Le traitement est effectué par une autorité ou un organisme public
- Les activités de base exigent un suivi régulier et systématique à grande échelle
- Les activités de base portent sur des données sensibles à grande échelle
Pour Oozia : Si vous traitez plus de 5000 fiches clients avec tracking comportemental, la désignation d'un DPO est recommandée.
📖 Article 30 du RGPD - Registre des activités de traitement | Article 37 du RGPD - Désignation du délégué à la protection des données
2. Registre des Activités de Traitement
Conformément à l'article 30 du RGPD, voici la liste exhaustive de tous les traitements de données personnelles effectués par Oozia :
📋 Traitement n°1 : Gestion de la Relation Client
Finalité du traitement
- Gestion des clients et prospects
- Exécution des contrats de prestation de services
- Suivi de la relation commerciale
- Facturation et comptabilité
Base légale
Exécution du contrat (Art. 6.1.b RGPD)
Obligation légale (Art. 6.1.c RGPD)
Catégories de personnes concernées
• Clients actuels
• Prospects
• Anciens clients
• Prospects
• Anciens clients
Catégories de données traitées
Données d'identification :
• Nom, prénom
• Nom de l'entreprise
• Fonction
• Adresse email professionnelle
• Numéro de téléphone
• Adresse postale professionnelle
Données contractuelles :
• N° client
• Offre souscrite
• Date de souscription
• Historique des commandes
Données de facturation :
• Coordonnées bancaires
• Historique des paiements
• Factures
• Nom, prénom
• Nom de l'entreprise
• Fonction
• Adresse email professionnelle
• Numéro de téléphone
• Adresse postale professionnelle
Données contractuelles :
• N° client
• Offre souscrite
• Date de souscription
• Historique des commandes
Données de facturation :
• Coordonnées bancaires
• Historique des paiements
• Factures
Destinataires des données
• Personnel habilité d'Oozia (service commercial, comptabilité)
• Prestataire de paiement : [Nom - ex: Stripe, PayPlug]
• Expert-comptable : [Nom du cabinet]
• Hébergeur : [Nom de l'hébergeur]
• Prestataire de paiement : [Nom - ex: Stripe, PayPlug]
• Expert-comptable : [Nom du cabinet]
• Hébergeur : [Nom de l'hébergeur]
Transferts hors UE
OUI
• Destination : États-Unis (serveurs Stripe/Google)
• Garanties : Clauses contractuelles types de la Commission européenne
• Destination : États-Unis (serveurs Stripe/Google)
• Garanties : Clauses contractuelles types de la Commission européenne
Durée de conservation
• Clients actifs : Durée du contrat + 3 ans
• Prospects : 3 ans à compter du dernier contact
• Données comptables : 10 ans (obligation légale)
• Prospects : 3 ans à compter du dernier contact
• Données comptables : 10 ans (obligation légale)
Mesures de sécurité
• Chiffrement SSL/TLS
• Authentification forte (2FA)
• Accès restreints et contrôlés
• Sauvegardes quotidiennes chiffrées
• Journalisation des accès
• Hébergement sécurisé certifié ISO 27001
• Authentification forte (2FA)
• Accès restreints et contrôlés
• Sauvegardes quotidiennes chiffrées
• Journalisation des accès
• Hébergement sécurisé certifié ISO 27001
📧 Traitement n°2 : Marketing et Communication Commerciale
Finalité du traitement
- Envoi de newsletters
- Prospection commerciale par email
- Propositions d'offres personnalisées
- Invitation à des webinaires/événements
Base légale
Consentement (Art. 6.1.a RGPD)
Intérêt légitime (Art. 6.1.f RGPD)
L'intérêt légitime s'applique uniquement pour la prospection BtoB de produits/services similaires
Catégories de personnes concernées
• Clients actuels
• Prospects ayant consenti
• Contacts professionnels BtoB
• Prospects ayant consenti
• Contacts professionnels BtoB
Catégories de données traitées
• Nom, prénom
• Entreprise
• Email professionnel
• Secteur d'activité
• Historique des interactions (emails ouverts, liens cliqués)
• Entreprise
• Email professionnel
• Secteur d'activité
• Historique des interactions (emails ouverts, liens cliqués)
Destinataires des données
• Personnel marketing d'Oozia
• Plateforme emailing : [Nom - ex: Mailchimp, Sendinblue, Brevo]
• CRM : [Nom - ex: HubSpot, Salesforce]
• Plateforme emailing : [Nom - ex: Mailchimp, Sendinblue, Brevo]
• CRM : [Nom - ex: HubSpot, Salesforce]
Transferts hors UE
OUI (si Mailchimp/HubSpot US)
• Destination : États-Unis
• Garanties : Clauses contractuelles types
• Destination : États-Unis
• Garanties : Clauses contractuelles types
Durée de conservation
• Avec consentement : Jusqu'au retrait du consentement
• Sans interaction : 3 ans maximum
• Après désinscription : Suppression immédiate (liste d'opposition conservée)
• Sans interaction : 3 ans maximum
• Après désinscription : Suppression immédiate (liste d'opposition conservée)
Mesures de sécurité
• Chiffrement des données
• Double opt-in pour les inscriptions
• Lien de désinscription dans chaque email
• Conformité LCEN (Loi pour la Confiance dans l'Économie Numérique)
• Double opt-in pour les inscriptions
• Lien de désinscription dans chaque email
• Conformité LCEN (Loi pour la Confiance dans l'Économie Numérique)
🌐 Traitement n°3 : Gestion du Site Web et Cookies
Finalité du traitement
- Fonctionnement et sécurité du site web
- Statistiques de fréquentation (Google Analytics)
- Amélioration de l'expérience utilisateur
- Personnalisation du contenu
Base légale
Intérêt légitime (cookies essentiels)
Consentement (cookies analytiques/marketing)
Catégories de personnes concernées
• Tous les visiteurs du site www.oozia.fr
Catégories de données traitées
Données de connexion :
• Adresse IP (anonymisée)
• Type de navigateur
• Système d'exploitation
• Pages visitées
• Durée de visite
• Source de trafic
• Identifiants de cookies
• Adresse IP (anonymisée)
• Type de navigateur
• Système d'exploitation
• Pages visitées
• Durée de visite
• Source de trafic
• Identifiants de cookies
Destinataires des données
• Personnel technique d'Oozia
• Google Analytics (anonymisation IP activée)
• Hébergeur : [Nom]
• Google Analytics (anonymisation IP activée)
• Hébergeur : [Nom]
Transferts hors UE
OUI (Google Analytics)
• Destination : États-Unis (Google LLC)
• Garanties : Clauses contractuelles types + Anonymisation IP
• Destination : États-Unis (Google LLC)
• Garanties : Clauses contractuelles types + Anonymisation IP
Durée de conservation
• Cookies : 13 mois maximum
• Logs serveur : 12 mois
• Données analytiques : 26 mois (Google Analytics)
• Logs serveur : 12 mois
• Données analytiques : 26 mois (Google Analytics)
Mesures de sécurité
• Bandeau de consentement aux cookies (conforme CNIL)
• Anonymisation des adresses IP
• Certificat SSL/TLS
• Politique de cookies accessible
• Possibilité de refuser les cookies non essentiels
• Anonymisation des adresses IP
• Certificat SSL/TLS
• Politique de cookies accessible
• Possibilité de refuser les cookies non essentiels
🔑 Traitement n°4 : Gestion des Accès Google My Business
Finalité du traitement
- Gestion et optimisation des fiches Google My Business des clients
- Publication de posts Google
- Gestion des avis clients
- Analyse des performances
Base légale
Exécution du contrat (Art. 6.1.b RGPD)
Catégories de personnes concernées
• Clients ayant souscrit aux services Oozia
• Utilisateurs finaux laissant des avis sur les fiches GMB
• Utilisateurs finaux laissant des avis sur les fiches GMB
Catégories de données traitées
Données clients :
• Identifiants Google My Business
• Coordonnées de l'établissement
• Horaires d'ouverture
• Photos et contenus publiés
Données des utilisateurs (avis) :
• Nom d'utilisateur Google (pseudonyme)
• Contenu des avis
• Note attribuée
• Date de publication
• Identifiants Google My Business
• Coordonnées de l'établissement
• Horaires d'ouverture
• Photos et contenus publiés
Données des utilisateurs (avis) :
• Nom d'utilisateur Google (pseudonyme)
• Contenu des avis
• Note attribuée
• Date de publication
Destinataires des données
• Personnel d'Oozia habilité à la gestion GMB
• Google LLC (plateforme Google My Business)
• Clients (accès à leurs propres données)
• Google LLC (plateforme Google My Business)
• Clients (accès à leurs propres données)
Transferts hors UE
OUI
• Destination : États-Unis (Google LLC)
• Garanties : Clauses contractuelles types Google
• Destination : États-Unis (Google LLC)
• Garanties : Clauses contractuelles types Google
Durée de conservation
• Pendant la durée du contrat : Conservation active
• Après résiliation : 3 ans (archivage intermédiaire)
• Avis publics : Conservés par Google (hors contrôle d'Oozia)
• Après résiliation : 3 ans (archivage intermédiaire)
• Avis publics : Conservés par Google (hors contrôle d'Oozia)
Mesures de sécurité
• Authentification forte Google (2FA obligatoire)
• Accès limité au personnel autorisé uniquement
• Traçabilité des actions (logs)
• Contrat de sous-traitance avec Google
• Formation du personnel aux bonnes pratiques
• Accès limité au personnel autorisé uniquement
• Traçabilité des actions (logs)
• Contrat de sous-traitance avec Google
• Formation du personnel aux bonnes pratiques
📊 Traitement n°5 : Rapports et Analyses de Performance
Finalité du traitement
- Génération de rapports mensuels pour les clients
- Analyse des performances GMB
- Suivi des KPIs (vues, appels, clics)
Base légale
Exécution du contrat (Art. 6.1.b RGPD)
Catégories de personnes concernées
• Clients Oozia
Catégories de données traitées
• Statistiques agrégées (vues, clics, appels)
• Données de performance GMB
• Positionnement local
• Nombre et qualité des avis
Note : Aucune donnée personnelle identifiante des utilisateurs finaux
• Données de performance GMB
• Positionnement local
• Nombre et qualité des avis
Note : Aucune donnée personnelle identifiante des utilisateurs finaux
Destinataires des données
• Client concerné
• Personnel Oozia (analyse et support)
• Outil de reporting : [Nom - ex: Google Data Studio, Looker]
• Personnel Oozia (analyse et support)
• Outil de reporting : [Nom - ex: Google Data Studio, Looker]
Durée de conservation
• Rapports : Durée du contrat + 3 ans
Mesures de sécurité
• Accès sécurisé aux rapports
• Chiffrement des données
• Anonymisation des données utilisateurs finaux
• Chiffrement des données
• Anonymisation des données utilisateurs finaux
👥 Traitement n°6 : Gestion des Ressources Humaines (si applicable)
Finalité du traitement
- Gestion du personnel
- Recrutement
- Paie et administration RH
- Formation
Base légale
Exécution du contrat de travail
Obligation légale (Code du travail)
Catégories de personnes concernées
• Employés actuels
• Candidats à l'embauche
• Stagiaires, alternants
• Anciens employés
• Candidats à l'embauche
• Stagiaires, alternants
• Anciens employés
Catégories de données traitées
• État civil, coordonnées
• N° de sécurité sociale
• Coordonnées bancaires (RIB)
• Diplômes et qualifications
• CV et lettres de motivation
• Contrat de travail
• Bulletins de salaire
• Évaluations de performance
• Absences et congés
• N° de sécurité sociale
• Coordonnées bancaires (RIB)
• Diplômes et qualifications
• CV et lettres de motivation
• Contrat de travail
• Bulletins de salaire
• Évaluations de performance
• Absences et congés
Destinataires des données
• Service RH d'Oozia
• Direction
• Cabinet comptable : [Nom]
• Organismes sociaux (URSSAF, caisses de retraite, etc.)
• Médecine du travail
• Direction
• Cabinet comptable : [Nom]
• Organismes sociaux (URSSAF, caisses de retraite, etc.)
• Médecine du travail
Durée de conservation
• Employés actuels : Durée du contrat
• Après départ : 5 ans (documents RH), 10 ans (bulletins de paie)
• Candidats non retenus : 2 ans maximum
• Après départ : 5 ans (documents RH), 10 ans (bulletins de paie)
• Candidats non retenus : 2 ans maximum
Mesures de sécurité
• Accès strictement limité au service RH
• Chiffrement des fichiers
• Armoire sécurisée pour les documents papier
• Destruction sécurisée en fin de conservation
• Chiffrement des fichiers
• Armoire sécurisée pour les documents papier
• Destruction sécurisée en fin de conservation
3. Liste des Sous-traitants et Partenaires
Conformément à l'article 28 du RGPD, voici la liste des sous-traitants traitant des données pour le compte d'Oozia :
| Sous-traitant | Service fourni | Données traitées | Localisation | Garanties RGPD |
|---|---|---|---|---|
| [Nom hébergeur] | Hébergement web et base de données | Toutes données clients | France/UE | ✓ Contrat de sous-traitance ✓ Certifications ISO 27001 |
| Google LLC | Google My Business, Analytics, Workspace | Données GMB, statistiques web | États-Unis | ✓ Clauses contractuelles types ✓ Certifications SOC 2/3 |
| [Stripe / PayPlug] | Traitement des paiements | Coordonnées bancaires | États-Unis / France | ✓ PCI-DSS ✓ Clauses contractuelles types |
| [Mailchimp / Brevo] | Emailing et newsletters | Emails, noms, interactions | États-Unis / UE | ✓ Clauses contractuelles types ✓ RGPD compliant |
| [Nom expert-comptable] | Comptabilité | Factures, données financières | France | ✓ Secret professionnel ✓ Contrat de sous-traitance |
⚠️ Obligations vis-à-vis des sous-traitants
Oozia s'engage à :
- Ne recourir qu'à des sous-traitants offrant des garanties suffisantes
- Conclure un contrat écrit (ou acte juridique) avec chaque sous-traitant
- S'assurer de la mise en œuvre de mesures de sécurité appropriées
- Informer la CNIL en cas de changement de sous-traitant (si pertinent)
📖 Article 28 du RGPD - Sous-traitant | Article 44 à 50 du RGPD - Transferts internationaux
4. Mesures de Sécurité Techniques et Organisationnelles
Conformément à l'article 32 du RGPD, Oozia met en œuvre les mesures techniques et organisationnelles appropriées :
4.1 Mesures Techniques
🔐 Chiffrement
- SSL/TLS pour toutes les communications
- Chiffrement des bases de données
- Chiffrement des sauvegardes
- HTTPS obligatoire
🛡️ Authentification
- Authentification forte (2FA)
- Mots de passe robustes obligatoires
- Expiration des sessions
- Gestion des accès par profils
💾 Sauvegardes
- Sauvegardes quotidiennes automatiques
- Stockage géographiquement distribué
- Tests de restauration réguliers
- Conservation 30 jours minimum
🔍 Surveillance
- Journalisation des accès
- Détection d'intrusion (IDS)
- Monitoring 24/7
- Alertes automatiques
4.2 Mesures Organisationnelles
- Politique de sécurité : Document écrit définissant les règles de sécurité interne
- Sensibilisation du personnel : Formation annuelle RGPD et sécurité pour tous les employés
- Gestion des habilitations : Accès aux données limité selon le principe du "besoin d'en connaître"
- Clauses de confidentialité : Tous les employés signent une clause de confidentialité
- Procédure de gestion des incidents : Plan de réponse aux violations de données
- Audits réguliers : Revue annuelle des mesures de sécurité
- PCA/PRA : Plan de Continuité et de Reprise d'Activité en cas de sinistre
- Destruction sécurisée : Procédure de suppression définitive des données
4.3 Tests et Évaluations
| Mesure | Fréquence | Responsable | Dernière réalisation |
|---|---|---|---|
| Test de restauration des sauvegardes | Trimestrielle | [Responsable IT] | [Date] |
| Audit de sécurité | Annuelle | [DPO / RSSI] | [Date] |
| Formation RGPD du personnel | Annuelle | [DPO / RH] | [Date] |
| Revue des accès utilisateurs | Semestrielle | [Responsable IT] | [Date] |
| Test du plan de continuité (PCA) | Annuelle | [Direction] | [Date] |
📖 Article 32 du RGPD - Sécurité du traitement | Article 33-34 du RGPD - Notification des violations
5. Procédures d'Exercice des Droits des Personnes
Oozia garantit l'exercice effectif des droits suivants conformément aux articles 15 à 22 du RGPD :
5.1 Liste des Droits
📋 Droit d'accès (Art. 15)
Obtenir une copie de ses données personnelles et des informations sur leur traitement.
Délai : 1 mois maximum
✏️ Droit de rectification (Art. 16)
Corriger des données inexactes ou incomplètes.
Délai : 1 mois maximum
🗑️ Droit à l'effacement (Art. 17)
Demander la suppression de ses données dans certaines conditions.
Délai : 1 mois maximum
⏸️ Droit à la limitation (Art. 18)
Obtenir la limitation du traitement de ses données.
Délai : 1 mois maximum
📦 Droit à la portabilité (Art. 20)
Recevoir ses données dans un format structuré et les transmettre à un autre responsable.
Délai : 1 mois maximum
🚫 Droit d'opposition (Art. 21)
S'opposer au traitement de ses données pour des motifs légitimes.
Délai : 1 mois maximum
🤖 Décision automatisée (Art. 22)
Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé.
Note : Non applicable chez Oozia
❌ Retrait du consentement
Retirer son consentement à tout moment pour les traitements basés sur le consentement.
Effet : Immédiat
5.2 Modalités d'Exercice
📧 Comment exercer ses droits ?
Les personnes concernées peuvent exercer leurs droits :
- Par email : [email protected] ou [email protected]
- Par courrier postal : Oozia - [Adresse complète]
- Par téléphone : 01 23 45 67 89 (demande orale, confirmée par écrit)
Pièces justificatives : Une copie d'une pièce d'identité peut être demandée pour vérifier l'identité du demandeur.
5.3 Procédure Interne de Traitement des Demandes
- Réception de la demande : Enregistrement dans un registre dédié
- Vérification d'identité : Demande de pièce justificative si nécessaire
- Accusé de réception : Sous 48h maximum
- Traitement de la demande : Analyse et traitement par le DPO ou service concerné
- Réponse au demandeur : Dans un délai de 1 mois (prorogeable de 2 mois si complexité)
- Archivage : Conservation de la demande et de la réponse pendant 5 ans
⚠️ Cas de refus ou limitation
Oozia peut refuser ou limiter l'exercice d'un droit dans les cas suivants :
- Demande manifestement infondée ou excessive (Art. 12.5 RGPD)
- Obligation légale de conservation (ex: données comptables)
- Intérêt public ou exercice de l'autorité publique
- Constatation, exercice ou défense de droits en justice
En cas de refus : La personne est informée des motifs et de son droit de réclamation auprès de la CNIL.
📖 Articles 15 à 22 du RGPD - Droits des personnes concernées | Article 12 du RGPD - Modalités d'exercice
6. Procédure de Gestion des Violations de Données
Conformément aux articles 33 et 34 du RGPD, Oozia a mis en place une procédure de gestion des violations de données personnelles.
6.1 Définition d'une Violation
Une violation de données personnelles est :
"Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données." (Art. 4.12 RGPD)
Exemples de violations :
- Cyberattaque avec vol de données
- Perte ou vol d'un ordinateur/disque dur contenant des données
- Erreur humaine entraînant une divulgation de données
- Piratage de compte email
- Ransomware chiffrant les données
- Destruction accidentelle de données
6.2 Procédure en 5 Étapes
1️⃣ Détection et Signalement (Immédiat)
Qui peut signaler ? Tout employé ayant connaissance d'une violation
À qui ? Au DPO ou au responsable IT
Comment ? Email urgent à [email protected] avec objet "[URGENT] VIOLATION DE DONNÉES"
2️⃣ Évaluation et Documentation (Sous 24h)
Qui ? DPO + Responsable IT + Direction
Quoi ?
- Nature de la violation
- Données concernées
- Nombre de personnes impactées
- Conséquences probables
- Mesures prises/envisagées
3️⃣ Notification à la CNIL (Sous 72h)
Obligatoire si : La violation présente un risque pour les droits et libertés des personnes
Comment ? Via le téléservice de notification sur le site de la CNIL
Contenu minimum :
- Nature de la violation
- Catégories et nombre approximatif de personnes concernées
- Coordonnées du DPO
- Conséquences probables
- Mesures prises ou envisagées
4️⃣ Notification aux Personnes Concernées (Sans délai injustifié)
Obligatoire si : La violation est susceptible d'engendrer un risque élevé pour les droits et libertés
Exemples de risques élevés :
- Vol de coordonnées bancaires
- Divulgation de données sensibles (santé, opinions politiques, etc.)
- Risque d'usurpation d'identité
- Risque de discrimination
Contenu de la notification :
- Nature de la violation (en termes clairs)
- Coordonnées du DPO
- Conséquences probables
- Mesures prises
- Recommandations (ex: changer mot de passe)
5️⃣ Documentation et Suivi
Registre des violations : Toute violation doit être documentée (même si pas notifiée à la CNIL)
Contenu du registre :
- Date et heure de la violation
- Description détaillée
- Données et personnes concernées
- Conséquences
- Mesures prises
- Notification CNIL (oui/non + justification)
- Notification personnes (oui/non + justification)
Actions correctives : Mise en place de mesures pour éviter que la violation ne se reproduise
6.3 Responsabilités
| Rôle | Responsabilités |
|---|---|
| Tout employé | Signaler immédiatement toute violation suspectée |
| DPO | • Coordonner la réponse à la violation • Évaluer les risques • Décider de la notification CNIL/personnes • Tenir le registre des violations |
| Responsable IT | • Contenir la violation • Analyser les causes techniques • Restaurer les systèmes • Mettre en place des correctifs |
| Direction | • Valider la stratégie de réponse • Allouer les ressources nécessaires • Communication externe si nécessaire |
| Service juridique | • Conseiller sur les aspects légaux • Rédiger les notifications • Gérer les éventuelles réclamations |
6.4 Sanctions Encourues
⚠️ Sanctions en cas de non-respect
Amendes CNIL :
- Violation des obligations de notification : Jusqu'à 10 millions d'euros ou 2% du CA annuel mondial (le montant le plus élevé)
- Violation des principes du RGPD : Jusqu'à 20 millions d'euros ou 4% du CA annuel mondial
Autres conséquences :
- Atteinte à la réputation
- Perte de confiance des clients
- Actions en justice des personnes concernées
- Coûts de remédiation
📖 Article 33 du RGPD - Notification à la CNIL | Article 34 du RGPD - Communication aux personnes | Article 83 du RGPD - Sanctions
7. Analyse d'Impact relative à la Protection des Données (AIPD)
Conformément à l'article 35 du RGPD, une AIPD (ou PIA - Privacy Impact Assessment) doit être réalisée lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes.
7.1 Quand une AIPD est-elle obligatoire ?
Une AIPD est obligatoire en cas de :
- Évaluation systématique et approfondie d'aspects personnels (profilage, scoring)
- Traitement à grande échelle de données sensibles ou relatives à des condamnations
- Surveillance systématique à grande échelle d'une zone accessible au public
- Traitement figurant sur la liste de la CNIL nécessitant une AIPD
7.2 Évaluation pour Oozia
| Traitement | AIPD requise ? | Justification |
|---|---|---|
| Gestion clients (CRM) | NON | Traitement standard de données classiques sans risque élevé |
| Marketing / Emailing | NON | Basé sur consentement, pas de profilage approfondi |
| Gestion GMB | NON | Traitement limité dans le cadre du contrat |
| Cookies / Analytics | NON | Anonymisation IP, pas de surveillance intrusive |
| Gestion RH | À ÉVALUER | Dépend de l'échelle et des données traitées (ex: si biométrie → OUI) |
✓ Conclusion pour Oozia
Actuellement, aucun traitement d'Oozia ne nécessite d'AIPD obligatoire.
Toutefois, il est recommandé de :
- Réévaluer cette situation en cas de nouveau traitement
- Réaliser une AIPD volontaire en cas de doute
- Consulter le DPO avant tout nouveau projet impliquant des données personnelles
📖 Article 35 du RGPD - Analyse d'impact | Lignes directrices du G29 (WP248) sur les AIPD
8. Formation et Sensibilisation du Personnel
La protection des données personnelles est l'affaire de tous. Oozia met en place un programme de sensibilisation et formation continue.
8.1 Programme de Formation
| Formation | Public | Fréquence | Durée |
|---|---|---|---|
| Formation RGPD de base | Tous les employés | À l'embauche + rappel annuel | 2 heures |
| Sécurité informatique | Tous les employés | Annuelle | 1 heure |
| RGPD avancé | Service commercial, marketing, IT | Annuelle | 3 heures |
| Gestion des violations | DPO, IT, Direction | Tous les 2 ans | 2 heures |
8.2 Sujets Clés Abordés
- Principes fondamentaux du RGPD
- Droits des personnes concernées
- Bases légales du traitement
- Sécurité et confidentialité des données
- Procédure de gestion des violations
- Bonnes pratiques au quotidien (mots de passe, phishing, etc.)
- Gestion des demandes d'exercice de droits
- Transferts internationaux de données
8.3 Outils de Sensibilisation
📧 Campagnes Email
Newsletters mensuelles avec conseils RGPD et actualités
📋 Guide Pratique
Document de référence accessible à tous les employés
🎯 Quiz et Tests
Évaluations régulières des connaissances
🚨 Alertes Sécurité
Notifications immédiates en cas de menace détectée
9. Checklist de Conformité RGPD
Cette checklist permet de vérifier le niveau de conformité d'Oozia au RGPD :
✅ Gouvernance et Organisation
- Responsable du traitement identifié et documenté
- DPO désigné (si obligatoire) et coordonnées publiées
- Registre des activités de traitement tenu à jour
- Registre des violations tenu à jour
- Politique de protection des données rédigée
- Procédures internes documentées
✅ Information et Transparence
- Politique de confidentialité accessible sur le site
- Mentions d'information présentes sur tous les formulaires
- Information claire et compréhensible
- Politique cookies conforme et bandeau de consentement
- CGV et CGU mentionnant le traitement des données
✅ Bases Légales et Finalités
- Base légale identifiée pour chaque traitement
- Consentement recueilli de manière claire et explicite (si applicable)
- Finalités déterminées, explicites et légitimes
- Pas de traitement de données sensibles sans autorisation
- Minimisation des données (collecte limitée au nécessaire)
✅ Droits des Personnes
- Procédure de gestion des demandes d'exercice de droits
- Délai de réponse de 1 mois respecté
- Formulaire d'exercice des droits disponible
- Vérification de l'identité du demandeur
- Traçabilité des demandes et réponses
✅ Sécurité et Confidentialité
- Mesures de sécurité techniques appropriées (chiffrement, authentification, etc.)
- Mesures organisationnelles (formation, clauses de confidentialité, etc.)
- Gestion des habilitations et accès restreints
- Sauvegardes régulières et testées
- Procédure de gestion des violations de données
- Tests et audits de sécurité réguliers
✅ Sous-traitants et Transferts
- Contrats de sous-traitance conformes (Art. 28 RGPD)
- Liste des sous-traitants à jour
- Garanties appropriées pour les transferts hors UE
- Clauses contractuelles types pour les transferts (si applicable)
✅ Conservation et Suppression
- Durées de conservation définies pour chaque traitement
- Procédure de suppression/anonymisation en fin de conservation
- Archivage intermédiaire sécurisé si nécessaire
✅ Documentation et Traçabilité
- Documentation de conformité complète et à jour
- AIPD réalisées si nécessaire
- Preuves de consentement conservées
- Journalisation des actions sensibles
📊 Score de Conformité
Cochez tous les éléments applicables et évaluez votre conformité.
Objectif : 100% des cases cochées
Si un élément n'est pas coché, mettez en place un plan d'action pour remédier à la non-conformité.
10. Plan d'Action et Améliorations
Cette section identifie les actions à mener pour maintenir ou améliorer la conformité RGPD :
| Action | Priorité | Responsable | Échéance | Statut |
|---|---|---|---|---|
| Compléter les informations entre crochets dans le registre | ÉLEVÉE | [DPO] | [Date] | 🔴 À faire |
| Signer les contrats de sous-traitance avec tous les prestataires | ÉLEVÉE | [Juridique] | [Date] | 🔴 À faire |
| Désigner officiellement un DPO (si nécessaire) | ÉLEVÉE | [Direction] | [Date] | 🔴 À faire |
| Mettre en place le bandeau de consentement aux cookies | ÉLEVÉE | [IT] | [Date] | 🔴 À faire |
| Former tous les employés au RGPD | ÉLEVÉE | [RH / DPO] | [Date] | 🔴 À faire |
| Réaliser un audit de sécurité complet | MOYENNE | [IT] | [Date] | 🟡 En cours |
| Tester la procédure de gestion des violations | MOYENNE | [DPO + IT] | [Date] | 🟡 En cours |
| Réviser les CGV et politique de confidentialité | MOYENNE | [Juridique] | [Date] | 🟢 Fait |
📅 Échéancier de Mise à Jour
- Mensuel : Vérification des sous-traitants et mise à jour du registre si nouveau traitement
- Trimestriel : Revue des mesures de sécurité et tests de sauvegarde
- Semestriel : Revue des accès utilisateurs
- Annuel : Audit complet de conformité, formation du personnel, revue de la politique
11. Contacts Utiles
🏢 Contacts Internes Oozia
| Fonction | Contact |
|---|---|
| Responsable du traitement | [Nom du représentant légal] Email: [email protected] |
| Délégué à la Protection des Données (DPO) | [Nom du DPO] Email: [email protected] Tél: [Téléphone] |
| Responsable IT/Sécurité | [Nom] Email: [email protected] |
🏛️ Autorités et Organismes
| Organisme | Contact |
|---|---|
| CNIL (Commission Nationale de l'Informatique et des Libertés) |
3 Place de Fontenoy - TSA 80715 75334 PARIS CEDEX 07 Tél: 01 53 73 22 22 Site: www.cnil.fr Notification violation: notifications.cnil.fr |
| Comité Européen de la Protection des Données (CEPD) | Site: edpb.europa.eu |
📚 Ressources Utiles
- Texte du RGPD: eur-lex.europa.eu
- Guide CNIL: www.cnil.fr/fr/rgpd-passer-a-laction
- Modèles de documents CNIL: www.cnil.fr/fr/modeles
- Logiciel PIA (AIPD) CNIL: Télécharger PIA
📋 Document Vivant - À Tenir à Jour
Ce registre RGPD est un document vivant qui doit être maintenu à jour en continu. Toute modification des traitements, tout nouveau sous-traitant, toute évolution organisationnelle doit être immédiatement répercutée dans ce document.
⚖️ Rappel : Sanctions en cas de non-conformité
- Amendes jusqu'à 20 millions d'euros ou 4% du CA annuel mondial
- Sanctions pénales possibles (emprisonnement pour non-respect du secret professionnel)
- Atteinte à la réputation de l'entreprise
- Perte de confiance des clients et partenaires
La conformité RGPD n'est pas une option, c'est une obligation légale.
Elle est aussi un avantage concurrentiel et une preuve de sérieux.