Odoo et le règlement général sur la protection des données
Votre ERP Odoo est-il impacté par les nouvelles dispositions arrivant avec le RGPD ?
Le RGPD, qu'est ce que c'est ?
Le 27 Avril 2016, un nouveau règlement a été voté par le Parlement Européen relatif à la protection des personnes physiques à l'égard du traitement de leurs données personnelles.
Cette loi est désormais en place dans tous les pays de l'Union Européenne depuis le 25 mai 2018, et sera donc opposable à toutes les entreprises traitant des données à caractère personnel.
Où se situe Odoo vis à vis de cette nouvelle règlementation ? Votre société est-elle impactée par ces nouvelles dispositions ? Il y a de fortes chances que oui
Une donnée personnelle ?
Comment savoir si vous traitez des données personnelles, et quelles données le sont ?
Afin de comprendre l'ampleur des changements apportés suite à la mise en place de cette nouvelle règlementation, il est nécessaire de définir ce terme afin d'être certain de se rendre compte à quel point votre entreprise est impactée, de sorte à évaluer les actions à réaliser.
Ce que nous entendons par donnée personnelle, c'est toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement.
Cette définition est d'autant plus importante puisqu'elle vous apporte le champ d'application réel de ces nouvelles dispositions. Entrent alors en ligne de compte les éléments personnels d'identification (nom, prénom, adresse ...) mais aussi les éléments professionnels (adresses e-mail professionnelles ...). Il y a donc de forte chance que votre entreprise soit concernée.
Sont visées par cette nouvelle règlementation les données collectées aussi bien numériquement qu'au format papier, que ce soit pour l'établissement d'un contrat (de travail, client ...) ou la mise en place d'une newsletter visant des particuliers, la collecte de leurs informations de facturation ...
Comment se mettre en conformité vis à vis du RGPD ? Subteno IT vous apporte des réponses aux questions les plus fréquentes.
Odoo traite des données personnelles
Différents modules Odoo sont amenés à le faire
Odoo permet de faire beaucoup aujourd'hui. De nombreux modules sont prêts à l'emploi et récupèrent des données personnelles pour fonctionner. Publipostage, site web, contacts, devis ... Beaucoup de données sont déjà collectées et stockées par Odoo ! Il vous incombe alors de sécuriser ces données, mais aussi de les recenser.
Détaillons les actions à faire par étape :
Guide Subteno IT - Mise en conformité Odoo
Etape 1 : Recensez toutes les données personnelles collectées et traitées par votre entreprise (au format numérique ou papier)
Etape 2 : Limitez les données que vous récupérez au strict minimum nécessaire à la finalité de votre traitement. Par exemple, si vous comptez envoyer une newsletter et demandez le nom et prénom de la personne en plus de son adresse e-mail, vous devriez revoir cette partie pour ne demander que son adresse e-mail, puisque son Nom et son Prénom ne sont pas nécessaire à la finalité de votre traitement (Envoyer une newsletter).
Etape 3 : Faites preuve de transparence sur les données que vous collectez. Il convient de faire apparaître, où vous le pouvez, une mention détaillant la finalité du traitement que vous allez opérer suite à la collecte d'une donnée personnelle. Cela peut, par exemple, apparaître dans vos mentions légales.
Etape 4 : Etablissez des fiches de registre, dans lesquelles vous consignerez toutes les traitements réalisés sur les données personnelles que vous collectez et/ou traitez sur Odoo. Vous pourrez trouver un modèle ici : https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles
Etape 5 : Définissez des permissions adaptées pour chacun des utilisateurs de votre Odoo, si vous êtes plusieurs personnes à y avoir accès. La définition de permissions adaptées est un premier pas vers la sécurisation des données. Il convient que chaque personne n'aie accès qu'à ce qu'elle est censée pouvoir voir ou modifier.
Etape 6 : Déterminez, parmi les données personnelles que vous avez pu recenser à l'étape 1, les données dites "sensibles", qui représentent un risque élevé de préjudice pour la personne, même si le degré de vraisemblance ne semble pas être élevé. Suite à cela, pour chacune des données soulevées, il est nécessaire d'effectuer une analyse d'impact.
Etape 7 : Si vous hébergez vous même votre instance Odoo, pensez à notifier votre administrateur système de cette nouvelle loi, et de votre besoin d'une sécurisation des données hébergées sur votre serveur.
Etape 8 : Documentez chacune de vos actions de mise en conformité !
Note : Ce guide a pour but de vous aider dans la mise en conformité de votre Odoo au regard du RGPD. Il vous incombe cependant de mettre en conformité toute votre entreprise. N'hésitez pas à vous renseigner auprès de l'autorité compétente dans ce domaine de votre pays d'activité
Odoo a créé un article relatif au RGPD disponible à cette adresse : https://www.odoo.com/fr_FR/gdpr
Objectif principal à remplir pour le RGPD
Afin de vous mettre en conformité, il est nécessaire que votre entreprise soit en capacité de prouver que tous les moyens nécessaires (techniques et organisationnels) ont été mis en oeuvre afin de sécuriser les données personnelles des personnes physiques.
Plusieurs étapes peuvent être suivies afin de réaliser cette mise en conformité.
Cartographie des traitements et mise en place des actions
La première étape de sécurisation des données
Dans un premier temps, il est nécessaire de cartographier les différentes données collectées par votre entreprise, et de déterminer la façon dont elles sont traitées. Afin de réaliser cette étape de façon complète, il est nécessaire de mettre en place un registre des traitements, rapprochez-vous de l'autorité compétente en terme de données personnelles du pays dans lequel vous exercez votre activité.
Le but de cette étape est d'obtenir un point de vue global de toutes les données que votre entreprise traite, afin d'élaborer par la suite les mesures à mettre en oeuvre qui permettront de sécuriser ces données.
Dans un second temps, vous devrez mettre en place les actions nécessaires à la sécurisation des données que vous avez recensé. Il est très important de prioriser ces actions en fonction du degré de vraisemblance que vous avez évalué pour chacun des risques (les chances qu'un risque donné puisse se réaliser), ainsi que leur niveau de gravité.
Organisation et processus internes
Et mise en place de la documentation
Documenter ses actions
N'oubliez pas, il est nécessaire de documenter chacune des actions que vous allez mener afin de vous conformer aux nouvelles dispositions apportées par le RGPD. Ces nouvelles dispositions apporteront sans doute leur lot de changements au sein de votre entreprise.
N'hésitez pas à modifier vos processus internes et ainsi commencer votre migration vers un traitement des données personnelles en accord avec ces nouvelles lois.
Nous mettons à votre disposition un document PDF récapitulant les actions à mener pour vous mettre en conformité. Ce document n'est pas exhaustif, et ne vous dispense pas de vous renseigner auprès de l'autorité compétente en ce domaine de votre pays d'activité.
Subteno IT
Se conformer au RGPD n'est pas chose aisée. C'est un travail plus ou moins important selon la taille de votre entreprise. Subteno IT est à votre écoute pour tout renseignement complémentaire, si vous avez plus de questions à ce sujet, par le biais de notre formulaire de contact.
Retrouvez tous nos articles dans la partie "Blog" de notre Site Web !
ODOO et le RGPD, où en est-on ?