Le RGPD est autant une question juridique que gestion des datas :
- nous devons démontrer que nous luttons contre le piratage des données personnelles que nous détenons,
- nous devons nous apercevoir que nos données ont été piratées (traking et gestion des logs),
- nous devons réduire l’impact d’un piratage quant à un préjudice physique, morale et/ou financier,
- avertir la CNIL dans un délai de 24 à 72 heures,
- respecter les multiples droits des usagers de nos sites quant aux données personnelles les concernant.
Selon que le contexte est BtoC ou BtoB, les règles changent.
Attention à ne pas croire tous les propos alarmistes : la question centrale est votre maîtrise des impacts et de la nature du préjudice morale, physique et/ou financier que crée un piratage de votre site SPIP.
Typiquement détenir un mail professionnel du type nom.prenom@societe.xxx est une donnée personnelle à caractère professionnel ne permettant en tant que tel un profilage des habitudes et comportements de la personne. Ce n’est pas non plus une donnée dite sensible (règles spécifiques à respecter). Sur le web nom+prenom vous informe qu’il existe XX informations accessibles sur plusieurs personnes : aucun préjudice en vue.
Rappel : entre un écran et vos datas, il y a toujours un être humain. Il est là le problème.