Le Règlement Général sur la Protection des Données (RGPD), qui entre en vigueur le 25 mai 2018, et qui remplacera la directive adoptée en 1995, a le but d’accroître la protection des personnes concernées par le traitement de données et la responsabilité des acteurs de ce traitement. Aussi, si avant les autorités de régulation étaient censées démontrer les manquements et donner du temps aux responsables pour régulariser, après le 25 mai les entreprises eux-mêmes doivent démontrer qu’elles sont en conformité avec le RGPD.
Qui est concerné par le RGPD ?
Le règlement concerne tous les pays de l’Union Européenne ainsi que les sociétés qui résident en dehors de l’UE si elles proposent des biens ou des services ou si elles font du monitoring du comportement des résidents de l’UE.
Définitions
Données à caractère personnel : « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée» ou «data subject» en anglais). » Cette personne peut être identifiée par référence à un identifiant (tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne) ou par un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Traitement des données : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. »
Les acteurs principaux
Le responsable du traitement (data controller) : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement »
Sous-traitant (data processor) : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement »
La personne concernée (data subject) : toute personne physique identifiée ou identifiable dont on traite les données à caractère personnel.
Les principes relatifs au traitement des données à caractère personnel
- ● licéité, loyauté et transparence – être transparent par rapport aux données que vous collectez, communiquer aux personnes concernées comment vous traiterez ces données, si vous les transmettez à des tiers, leur communiquer qui sont ces tiers et comment ils traiteront leurs données
- ● limitation des finalités – lors de la collecte de données, communiquer aux personnes concernées dans quel but leurs données à caractère personnel sont collectées. Si vous collectez ces données pour une newsletter, par exemple, vous n’aurez pas le droit d’utiliser ces données pour leur envoyer des offres d’un de vos partenaires.
- ● minimisation des données – collecter seulement les données nécessaires pour la finalité que vous annoncez (pour une newsletter, par exemple, vous aurez besoin du nom et de l’adresse email. Ce principe vous interdit de leur demander l’adresse, par exemple, ou toute autre information qui ne convient pas à la finalité prévue lors de la collecte des données.)
- ● exactitude – s’assurer que les données à caractère personnel sont exactes et, si nécessaires, mises à jour.
- ● limitation de la conservation – ne pas conserver les données pendant une durée qui excède la période nécessaire au regard des finalités pour lesquelles elles sont traitées.
- ● intégrité et confidentialité – garantir la sécurité des données à caractère personnel « y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées »
C’est le responsable de traitement (data collector) qui est responsable du respect de ces principes et qui doit être en mesure de démontrer que ceux-ci sont respectés.
Les conditions de licéité du traitement
Le traitement des données à caractère personnel n’est licite que si au moins une des conditions suivantes sont remplies :
- ● Le consentement – la personne donne son accord explicite pour le traitement de ses données à des finalités précises – ex. l’internaute coche la case qui le notifie qu’il recevra des informations sur les produits et les offres de la société
- ● Le contrat – le traitement est nécessaire à l’exécution d’un contrat ou parce que les personnes concernées souhaitent recevoir des informations avant la signature d’un contrat – ex. l’internaute vous demande un devis par email, vous avez le droit de traiter ses informations
- ● L‘obligation légale – le traitement est nécessaire pour respecter une obligation légale – ex. l’employeur collecte les données à caractère personnel de ses employées dans le but de payer les impôts
- ● L’intérêt vital – le traitement est nécessaire à la protection de la vie de la personne concernée ou d’une autre personne physique
- ● La mission publique – le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou pour exécuter vos fonctions officielles, la mission et la fonction ayant des bases légales
- ● L’intérêt légitime – le traitement est nécessaire aux fins des intérêts légitimes « à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. »
Les droits de la personne concernée
✔ Le droit d’information – la personne concernée a le droit de savoir si et comment ses données seront traitées, dans quel but, si elles seront transmises ou pas à des tiers, comment ces tiers traiteront ces données
✔ Le droit d’accès : la personne concernée a le droit de savoir si ses données sont ou ne sont pas traitées et, lorqu’elles le sont, elle a le droit d’obtenir l’accès à ces données et de demander une copie de ces données.
✔ Le droit de rectification : la personne concernée a le droit de demander que ces données soient rectifiées/modifiées/complétées
✔ Le droit à l’oubli ou le droit d’effacement : la personne concernée a le droit de demander que ses données à caractère personnel soient effacées. Retenons quand même que la demande d’effacement ne protège pas contre l’intérêt légitime de se rappeler qu’on a banni un utilisateur car il a eu un comportement inadapté, ni contre les obligations légales de conservation des données…. Si ces données ont été transmises à d’autres entités (réseaux sociaux, par ex), le responsable doit prendre toutes les mesures nécessaires pour demander à ces entités d’effacer les données de la personne concernée.
✔ Le droit à la limitation du traitement – la personne concernée a le droit, dans certains cas prévus par la loi, de demander au responsable du traitement la limitation de ses données, cas dans lequel le responsable n’aura que le droit de stocker ces données.
✔ L’obligation de notification du responsable : la personne concernée a l’obligation de notifier le responsable du traitement si elle souhaite la rectification, la limitation ou l’effacement de ses données à caractère personnel.
✔ Le droit à la portabilité des données – la personne concernée a le droit de demander au responsable du traitement de lui fournir « dans un format structuré, couramment utilisé et lisible par machine » l’ensemble de ses données à caractère personnel afin de pouvoir le transmettre à un autre responsable du traitement
✔ Le droit d’opposition : la personne concernée a le droit de s’opposer au traitement de ses données à caractère personnel
✔ Le droit de ne pas être soumis à une décision individuelle automatisée – « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. »
✔ Le droit à la communication d’une violation de données à caractère personnel : le responsable du traitement est obligé de notifier la
personne concernée lorsqu’il constate une violation des données à caractère personnel la concernant.
Vos obligations
- ● Vous assurer que vous respectez les principes de la protection des données à caractère personnel
- ● Tenir un registre des opérations de traitement
- ● Mettre en place des mesures techniques et opérationnelles pour assurer un niveau de sécurité adéquates aux risques
- ● Notifier l’autorité de contrôle sur toute violation de la protection des donnée à caractère personnel dans 72 heures
- ● Répondre aux demandes des personnes concernées dans un mois
- ● Utiliser des responsables du traitement qui soient compatibles avec le RGPD et mettre en place des agréments pour la protection des données
- ● Vous assurer que les principes et les mesure pour la protection des données à caractère personnel sont prises en compte dès la conception et l’intégration de vos nouveaux produits et services
Les mesures à prendre
- ➫ réaliser un audit de toutes les données à caractère personnel que vous avez : d’où elles proviennent et si vous les partagez avec des partenaires/tiers
- ➫ revoir et documenter les bases légales pour le traitement des données (est-ce le consentement, est-ce l’intérêt légitime etc.)
- ➫ revoir votre politique de confidentialité et la politique d’utilisation des cookies
- ➫ envoyer des emails à vos listes pour obtenir le consentement
- ➫ mettre en place des systèmes pour pouvoir tenir des registres des consentements
A découvrir sur notre blog
Voir tous les posts
