Les essentiels du RGPD - protéger les données personnelles

Entré en vigueur en 2018, le Règlement Général sur la Protection des Données (RGPD) a été mis en place dans le but de renforcer la protection des données personnelles des individus au sein de l'Union Européenne (UE). Cette mesure s'inscrit dans un contexte marqué par les avancées technologiques et la croissance exponentielle de la numérisation, donnant lieu à un paysage mondial où les données sont désormais traitées par de multiples acteurs. Le RGPD instaure une nouvelle logique de responsabilité des acteurs quant au traitement des données personnelles, impactant l'ensemble des personnes résidant dans l'Union Européenne.

DocumentationGestion de projetOrganisation
Retour aux articles

Qu’est ce qu’une donnée personnelle ?

Les données personnelles englobent toute information permettant d'identifier directement (comme un nom ou une adresse e-mail) ou indirectement une personne (comme un numéro de téléphone ou une adresse IP), ainsi que toutes les combinaisons d'informations telles que l'âge, le sexe ou la ville de naissance. Le traitement de ces informations, désigné sous le terme de "traitement de données personnelles", consiste en toute opération ou ensemble d'opérations portant sur ces données, quels que soient les procédés utilisés, incluant la collecte, l'enregistrement, la structuration, la transmission ou encore le rapprochement. Il est important de noter que le traitement de données personnelles ne se limite pas aux données informatisées, mais concerne également les fichiers papier qui doivent être protégés de la même manière.

Le RGPD établit les conditions de traitement de ces données (article 4) et exige que tout traitement de données ait un objectif et une finalité déterminés avant la collecte et l'exploitation de ces données.

Principe du traitement : les 8 règles d’or

1 - Définir la finalité du traitement des données - article 6

Le principe fondamental du traitement des données est que celles-ci doivent être traitées dans un but spécifique et légitime. Il convient donc de déterminer la raison pour laquelle les données sont collectées, enregistrées, utilisées, transmises ou conservées par l'organisme concerné. Cet objectif doit être explicitement défini avant la mise en œuvre de tout traitement (RGPD, article 6). Toute modification de cet objectif doit être réalisée de manière transparente et en respectant les droits et libertés des personnes concernées. Les personnes concernées ont le droit de s’y opposer.

2 - Garantir la licéité du traitement - article 6.1

Le traitement des données personnelles est permis s'il respecte au moins l'une des six bases légales suivantes :

  • Le consentement explicite de la personne concernée pour une ou des finalités spécifiques.
  • L'exécution de mesures contractuelles ou précontractuelles à la demande de la personne concernée.
  • Le respect d'une obligation légale à laquelle le responsable du traitement des données est soumis.
  • La sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique.
  • L'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique.
  • Nécessaire aux fins d'intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.

3 - Minimiser la collecte de données - article 5.1

Seules les données strictement nécessaires à la finalité peuvent être collectées et traitées. Quelques bonnes pratiques incluent de faire le tri, de s'interroger sur des solutions moins intrusives, de bannir les données à titre préventif, de pseudonymiser certaines données et de s'orienter vers le "privacy by design".

4 - Protection particulière des données - article 9

Certains types de données sont définis de manière spécifique, et leur traitement est interdit sauf dans des cas spécifiquement autorisés (conformément à l'article 9 du RGPD).

Parmi ces données, on trouve les données sensibles telles que l'origine raciale, les opinions politiques, la religion, la vie/l'orientation sexuelle, la santé, les données génétiques et biométriques, l'appartenance syndicale, ainsi que le numéro de sécurité sociale et les données relatives aux condamnations ou infractions. Cependant, il existe des exceptions à cette interdiction, comme le consentement explicite de la personne concernée, l'exécution des obligations légales, ou la sauvegarde des intérêts vitaux, fins médicales.

5 - Limiter la durée de conservation des données

L'organisme doit déterminer une durée fixe de conservation des données pour chaque traitement. Une fois que l'objectif est atteint, les données doivent être effacées, anonymisées ou archivées. Il est important que l'organisme puisse justifier le cycle de vie des données, ce qui inclut notamment la conservation en "base active", l'archivage intermédiaire, par exemple pour la protection contre les litiges mais sans exploitation directe, pouvant se faire via une séparation physique ou logique (comme les droits d'accès), ainsi que l'archivage définitif.

6 - Obligation de sécurité - article 32.1

La sécurité des données est une obligation qui incombe au responsable de traitement (RT) et au sous traitant (ST) il s’agit d’un processus continu, qui doit être ajusté en fonction de l'évolution des risques. Cela implique des mesures de sécurité physiques (verrouillage des portes), logiques (antivirus, mot de passe robuste etc.) et organisationnelles visant ainsi à assurer la confidentialité, l'intégrité (données non altérées, non modifiées) et la disponibilité des données pour les personnes concernées.

7 - Transparence à l'égard des personnes

Le principe de loyauté et de transparence envers les personnes concernées par le traitement des données est essentiel. Le droit à l'information permet aux individus de connaître les raisons de la collecte de leurs données, de comprendre les conditions de traitement et de conserver le contrôle sur leurs données. L’information doit être lisible, compréhensible et accessible. Le responsable de traitement a l'obligation de transparence tant pour la collecte directe que pour la collecte indirecte de données, en mentionnant notamment son identité et ses coordonnées, la finalité, la base juridique et la durée de conservation, le caractère obligatoire ou non, les éventuels destinataires, et les droits d'accès et de réclamation.

8 - Droits des personnes - article 17

Les personnes disposent de droits d'accès, de droit de rectification, de droits d'opposition, de droits d'effacement (sous certaines conditions - article 17), de droits à la portabilité, de droits à la limitation du traitement, et de droits de ne pas être soumis à une décision individuelle automatisée (le profilage). Le responsable de traitement doit faciliter l'exercice de ces droits. Il existe certaines exceptions, telles que les demandes infondées ou excessives, en cas d'atteinte à d'autres droits (droit d'auteur ou individuel), dans ce cas il dispose d'un mois pour répondre négativement. Le responsable se doit d'informer tous les organismes à qui il a transmis les données personnelles, en cas de droit de rectification, d'effacement ou de limitation.

Quels changements pour les entreprises ?

Comme évoqué précédemment, le RGPD concerne toute entreprise ou organisation, quelle que soit sa taille, qui traite des données personnelles de résidents de l'UE. Cela implique que même les entreprises situées en dehors de l'UE doivent se conformer au RGPD si elles traitent des données personnelles de personnes résidant dans l'UE.

Les organismes doivent donc adopter une approche proactive de mise en conformité en appliquant autant que possible des mesures de protection des données dès la conception ("Privacy by design") et par défaut (« "Privacy by default"). Il est essentiel de documenter et de tracer toutes les actions entreprises pour démontrer la conformité aux réglementations.

Dans cette démarche, plusieurs outils sont disponibles, en utilisant ces outils et en adoptant une approche proactive, les organismes peuvent renforcer leur conformité au RGPD et garantir une protection adéquate des données personnelles.

La tenue d'un registre des activités de traitement

Obligatoire pour le responsable de traitement (RT) et le sous traitant (ST), il doit mentionner les intervenants impliqués dans le traitement des données, les différentes catégories de données traitées, les usages qui en sont faits, la période de conservation, les personnes autorisées à accéder à ces données, ainsi que les mesures de sécurité mises en place pour les protéger. Si un organisme est à la fois RT et ST, il se doit de maintenir deux registres distincts. Cependant, une dérogation, dite version allégée du registre, est accordée aux entreprises de moins de 250 employés. Il convient de noter qu'un organisme privé n'est pas dans l'obligation de rendre public son registre de traitement.

La réalisation d'une analyse d'impact des traitements

Ceci répond à plusieurs objectifs tels que décrire un traitement de façon détaillée, évaluer sa conformité RGPD, identifier les risques sur les droits et libertés des personnes concernées, et traiter les risques pour les réduire à un niveau acceptable.

La documentation des incidents liés à la sécurité des données

Cet outil intitulé “registre des incidents” doit contenir la nature de la violation, les catégories de personnes concernées, les conséquences probables, les mesures prises et les enregistrements concernés. Pour qu'une violation soit déclarée, deux conditions doivent être remplies : l'organisme a effectué un traitement et/ou les données ont fait l'objet d'une perte de disponibilité, d'intégrité ou de confidentialité d'une manière accidentelle ou illicite.

Le RGPD impose plusieurs obligations en cas de violation de données :

  • Notifier la CNIL dans les 72 heures suivant la découverte d'une violation présentant un risque pour les droits et libertés des personnes concernées.
  • Informer les personnes concernées en cas de violation de données susceptible d'engendrer un risque pour leurs droits et libertés.
  • Documenter en interne les violations de données dans un registre des incidents.

En cas de violation, la CNIL évalue le risque pour les personnes, les mesures de protection des données mises en place et les actions d'information réalisées par l'organisme envers les personnes concernées.

La désignation d'un délégué à la protection des données (DPD / DPO)

Obligatoire dans certains cas spécifiques tels que les organismes publics, ceux impliqués dans des activités de suivi à grande échelle ou en lien avec des données sensibles. Ce dernier aura pour missions d'informer et conseiller l'organisme, de contrôler sa conformité au RGPD et d’être l’intermédiaire entre les parties prenantes et les autorités compétentes. Les critères pour être DPD sont simples : aucune spécificité de profil n'est requise, il peut être interne ou externe à l'organisme, il doit avoir les compétences nécessaires, être impartial, disposer de ressources adéquates et agir de manière indépendante.

Les fondamentaux du RGPD dans la création de votre application ou site internet

Lors de la création de votre site internet, nous nous engageons à respecter et à vous accompagner sur les principes clés du RGPD.

Cette démarche inclus des aspects techniques tels que :

  • la mise en conformité des formulaires de contact.
  • le déploiement de bandeaux cookies conformes aux exigences de la CNIL.
  • le choix de solutions tierces (Statistiques, Captcha, ...) respectueuses du RGPD.
  • la mise en place d'une infrastructure d'hébergement en France ou dans l'UE.
  • la sécurisation des données de votre site web...

Mais aussi des aspects réglementaires comme :

  • la mise en place d'une politique de confidentialité explicite pour informer clairement les utilisateurs sur le traitement de leurs données.
  • le conseil dans la rédaction des mentions légales, bien que nous ne nous subsistuons pas à un conseil juridique.
  • la mise en place de procédures avec vos clients et fournisseurs...

Pour en savoir plus sur notre approche, n'hésitez pas à nous contacter.

Retour aux articles