Le RGPD « règlement général de protection des données » a été mis en place le 25 mai 2018 au sein de l’Union Européenne. Les 28 états membres doivent donc suivre ce RGPD. Les règles à respecter sont nombreuses et vont vous être présenté.
Le RGPD c’est quoi ?
L’activité d’une entreprise engendre généralement une collecte et un traitement de données personnelles. Ce traitement peut se faire à travers des fichiers clients, fournisseurs, registre du personnel. Il y a énormément de raison qui peuvent justifier la collecte de données personnelles.
Le RGPD a été mis en place pour pauser un cadre sur la protection des données à l’ensemble des membres de l’Union Européenne. En France le traitement des données personnelles était déjà encadré par la loi informatique et liberté de 1978. Cependant même si le principe reste le même c’est à dire que le traitement des données « ne doit pas porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée ». Les règles à respecter, édictées par le RGPD sont bien plus strictes.
RGPD : les différentes règles à respecter
1. Une collecte et un traitement des données licite
Pour que celle-ci soit licite l’une des conditions suivantes doit être présente :
- l’utilisateur a approuvé sa collecte et son traitement de données
A savoir que pour un mineur de moins de 15 ans il est nécessaire de recueillir l’accord d’un de ses parents (non déchu de l’exercice de l’autorité parentale).
- les données à caractère personnel sont nécessaires à la réalisation d’une prestation où l’utilisateur est parti au contrat. Exemple : Il est nécessaire de connaître l’adresse de livraison d’un acheteur sur internet.
- le traitement de données permet de remplir une obligation d’ordre légal
- son traitement est réalisé pour des intérêts vitaux
2. Nomination d’un délégué à la protection des données
Le RGPD stipule que les entreprises et organismes qui collectent et traitent des données doivent nommer un délégué à la protection des données.
3. Registre des activités de traitement
Là encore les entreprises qui traitent des données sont tenus par l’article 30 du RGPD de tenir un registre qui recense les traitements de données personnelles réalisés. Ce registre doit en plus indiqué pour chaque traitement :
- Une description du traitement (nom du traitement, date de création et date de mise à jour)
- Les acteurs (responsable du traitement et délégué à la protection des données ainsi que leurs coordonnées)
- le type de données traitées : données financières (RIB), d’identification (nom, prénom)…
- La but recherché par le traitement de ces données
- Les personnes concernés
- Destinataires de ces données
- Mesures de protection (sécuriser le réseau, authentification, limiter les accès…)
- Durée de conservation des données
La CNIL (commission nationale informatique et libertés) a par ailleurs mis à disposition sur son site un modèle de registre des activités de traitement.
4. Droit à l’accès et l’effacement
Tout utilisateur doit être en mesure de connaître le type de données qui sont recueillis et dans quel but elles sont sont recueillies.
D’autre part le responsable du traitement des données doit pouvoir assurer en cas de demande l’effacement des données si nous sommes dans l’une de ces situations :
- les données ont été collectées à des fins de prospection
- elles ne sont plus nécessaires à l’accomplissement d’une finalité
- l’utilisateur ne consent plus au traitement des données
5. Interdiction de collecter des données sensibles
Sauf exceptions l’article 6 du RGPD édicte que la collecte de données sensibles est interdite. Les données sont dits sensibles lorsqu’elles concernent les origines raciales, ethniques, les opinions politiques, philosophiques, religieuses, l’appartenance syndicale, la santé ou encore l’orientation sexuelle.
Pour conclure il est important de rappeler que le nom respect de ce règlement général sur la protection des données peut conduire à une amende équivalente à 4% du chiffre d’affaires mondial et ces sanctions peuvent être publiées de quoi entacher l’image d’une entité. Pour ces raisons il peut être judicieux de recourir à un avocat RGPD (spécialisé sur le sujet) pour se conformer à cette réglementation ou encore faire un audit des mesures prises afin de juger si votre entreprise est bien en conformité.