bouton haut de page

Comment se mettre en conformité face au RGPD (part 2)

La semaine dernière nous avons abordé l’historique de la protection des données, nous avons vu son évolution et ses objectifs. Dans la partie d’aujourd’hui, nous détaillerons plus précisément se qu’est « une information se rapportant à une personnes physique identifiée ou identifiable directement ou indirectement » (selon l’article 4 du RGPD) puis nous nous attarderons dans un second temps à définir les personnes concernés par le RGPD. Enfin, dans une dernière partie nous verrons les huit règles d’or du RGPD.

Soulignons dans un premier temps que le RGPD concerne la collecte, la consultation et l’exploitation de données à caractère personnel. Mais alors, qu’est ce qu’une donnée à caractère personnel ? Une donnée à caractère personnel n’est pas défini par un type de support en particulier, en effet, il peut s’agir d’un note sur un post-it, d’un document papier, d’un fichier informatique, d’un enregistrement (audio ou vidéo) …

Une donnée à caractère personnelle est plutôt caractérisée par le fait que la personne soit directement ou indirectement identifiable. Les documents permettant d’identifier directement une personnes sont : une fiche de paie, un relevé de compte, mais aussi une facture, un devis, une photo … Tandis que les fichiers permettant indirectement d’identifier quelqu’un sont un pseudo ou encore un numéro client. Se sont des données qui, individuellement, prise isolément ne permettent pas l’identification mais dont la combinaison peut permettre l’identification de manière unique. Par exemple si on obtient la passion, la date de naissance, le lieu de naissance, le sexe, l’activité sportive, l’employeur … d’un individu, il est tout à fait possible de la retrouver et donc de l’identifier avec ce type d’information.

Le traitement des données est une activité habituelle pour n’importe quelle entreprise, en effet, la gestion des ressources humaines, la gestion administrative, la comptabilité … toutes ces activités traitent de la données. Qu’elles soient liées au fonctionnement interne de la structure ou à ses activités, les données sont partout et il est primordial de bien les protéger.

Si l’on suit la logique décrite ci dessus, on peut donc conclure que le RGPD s’applique à tous les organismes publics et privés quelques soit leur taille ou leur secteur d’activité.

Nous allons maintenant voir quelles sont les règles d’or du RGDP. Elles sont au nombre de 8.

La première est la Licéité du traitement : Le traitement n’est licite que si au moins l’une de ces 6 conditions suivantes est remplie :
La personnes a consenti au traitement pour une finalité spécifique ;
Le traitement est nécessaire à l’exécution du contrat ;
Le traitement est nécessaire au respect d’une obligation légale ;
Le traitement est nécessaire à la sauvegarde des intérêts vitaux ;
Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
Le traitement est nécessaire aux fins de l’intérêt légitime poursuivi par le responsable du traitement ;

Bien entendu, le consentement doit être libre, spécifique, éclairé et univoque. Notons également que les enfants de 15 ans et plus peuvent consentir eux-mêmes.

La seconde est la finalité du traitement : De sorte que tout traitement doit venir satisfaire un objectif précisément déterminé et légitime. La légitimité peut être remise en cause si la finalité est jugée peu justifiée ou trop intrusive pour les personnes concernées.

Le détournement de finalité est considéré comme un non respect des usages initialement définis et donc est passible de sanction pénale et administrative.

Bien entendu, le principe de finalité n’interdit pas toute évolution dans les usages, mais cette dernière doit être compatible avec la finalité initiale.

La troisième règle d’or du règlement de la protection des données est la minimisation des données. Ce principe découle de la finalité du traitement, en effet, vous vous engagez à ne collecter que se que vous avez strictement besoin pour répondre à vos objectifs.

La quatrième règle concerne la protection de ses données et tout particulièrement les données sensibles.

Le cinquième principe concerne la conservation des données, en effet, les données doivent être traitées pendant une durée limitée et cohérente avec l’objectif déterminé.

Vous avez également à respecter le sixième principe qui est l’obligation de sécurité. En effet, vous devez prendre l’ensemble des mesures organisationnelles et logiques pour protéger les données de vos bases. Les mesures peuvent être diverses et variées, telles que des mesure physique comme sécurisé les locaux où elles sont stockées ou encore des mesures logiques : politique de mots de passe rigoureuse, sécurité des postes de travail, traçabilité des accès … et enfin, organisationnelles comme la mise en place d’une politique de contrôle d’accès, de gestion des incidents …

Le septième principe est la transparence : de fait, le responsable du traitement doit justifier sa collecte et les conditions du traitement.

Puis vient enfin le huitième et dernier principe : le respect du droit des personnes qui comprend le droit à la rectification, à l’opposition, à l’effacement, à l’accès, à la portabilité, à la limitation du traitement et le droit de ne pas faire l’objet d’une décision entièrement automatisée.

Vous faire contacter

Veuillez renseigner une ville valide svp.
icon-facebook
icon-linkedin
icon-pinterest
icon-tumblr
icon-deviantart
icon-e-mail

Alors, qu'attendez-vous pour me contacter ?