Quelles sont les règles de base pour comprendre le RGPD ?

Le RGPD ou le Règlement Général sur la Protection des Données encadre le traitement et l’exploitation des données personnelles au sein de l’UE. Il sécurise la gestion de ces données, prévient les risques de fuites et d’utilisations abusives. Mais comment définir le RGPD ? Qui est concerné par ses applications ? Et quelles sont les règles de base qui le définissent ?

Qu’est-ce que le RGPD ?

Le RGPD définit les cadres réglementaires touchant à la collecte, au traitement et au stockage des données personnelles dans l’Union européenne. Entré en vigueur le 25 mai 2018, il renforce l’application de la loi française « Informatique et Libertés » de 1978. 

Ce texte réglementaire considère toutes les données à caractère personnel. Il s’agit des informations rattachées à une personne physique ou qui permettent de l’identifier de façon directe ou indirecte. On peut citer : 

  • le nom et prénom ;
  • le numéro de téléphone ;
  • l’adresse du domicile ;
  • les données biométriques ;
  • le numéro de la sécurité sociale ;
  • les préférences d’achat ;
  • les données économiques…

Le Règlement Général sur la Protection des Données encadre toutes les opérations portant sur ces données personnelles : collecte, enregistrement, organisation, conservation, consultation, utilisation, modification… Il a pour objectif de responsabiliser les organismes publics et privés traitant des données personnelles à différentes échelles. Il garantit également le respect des droits des personnes concernées.

Qui est concerné par le RGPD ?

Le RGPD s’adresse à toute entité publique et privée qui réalise la collecte et/ou le traitement de données personnelles au sein de l’UE. Indépendamment de leurs tailles et activités, il s’applique aux entreprises et aux organismes :

  • présents dans l’un des États membres de l’Union européenne ;
  • dont l’activité cible des citoyens européens ;
  • traitent des données personnelles de résidents de l’UE.

Dès lors qu’un organisme collecte et/ou traite des données de résidents de l’UE, il a l’obligation de se conformer au RGPD. La CNIL (Commission nationale de l’informatique et des libertés) vous accompagne dans votre mise en conformité aux principes du RGPD.

Comprendre le RGPD en 6 règles de base

Le Règlement Général sur la Protection des Données insiste sur 6 règles fondamentales. Ces principes portent sur les mentions suivantes : 

  • licéité, loyauté, transparence ;
  • limitation des finalités ;
  • minimisation des données ;
  • exactitude des données ;
  • limitation de la conservation ;
  • intégrité et confidentialité.
  1. Licéité, loyauté & transparence

Selon l’article 6 du RGPD, un traitement de données personnelles est licite s’il respecte au moins l’une de ces 6 conditions suivantes : 

  • l’individu concerné a donné son consentement pour la collecte et/ou le traitement de ses données ;
  • le traitement des données est nécessaire dans le cadre d’un accord ou d’un contrat avec ce dernier. C’est par exemple le cas si vous avez embauché un nouveau collaborateur. Il vous faudra alors ses coordonnées bancaires pour ses paies ;
  • traiter des données pour respecter une obligation légale à laquelle l’entité est soumise ;
  • traiter des données nécessaires à la protection d’intérêts vitaux d’une autre personne ;
  • traiter des données nécessaires à l’exécution d’une mission d’intérêt public ;
  • traiter des données utiles à des fins d’intérêts légitimes.

En matière de loyauté et de transparence, le RGPD exige aux organismes de respecter leurs engagements envers les individus concernés. Si vous collectez par exemple des données géographiques pour effectuer une livraison, vous n’avez pas le droit de les exploiter pour vos prochaines campagnes marketing. Il vous faudra demander le consentement des personnes concernées.

  1. Limitation des finalités

Le traitement des données personnelles doit s’effectuer dans un but précis, de façon légale et légitime. Bien avant leur collecte, vous devez donc spécifier les finalités de cette opération, leurs raisons d’être et objectifs. 

Cette règle de base du RGPD encadre l’utilisation des données personnelles en imposant des limites à respecter au responsable du traitement. S’il les réutilise à d’autres finalités, des sanctions peuvent s’appliquer. Prenons un exemple. Pour informer ses clients concernant ses ventes hebdomadaires, une entreprise demande à obtenir leurs adresses électroniques. Ces derniers acceptent alors de recevoir un ou deux emails par semaine. L’entreprise n’a pas le droit de les envoyer plus d’emails sans obtenir leur consentement. 

  1. Minimisation des données

Le RGPD vous autorise à collecter et/ou traiter uniquement des données personnelles nécessaires au regard des finalités spécifiées. Par exemple, pour un abonnement à votre newsletter, vous aurez uniquement besoin de l’adresse e-mail et du prénom de l’individu concerné.

  1. Exactitude des données

Toute donnée personnelle collectée et traitée doit être exacte et mise à jour. Le RGPD exige l’application de mesures raisonnables pour que les données incorrectes et obsolètes soient rapidement effacées ou rectifiées. 

En mettant en place votre politique de gestion de données, vous devez donc prévoir des mises à jour régulières. 

  1. Limitation de la conservation

Le RGPD impose aux organismes de limiter la conservation des données personnelles collectées, quelles que soient leurs finalités. Les personnes concernées doivent être informées à ce sujet. Au-delà de cette date limite, vous devez soit les supprimer, soit les archiver en les gardant anonymes.

Le Règlement Général sur la Protection des Données vous autorise à conserver des données d’individus inactifs pendant 36 mois, soit 3 ans avant de devoir les supprimer. Tous les 13 mois, vous devez également redemander le consentement des personnes concernées avant de collecter et/ou traiter leurs données.

  1. Intégrité et confidentialité

Tout organisme collectant ou traitant des données personnelles doit être en mesure de garantir leur sécurité et confidentialité. Vous devez prévoir toutes les mesures nécessaires pour les protéger contre les risques de perte, de dégâts accidentels ou de piratage. 

La notion d’intégrité insiste sur la protection des données personnelles contre les traitements non autorisés ou illicites. 

Mise en conformité RGPD : les étapes à suivre

Nous avons condensé pour vous les grands checkpoints à suivre pour une mise en conformité RGPD en bonne et due forme. Beaucoup d’entreprises aujourd’hui font appel à un DPO, un délégué à la protection des données, pour une mise en conformité précise afin d’éviter les lourdes pénalités appliquées en cas de non-respect des règles.

Les étapes sont les suivantes : 

Cartographie des données

La cartographie des données permet d’avoir systématiquement un suivi précis et en temps réel de l’ensemble des données collectées par votre entreprise. L’idée étant évidemment d’avoir une vue d’ensemble de la data entrante, mais aussi sortante !

Précision dans l’utilisation des données

Le processus est simple, dans un souci de sobriété, et pour éviter l’infobésité, il est primordial de toujours se poser la question suivante : “pour quel usage est-ce que je collecte cette donnée personnelle ?”. 

De plus, cela évite d’utiliser une donnée collectée, par exemple, pour une simple inscription à une newsletter pour finalement contacter la personne à des fins commerciales. 

Transparence sur la collecte des données

Chaque entreprise à un devoir de transparence envers le propriétaire de la donnée collectée, à travers des politiques de confidentialité ou un registre du personnel. Informer les raisons de la collecte, la durée de conservation dans les bases de données ainsi que les droits inhérents à la possession de ces données sont des informations à communiquer impérativement aux propriétaires, et ce, par le biais d’un document ou d’un espace dédié aux politiques de confidentialité.

Conservation raisonnée de la donnée

La finalité d’usage de la donnée détermine la durée de conservation de celle-ci dans vos bases. Certaines données, notamment les données personnelles, sont soumises à une anonymisation une fois les conditions réunies. Le compte-à-rebour commence bien évidemment à la fin de la relation contractuelle ou, plus simplement, une fois l’usage prévu terminé.

Avoir une base de donnée légale

Même si cela peut paraître évident, certains éléments constitutifs d’une base de données, notamment concernant les données personnelles des particuliers, sont impératifs pour une exploitation commerciale.

Si vous avez collecté des données lors de la vente d’un produit/service à un client (un particulier), vous devrez supprimer ses données en fonction des règles de conservation en vigueur ou, si vous souhaitez garder ses informations, lui demander explicitement le droit d’exploiter ses données à des fins précises. Il s’agit ici de la notion d’opt-in de l’information.

Attester du consentement

Le consentement, notamment pour les bases de données des particuliers, est ce que l’on appelle l’opt-in. Ce consentement est obligatoire pour les particuliers, dont les données sont strictement protégées par la CNIL.

Si un particulier à refusé l’utilisation de ses données (on parle alors d’opt-out) à des fins commerciales vous vous exposez à des pénalités.

Attention aussi aux cas où l’utilisateur, toujours un particulier, n’aurait pas coché la case “oui” ou la case “non”. Dans le cas précis où l’accord est ni validé ni invalidé, la personne est donc considérée comme invalidée, donc opt-out.

Zoom sur les droits des personnes concernées

En référence aux réglementations du RGPD, toute personne concernée par la collecte et/ou le traitement de données personnelles a des droits. Le RGPD lui attribue le droit : 

  • d’accès aux informations collectées et/ou traitées la concernant ;
  • de rectifier ou de modifier les données collectées ;
  • de s’opposer quant à l’utilisation ou le traitement de ses données ;
  • d’effacer ses données si elle le souhaite ;
  • à la portabilité des données lui permettant de les récupérer en toute transparence ;
  • aux limites de traitement de ses données.

La CNIL veille à la régulation et à l’application des principes de base du RGPD et des droits des personnes concernées. Leur non-respect peut entraîner l’une des sanctions suivantes : avertissement, retrait d’autorisation du traitement des données, sanction pécuniaire, amendes…

  • Assistance 7j/7 8h – 20h
  • Interventions sur sites illimitées
  • Hotline et télémaintenance illimitées
  • Equipe dédiée à votre compte
  • Supervision proactive du parc informatique 24h/24, 7j/7
  • Installation de nouveaux postes incluse
  • Antivirus professionnel inclus
  • Conseils et suivi par nos ingénieurs spécialisés
  • Nous sommes certifiés ISO9001:2015
  • Accéder à un SOC (Security Operations Center) 24j/24, 7j/7 pour une surveillance continue
À partir
de
1
€30
par jour
pour un vrai
support 7j/7
Je découvre Je simule mon devis Être recontacté