Sélectionner une page

L’utilisation des données personnelles RGPD

Nous contacter

Le Règlement Général sur la Protection des Données est la nouvelle règlementation européenne sur les données personnelles. Elle s’applique à toutes les entreprises qui manipulent ces données au quotidien. A noter qu’il est question ici des informations des ressortissants européens. Mais quels sont alors les caractères déterminants d’une donnée personnelle ?

Description d’une donnée personnelle

Il s’agit de toute information concernant ou appartenant à une personne physique, pouvant être identifiée directement ou indirectement. Qu’elles soient publiques ou confidentielles, les données personnelles gardent ce trait de caractère. Parmi les types de données, on peut citer les photos, les noms, les adresses postales, les adresses IP, les enregistrements vocaux…

Une donnée ne sera plus considérée comme personnelle si la personne concernée devient anonyme (par exemple dans une vidéo, si son visage est flouté, ce qui lui permettrait de ne plus être identifiée). En revanche, elle le restera bel et bien si en recoupant différentes informations, il sera tout de même possible de reconnaître l’identité de la personne concernée.

Quelles sont les obligations vis-à-vis des données personnelles RGPD ?

Pour de nombreuses raisons, une entreprise est amenée à collecter des données personnelles tout au long de la journée. Cela lui permet d’optimiser ses offres, ses produits et services en fonction des besoins de ses clients. Or, en recueillant, gérant et utilisant ces données, elle ne peut les utiliser comme bon lui semble, mais doit bel et bien se conformer aux réglementations du RGPD.

En effet, il est impératif d’informer la personne concernée dans les cas suivants :

  • Au moment de la collecte de données, que ce soit de façon directe ou indirecte ;
  • De toute utilisation des données et des éventuelles modifications de cette utilisation ;
  • Il convient aussi de tenir la personne informée en tout temps de toute utilisation de ses données à caractère personnel.

données personnellesPour que la protection des données personnelles soit garantie à tout moment, il convient de faire une checklist de conformité RGPD. En outre, pour répondre au droit d’utilisateur, il faut lui mettre à disposition les informations suivantes :

  • L’identité de l’entité en charge du traitement de ses données ;
  • Les coordonnées du point de contact sur toutes les questions relatives à la protection des données à caractère personnel. Il s’agit notamment du DPO ou Délégué à la Protection des Données ;
  • Les finalités des données traitées ;
  • Les destinataires de ces données ;
  • La base juridique du traitement de données à caractère personnel ;
  • La durée de conservation des données ;
  • Les transferts à l’international.

L’organisme doit aussi informer l’internaute de ses droits et ses libertés (accès aux données, effacement de données…). D’ailleurs, il ne suffit pas toujours d’informer la personne sur l’utilisation de ses données, car son consentement est également requis dans certains cas, comme lors de l’utilisation de cookies.

Comment garantir la protection des données ?

En France, la CNIL est l’autorité de contrôle en charge de veiller à ce que la protection des données soit assurée en tout temps. Cela implique de se conformer au RGPD. Pour ce faire, la CNIL a mis en place quelques démarches à respecter :

Désigner un pilote

La désignation d’un Data Protection Officer est obligatoire pour les autorités publiques et les entreprises qui font des opérations des traitement des données personnelles continuellement. Son rôle est de s’assurer que le responsable de traitement et les sous-traitants veillent à ce que les obligations du RGPD soient respectées. Sans l’intervention de ce spécialiste, les risques d’erreurs sont plus importants. D’ailleurs, il faut s’assurer que le Délégué à la Protection des données travaille étroitement avec l’équipe responsable des informations personnelles.

Il faut noter que le DPO peut être un salarié de l’entreprise même ou être un prestataire externe. Le choix d’externaliser son DPO est toutefois recommandé car c’est un professionnel qui n’aura pas de conflits d’intérêts avec l’entité. Il s’assurera de la transparence dans les questions de traitements de données. De plus, il sera plus difficile pour une entreprise de se défaire d’un DPO interne incompétent puisqu’il est sous CDI. Au contraire, il vous suffira de rompre l’entente avec le DPO externe à tout moment et d’en changer si vous n’êtes pas satisfait de ses services.

Faire un bilan interne

Le processus de mise en conformité nécessite de faire un bilan de l’existant. Cette étape consiste à identifier toutes les opérations utiles pour se mettre en conformité. Les étapes de traitements de données seront ensuite transcrites dans le registre de traitement. En même temps, il faut veiller à ce que ces opérations soient conformes avec les objectifs du nouveau règlement, notamment la responsabilisation des personnes en charge des traitements, l’instauration des mesures pour améliorer la protection des données personnelles et l’amélioration des droits des personnes (droit d’accès, droit d’effacement…).

Faire le point sur les différentes obligations du RGPD

Le RGPD impose différentes mesures pour assurer le respect des droits des personnes :

  • Le principe d’accountability: c’est une obligation fondamentale pour toute entreprise ou organisme afin de se conformer au RGPD ;
  • La tenue d’un registre de données personnelles ;
  • Le privacy by design: la question de la sécurisation des données doit être considérée depuis la conception d’un nouveau produit ou service ;
  • L’obligation d’informer la CNIL en cas de fuite ou de violation de données ;
  • Le devoir de réaliser une étude d’impact sur la vie privée s’il est question de traitement de données sensibles des personnes concernées ;
  • Le devoir de s’assurer que les sous-traitants et les collaborateurs de l’entreprise soient sensibilisés et informés des obligations du RGPD ;
  • L’obligation de nommer un DPO si la situation l’exige.

Toutes les démarches entreprises doivent prendre en compte le respect de toutes ces obligations. Pour que l’ensemble des collaborateurs sachent à quoi s’en tenir pour éviter les sanctions, des séances de formations doivent être organisées.