Sélectionner une page

Le RGPD a pris effet dans toute l’UE. Il s’applique à toute organisation, quelle que soit sa taille, en Europe ou ailleurs, qui détient ou utilise les données personnelles des citoyens de l’UE.

Dans les articles et guides précédents, nous avons expliqué en détail comment votre entreprise peut remplir ses obligations au titre du RGPD. Après le 25 mai 2018, date de mise en œuvre, nous prenons du recul pour examiner les principes fondamentaux qui sous-tendent le RGPD.

Comprendre les principes qui sous-tendent le RGPD permet de replacer les nouveaux règlements dans leur contexte, en guidant une interprétation de la manière dont ils doivent être mis en œuvre.

Les cabinets comptables, leurs PME clientes et les autres organisations concernées doivent s’assurer que toutes leurs activités de traitement des données sont conformes à ces sept principes, énoncés à l’article 5 du RGPD :

Légalité, équité et transparence

Lorsque des données sont collectées, il faut indiquer clairement pourquoi elles sont collectées et comment elles vont être utilisées. Les organisations qui collectent des données doivent être en mesure de fournir des détails sur leurs activités de traitement des données lorsque les personnes concernées le demandent.

Limitation de la finalité

Les organisations doivent avoir une raison spécifique et légitime de collecter et de traiter des informations personnelles ; elles ne doivent pas entreprendre de traitement ultérieur incompatible avec ces raisons.

Réduction des données

Les organisations doivent stocker le minimum de données nécessaires pour atteindre leurs objectifs de traitement.

Exactitude et mise à jour

Les données à caractère personnel doivent être exactes, adaptées à l’objectif visé et, si nécessaire, mises à jour. Les informations inexactes doivent être supprimées ou corrigées sans délai.

Limitation de la conservation

Les informations personnelles ne doivent être conservées que pendant la durée nécessaire à la réalisation des objectifs pour lesquels elles ont été collectées (elles peuvent être conservées plus longtemps à des fins de recherche scientifique, statistique ou historique ou à des fins d’archivage dans l’intérêt public). Ce principe décourage les organisations de faire des copies des données.

Confidentialité et sécurité

Les personnes qui collectent et traitent les données à caractère personnel sont responsables de leur protection contre les menaces internes telles que l’utilisation non autorisée, les pertes et dommages accidentels et les menaces externes telles que les logiciels malveillants, le vol et d’autres formes de cybercriminalité.

Responsabilité

Les organisations sont responsables à 100 % de la manière dont elles collectent, stockent et traitent les données à caractère personnel. Elles doivent s’assurer que chaque partie de leur conformité au RGPD peut faire l’objet d’un audit et elles doivent pouvoir démontrer qu’elles ont pris toutes les mesures nécessaires, adaptées aux risques auxquels sont exposées les personnes concernées.

Pour conclure

La compréhension de ces sept principes fondamentaux est un bon premier pas vers la conformité, mais il est clair que ce n’est pas toute l’histoire. Pour respecter le RGPD, il ne suffit pas de faire ce qu’il faut, il faut aussi documenter ce que vous avez fait et être en mesure de présenter des preuves si nécessaire et de faire respecter le droit des utilisateurs.

Pour de nombreuses organisations, le moyen le plus simple et le plus fiable d’y parvenir est de mettre en place un système de conformité et de gouvernance dédié au RGPD.