Experts en droit de l'internet et de l'informatique depuis plus de 20 ans, à votre écoute : +33(0)1 42 60 04 31

RGPD ET PROFESSIONNELS

Le Règlement Général sur la Protection des Données ou RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.

Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et harmonise les règles en Europe en mettant en œuvre un cadre juridique unique et commun aux professionnels.

Un traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).

Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par des dispositions réglementaires spécifiques, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. Il s’agit en principe de la personne morale qui met en œuvre le traitement.

Quels sont les principes à respecter pour les responsables de traitements ?

1) L’existence d’une base légale permettant la collecte de données à caractère personnel

Le traitement doit reposer sur l’une des bases juridiques suivantes :

  • consentement ;
  • nécessité contractuelle ;
  • obligation légale ;
  • sauvegarde de la vie humaine ;
  • intérêt public ;
  • intérêt légitime du responsable du traitement (sous réserve de ne pas méconnaître les droits et libertés des personnes concernées).

2) Transparence

Une information claire et complète doit être fournie aux personnes concernées par le traitement, comportant les éléments suivants :

  • la raison de collecte ;
  • le fondement juridique de la collecte ;
  • les catégories de personnes ou services ayant accès aux données ;
  • la durée de conservation ;
  • les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits ;
  • les éventuels transferts de données vers des pays hors UE.

3) Un objectif justifiant le traitement (principe de finalité)

Un traitement de données doit avoir un objectif, une finalité, c’est-à-dire que l’organisme ne peut pas collecter ou traiter des données personnelles simplement au cas où cela lui serait utile un jour. A chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de l’activité du responsable du traitement.

4) Pertinence

Seules les données nécessaires au regard de la finalité du traitement doivent être collectées.

Il s’agit de s’interroger sur les données dont l’organisme a réellement besoin au regard de son activité et de l’objet du traitement (principe dit de « minimisation »), et de vérifier, en cas de collecte de données dites « sensibles », que l’organisme est en droit de les traiter.

5) Limiter la durée de conservation des données

Le responsable du traitement doit fixer une durée de conservation limitée à ce qui est nécessaire à la finalité. En principe, au-delà de cette durée, les données doivent être archivées, effacées, ou anonymisées.

6) Sécurité

Cette exigence de sécurité implique l’obligation d’adopter des mesures techniques et organisationnelles appropriées au regard des risques encourus et de la nature des données personnelles en cause et des risques qui pèsent sur les personnes en cas d’incident.

En cas de violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées), l’organisme doit le signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées, et dans certains cas, lorsque le risque est élevé, aux personnes concernées.

7) Garantir les droits des personnes

Les personnes concernées par un traitement de données bénéficient de droits spécifiques, et notamment : droit d’accès, de rectification et de suppression, droit d’opposition.

Le responsable du traitement doit mettre en place un processus interne permettant de garantir l’identification et le traitement des demandes dans un délai court (1 mois). Par exemple, sur un site web, l’organisme peut mettre en place un formulaire spécifique de contact ou une adresse de messagerie dédiée.

8) Documenter la conformité

Le responsable du traitement doit mettre en place des mesures de protection des données appropriées et être en mesure de démontrer cette conformité à tout moment (accountability).

La démonstration de cette conformité passe notamment par la mise en place de procédures internes prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire) :

  • prise en compte de la protection des données personnelles dès la conception d’une application ou d’un traitement ;
  • tenue d’un registre des traitements ;
  • formation et communication auprès des collaborateurs ;
  • vérification des mentions d’information ;
  • procédure de traitement des réclamations et des demandes des personnes concernées quant à l’exercice de leurs droits ;
  • analyse d’impact sur la vie privée.
Contact Us

We're not around right now. But you can send us an email and we'll get back to you, asap.

Not readable? Change text. captcha txt