Depuis l’apparition du RGPD en mai 2018, la protection des donnĂ©es est une prĂ©occupation de plus en plus croissante tant du cĂŽtĂ© des entreprises que des clients.

Pour rappel, le RGPD a Ă©tĂ© instaurĂ© dans l’objectif d’avoir une meilleure comprĂ©hension et un contrĂŽle plus efficace de l’usage des donnĂ©es traitĂ©es par une entreprise. Avec son caractĂšre obligatoire, le RGPD souhaite recrĂ©er une relation de confiance entre les entreprises et ses clients.

Cette relation se construit autour du respect des principes de la protection des donnĂ©es. Ces principes sont prĂ©sentĂ©s sous 8 rĂšgles d’or, que nous allons vous introduire.

La finalité du traitement (RGPD, article 5)

Il s’agit de dĂ©finir la finalitĂ© pour laquelle votre entreprise sera amenĂ©e Ă  collecter, enregistrer, exploiter, conserver des donnĂ©es.

Le traitement des donnĂ©es doit ĂȘtre lĂ©gal et en lien avec la nature des activitĂ©s de votre organisme. Tout traitement doit ĂȘtre justifiĂ© par un objectif prĂ©cisĂ©ment dĂ©terminĂ© et lĂ©gitime.

Il est possible de faire Ă©voluer la finalitĂ© de traitement, dans le cas oĂč l’objectif final vient Ă  changer. L’évolution de la finalitĂ© du traitement doit se faire en toute transparence, en informant les personnes concernĂ©es. Ces personnes auront le droit de s’opposer Ă  ce nouveau traitement.

 

La licéité du traitement (RGPD, article 6)

La licĂ©itĂ© du traitement reprĂ©sente la base lĂ©gale du traitement. En d’autres termes, cela signifie que le traitement doit ĂȘtre permis ou ne pas ĂȘtre interdit. Pour cela, il doit remplir au moins une de ces conditions :

  • Consentement du traitement des donnĂ©es de la part du client (qui doit ĂȘtre prouvĂ© et documentĂ©)
  • Traitement des donnĂ©es nĂ©cessaires Ă  l’exĂ©cution du contrat
  • Traitement nĂ©cessaire au respect d’une obligation lĂ©gale Ă  laquelle le responsable de traitement est soumis
  • Traitement nĂ©cessaire Ă  la sauvegarde des intĂ©rĂȘts vitaux de la personne concernĂ©e ou d’une personne physique
  • Traitement nĂ©cessaire Ă  l’exĂ©cution d’une mission d’intĂ©rĂȘt publique ou en lien avec l’exercice de l’autoritĂ© publique
  • Traitement nĂ©cessaire aux fins d’intĂ©rĂȘts lĂ©gitimes

La minimisation des données (RGPD, article 5)

Ce principe implique la collecte et le traitement de données qui sont uniquement nécessaires à la finalité du traitement. Une donnée est pertinente quand elle est directement en lien avec la finalité.

Par exemple, pour rĂ©aliser une livraison, le nom et l’adresse du destinataire sont des donnĂ©es pertinentes. En revanche, connaĂźtre la date de naissance pour rĂ©aliser cette livraison n’est pas nĂ©cessaire.

Vous pouvez collecter des données facultatives si vous avez obtenu le consentement de la personne concernée.

 

La protection particuliÚre de certaines données (RGPD, article 9)

Dans le RGPD, certaines données sont mises en avant comme étant « sensibles » :

  • DonnĂ©es sensibles (origine raciale ou ethnique, opinions politiques ou religieuses, orientation sexuelle
)
  • NumĂ©ro de sĂ©curitĂ© sociale (NIR)
  • DonnĂ©es relatives aux condamnations pĂ©nales, infractions et mesures de suretĂ©

Le traitement de ces donnĂ©es est interdit, sauf exceptions prĂ©cisĂ©es dans l’article 9.2 du RGPD.

Si vous souhaitez collecter des données sensibles, votre organisme doit :

  • Justifier la base lĂ©gale du traitement (RGPD article 6, sur la licĂ©itĂ© du traitement)
  • Choisir l’exception la plus pertinente pour le traitement des donnĂ©es sensibles (RGPD, article 9).

Par exemple, si vous ĂȘtes un organisme de recherche dans la santĂ©, vous pouvez justifier la collecte de donnĂ©es sensibles comme le numĂ©ro de sĂ©curitĂ© sociale ou des pathologies. Cependant, la personne doit vous donner son consentement explicite pour pouvoir procĂ©der au traitement.

 

La conservation limitée des données (RGPD, article 5)

Les donnĂ©es peuvent ĂȘtre traitĂ©es pendant une durĂ©e dĂ©terminĂ©e, en lien avec l’objectif prĂ©cĂ©demment Ă©tabli. La durĂ©e de conservation des donnĂ©es doit ĂȘtre dĂ©finie grĂące Ă  un critĂšre objectif (ex : durĂ©e de la pĂ©riode de recherche et dĂ©veloppement pour un mĂ©dicament).

Selon les besoins, les donnĂ©es peuvent ĂȘtre archivĂ©es (ex : 10 ans pour un dossier mĂ©dical, 5 ans pour les doubles de bulletins de salaires). Les archivages de donnĂ©es sont eux aussi soumis Ă  des rĂ©glementations prĂ©cises.

Chaque organisation doit pouvoir justifier du cycle de vie des données détenues.

 

L’obligation de sĂ©curitĂ© (RGPD, article 5)

La sécurité des données est un processus continu, nécessitant des mesures adaptées à votre activité, aux données traitées par votre organisme et aux risques.

La mise en place de mesures de sécurité doit garantir trois éléments :

  • La confidentialitĂ© (donnĂ©es accessibles uniquement aux personnes habilitĂ©es)
  • L’intĂ©gritĂ© (les donnĂ©es doivent rester dans leur Ă©tat d’origine, sans ĂȘtre modifiĂ©es ou altĂ©rĂ©es)
  • La disponibilitĂ© (les donnĂ©es sont toujours accessibles aux personnes qui peuvent y avoir accĂšs).

La notion de sécurité implique la mise en place de mesures de protection adaptées à votre organisme.

 

La transparence Ă  l’égard des personnes concernĂ©es (RGDP, article 12)

Chaque organisme a une obligation de transparence envers ses clients. Les personnes doivent ĂȘtre clairement informĂ©es quant Ă  l’utilisation de leurs donnĂ©es ainsi que la possibilitĂ© d’exercer leurs droits.

Dans cette optique de transparence, l’organisme est obligĂ© de prendre les mesures nĂ©cessaires pour rĂ©pondre aux demandes faites par une personne dans le cadre de l’exercice de ses droits.

 

Le droit des personnes sur leurs données (RGPD, articles 15 à 22)

En tant qu’organisme, vous devez respecter certains droits que les personnes peuvent appliquer :

  • Droit d’accĂšs : les personnes peuvent savoir si leurs donnĂ©es sont traitĂ©es et vĂ©rifier quelles donnĂ©es sont dĂ©tenues
  • Droit de rectification : possibilitĂ© de mettre Ă  jour et de corriger les donnĂ©es Ă  disposition
  • Droit d’opposition : s’opposer au traitement des donnĂ©es
  • Droit Ă  l’effacement : possibilitĂ© de faire effacer les donnĂ©es dĂ©tenues par votre entreprise
  • Droit Ă  la portabilité : rĂ©cupĂ©rer les donnĂ©es dĂ©tenues par votre organisme pour les transmettre Ă  un autre
  • Droit Ă  la limitation du traitement : gĂšle de l’utilisation de donnĂ©es durant une pĂ©riode, elles ne seront plus exploitĂ©es mais seront toujours conservĂ©es
  • Droit de ne pas faire l’objet d’un profilage : une personne peut s’opposer Ă  l’utilisation de ses donnĂ©es dans le but de faire une analyse prĂ©dictive de son comportement.

 

Pour résumé tout ce qui a été vu dans cet article, nous vous avons préparé une infographie :

Infographie sur les principes de la protection des données

Infographie sur les Principes de la Protection des Données

 

 

Nous pouvons voir que les données de vos clients sont soumises à de nombreuses réglementations, dans le but de les rassurer et de les protéger.

En tant qu’organisme, vous devez veillez Ă  respecter les obligations du RGPD. Si vous rencontrez des difficultĂ©s, n’hĂ©sitez pas Ă  vous faire accompagner dans votre mise en conformitĂ©.