Depuis l’apparition du RGPD en mai 2018, la protection des données est une préoccupation de plus en plus croissante tant du côté des entreprises que des clients.

 

Pour rappel, le RGPD a été instauré dans l’objectif d’avoir une meilleure compréhension et un contrôle plus efficace de l’usage des données traitées par une entreprise. Avec son caractère obligatoire, le RGPD souhaite recréer une relation de confiance entre les entreprises et ses clients.

 

Cette relation se construit autour du respect des principes de la protection des données. Ces principes sont présentés sous 8 règles d’or, que nous allons vous introduire.

 

 

La finalité du traitement (RGPD, article 5)

 

Il s’agit de définir la finalité pour laquelle votre entreprise sera amenée à collecter, enregistrer, exploiter, conserver des données.

Le traitement des données doit être légal et en lien avec la nature des activités de votre organisme. Tout traitement doit être justifié par un objectif précisément déterminé et légitime.

Il est possible de faire évoluer la finalité de traitement, dans le cas où l’objectif final vient à changer. L’évolution de la finalité du traitement doit se faire en toute transparence, en informant les personnes concernées. Ces personnes auront le droit de s’opposer à ce nouveau traitement.

 

 

La licéité du traitement (RGPD, article 6)

 

La licéité du traitement représente la base légale du traitement. En d’autres termes, cela signifie que le traitement doit être permis ou ne pas être interdit. Pour cela, il doit remplir au moins une de ces conditions :

  • Consentement du traitement des données de la part du client (qui doit être prouvé et documenté)
  • Traitement des données nécessaires à l’exécution du contrat
  • Traitement nécessaire au respect d’une obligation légale à laquelle le responsable de traitement est soumis
  • Traitement nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une personne physique
  • Traitement nécessaire à l’exécution d’une mission d’intérêt publique ou en lien avec l’exercice de l’autorité publique
  • Traitement nécessaire aux fins d’intérêts légitimes

 

 

La minimisation des données (RGPD, article 5)

 

Ce principe implique la collecte et le traitement de données qui sont uniquement nécessaires à la finalité du traitement. Une donnée est pertinente quand elle est directement en lien avec la finalité.

Par exemple, pour réaliser une livraison, le nom et l’adresse du destinataire sont des données pertinentes. En revanche, connaître la date de naissance pour réaliser cette livraison n’est pas nécessaire.

Vous pouvez collecter des données facultatives si vous avez obtenu le consentement de la personne concernée.

 

 

La protection particulière de certaines données (RGPD, article 9)

 

Dans le RGPD, certaines données sont mises en avant comme étant « sensibles » :

  • Données sensibles (origine raciale ou ethnique, opinions politiques ou religieuses, orientation sexuelle…)
  • Numéro de sécurité sociale (NIR)
  • Données relatives aux condamnations pénales, infractions et mesures de sureté

Le traitement de ces données est interdit, sauf exceptions précisées dans l’article 9.2 du RGPD.

Si vous souhaitez collecter des données sensibles, votre organisme doit :

  • Justifier la base légale du traitement (RGPD article 6, sur la licéité du traitement)
  • Choisir l’exception la plus pertinente pour le traitement des données sensibles (RGPD, article 9).

Par exemple, si vous êtes un organisme de recherche dans la santé, vous pouvez justifier la collecte de données sensibles comme le numéro de sécurité sociale ou des pathologies. Cependant, la personne doit vous donner son consentement explicite pour pouvoir procéder au traitement.

 

 

La conservation limitée des données (RGPD, article 5)

 

Les données peuvent être traitées pendant une durée déterminée, en lien avec l’objectif précédemment établi. La durée de conservation des données doit être définie grâce à un critère objectif (ex : durée de la période de recherche et développement pour un médicament).

Selon les besoins, les données peuvent être archivées (ex : 10 ans pour un dossier médical, 5 ans pour les doubles de bulletins de salaires). Les archivages de données sont eux aussi soumis à des réglementations précises.

Chaque organisation doit pouvoir justifier du cycle de vie des données détenues.

 

 

L’obligation de sécurité (RGPD, article 5)

 

La sécurité des données est un processus continu, nécessitant des mesures adaptées à votre activité, aux données traitées par votre organisme et aux risques.

La mise en place de mesures de sécurité doit garantir trois éléments :

  • La confidentialité (données accessibles uniquement aux personnes habilitées)
  • L’intégrité (les données doivent rester dans leur état d’origine, sans être modifiées ou altérées)
  • La disponibilité (les données sont toujours accessibles aux personnes qui peuvent y avoir accès).

La notion de sécurité implique la mise en place de mesures de protection adaptées à votre organisme.

 

 

La transparence à l’égard des personnes concernées (RGDP, article 12)

 

Chaque organisme a une obligation de transparence envers ses clients. Les personnes doivent être clairement informées quant à l’utilisation de leurs données ainsi que la possibilité d’exercer leurs droits.

Dans cette optique de transparence, l’organisme est obligé de prendre les mesures nécessaires pour répondre aux demandes faites par une personne dans le cadre de l’exercice de ses droits.

 

 

Le droit des personnes sur leurs données (RGPD, articles 15 à 22)

 

En tant qu’organisme, vous devez respecter certains droits que les personnes peuvent appliquer :

  • Droit d’accès : les personnes peuvent savoir si leurs données sont traitées et vérifier quelles données sont détenues
  • Droit de rectification : possibilité de mettre à jour et de corriger les données à disposition
  • Droit d’opposition : s’opposer au traitement des données
  • Droit à l’effacement : possibilité de faire effacer les données détenues par votre entreprise
  • Droit à la portabilité : récupérer les données détenues par votre organisme pour les transmettre à un autre
  • Droit à la limitation du traitement : gèle de l’utilisation de données durant une période, elles ne seront plus exploitées mais seront toujours conservées
  • Droit de ne pas faire l’objet d’un profilage : une personne peut s’opposer à l’utilisation de ses données dans le but de faire une analyse prédictive de son comportement.

 

 

Pour résumé tout ce qui a été vu dans cet article, nous vous avons préparé une infographie :

Infographie sur les principes de la protection des données

Infographie sur les Principes de la Protection des Données

 

 

Nous pouvons voir que les données de vos clients sont soumises à de nombreuses réglementations, dans le but de les rassurer et de les protéger.

En tant qu’organisme, vous devez veillez à respecter les obligations du RGPD. Si vous rencontrez des difficultés, n’hésitez pas à vous faire accompagner dans votre mise en conformité.