Depuis l’apparition du RGPD en mai 2018, la protection des donnĂ©es est une prĂ©occupation de plus en plus croissante tant du cĂ´tĂ© des entreprises que des clients.

Pour rappel, le RGPD a été instauré dans l’objectif d’avoir une meilleure compréhension et un contrôle plus efficace de l’usage des données traitées par une entreprise. Avec son caractère obligatoire, le RGPD souhaite recréer une relation de confiance entre les entreprises et ses clients.

Cette relation se construit autour du respect des principes de la protection des données. Ces principes sont présentés sous 8 règles d’or, que nous allons vous introduire.

La finalité du traitement (RGPD, article 5)

Il s’agit de définir la finalité pour laquelle votre entreprise sera amenée à collecter, enregistrer, exploiter, conserver des données.

Le traitement des données doit être légal et en lien avec la nature des activités de votre organisme. Tout traitement doit être justifié par un objectif précisément déterminé et légitime.

Il est possible de faire évoluer la finalité de traitement, dans le cas où l’objectif final vient à changer. L’évolution de la finalité du traitement doit se faire en toute transparence, en informant les personnes concernées. Ces personnes auront le droit de s’opposer à ce nouveau traitement.

 

La licéité du traitement (RGPD, article 6)

La licéité du traitement représente la base légale du traitement. En d’autres termes, cela signifie que le traitement doit être permis ou ne pas être interdit. Pour cela, il doit remplir au moins une de ces conditions :

  • Consentement du traitement des donnĂ©es de la part du client (qui doit ĂŞtre prouvĂ© et documentĂ©)
  • Traitement des donnĂ©es nĂ©cessaires Ă  l’exĂ©cution du contrat
  • Traitement nĂ©cessaire au respect d’une obligation lĂ©gale Ă  laquelle le responsable de traitement est soumis
  • Traitement nĂ©cessaire Ă  la sauvegarde des intĂ©rĂŞts vitaux de la personne concernĂ©e ou d’une personne physique
  • Traitement nĂ©cessaire Ă  l’exĂ©cution d’une mission d’intĂ©rĂŞt publique ou en lien avec l’exercice de l’autoritĂ© publique
  • Traitement nĂ©cessaire aux fins d’intĂ©rĂŞts lĂ©gitimes

La minimisation des données (RGPD, article 5)

Ce principe implique la collecte et le traitement de données qui sont uniquement nécessaires à la finalité du traitement. Une donnée est pertinente quand elle est directement en lien avec la finalité.

Par exemple, pour réaliser une livraison, le nom et l’adresse du destinataire sont des données pertinentes. En revanche, connaître la date de naissance pour réaliser cette livraison n’est pas nécessaire.

Vous pouvez collecter des données facultatives si vous avez obtenu le consentement de la personne concernée.

 

La protection particulière de certaines données (RGPD, article 9)

Dans le RGPD, certaines données sont mises en avant comme étant « sensibles » :

  • DonnĂ©es sensibles (origine raciale ou ethnique, opinions politiques ou religieuses, orientation sexuelle…)
  • NumĂ©ro de sĂ©curitĂ© sociale (NIR)
  • DonnĂ©es relatives aux condamnations pĂ©nales, infractions et mesures de suretĂ©

Le traitement de ces données est interdit, sauf exceptions précisées dans l’article 9.2 du RGPD.

Si vous souhaitez collecter des données sensibles, votre organisme doit :

  • Justifier la base lĂ©gale du traitement (RGPD article 6, sur la licĂ©itĂ© du traitement)
  • Choisir l’exception la plus pertinente pour le traitement des donnĂ©es sensibles (RGPD, article 9).

Par exemple, si vous êtes un organisme de recherche dans la santé, vous pouvez justifier la collecte de données sensibles comme le numéro de sécurité sociale ou des pathologies. Cependant, la personne doit vous donner son consentement explicite pour pouvoir procéder au traitement.

 

La conservation limitée des données (RGPD, article 5)

Les données peuvent être traitées pendant une durée déterminée, en lien avec l’objectif précédemment établi. La durée de conservation des données doit être définie grâce à un critère objectif (ex : durée de la période de recherche et développement pour un médicament).

Selon les besoins, les données peuvent être archivées (ex : 10 ans pour un dossier médical, 5 ans pour les doubles de bulletins de salaires). Les archivages de données sont eux aussi soumis à des réglementations précises.

Chaque organisation doit pouvoir justifier du cycle de vie des données détenues.

 

L’obligation de sécurité (RGPD, article 5)

La sécurité des données est un processus continu, nécessitant des mesures adaptées à votre activité, aux données traitées par votre organisme et aux risques.

La mise en place de mesures de sécurité doit garantir trois éléments :

  • La confidentialitĂ© (donnĂ©es accessibles uniquement aux personnes habilitĂ©es)
  • L’intĂ©gritĂ© (les donnĂ©es doivent rester dans leur Ă©tat d’origine, sans ĂŞtre modifiĂ©es ou altĂ©rĂ©es)
  • La disponibilitĂ© (les donnĂ©es sont toujours accessibles aux personnes qui peuvent y avoir accès).

La notion de sécurité implique la mise en place de mesures de protection adaptées à votre organisme.

 

La transparence à l’égard des personnes concernées (RGDP, article 12)

Chaque organisme a une obligation de transparence envers ses clients. Les personnes doivent être clairement informées quant à l’utilisation de leurs données ainsi que la possibilité d’exercer leurs droits.

Dans cette optique de transparence, l’organisme est obligé de prendre les mesures nécessaires pour répondre aux demandes faites par une personne dans le cadre de l’exercice de ses droits.

 

Le droit des personnes sur leurs données (RGPD, articles 15 à 22)

En tant qu’organisme, vous devez respecter certains droits que les personnes peuvent appliquer :

  • Droit d’accès : les personnes peuvent savoir si leurs donnĂ©es sont traitĂ©es et vĂ©rifier quelles donnĂ©es sont dĂ©tenues
  • Droit de rectification : possibilitĂ© de mettre Ă  jour et de corriger les donnĂ©es Ă  disposition
  • Droit d’opposition : s’opposer au traitement des donnĂ©es
  • Droit Ă  l’effacement : possibilitĂ© de faire effacer les donnĂ©es dĂ©tenues par votre entreprise
  • Droit Ă  la portabilité : rĂ©cupĂ©rer les donnĂ©es dĂ©tenues par votre organisme pour les transmettre Ă  un autre
  • Droit Ă  la limitation du traitement : gèle de l’utilisation de donnĂ©es durant une pĂ©riode, elles ne seront plus exploitĂ©es mais seront toujours conservĂ©es
  • Droit de ne pas faire l’objet d’un profilage : une personne peut s’opposer Ă  l’utilisation de ses donnĂ©es dans le but de faire une analyse prĂ©dictive de son comportement.

 

Pour résumé tout ce qui a été vu dans cet article, nous vous avons préparé une infographie :

Infographie sur les principes de la protection des données

Infographie sur les Principes de la Protection des Données

 

 

Nous pouvons voir que les données de vos clients sont soumises à de nombreuses réglementations, dans le but de les rassurer et de les protéger.

En tant qu’organisme, vous devez veillez à respecter les obligations du RGPD. Si vous rencontrez des difficultés, n’hésitez pas à vous faire accompagner dans votre mise en conformité.