Tout comprendre sur le RGPD : définition et principes clés

Vous souhaitez tout savoir sur le RGPD ? Ne manquez pas notre article dédié !

Publicités

Texte référence en matière de protection des données personnelles, le GDPR (General Data Protection Regulation) ou RGPD (Règlement Général pour la Protection des Données) doit entrer en application dans les États membres de l’Union européenne le 25 mai 2018.

Règlement Général pour la Protection des Données (RGPD)

Le RGPD s’appliquera pour l’ensemble des entreprises privées ou publiques, mais aussi les associations, les organismes publics et les sous-traitants des 28 États membres de l’Union européenne à compter du 25 mai 2018.

De manière plus large, votre structure est concernée si :

  • Elle propose des biens et services sur le marché de l’Union européenne.
  • Elle collecte et traite des données à caractère personnel sur les résidents de l’Union européenne.

Attention : Le RGPD concernera également une organisation qui n’est pas implantée sur le territoire de l’Union européenne, mais collecte ou traite des données concernant des résidents de cette dernière.

Qu'est-ce qu'une donnée personnelle _

Une donnée personnelle permet de caractériser et d’identifier une personne physique.

Exemple : L’adresse mail contact@kosmopolead.com n’est pas une donnée personnelle. En revanche, l’adresse lucie.desarn@kosmopolead.com constitue bel et bien une donnée personnelle : il s’agit d’une adresse mail nominative.

Les 6 grands principes du RGPD

1) Le principe du consentement

Le RGPD implique aux différentes structures de s’assurer que les conditions selon lesquelles le consentement a été obtenu n’ont pas changé. Il est important de garder à l’esprit que les données collectées doivent être traitées de manière licite et loyale envers la personne concernée. De ce fait, toute demande de retrait de consentement doit être traitée et archivée. À titre d’exemple, vous ne pouvez pas envoyer une newsletter aux contacts d’une base de données sans leur avoir soumis une demande de consentement.

Que faire de vos bases de données préexistantes à l’entrée en vigueur de la RGPD ?

Le règlement est clair : si vous ne possédez pas de trace du consentement des contacts de vos bases de données, celles-ci ne seront plus exploitables en toute légalité à partir du 25 mai 2018. Pour rester en accord avec la loi, vous devrez donc envoyer une demande de consentement à tous les contacts de vos bases de données qui ne l’ont pas validée. Cette demande peut être faite par mail, avec l’ajout de la possibilité de mettre à jour ses données. L’utilisateur devra ainsi opter de plein gré pour le renouvellement de son intérêt et il est interdit d’avoir recours à un quelconque stratagème pour biaiser son jugement, tel qu’une case pré-cochée par exemple.

12

2) La notion d’intérêt légitime

Si la structure parvient à prouver qu’elle agit dans le cadre de la notion d’intérêt légitime, il lui est possible de continuer à exploiter les données d’une personne sans son consentement. Une association de diplômés ou une École pourra par exemple refuser le retrait d’un de ses contacts de sa base de données pour des fins de vérification ultérieure. Mais même dans ce cas de figure, elle doit veiller à ce que les droits fondamentaux de la personne ne soient pas entravés et que les données conservées répondent bien à cet intérêt légitime.

3) Le respect de la finalité des données

La collecte des données doit être réalisée à des fins déterminées, explicitées et légitimes : elle ne peut être utilisée dans une autre optique que celle préalablement définie. Ces données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Si vous décidez de vendre les données que vous possédez à des tiers alors que vous aviez spécifié qu’elles resteraient privées, vous êtes en infraction.

Exemple finalité des données

4) Des bases de données exactes, régulièrement mises à jour et triées

L’ensemble des données collectées doit être exact et tenu à jour. Des mesures doivent être prises pour que les données inexactes soient effacées ou rectifiées. Les données doivent être conservées pendant une durée adéquate au regard des finalités pour lesquelles elles sont traitées. Cette durée de conservation peut ainsi fluctuer en fonction de votre activité et de vos besoins.

Les données à caractère personnel peuvent être conservées plus longtemps si elles sont traitées dans l’intérêt public ou à des fins de recherche scientifique, historique ou statistique. Si un de vos clients décide d’annuler son abonnement à votre newsletter, vous devez mettre à jour la base de données concernée afin qu’il ne la reçoive plus.

5) La portabilité des données

La portabilité des données constitue l’un des grands principes de la RGPD en termes de droits des individus. Il précise que les personnes peuvent recevoir à leur demande leurs données dans un format structuré et exploitable. L’individu est donc libre de transmettre ses données sans qu’aucune entrave ne lui soit faite. Si vous utilisez le service de contact de Microsoft et souhaitez migrer vos données vers Google, Microsoft est tenu de vous les fournir dans un format compatible. Elles pourront ensuite être transférées vers Google Contacts. Il s’agit là d’une véritable aubaine pour faciliter la transmission des données et stimuler la concurrence.

6) La nomination d’un Data Protection Officer (DPO) ou Responsable du traitement des données

Le Data Protection Officer (DPO)

Autre nouveauté : un Data Protection Officer devra être nommé au sein de chaque organisation. Il sera le garant du respect de la nouvelle réglementation au sein de sa structure et devra tenir un registre de traitement, outil indispensable pour attester de la conformité avec la loi en cas de contrôle par la CNIL. À ce titre, le registre doit impérativement être établi par écrit et mis à jour de manière continue.

7) La tenue d’un registre de traitement des données

Le RGPD impose aux structures de plus de 250 employés et exploitant des données personnelles la tenue d’un registre des traitements. Les sous-traitants des données personnelles doivent désormais eux aussi tenir un registre et ne sont plus exemptés. En ce qui concerne les structures de moins de 250 employés, cette obligation s’applique si elles sont amenées à traiter des données sensibles (concernant l’orientation sexuelle ou les opinions politiques…) ou si elles conservent des données relatives à une certaine catégorie de personnes (ex. : salariés, stagiaires…).

Le registre de traitement des données doit contenir _

Si vous souhaitez obtenir plus d’informations, la totalité du texte du RGPD est accessible sur EUR-Lex, le site du Journal officiel de l’Union européenne.

Nous vous retrouvons très vite pour un nouvel article consacré au RGPD, qui vous expliquera comment Kosmopolead s’est adapté à la nouvelle législation en matière de données personnelles et vous accompagne dans votre mise en conformité.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s