La protection des données à caractère personnel est au cœur de toutes les préoccupations. Depuis la mise en application du RGPD (Règlement Général sur la Protection des Données), toute entreprise qui fait des opérations de traitements de données doit démontrer sa conformité avec ce nouveau règlement. Voici tout ce qu’il faut savoir sur cette nouvelle loi.
Les notions de base à connaître
Pour comprendre le RGPD, il faut donner une définition claire à ce qu’on entend par « donnée personnelle ». Il s’agit en réalité de toute information relative à une personne physique. Il est souvent question de données sensibles (noms, prénoms, adresse, coordonnées bancaires…).
Quant au traitement des données personnelles, il s’agit de toutes les opérations liées à l’exploitation des données personnelles. Tous les procédés utilisés sont concernés (gestion, modification, collecte de données, enregistrement…).
Il faut noter que tout traitement de données à caractère personnel doit avoir un objectif précis, qu’on appelle aussi finalités de traitement. Ces dernières doivent être légitimes pour permettre une utilisation des données des personnes concernées.
Les conseils de la CNIL pour être conforme au RGPD
La CNIL est l’autorité de contrôle qui veille à la bonne application du nouveau règlement, et par conséquent, assure la protection des personnes physiques. Elle propose différentes actions pour garantir les droits et libertés de ces personnes. Elles peuvent être résumées en ces 4 conseils :
- La tenue d’un registre des traitements par le responsable du traitement et les sous-traitants.
- Le tri des données en veillant à ne collecter que celles qui sont essentielles aux opérations de l’entreprise
- La garantie du respect des droits des personnes vis-à-vis de leurs données (droit d’accès, effacement, rectification, oubli des données…).
- La sécurisation des données
Le rôle du DPO
L’une des obligations légales prévues par le RGPD est la désignation d’un Délégué à la Protection des Données collectées. On le connaît aussi sous le nom de Data Protection Officer. C’est la personne qui est chargée du respect des nouvelles obligations du RGPD. En cas de non-respect, il doit notifier la CNIL au plus vite. Se renseigner ici.
Le DPO joue un rôle important dans la mise en conformité RGPD. Il conseille les responsables des traitements et le sous-traitant dans leurs actions. Il peut être un salarié de l’entreprise ou un prestataire externe. Seulement, en cas de non-conformité, il ne peut en être tenu responsable.
Quelles sont les autres obligations des entreprises ?
En plus de la désignation d’un DPO, les entreprises qui manipulent des données personnelles des ressortissants européens possèdent d’autres obligations. On peut les décrire comme suit :
- Le privacy by design ou la considération du principe de la protection des données personnelles dès la conception d’un projet.
- La cartographie des traitements et leur recensement dans le registre
- La notification de toute violation des données à la CNIL et à la personne concernée
- L’obligation de prouver que les traitements sont conformes aux règles applicables, en particulier via l’obtention d’une certification ou l’adhérence à des codes de conduite.
- La réalisation d’une analyse d’impact pour les traitements présentant un risque élevé sur le respect de la vie privée
- L’obligation de tenir les personnes physiques informées de la durée de conservation de leurs données ainsi que leurs droits vis-à-vis de celles-ci.
- La permission de l’exercice des droits fondamentaux.
Il faut savoir que le champ d’application du RGPD s’élargit aux entreprises, aux associations et aux organismes qui traitent des données personnelles des citoyens européens. Il s’agit donc essentiellement des entités européennes. Cependant, les autres entreprises qui sont amenées à traiter les mêmes données sont aussi concernées par le RGPD.