Si vous collectez ou bien traitez des données personnelles, alors vous êtes forcément concerné par le RGPD, le Règlement Général sur la Protection des Données, qui s’applique désormais aux organismes publics et privés traitant des données personnelles. Comprendre le RGPD est alors fondamental, afin de prendre les mesures nécessaires à la garantie d’une utilisation respectueuse de ces données et de la vie privée des personnes concernées.
Avant de comprendre ce que le RGPD change désormais pour les professionnels et les sous-traitants, il est important de bien saisir la définition d’une donnée personnelle, mais également le processus de traitement de données, afin de savoir si vous êtes concerné par l’application de ces nouvelles normes européennes.
Le RGPD : définition et application
Une donnée personnelle, qu’est-ce que c’est ?
Une donnée personnelle, notion à prendre au sens large, se réfère à toute information rattachée à une personne identifiée, ou bien identifiable grâce auxdites données. Il peut s’agir de données telles qu’un nom et un prénom, permettant donc une identification directe de la personne concernée, ou bien un numéro de téléphone, un numéro client, des critères génétiques, économiques, des marqueurs sociaux et culturels ou encore la voix ou bien l’image d’une personne, entraînant alors son identification indirecte.
De cette manière, une personne physique peut être identifiée à partir d’un croisement de plusieurs données – par exemple un homme résidant à telle adresse, client de tel magasin, né tel jour, dont le numéro de téléphone est le suivant et dont les cheveux sont marrons -, ou bien à partir d’une seule donnée comme son ADN ou son numéro de sécurité sociale.
Concrètement, dès lors qu’une base de données comprend une ou plusieurs informations précises permettant de remonter à une personne physique pouvant être identifiée via une ou plusieurs de ces informations, il s’agit bien de traitement de données personnelles.
Qu’est-ce que le traitement de données personnelles ?
La notion de traitement de données personnelles dans le cadre du RGPD s’entend également au sens large, le nouveau règlement européen le définissant comme une ou plusieurs opérations visant des données personnelles, et ce quel que soit le procédé utilisé : collecte directe de données, enregistrement, triage de données, mais aussi organisation, conservation, modification, transfert, utilisation, consultation, diffusion et toute autre forme de disposition de ces données. Le champ d’application est donc large, le traitement de données personnelles pouvant aller de la simple tenue d’un fichier clients, jusqu’à la mise à jour d’un fichier concernant des fournisseurs, etc.
Il est important de noter que le processus de traitement de données personnelles n’est pas forcément informatisé. En effet, les fichiers de type papier sont aussi soumis aux normes du RGPD et doivent en ce sens bénéficier des mêmes mesures de conservation et de protection des données personnelles.
Concernant le traitement de ces informations, le RGPD est clair : tout traitement de données doit avoir un objectif clairement défini. C’est-à-dire que chaque traitement de données doit servir un but bien précis, en accord avec l’activité professionnelle de l’organisme qui la réalise. Par exemple, collecter des données clients lors d’une livraison ou bien pour éditer une facture est un traitement de données personnelles légitime, ayant pour but la gestion d’une clientèle.
Maintenant que vous avez saisi ce que sont les données personnelles et en quoi consiste leur traitement, intéressons-nous au coeur du sujet : le RGPD.
Qu’est-ce que le Règlement Général sur la Protection des Données ?
Le RGPD, acronyme de Règlement Général sur la Protection des Données (en anglais GDPR pour “General Data Protection Regulation”), définit un contexte juridique permettant d’encadrer le traitement des données personnelles sur tout le territoire de l’Union européenne.
Ce nouveau règlement européen répond notamment aux évolutions technologiques de nos sociétés, à savoir le développement du commerce en ligne et l’explosion des réseaux sociaux et autres applications collectant nécessairement des données personnelles. En ce sens, le RGPD vient s’inscrire dans la continuité de la Loi française Informatique et Libertés de 1978, tout en permettant aux citoyens de mieux contrôler l’utilisation de leurs données personnelles.
Le Règlement Général sur la Protection des Données offre un seul et même cadre aux professionnels européens dont le siège est basé en Europe ou bien traitant des données personnelles de résidents européens, leur permettant de développer leurs activités numériques au sein d’un vaste marché commun : l’UE. En fixant des règles claires concernant le traitement des données, le RGPD permet aux organismes publics et privés de prospérer en gagnant la confiance des utilisateurs, primordiale à l’heure du Big Data.
Le RGPD : qui est concerné ?
Le RGPD est susceptible de s’appliquer à tout organisme traitant des données personnelles dans le cadre de son activité ou pour le compte d’un tiers, et ce quels que soient son pays d’implantation, sa taille et son activité. Toute organisation relevant de ce champ d’action, publique comme privée, est concernée dès lors qu’elle se trouve établie sur le territoire de l’Union européenne ou bien que son activité cible directement des citoyens européens.
Concrètement, une société établie en France et dont l’activité est l’export de produits aux États-Unis est concernée par le RGPD. De même, une société dont le siège se trouve au Maroc et livrant des produits en Espagne est également concernée par le nouveau règlement européen concernant le traitement des données personnelles.
Le RGPD concerne également les sous-traitants dont l’activité est de traiter des données personnelles pour le compte d’autres sociétés.
Le RGPD : quelles sont les obligations ?
Le Règlement Général sur la Protection des Données, entré en vigueur le 25 mai 2018, implique avant tout un devoir d’information auprès des utilisateurs concernés par le traitement de leurs données personnelles. En tant que responsable du traitement de ces données, ou bien en tant que sous-traitant, il convient de prendre les mesures nécessaires pour garantir une utilisation respectueuse de ces données, permettant la protection de la vie privée des personnes concernées, mais aussi de leurs droits à cet égard.
Pour ce faire, quelques règles fondamentales s’imposent :
- Avant tout processus de traitement de données, posez-vous les bonnes questions, à savoir : est-ce réellement nécessaire dans le cadre de mon activité ? Quelles sont les données indispensables et celles qui ne le sont pas ? Est-ce bien pertinent de collecter ces données et en ai-je le droit ? Les personnes concernées ont-elles étaient correctement informées et ont-elles explicitement donné leur accord ?
- Le RGPD implique une totale transparence quant à l’utilisation des données collectées. Les personnes faisant l’objet d’une collecte de données doivent pouvoir vous faire confiance.
- Vous devez être en mesure de répondre, dans les meilleurs délais, aux demandes des utilisateurs concernés quant à leurs droits de consultation, de rectification, de transmission, mais également de suppression définitive de leurs données.
- Votre société doit, après avoir identifié les risques, être en mesure d’assurer un partage et une circulation encadrés des données personnelles, afin de leur assurer une protection optimale, tout au long du processus de traitement. Des mesures spécifiques doivent être prises si les données concernées sont dites sensibles (relatives à des opinions politiques, une origine raciale, une orientation sexuelle, etc).
- Gardez bien à l’esprit que les mesures de sécurité doivent être adaptées en fonction des risques qui pèsent sur les personnes concernées en cas d’exploitation non consentie de leurs données personnelles. Ces mesures de sécurité, informatiques comme physiques, doivent permettre la totale sécurité de ces données à risque.
Laisser un commentaire
Participez-vous à la discussion?N'hésitez pas à contribuer!