Les données personnelles
La collecte et le traitement de données personnelles sont soumis à des obligations strictes en termes de protection, destinées à protéger la vie privée des utilisateurs concernés.
En cas de fuite ou de piratage de ces informations personnelles, les sanctions susceptibles d’être appliquées par la CNIL sont particulièrement sévères. Il incombe donc à tous les organismes concernés par le Règlement Général sur la Protection des Données (RGPD) de prendre leurs responsabilités afin d’assurer une protection optimale de ces données. Ces mêmes entités sont également soumises à de nouvelles obligations quant aux droits plus étendus de leurs clients ou usagers concernant leurs informations personnelles.
Qu’est-ce qu’une donnée personnelle ?
Pour saisir quelles sont les obligations en matière de données personnelles induites par le RGPD, il convient de définir ce qu’est une donnée personnelle. Il s’agit de toute information se rapportant à une personne identifiée ou pouvant l’être de manière directe ou non, par un ou plusieurs éléments se référant à son identité. Citons à titre d’exemple un nom, une adresse, un numéro d’identifiant, une photo, une adresse IP, un numéro client, un numéro de téléphone, un numéro de passeport, un profil social ou culturel, etc.
Le cadre juridique du RGPD s’applique à ces données personnelles lorsqu’elles sont collectées, utilisées, transformées, cédées et ce numériquement ou bien sur support papier. Les organismes concernés par le Règlement Général sur la Protection des Données le sont dès lors qu’ils ont à traiter ces données personnelles issues de citoyens ou résidents européens.
En clair, le ou les responsables de traitement agissant au sein de toute entreprise, organisme, association et administration ainsi que leurs sous-traitants (hébergeurs, agences de communication, etc) établis dans l’Union européenne sont concernés par le RGPD. Tout comme les entités établies en dehors de l’UE, mais dont l’activité implique un traitement de données personnelles de résidents européens. À titre informatif, une entreprise dont le siège est basé aux États-Unis, mais qui est amenée à faire usage de données personnelles relatives à des clients européens, doit se soumettre aux normes RGPD.
Les obligations des entreprises, collectivités, administrations et associations
En premier lieu, la désignation d’un délégué est obligatoire pour :
- Les autorités ou les organismes publics,
- Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
- Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
En dehors de ces cas obligatoires, la désignation d’un délégué à la protection des données est encouragée par la CNIL. Le DPO, qui peut être un employé interne tout comme un prestataire externe, doit prendre les mesures nécessaires à la mise en conformité de l’organisme qui l’a désigné. Ces mesures doivent être prises dès la conception du produit ou service.
Les locaux et systèmes d’information recueillant des données personnelles doivent ainsi être sécurisés afin d’éviter que les fichiers concernés soient piratés, endommagés ou bien qu’une tierce personne non autorisée y ait accès.
Dès le début du traitement, le DPO doit s’assurer du respect du principe dit de “minimisation”, c’est-à-dire de veiller à limiter la quantité de données personnelles collectées ou traitées. En effet, le respect de ce principe doit être démontré à tout moment. L’accès aux données personnelles doit être strictement réservé aux personnes concernées ou bien aux tiers qui détiennent l’autorisation d’y accéder (administration fiscale par exemple).
Le DPO doit s’assurer également que l’organisme qui l’a désigné a déterminé une durée raisonnable de conservation de ces informations personnelles et en assurer l’accès immédiat aux personnes concernées, qui ont le droit de les consulter, les modifier, en demander la portabilité, mais également la suppression définitive.