Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans moins de trois mois, le 25 mai 2018. Vous ne vous sentez pas prêts ? Voici quelques règles simples à appliquer afin de se conformer au plus vite au RGPD.
1- Comprendre la philosophie du RGPD
Bien que composé de 88 pages, le RGPD n’est pas que nouveauté. En effet, la plupart des lignes directrices ne font que reprendre ou renforcer les actuelles dispositions présentes dans la loi Informatique et Libertés de 1978 modifiée par la directive de 1995.
A notre sens, il s’agit avant tout de comprendre l’essence même du RGPD, quel est son objectif.
Le but du RGPD est de responsabiliser davantage les entreprises et de redonner confiance aux utilisateurs sur l’usage qui est fait de leurs données.
Responsabilisation ? Oui, la protection des données n’est pas du coup par coup mais bien un processus continu. Nous passons donc d’une logique de déclaration préalable à une logique de mise en conformité en continue.
Il s’agit aussi de donner davantage de droits aux particuliers qui bénéficient ainsi de nouveaux droits et d’une meilleure information sur l’usage qui est fait de leurs données. L’esprit du RGPD est d’œuvrer vers plus de transparence et de respect des droits des personnes.
2- Comprendre ce qu’est une donnée et qui est concerné
Une donnée à caractère personnel est définie comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
Concrètement, il peut s’agir de nom, prénom, adresse email, numéro de téléphone, numéro de sécurité sociale, données de géolocalisation,… De manière générale tout ce qui permet d’identifier une personne physique.
Le RGPD a vocation à s’appliquer lorsqu’une organisation effectue un traitement de données à caractère personnel (il peut s’agit de la collecte, conservation, modification, enregistrement,…) qui vise des résidents de l’Union Européenne. Il y a donc deux critères :
1) Un traitement.
2) Visant des résidents de l’Union Européenne.
Concrètement, l’organisation n’a pas à être établie dans l’Union Européenne pour être concernée dès lors que des résidents UE sont visés.
Il n’y a pas de critères de taille ou de secteur, le RGPD s’applique à tous les organismes, privés comme publics, start-up ou grande entreprise,…
Avant de mettre en place des actions, il est primordial de comprendre l’essence même du Règlement et pourquoi ces actions doivent être mises en place.
3- Quelques exemples d’actions à mettre en place
- Informer les utilisateurs et obtenir un consentement non équivoque
L’utilisateur doit obtenir une information claire et transparente sur l’utilisation qui est faite de ses données, afin qu’il puisse donner son consentement de manière éclairée et non équivoque.
Le consentement est la pierre angulaire du Règlement. Tout traitement doit obtenir le consentement de l’utilisateur.
Concrètement, cela se traduit par deux actions principales :
– Cartographier l’ensemble des données traitées dans son organisation afin de savoir quelles données sont collectées, pour quelles finalités, pour quelle durée afin de pouvoir délivrer une information transparente aux utilisateurs.
– Rédiger des mentions d’information à l’attention des utilisateurs comprenant la finalité du traitement, l’auteur de la collecte, la durée de conservation. Il convient aussi d’informer les utilisateurs sur leurs droits : droit d’accès, de rectification, d’opposition.
– Bannir les cases d’information pré-cochées et permettre à l’utilisateur de retirer son consentement aussi facilement qu’il l’a donné.
- Assurer une documentation justifiant de la conformité au RGPD et une protection continue des données : l’organisation doit à tout moment être en mesure de prouver qu’elle est respectueuse du RGPD. Cela se traduit notamment par les faits suivants :
– Être en mesure de répondre aux sollicitations des personnes concernant leurs données (adresse de contact dédié, mesures techniques permettant d’accéder aux demandes des personnes,…)
– Prouver que le consentement a été obtenu
– Créer un registre des activités des traitements de données. Ce registre contient un certain nombre d’informations sur les finalités du traitement, la durée de conservation, le responsable du traitement,…
- Trier les bases de données : supprimez les données obsolètes (un fichier de prospect datant de plus de trois ans par exemple), archivez de manière sécurisée les données à conserver sur la base d’une obligation légale (des factures correspondant à une prestation terminée)
- Protéger et sécuriser les données : le Règlement indique que les données doivent être traitées de façon à garantir leur sécurité, ce qui comporte la prise de mesures techniques ou organisationnelles appropriées, y compris pour protéger les données contre leur traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts, même d’origine accidentelle.
Claire SAMBUC 