fiche
La protection des données personnelles en six points
Le règlement européen général sur la protection des données (RGPD), applicable depuis le 25 mai 2018 dans tous les pays de l'Union européenne, pose un nouveau cadre juridique en matière de protection des données personnelles des citoyens européens, afin de répondre aux nouvelles réalités du numérique. Voici, en 6 points, comment être en conformité avec les nouvelles règles de protection des données.
Avec l’entrée en vigueur du RGPD le 25 mai 2018 qui complète la loi Informatique et libertés du 6 juin 1978, la création et le traitement de données personnelles (nom, prénom, adresse, numéro de téléphone, photo, adresse IP, numéro de carte d’identité, données bancaires lors d’un paiement en ligne, etc.) sont soumis à de nouvelles obligations à la charge des entreprises afin d’accorder des droits plus étendus aux personnes dont les données sont collectées. Ces règles s’appliquent lorsque les données sont utilisées, conservées ou collectées numériquement ou sur papier.
Ces obligations se déclinent en six points distincts et concernent à la fois les responsables de traitement (entreprises) et leurs sous-traitants (hébergeurs, intégrateurs de logiciels, etc.).
A noter : l’entreprise doit désigner un délégué à la protection des données si son activité principale amène un suivi régulier et systématique de personnes à grande échelle.
Avant toute collecte et utilisation de données personnelles, le responsable de traitement doit précisément annoncer aux personnes concernées ce à quoi elles vont lui servir (mise en place d’un fichier clients, par exemple). Cet objectif doit respecter les droits et libertés des individus. Il limite la manière dont le responsable pourra utiliser ou réutiliser les données dans le futur.
Les données doivent être traitées de manière licite, loyale et transparente. Elles ne peuvent être collectées sans l’accord de l’individu concerné.
Seules les données strictement nécessaires à la réalisation de l’objectif poursuivi par le fichier peuvent être collectées : c’est le principe de minimisation de la collecte des données. Le responsable de traitement ne doit donc pas collecter plus de données que ce dont il a vraiment besoin et doit pouvoir démontrer à tout moment la conformité à l’objectif poursuivi.
Des règles particulières existent pour les données dites « sensibles » (comme les données médicales, par exemple). La méthode de traitement doit donc être différente entre les données ordinaires et les données sensibles.
La durée de conservation des informations
Les données personnelles ne peuvent pas être conservées de façon indéfinie dans les fichiers informatiques : une durée de conservation raisonnable doit donc être déterminée par le responsable du traitement des données en fonction de l’objectif ayant conduit à la collecte de ces données (sauf si un texte impose une durée précise).
Par exemple, la CNIL recommande que les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans soient supprimées. Par ailleurs, lors d’un achat sur internet, les coordonnées de la carte bancaire du client ne peuvent être conservées que le temps de réalisation de l’opération de paiement.
La sécurité des fichiers
L’entreprise doit prendre les mesures de sécurité des locaux et des systèmes d’information nécessaires pour empêcher que les fichiers ne soient déformés, endommagés ou que des tiers non autorisés y aient accès. Par mesures de sécurité, on entend la mise en place par le responsable informatique de mots de passe, de cryptage des données, etc.
Ces mesures de sécurité doivent être déterminées en fonction des risques pesant sur la vie privée des personnes concernées par les fichiers (sensibilité des données, objectif du traitement…).
L’entreprise doit prendre les mesures nécessaires pour éviter la divulgation des données qu’il a collectées à des tiers non autorisés. Ainsi, l’accès aux données doit être réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts, par exemple).
Droit à l’information
Les personnes ont un droit d’accès à leurs données et peuvent les rectifier et s’opposer à leur utilisation.
Sur demande, l’entreprise qui détient des données personnelles doit informer la personne concernée avec les éléments suivants :
- identité du responsable du fichier ;
- finalité du traitement des données ;
- caractère obligatoire ou facultatif des réponses ;
- droits d’accès, de rectification, d’interrogation et d’opposition ;
- les obligations induites par les transmissions des données.
Par ailleurs, l’exploitant de données personnelles (un commerçant en ligne, par exemple) doit respecter certaines obligations et notamment :
- recueillir l’accord des clients ;
- informer les clients de leur droit d’accès, de modification et de suppression des informations collectées ;
- veiller à la sécurité des systèmes d’information ;
- assurer la confidentialité des données ;
- indiquer une durée de conservation des données.
Droit à la portabilité des données
Toute personne peut récupérer, sous une forme réutilisable, les données qu’elle a fournies et les transférer ensuite à un tiers.
Droit à l’oubli
Toute personne a droit à l’effacement de ses données et au déréférencement (droit de demander à un moteur de recherche de supprimer certains résultats associés à ses noms et prénoms).
Droit à notification
En cas de violation de la sécurité des données comportant un risque élevé pour les personnes, le responsable du traitement doit les avertir rapidement (sauf dans certaines situations). Il doit également le notifier à la CNIL dans les 72 heures.
Droit à réparation du dommage matériel ou moral
Toute personne qui a subi un dommage matériel ou moral du fait de la violation du règlement européen RGPD peut obtenir du responsable du traitement (ou du sous-traitant) la réparation de son préjudice.
Commentaires :