Le règlement général sur la protection des données (RGPD) est un règlement de l’UE qui garantit la protection du droit fondamental des personnes à la vie privée. Le RGPD impose aux entreprises de protéger la vie privée et les données personnelles des citoyens de l’UE lors de toute transaction au sein ou en dehors de l’Union européenne.
Au Royaume-Uni, ce règlement a conduit à l’évolution de la loi sur la protection des données (2018). La DPA qui contrôle la façon dont le gouvernement, les entreprises et les organisations utilisent les informations personnelles obtenues des sujets. En raison de la lourdeur de l’amende, toute organisation détenant et traitant des données de clients doit connaître le contenu de la loi. Cet article démystifie le contenu du RGPD européen, les règles de traitement des données et fournit une liste de contrôle rapide pour vous aider à vous mettre en conformité.
Historique, signification et mission du règlement général sur la protection des données (RGPD)
Le règlement général sur la protection des données est un règlement de premier plan. Parmi la liste des cadres de conformité que tout propriétaire de site web ou organisation qui collecte et traite des données personnelles doit respecter. Il vise à donner aux individus le contrôle de leurs données et à limiter et minimiser leur utilisation à des fins légales.
Néanmoins, le droit à la vie privée est un droit humain fondamental. L’article 8 de la Convention européenne des droits de l’homme stipule que “toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.” . En raison de sa grande importance, l’UE a adopté différentes réglementations pour protéger la vie privée de ses citoyens. Le règlement général sur la protection des données a remplacé la directive sur la protection des données (officiellement la directive 95/46/CE), promulguée en 1995. Bien qu’il ait été créé en avril 2016, le nouveau règlement sur la protection des données n’est entré en vigueur que le 25 mai 2018. Dans sa forme originale, le Règlement général sur la protection des données [également écrit sous le nom de Règlement (UE) 2016/679] contient 99 articles répartis en 11 têtes de chapitre.
Définitions importantes dans le RGPD
Avant d’aller plus loin, il est crucial de comprendre certains termes clés utilisés dans l’article 4 du RGPD :
- Données personnelles : Il s’agit de tout élément d’information lié à une personne physique identifiable. Qui est techniquement désignée comme la “personne concernée”. Les données personnelles comprennent le nom, le numéro d’identification et les données de localisation. Elles comprennent également l’identification en ligne, notamment l’adresse IP, les données des cookies et d’autres données web.
- Traitement : se réfère à toute opération qui émet des données personnelles ou des ensembles de données personnelles. Le traitement (des données) comprend la collecte, l’enregistrement, le tri ou l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la divulgation (par transmission), la diffusion, le rapprochement, la combinaison, la restriction ou l’effacement des données.
- Responsable du traitement : désigne une personne, un service ou une autorité publique qui détermine la finalité et la procédure du traitement des données.
- Processeur : Un sous-traitant est une personne ou un groupe qui traite des données pour le compte et à la demande du responsable du traitement.
- Consentement : désigne une indication informée, librement donnée et sans ambiguïté de l’acceptation au traitement de données à caractère personnel.
- Selon le règlement, la personne concernée peut indiquer son consentement au traitement de ses données par une déclaration ou une action claire et affirmative.
- Violation de données personnelles : désigne la violation de la sécurité entraînant une divulgation non autorisée, une destruction, une perte ou un accès illicite de données personnelles.
Quel type de données le RGPD protège-t-il ?
Toutes les données ne tombent pas sous le coup du règlement européen sur la protection des données. Toutefois, le règlement couvre des ensembles de données saillants. Il serait préférable de s’inquiéter des catégories d’informations suivantes en tant que contrôleur ou processeur de données.
- Informations d’identité primaires, telles que le nom, l’adresse et les numéros d’identification
- Données biométriques, par exemple, les images faciales
- Adresse IP, localisation, données des cookies et quelques autres données liées au web
- Données de santé (révélant l’état de santé physique ou mentale, ainsi que la fourniture de services de santé)
- Données génétiques
- Informations raciales
- Orientation sexuelle
- Orientation politique
Quels sont les principes de la protection des données ?
Le règlement général sur la protection des données énonce six grands principes pour guider le traitement licite des données personnelles. Il s’agit des principes suivants
1er principe
Les données sont collectées dans un but explicite, précis et légitime. Selon la Convention de l’Union européenne sur les droits de l’homme, la vie privée est un droit humain fondamental. Les données personnelles sont une extension de cette vie privée et doivent être traitées avec un sens élevé des responsabilités. C’est pourquoi un des principes de la protection des données est que les collecteurs de données doivent obtenir les données des personnes à des fins légales et spécifiées.
Ainsi, avant d’extraire des données, vous devez dire aux clients à quelles fins votre organisation utilisera ces informations et vous assurer qu’une telle finalité est légale, c’est-à-dire tenable en vertu de la loi. Il est important de savoir que vous n’avez pas le droit de traiter des données à des fins autres que celles que vous avez indiquées au moment de la collecte des données. Le RGPD stipule que les données doivent être limitées à la finalité pour laquelle elles sont collectées.
2ème principe
Les données doivent être traitées de manière licite, loyale et transparente. Un principe fondamental de la protection des données est la transparence. En tant que principe de la protection des données, la transparence stipule que tout élément d’information adressé à la personne concernée ou au grand public doit être clair, concis et facile d’accès. Ces informations peuvent être accompagnées d’une visualisation si cela peut faciliter la compréhension.
En tant que collecteur de données transparent, vous devez faire savoir aux personnes concernées potentielles que vous collectez des données les concernant. En plus de divulguer la collecte des données, vous devez indiquer en termes clairs la base juridique de l’obtention et du traitement des données ainsi obtenues. Pour être équitable avec les personnes concernées, vous devez leur communiquer les règles, les risques et les garanties liés à ce processus ainsi que les droits dont elles disposent sur leurs données.
3ème principe
Les données doivent être pertinentes, adéquates et limitées à ce qui est suffisant pour atteindre la finalité pour laquelle elles sont traitées. Dès que cette finalité est atteinte, il n’est pas éthique de traiter les données pour d’autres raisons.
4ème principe
Les données doivent être exactes et mises à jour. Les données inexactes aux fins du traitement doivent être rectifiées ou effacées sans délai.
5ème principe
Les données doivent être conservées aussi longtemps que nécessaire et sous une forme permettant d’identifier les sujets aux fins prévues.
6ème principe
Les données sont traitées d’une manière qui garantit la sécurité contre le traitement non autorisé et la perte ou la détérioration accidentelle.
Une liste de contrôle rapide de la conformité au RGPD
À ce stade, vous devriez vous demander “comment me conformer au RGPD ?”. Vous pouvez mettre en place certaines choses pour éviter l’amende excessive que la violation du RGPD attire. Toutefois, les conseils suivants sont les plus importants pour parvenir à la conformité au RGPD.
1. Identifier les données et enregistrer les activités liées aux données
Votre première étape vers la conformité au RGPD consiste à identifier le type de données personnelles que vous détenez, à les documenter et à tenir un catalogue précis de ces données. Le catalogage initial vous aide à déterminer les données sensibles sous votre contrôle, l’endroit où ces données sont stockées, leur source, le traitement que vous effectuez sur ces données et les personnes qui y ont accès. Conformément à l’article 30 du règlement général sur la protection des données, nous vous conseillons vivement de tenir un registre des activités de traitement des données qui doit être mis à la disposition des autorités sur demande. Ce registre des activités de traitement doit détailler les catégories de données, le groupe de personnes concernées, la finalité du traitement des données et les destinataires des données traitées. Ne pas tenir de registre des activités de traitement peut coûter jusqu’à 10 millions d’euros d’amende ou 2 % du chiffre d’affaires annuel de votre entreprise.
2. Simplifier la procédure de consentement
Vous devez informer les personnes concernées que vous collectez leurs données et obtenir leur consentement avant de le faire. Une partie de la divulgation de la collecte des données consiste à déclarer la base juridique de la collecte et du traitement des données. En outre, vous devez faire comprendre aux personnes concernées comment vous avez l’intention de traiter leurs données, de les conserver à long terme, et si vous partagez ou non les données des clients avec des tiers. Le RGPD exige que le consentement au traitement des données soit spécifié, clairement formulé et librement donné. En plus de rendre le consentement simple à comprendre, votre organisation doit s’assurer que le retrait du consentement est facile à suivre.
3. Mettre en place un système d’information sur la vie privée
Afin de garantir que les données des personnes sont bien protégées et sécurisées, les responsables du traitement des données sont tenus de mettre en place des mesures pour faciliter la mise en œuvre des principes de protection des données. Concevoir un système d’information en tenant compte de la vie privée est une solution viable. Un bon moyen d’y parvenir est de s’assurer que les ensembles de données ne sont pas accessibles au public par défaut et ne peuvent être utilisés pour identifier les personnes concernées.
4. Désigner un “délégué à la protection des données” (DPD)
Avoir un délégué à la protection des données, qui démontre une connaissance professionnelle du droit des données et de la sécurité informatique, est une obligation légale en vertu du GDPR. Cela devient obligatoire lorsqu’une entreprise traite des données personnelles sensibles à grande échelle. Le délégué à la protection des données a notamment pour mission de s’efforcer de se conformer aux lois pertinentes sur les données, de superviser les analyses d’impact sur la protection des données, de former et de sensibiliser les employés à la protection des données, et de coopérer avec les autorités de contrôle.
Conclusion
Le règlement général sur la protection des données est un cadre essentiel pour la confidentialité et la sécurité des données. Comprendre ce qu’il faut faire et ne pas faire est important pour toute organisation qui collecte ces données dans l’Union européenne ou qui traite ou transfère des données en dehors de l’UE. Bien que cet article soit l’un des plus simples qui existent sur le RGPD, sachez qu’il ne remplace pas un avis juridique. Vous aurez peut-être besoin des services d’un avocat qualifié pour comprendre l’aspect juridique des choses et compléter les quelques informations que vous avez obtenues dans cet article. Devenez totalement conforme en suivant les directives internationales sur l’accessibilité du Web.