Les points clés à vérifier pour être conforme au RGPD

By 20/01/2022 mai 11th, 2022 Business, Uncategorized
5 min read
Le RGPD, règlement général sur la protection des données, renforce la protection des données personnelles des citoyens au sein de l’Union européenne à travers trois objectifs : l’uniformisation européenne de la réglementation sur la protection des données, la responsabilité des entreprises et le renforcement du droit des personnes.  
Le RGPD s’applique à toute organisation qui traite des données personnelles, qu’elle soit publique ou privée, dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible des résidents européens. Découvrez quelles sont les 6 points clés à vérifier pour être conforme au RGPD.
Qu’est-ce-qu’une donnée personnelle  

Une donnée personnelle est toute information qui se rapporte à une personne physique identifiée (directement avec nom, prénom ou indirectement avec un numéro identifiant ou une donnée génétique par exemple) ou identifiable (à partir d’une seule donnée comme le numéro de sécurité sociale ou à partir d’un croisement de données). 

Pour traiter ces données, une entreprise doit avoir un objectif légal et légitime au regard de l’activité exercée. Par exemple, une entreprise comme Amazon ne peut pas demander le numéro de sécurité sociale à ses clients car elle n’en a pas besoin par contre, pour effectuer une livraison il est indispensable quelle ait un nom et une adresse. 

Pour être conforme au RGPD, il est important de vérifier quatre points pour protéger des données personnelles.  

4 points qu’une entreprise doit vérifier pour être conforme au RGPD 

 

 Utiliser et traiter des données personnelles pour réaliser un objectif  

Lorsqu’une entreprise collecte des données, celle-ci va inscrire un fichier dans le registre des activités de traitement en indiquant une finalité qui doit être compatible avec ses activités. Il est interdit de collecter ou traiter des données au cas où celles-ci seraient utiles plus tard, chaque traitement doit être assigné à un objectif. Cette finalité doit être respectée tout au long de la construction et de l’utilisation du fichier. Elle permettra également à une entreprise de collecter uniquement les données nécessaires.  

Être transparent et respecter les droits des personnes 

Pour être conforme au RGPD, celui-ci impose une information transparente, compréhensible et accessibles aux personnes concernées. Pour cela, ils doivent être informés de l’utilisation qui sera faite de leurs données ainsi que des différents droits dont ils disposent : la modification, correction ou opposition à tout moment aux données collectées.  

Pour permettre aux personnes d’exercer leurs droits, une entreprise doit organiser des modalités pour expliquer clairement la procédure à suivre pour exercer ces droits et répondre dans les meilleurs délais aux demandes. Par exemple, une adresse email dédiée doit être créée.  

On retrouve souvent les données relatives à ces collectes dans les mentions légales. 

Déterminer une durée de conservation 

Une entreprise ne peut pas conserver les données personnelles indéfiniment, celles-ci doivent être conservées le temps nécessaire à la réalisation de l’objectif poursuivi, on parle de cycle de vie de la donnée. Le responsable du fichier doit déterminer cette conservation en fonction de la finalité du traitement. Le cycle de vie se déroule en trois étapes :  

  • La conservation dans une base active : il s’agit ici de la durée nécessaire à la réalisation de l’objectif, ces données vont être accessibles pour les services en charge de ce traitement. Par exemple, un service de ressources humaines peut conserver les données de candidats pendant deux ans maximum pour les opérations de recrutement, sauf si le candidat demande l’effacement de ses données ; 
  • L’archivage intermédiaire : si les données ne sont plus utilisées pour atteindre l’objectif, mais quelles ont quand même un intérêt pour l’entreprise ou une obligation légale, elles pourront être consultées ponctuellement par des personnes spécifiques. Par exemple, les données de facturation doivent être conservées dix ans ; 
  • L’archivage définitif : les données n’ont plus de valeur ou d’intérêt, ces informations doivent être archivées de manière définitive. 

 

La CNIL a élaboré un guide pratique sur les durées de conservation, n’hésitez pas à le consulter.

Sécuriser les données et identifier les risques 

Si les données collectées sont divulguées, déformées, endommagées ou que des tiers disposent d’un accès non autorisé, cela peut avoir un impact important sur la vie privée de ces personnes c’est pourquoi, le responsable du fichier doit prendre des mesures nécessaires pour garantir la sécurité des données. Pour déterminer des mesures face à ces risques, le responsable du fichier va devoir agir en sauvegardant régulièrement les données, contrôler les accès, gérer les violations de données et réduire les vulnérabilités des logiciels, du réseau et des matériels.  

Les mesures sont adaptées en fonction du risque qui pèsent sur les personnes en cas d’incident ou de la sensibilité des données. 

De plus, de nombreuses entreprises font appel à des sous-traitants pour traiter des données personnelles, ainsi, ils ont l’obligation de garantir la protection des données qui leurs sont confiées. Par exemple, Mailchimp, la plateforme qui gère des newsletters, va avoir accès aux bases de données de ses clients ; toutes les entreprises qui travaillent avec Mailchimp sont responsables de ces données et doivent s’assurer qu’elles ne seront jamais utilisées à des fins commerciales.  

 

Pour conclure, le RGPD est devenu indispensable au sein d’une organisation et dans toute l’Europe pour protéger au maximum les données personnelles des personnes. La CNIL, commission nationale de l’informatique et des libertés, s’assure que ce règlement est respecté et sanctionne toutes les organisations qui ne le respecte pas, c’est d’ailleurs le cas de Google qui, le 31 décembre 2021, a été sanctionné pour un montant total de 150 millions d’euros car il n’est pas permis aux utilisateurs de refuser les cookies.  

Toutes les pratiques liées à ces données personnelles représentent une véritable révolution car les entreprises sont aujourd’hui obligées de repenser leurs processus internes. Tous les sites qui utilisent des données personnelles doivent se déclarer à la CNIL.  

 

Contactez-nous !

Thank you!
We got your message
We will answer in the next 24h