Faites le point sur la sécurité des données personnelles : le RGPD

8/4/2019

RGPD : mais qu'est-ce que c'est ?

Les acronymes envahissent depuis longtemps nos vies, cela ne vous a pas échappé...

Celui-ci est important, que ce soit dans le cadre de la communication numérique, mais aussi dans la gestion de toutes les données personnelles que vous pourriez conserver sur papier également :

Règlement Général sur la Protection des Données.

A quoi sert le RGPD ?

Le RGPD est un règlement Européen qui fait suite à de longues années de travail : la première réflexion avait donné naissance à une Directive Européenne (95/46/CE) pour la création d'un socle commun à tous les pays de l'Union Européenne en matière de protection des données.

La loi "Informatique et Libertés" qui existait en France depuis le 6/1/1978 a donc été totalement refondue dès 2004, et c'est là qu'il a été question pour la première fois des "données à caractère personnel", y compris pour les fichiers "papier".

C'est en octobre 2016 que la loi "pour une république numérique" a été votée et que que le RGPD a été adopté.
La mise en application du RGPD est effective depuis le 25 mai 2018.

Il garantit un niveau de protection maximal à la vie privée et aux libertés des personnes.

Pour s'assurer de l'application du RGPD, 3 acteurs complémentaires sont sollicités :

La CNIL
Le Comité Européen de la Protection des Données
La Cour de Justice de l'Union Européenne

Qui est concerné par l'application du RGPD ?

Tout le monde, dès lors que vous utilisez des données personnelles : micro-entrepreneur, PME, association, privé, public. Quel que soit l'organisme concerné, il faudra identifier clairement un Responsable de Traitement des Données.

Qu'est-ce qu'une donnée à caractère personnel ?

Toute information se rapportant à une personne physique identifiée OU identifiable.
Ex. : nom, prénom, email nominatif, photo, n° client, n° de téléphone, date de naissance, hobbies, nom d'employeur, adresse, sexe...

Qu'est-ce qu'un traitement de données ?

Toute opération ou tout ensemble d'opérations comme : collecte, enregistrement, structuration, conservation (hébergement), transmission, modification, extraction, communication, mise à disposition, rapprochement, consultation.

Les 5 critères d'un bon RGPD

Pour répondre au RGPD, il faut notamment :

Définir un objectif à la collecte de vos données (appelé "finalité") : gestion du recrutement, fichier clients, etc... Il ne faudra surtout pas le détourner de son but premier sous peine de lourdes sanctions. S'il existe plusieurs finalités à votre collecte de données, la personne devra pouvoir choisir librement pour lesquelles elle donne son accord.
Obtenir le consentement des personnes dont vous collectez les données (article 4-11 du RGPD) : par contrat, par formulaire internet, etc.
Mettre clairement en avant, pour vos contacts, plusieurs informations : l'identité du responsable de traitement (par exemple, chez Secrétariat Excellence, c'est moi), la finalité du traitement (ex. : envoi d'une newsletter), les catégories de données collectées (nom, prénom, mails, etc.), l'existence d'un droit de retrait du consentement, et si c'est le cas, le fait que les données peuvent faire l'objet d'un transfert hors Union Européenne.
Minimiser les données dont vous avez besoin et ne pas récolter celles qui ne vous serviront pas. Par exemple, au lieu de demander des dates de naissance dans un questionnaire, contentez-vous de préciser des tranches d'âges.
Vous assurer de leur exactitude (article 5.1d du RGPD), donc veiller à leur mise à jour.

S'il vous faut ne retenir qu'une règle dans l'immédiat, c'est bien celle du consentement : il doit être éclairé, libre, univoque, c'est-à-dire sans aucune ambiguïté. La preuve du consentement doit être faite grâce à un registre de consentement (article 7-1 du RGPD).

Durée de conservation

Le RT doit définir une durée fixe de conservation des données personnelles recueillies, et ce, dans le cadre du "droit à l'oubli" (sauf si durée définie dans un cadre contractuel).

Ensuite, vous devrez soit effacer les données, soit les anonymiser, soit les archiver.

La CNIL préconise 3 ans de conservation pour les données relatives à un prospect (non client), à compter de leur collecte ou du dernier contact émanant de ce dernier.

Obligation de sécurité
Bien entendu, il va de soi que "le responsable de traitement met en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque". Article 32-1 - RGPD.

En clair, il faut s'assurer de la confidentialité, de l'intégrité et de la disponibilité des données.

Les droits des personnes et responsabilité des acteurs

Toute personne dont les données personnelles ont été recueillies dispose de droits fondamentaux :

Droit d'accès à ses informations pour les modifier, les contrôler, les effacer ;
Connaissance de la finalité de leur récolte ;
À qui s'adresser pour toute question à ce sujet (identité, Responsable Traitement) ;
Possibilité d'introduire une réclamation auprès d'une instance compétente (CNIL par exemple).

Responsabilité des acteurs

N'oubliez pas de tenir un registre des activités de traitement dont la CNIL propose un modèle, voire de proposer à vos salariés ou pour vous-même de vous certifier auprès d'organismes compétents.

Enfin, il vous est tout à fait possible de créer un code de conduite ou une charte informatique.

Vous l'aurez compris, la protection des données est un enjeu majeur pour tous, afin d'éviter piratage, détournement, atteinte à la vie privée.

C'est bon pour vous qui êtes chef d'entreprise, employeur, président d'association, mais aussi pour vous-même, en tant qu'individu qui avez également transmis des informations un peu partout....

N'hésitez pas à consulter l'excellent site de la CNIL : www.cnil.fr, où les informations seront bien sûr beaucoup plus approfondies.

Vous pouvez également vous inscrire à leur atelier dédié au RGPD : https://www.cnil.fr/fr/la-cnil-lance-sa-formation-en-ligne-sur-le-rgpd-ouverte-tous. C'est une formation que j'ai suivie et à l'issue de laquelle une attestation vous sera délivrée, comme la mienne.