RGPD – Partie 2 : Les 5 règles et principes clés à connaître et à appliquer !
RGPD & traitement des données : les principes clés
Le RGPD vous paraît bien compliqué ? Pas de panique ! WS est là pour vous éclairer.
Entre bonnes pratiques, réflexes clés et grands principes, WS vous dévoile les 5 Règles d’or du Règlement Général de la Protection des Données !
Au programme, nous parlerons de :
- Finalité de traitement de données
- Licéité de traitement de données à caractère personnel
- Conservation limitée des données personnelles
- Suivi & Sécurisation des activités de traitement de données
- Transparence & Droits des personnes concernées !
A savoir : En France, tous les principes RGPD sont organisés par la CNIL (Commission Nationale de l’Information et des Libertés).
Au coeur du RGPD : la finalité du traitement de chaque donnée
Un principe essentiel dans le respect du RGPD : lafinalité du traitement doit être précise, pré-déterminée et limitée.
La finalité ? C’est l’objectif qui motive la collecte, l’enregistrement, l’exploitation et le croisement des données pour vos activités. Toute collecte doit répondre à des objectifs légitimes et clairement définis, de façon simple et compréhensible par vos utilisateurs.
En pratique, ça signifie que chaque donnée collectée doit être récoltée dans un but précis, à présenter et justifier auprès des personnes concernées ! Cette pratique assurera à vos utilisateurs que leurs données ne seront pas utilisées à tort et à travers, en dehors de la finalité à laquelle ils ont consenti (vu, lu et accepté) au départ.
Et qu’est-ce-qui va de pair avec le principe de finalité ? Le principe deminimisation des données !
Minimiser ? C’est ne collecter que les données dont on a vraiment besoin en s’assurant de leur exactitude (et de leur mise à jour 😉 ) !
Les données collectées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire » à la finalité définie pour chaque collecte.
Concrètement, demandez-vous si les données ont un lien direct avec l’objectif que vous poursuivez (contre exemple : la situation familiale lors d’un entretien d’embauche n’a rien à voir avec les compétences d’une candidate!).
En bref : ne pas céder à la curiosité (ou à la récolte compulsive de données ;)) et s’en tenir à l’essentiel !
Licéité du traitement – les bases légales reconnues par le RGPD
Connaître les principes de base liés à la finalité du traitement c’est bien, mais comprendre les bases légales pour construire votre conformité RGPD, c’est mieux !
Alors, quelles sont les bases légales prévues par le RGPD ?
Le RGPD vous permet de fonder vos collectes & traitements de données personnelles sur l’une des 6 bases légales prévues par son article 6 (RGPD, Chapitre II, Art. 6) Voici les 5 bases légales les plus couramment invoquées :
- Le consentement : l’utilisateur a donné son accord (libre, consenti & éclairé) pour récolter et traiter ses données en lien avec la finalité énoncée ;
- Le contrat : les données sont récoltées et traitées dans le cadre de la préparation ou de l’exécution d’un contrat passé avec l’utilisateur (par exemple : les CGV acceptées par votre utilisateur lors de la souscription à un service)
- L’intérêt légitime : les données sont récoltées et traitées pour poursuivre des intérêts légitimes pour votre structure (statistiques, objectifs commerciaux…), dans le strict respect des droits et intérêts de vos utilisateurs web.
- La mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public (définie par un texte de loi nationale ou internationale);
- L’obligation légale : les données sont récoltées pour répondre à une obligation légale (imposition, recensement, autres…).
À garder en tête : Une finalité et une base légale à la fois !
Chaque récolte & traitement de données personnelles doit avoir sa finalité et sa base légale propre. Il n’est pas possible de « cumuler » des bases légales pour une même finalité : il faut en choisir une seule.
RGPD & données collectées : bonnes pratiques
Durée de conservation limitée – Définir un temps d’utilisation des données personnelles collectées
Quelle que soit la base légale choisie pour justifier le traitement de vos données, veillez toujours à suivre le principe de limitation de conservation des données collectées !
Car oui : nos données doivent elles aussi avoir une date de péremption à respecter !
Conserver indéfiniment les données personnelles ? Impossible ! Une durée de conservation est définie par le responsable de traitement, en fonction de l’objectif de la collecte de ces données.
Pour chaque traitement de données, vous devez déterminer :
- Une durée de conservation fixe (1 an, 5 ans, 10 ans…)
- Ou le critère (le plus objectif possible, donc quantifié et fiable) pour déterminer la durée de conservation (exemple : remplissage d’un objectif quantifié et réalisable, temps d’une relation contractuelle, etc.)
À savoir : dans certains cas, la loi définit cette durée de conservation limitée.
Un cas concret qui pourrait vous intéresser ? La conservation des données d’un prospect pour votre offre de produits / services ! La loi fixe le délai de conservation maximale à 3 ans, à compter du dernier contact réalisé avec le prospect en question.
Passé ce délai, les données doivent être archivées, suppriméesouanonymisées.
Suivi & Sécurisation des données exploitées
Une fois n’est pas coutume – Quelle que soit la durée de conservation définie pour vos données, 2 exigences s’imposent à vous : celle de soigneusement consigner, suivre & sécuriser les donnéesque vous récoltez et exploitez.
- Sécurisation & Confidentialité des données : vous devez assurer la sécurité des locaux et des systèmes d’information de votre structure. La protection de l’intégrité et de la confidentialité des données doit être la plus optimisée possible ! Le B.A-BA ? Contrôler l’accès de chaque base de données grâce à un système de mots de passe et de droits d’accès dédiés.
- Suivre la collecte & l’exploitation des données, grâce au registre de traitement: en tant que responsable de traitement, vous devez construire et tenir un registre des activités de traitement effectuées sous votre responsabilité. Ce suivi des activités est à effectuer par votre Délégué de la Protection des Données (ou DPO), à nommer en tant que référent(e) sur les questions de conformité RGPD.
Besoin d’être accompagné(e)s sur la conception de votre registre de traitement & sur les questions liées au RGPD ? N’hésitez pas à nous solliciter, nous sommes là pour vous guider !
Transparence & Respect des Droits des utilisateurs
On ne le répètera jamais assez : avant toute chose, pour respecter l’esprit RGPD, la transparence est la clé ! L’obligation de transparence de l’information est un principe fondamental du RGPD.
Vous devez informer de manière licite, loyale et transparente vos utilisateurs sur le traitement de leurs données. N’oubliez pas de les informez également sur la façon dont ils peuvent exercer leurs droits, pour pouvoir décider si oui ou non, ils vous confieront leurs données. Vous trouverez tous les détails concernant les droits de vos utilisateurs directement dans notre prochain article !
En suivant ces principes et bonnes pratiques, pas de doute, vous construisez pas à pas votre conformité RGPD !
Rappel – les 4 piliers du RGPD :
1 –Finalité & Minimisation des données– Ne collecter que les données vraiment nécessaires: quels sont vos objectifs ? Quelles données sont vraiment pertinentes, indispensables pour les remplir ?
2 – Transparence – Informer les utilisateurs sur la collecte et l’utilisation de leurs données : quelles données sont collectées ? Dans quel but ? Qui gère la collecte et le traitement de ces données ?
3 – Droits – Connaître & respecter les droits des personnes sur leurs données
4 – Confidentalité & Sécurité – Mettre en place un accès contrôlé aux données collectées, des dispositif de sécurisation adaptés à la sensibilité des données traitées
Sources, pour en savoir plus :
Rendez-vous sur le site de la CNIL ou auprès de votre agence web préférée !
- Petit bonus, notre article sur la conformité RGPD est en ligne !