Recherche

DossierRGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données

Publié par Bénédicte Gouttebroze le

3 - Les obligations des entreprises en matière de traitement des données personnelles

Le RGPD renforce certaines obligations déjà existantes en matière de protection des données personnelles, et en crée de nouvelles. Voici un aperçu des grands principes abordés par le règlement, et de leurs implications pour les organisations qui doivent se mettre en conformité.

  • Imprimer

La loi Informatique et libertés se basait sur du déclaratif initial et des contrôles ponctuels. Le nouveau règlement européen remplace cette obligation de déclaration par une obligation de prouver à chaque moment que l'entreprise protège les données.

Pour être en conformité avec le RGPD, les entreprises doivent respecter dans leurs traitements les grands principes de la dataprotection, dont beaucoup étaient déjà présents dans la loi Informatique et libertés. Le RGPD vient renforcer les droits des personnes dont les données personnelles sont collectées.

Les 8 grands axes de la protection des données

Le cabinet Staub & Associés a identifié 8 grands principes de la dataprotection, qui sous-tendent le RGPD. Voici une présentation synthétique de ces derniers.

  • Principe de loyauté: tout traitement de données personnelles doit être légal et transparent aux yeux de la personne concernée, ce qui signifie pour l'entreprise une obligation d'information renforcée: la personne concernée doit recevoir une information poussée sur les données collectées, qui précisera chacune des finalités poursuivies par la collecte, ainsi que les droits dont dispose la personne sur ses données. Le consentement express aux traitements de ses données doit être recueilli.
  • Principe de proportionnalité: une donnée personnelle ne peut être collectée que pour une finalité précise, expresse et légale. La donnée ne peut donc pas être collectée "par défaut", elle doit être pertinente par rapport à la finalité envisagée. Si des données personnelles sont collectées de manière superflue, il y a manquement au principe de proportionnalité. D'où la nécessité de définir précisément la finalité de la collecte.
  • Principe de minimisation: seules les données strictement nécessaires à la finalité poursuivie pourront être collectées. Dès lors, il est nécessaire de supprimer les données non pertinentes. Une obligation à prendre en compte avant la mise en place des outils de traitement!
  • Principe de réactivité: les données personnelles conservées doivent être exactes, précises et actuelles. Ce qui nécessite donc de les tenir à jour. Par ailleurs, le responsable du traitement des données est tenu d'informer les personnes concernées en cas de violation de leurs données personnelles (art. 34 du RGPD).
  • Principe de sécurité: le respect de la confidentialité des données personnelles doit se traduire par ma mise en place de dispositifs et procédures de sécurité, tant du côté du responsable du traitement que de ses sous-traitants. Ce qui nécessite de faire travailler ensemble les services juridiques et techniques. La démarche de privacy by design (voir ci-dessous) introduite par le RGPD rend cette obligation de sécurité structurelle.
  • Principe de conservation limitée: le règlement interdit de conserver indéfiniment les données personnelles. La durée de conservation choisie doit être justifiée par la finalité du traitement. Les données qui ne sont plus utilisées doivent donc être supprimées.
  • Principe d'information: les personnes dont les données personnelles ont été collectées disposent de droits spécifiques: accès à l'information, rectification, effacement, portabilité... Elles peuvent les faire valoir à tout moment.
  • Principe de territorialité: si l'entreprise envisage de faire sortir en dehors de l'espace européen les données personnelles de personnes résidant en Europe, des précautions complémentaires sont nécessaires. Elle devra notamment solliciter le consentement des personnes concernées. Par ailleurs, il sera nécessaire de créer un hub technicojuridique assurant aux données le même niveau de protection qu'en Europe.

4 nouveautés introduites par le RGPD

Le règlement européen de protection des données personnelles introduit plusieurs principes totalement nouveaux dans la gestion des données. En voici une brève présentation.

  • Principe de coresponsabilité: désormais, ce n'est pas le seul "responsable du traitement" qui est juridiquement responsable des données. Les sous-traitants et prestataires de l'entreprise peuvent également assumer une responsabilité directe. Le responsable du traitement doit s'assurer de la conformité de ses fournisseurs, et les responsabilités sont distribuées en fonction de la mainmise de chacun sur les données.
  • La démarche de privacy by design: les données personnelles devront être identifiées directement en tant que telles dans le système afin de limiter leur accès. C'est donc dès la conception intellectuelle et technique des traitements que cette notion doit être intégrée. Le privacy by design doit donc être traduit en dur dans le code source des outils utilisés par l'entreprise.
  • La démarche de security by default: par défaut, les données doivent être discriminées pour n'utiliser que celles qui sont strictement nécessaires à la finalité poursuivie. Ainsi, les outils doivent être conçus de façon à discriminer les données selon les traitements et habilitations, pour répondre à cette obligation.
  • La démarche d'accountability: le responsable du traitement doit disposer de registres décrivant tous les traitements appliqués aux données, afin de pouvoir démontrer à tout moment que la protection des données personnelles au sein de sa structure est optimale.

Sur le même sujet

S'abonner
au magazine
Retour haut de page