Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur en mai 2018, a donné aux citoyens européens le pouvoir de contrôler leurs informations personnelles que les entreprises stockent et traitent sans compromis.
Définition
Le RGPD s’applique aussi bien aux organisations basées dans l’Union européenne (UE) qu’à celles situées en dehors de l’UE mais qui vendent leurs biens/services à l’UE, ou qui traitent et/ou détiennent des informations personnelles de citoyens de l’UE. Il s’agit d’un pas en avant pour les individus vers une plus grande transparence et un meilleur contrôle de leurs données personnelles, et pour les entreprises vers une plus grande responsabilisation.
La loi RGPD s’applique aux « données personnelles » (ou donnée à caractère personnel), c’est-à-dire à toute information qui peut être utilisée directement ou indirectement pour identifier l’identité d’une personne. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de Sécurité sociale, d’un e-mail, etc.
Certaines données sont sensibles, car elles touchent à des informations qui peuvent entrainer de la discrimination ou des préjugés :
Une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, une situation médicale ou des idées philosophiques sont des données sensibles. Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la CNIL et dont l’intérêt public est avéré.
Comment se conformer au Règlement Général sur la Protection des Données (RGPD) ?
Pour vous assurer que votre entreprise soit conforme au RGPD, 5 règles majeures à respecter.
- La protection réelle des données, le principe du Privacy by design
- Le consentement du consommateur
- Le vrai droit à l’oubli ou « droit à l’effacement »
- L’accès de l’utilisateur à ses données
- Le délégué à la protection des données – DPO
En d’autres termes :
- Mettez en œuvre le principe du respect de la vie privée dès la conception de votre service.
- Assurez-vous que les clients peuvent facilement mettre à jour leurs informations.
- Mettez en place des procédures pour la portabilité et la gestion des données.
- Supprimez les données qui ne sont pas nécessaires à l’entreprise des clients qui ont cessé d’utiliser vos services.
- Assurez-vous qu’une sensibilisation suffisante est créée au sujet du RGPD dans votre entreprise, en particulier auprès des personnes clés dans le processus décisionnel.
- Ajoutez dans votre politique de confidentialité
- une base juridique expliquant la raison pour laquelle votre entreprise doit traiter des informations personnelles.
- une liste des données personnelles que vous enregistrez
- un aperçu des processus relatifs aux données personnelles auquel le public pourra avoir accès.
- une liste de vos sous-traitants à qui vous transmettez tout ou une partie des données personnelles de vos clients
- Veillez à ce que votre sécurité technique réponde aux normes internationales de conformité.
- Conservez une documentation sur toutes les données personnelles auxquelles vous avez accès, leur provenance et leur utilisation.
- …