Avec le RGPD la protection des données personnelles change de philosophie. D’une obligation déclarative, le nouveau régime juridique se base sur la responsabilité de l’entreprise qui recueille et traite les données. Cette nouvelle philosophie appelle logiquement un nouveau mode organisationnel. Dans le cadre de la nouvelle réglementation, les données personnelles doivent être protégés avec des leurs origines : cela s’appelle le privacy by design. L’idée est que les données personnelles doivent être protégées dès leur conception.

Quelles sont les données concernées par le RGPD ?

le RGPD : une nouvelle manière de gérer les données personnellesDe manière générale, toutes les données se rattachant à une personne identifiable directement ou indirectement sont concernées. Par exemple, le nom et le prénom d’une personne sont des données permettant de l’identifier directement. De la même manière, une adresse IP est vue comme une donnée personnelle dans la mesure où elle permet d’identifier un individu de manière indirecte. Le fait que les données soient chiffrer n’entre pas en ligne de compte.

Les caractéristiques des données personnelles concernées par le RGPD

Les données personnelles que vous récoltez doivent répondre à un certain nombre de caractéristiques.
Les données ainsi récoltées doivent être licite : vous ne pouvez pas récolter n’importe quelle donnée. Vous devez également informer les personnes dont vous récolter les données. Il s’agit de respecter le principe de transparence. Le recueil de ces données personnelles doit être également loyal. Il ne s’agit pas de récolter des données à l’insu de la personne. Autre critère important : la finalité du recueil de données. La finalité doit être déterminée et être explicite : vous récoltez les données dont vous avez besoin pour, par exemple traiter la commande de votre client. La finalité doit également être légitime : vous recueillez une donnée personnelle parce que vous en avez besoin et non pour le plaisir de récolter des données.
Vous devez respecter le principe de minimisation des données récoltées ainsi qu’une limitation de la durée de leur conservation. Il ne faut garder les données que le temps nécessaire.
Par ailleurs ces données doivent être exactes. Enfin les données recueillies doivent bien sûr être stockées en sécurité.

La zone géographique concernée par le RGPD

Les données personnelles concernés par le nouveau règlement sont celles gérées par le responsable ayant son activité dans l’Union européenne ou ayant recours à un sous-traitant au sein de l’Union européenne.
Sont également concernés les données personnelles des ressortissants de l’Union européenne.

Comment gérer les données récoltées ?

RGPD : comment gérer les données personnellesVous devez dans un premier temps cartographier l’ensemble des données personnelles que vous recueillez auprès de vos salariés, de vos clients, de vos partenaires commerciaux etc.
Dans le cadre de cette cartographie vous devez lister les différentes catégories de données traitées ainsi que celle appelant une vigilance particulière. En effet certaines données présentent un risque particulier et nécessitent en conséquence une gestion particulièrement prudente. Il s’agit notamment des données de santé.

Dans le cadre de la cartographie des données personnelles, vous devez mentionner les moyens techniques mis en œuvre pour limiter l’accès aux données. Cela peut notamment passer par la gestion d’autorisations informatiques différentes en fonction des besoins propres à chaque service.
Une fois l’ensemble des données cartographier, vous devez réaliser une étude d’impact pour mesurer le risque de gestion de ces données.
Vous devez également organiser la protection technique des données recueillies. Cela peut passer par un changement organisationnel de votre entreprise. Vous devez également former vos salariés à la bonne gestion des données personnelles qui leurs sont confiées.
Vous devrez enfin documenter la gestion de vos données personnelles. Cela passe par la rédaction de procédures, l’information de vos clients par des mentions figurant notamment dans vos conditions générales de vente, la tenue de registres…
Dans le cadre de la bonne gestion des données personnelles, vous devrez vérifier la bonne gestion de ses données ainsi que la conformité avec le recueil.

Qui est concerné par la gestion des données personnelles ?

Dans le cadre de la mise en place du RGPD vous devrez mettre en place un registre recensant les noms et coordonnées des différents responsables de traitements. Vous pouvez également nommer un délégué à la protection des données. Vous devez également identifier les responsables des services traitant les données : le directeur financier, le directeur commercial…

Où se situent les données personnelles ?

Dans le cadre de la cartographie des données personnelles, vous devez savoir où sont entreposées physiquement les données. L’objectif est d’en garantir la sécurité. Le transfert des données hors de l’union européenne est possible sous réserve que leur hébergement garantisse le même niveau de sécurité qu’au sein de l’Union européenne.

La durée de conservation des données personnelles

Dans le cadre de la cartographie des données personnelles, vous devez définir jusqu’à quand vous devez conserver ses données.L’idée est d’ici de minimiser autant que possible la durée de conservation. Vous ne devez pas conserver de données personnelles au-delà de la période nécessaire.

Le droit à la portabilité

Le RGPD ouvre un nouveau droit aux personnes dont les données ont été récoltés. Il s’agit de la portabilité des données personnelles. En d’autres termes, il sera possible à tout un chacun de demander à une entreprise de lui communiquer les données personnelles qu’elle a sur lui.

Voilà une présentation rapide du nouveau dispositif réglementant la gestion des données personnelles.

Êtes-vous prêt ?

RGPD : à quoi devez-vous vous attendre ?
Tagged on:                         

One thought on “RGPD : à quoi devez-vous vous attendre ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *