Si le RGPD est en vigueur depuis presque 4 ans, il reste encore parfois opaque. En effet, il n’est pas toujours simple de décrypter toutes les notions qu’il recouvre ! Voici un tour d’horizon des notions clés à connaître, afin de mieux comprendre ce qui se cache derrière ce règlement qui nous concerne tous.
Les objectifs du RGPD
Le RGPD (Règlement Général sur la Protection des Données) pose un cadre commun à tous les pays membres de l’Union européenne s’agissant de la protection des données personnelles de leurs citoyens. De fait, il harmonise la législation quant à l’utilisation des données privées qui sont collectées par les entreprises, sur le Web et ailleurs. Il renforce ainsi le droit des personnes et accroît la responsabilité des entreprises dans le traitement des données personnelles.
Les notions clés à prendre en compte
Les données personnelles
Leur protection est au cœur même du RGPD. Mais de quoi parle-t-on exactement ? Il s’agit d’une information qui se rapporte à une personne physique identifiée ou identifiable, de manière directe ou indirecte, par un ensemble d’éléments qui lui sont propre. Par exemple, les données nominatives, de localisation, mais aussi à un ensemble d’éléments spécifiques inhérents à l’identité physique, culturelle, génétique, psychique ou sociale. En clair, tout élément qui peut permettre de « remonter » à une personne physique constitue une donnée personnelle.
Le consentement
C’est l’une des notions clés très importante. Chaque utilisateur doit en effet impérativement consentir à ce que ses données soient collectées et utilisées. L’article 4 en pose la définition suivante : « Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Le consentement est la condition sine qua non du traitement des données. A cet effet, le responsable de traitement (c’est-à-dire la personne morale ou physique qui manipule les données) doit en conserver la preuve en cas de contrôle.
La CNIL
La Commission nationale de l’informatique et des libertés (CNIL) est une autorité indépendante. Sa mission est simple : veiller à ce que l’informatique ne porte pas atteinte à l’identité humaine, à la vie privée et aux libertés. Dans le cadre du RGPD, elle possède un rôle de contrôle, d’information mais aussi de sanction en cas de non-respect des règles par les entreprises ou autres organismes qui collectent et traitent des données personnelles.
Le traitement des données
Un traitement de données personnelles est une opération (ou ensemble d’opérations) portant sur des données personnelles. Par exemple, la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, ou encore la transmission. Un traitement doit obligatoirement avoir une finalité déterminée préalablement au recueil des données et à leur exploitation. En clair, les données doivent être traitées dans un objectif bien précis, dont les utilisateurs doivent être informés, avant de donner leur consentement. Un traitement peut être informatisé mais pas seulement : des fichiers ou formulaires papiers organisés et classés constituent également un traitement !
Le Privacy by design
Le Privacy by Design implique une prise en compte de la protection de la vie privée des utilisateurs avant même la conception d’un système impliquant un traitement de données personnelles. Il s’agit là de prévoir dès l’étape de création la façon dont les données seront protégées. De fait, chaque action d’une entreprise impliquant le traitement de données personnelles doit être effectuée en tenant compte de la protection et du respect de la vie privée des utilisateurs. Et ce, à chaque étape de la collecte et du traitement de leurs données.
La mise en conformité
Il s’agit là de s’assurer que vos pratiques sont en règle avec le RGPD. En clair : que le niveau de protection des données que vous traitez est suffisant et adéquat au regard des risques encourus par les personnes concernées.
Notez par ailleurs que la conformité au RGPD n’est pas une certification : il s’agit d’un processus d’amélioration continue au sein de votre entreprise ou organisme !
Le DPO
Le délégué à la protection des données (DPO) conseille et accompagne les organismes qui le désignent, afin de les accompagner dans leur mise en conformité. Sa mission ? Informer et conseiller le responsable du traitement, le sous-traitant et les employés de l’organisation afin de se conformer au mieux au RGPD et aux autres lois de protection des données. Il contrôle également le respect du RGPD au sein de l’organisation. Un acteur clé, qu’il convient de choisir avec soin. Faites appel à un professionnel reconnu !
