Le Règlement général sur la protection des données fixe un cadre strict et contraignant dans l’optique de favoriser le respect des données personnelles. Pour s’y conformer, les entreprises doivent adopter certains réflexes préalables afin de faciliter leur mise en conformité. Découvrez les 6 actions à entreprendre pour réaliser la transition.
1. Définir une finalité à la collecte de données
Comme le dispose l'article 4 de la loi relative à l'informatique, aux fichiers et aux libertés, les données « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ». Elles doivent également être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ». Autrement dit, la collecte, l'usage et le traitement des données personnelles doivent être effectués dans un but précis : on parle de finalité.
La finalité désigne l'utilisation qui est faite d'une donnée ou d'un ensemble de données. Inscrite au sein du registre des activités de traitement, cette finalité est essentielle car elle présente 4 rôles principaux.
- La définition de la finalité : l'objectif fixé doit être déterminé, légitime et explicite. De plus, il doit être facilement compréhensible et en accord avec les missions de l'entreprise (gestion de la clientèle, promotion interne, etc.).
- Le respect de la finalité : les données ne peuvent être utilisées que pour l'objectif qui a été préalablement fixé. Elles ne peuvent pas servir à une autre finalité.
- La pertinence de la collecte : vous ne pouvez collecter que les informations qui sont utiles à l'atteinte de la finalité définie. Les autres données ne peuvent donc pas être recueillies.
- La durée de conservation : l'objectif permet de déterminer la durée de conservation des données personnelles. Par exemple, il pourra être prévu leur suppression une fois la finalité atteinte.
2. Informer les personnes et être transparent
Les articles 12, 13 et 14 du RGPD imposent aux organisations une transparence sur les données collectées, permettant aux personnes concernées :
- d'être informées du motif du recueil des informations ;
- de comprendre le traitement qui est fait de leurs données ;
- de pouvoir faire valoir leurs droits sur leurs données.
Quand informer les personnes de la collecte de leurs données ?
Les organisations doivent informer les individus dans deux situations spécifiques.
- Lors de la collecte directe des informations : vous devez informer les personnes lorsque vous collectez directement leurs données (via un formulaire par exemple) ou lorsque leurs informations sont obtenues via des dispositifs spécifiques (tracking, vidéosurveillance, etc.).
- Lors de la collecte indirecte des informations : les personnes doivent aussi être informées lorsque vous récupérez des données par une voie tierce, notamment auprès d'un partenaire commercial ou par le biais d'une information en libre accès.
Bon à savoir : l'organisation doit aussi informer les personnes concernées en cas de modification spécifique liée à l'usage des données. C'est le cas notamment si les informations servent désormais une nouvelle finalité.
Quelles informations communiquer ?
Quel que soit l'objet de la collecte de données, l'entreprise doit obligatoirement communiquer plusieurs informations, dont :
- l'identité et les coordonnées de l'entreprise ;
- les finalités visées ;
- le fondement légal permettant le traitement (consentement par exemple) ;
- le caractère obligatoire ou facultatif de la transmission des informations ;
- les destinataires des informations ;
- la durée de conservation ;
- les droits des personnes (accès, rectification, réclamation, etc.) ;
- les coordonnées de l'éventuel DPO (délégué à la protection des données) ou, en son absence, un autre contact.
Bon à savoir : dans certaines situations, d'autres informations devront être communiquées. C'est le cas notamment si le recueil des données est rendu obligatoire par la réglementation ou pour la signature d'un contrat.
3. Respecter les droits des personnes
Les personnes dont les données sont collectées disposent de 6 droits principaux. L'organisation doit leur permettre de pouvoir les exercer et, lorsqu'elles le font, leur fournir une réponse sous un mois.
- Le droit à l'information : finalité de la collecte, destinataire des données, droits... les personnes doivent disposer d'une information claire et compréhensible, et ce, avant la collecte.
- Le consentement : les individus doivent exprimer librement et explicitement leur consentement à la collecte et au traitement de leurs données, et ce, avant le recueil. Le consentement peut par exemple être exprimé via le fait de cocher une case dans un formulaire.
- Le droit d'opposition : les individus doivent pouvoir refuser que leurs informations soient utilisées, notamment à des fins commerciales. Ce droit ne s'applique cependant pas si la collecte est rendue obligatoire (pour les impôts par exemple).
- Le droit d'accès : les individus peuvent demander à consulter l'ensemble des informations les concernant et à connaître l'origine des données. Elles peuvent également en obtenir une copie.
- Le droit de rectification : les personnes concernées peuvent également demander à ce que leurs données soient rectifiées, complétées, actualisées ou encore supprimées. La demande peut être formulée par écrit ou directement au sein des locaux de l'organisation.
- Le droit à la portabilité : s'ils le souhaitent, les individus peuvent enfin obtenir les informations les concernant et les transmettre à une autre organisation (lors d'un changement de mutuelle par exemple).
Lire notre article dédié sur le droit des personnes vis à vis de leurs données personnelles
4. Définir des durées de conservation des données
Les informations ne peuvent pas être conservées à vie : une durée de conservation doit être fixée au regard de la finalité visée. Pour la déterminer, l’entreprise peut s’appuyer sur le cycle de vie des données, pouvant prévoir 4 étapes spécifiques.
- L'usage en base active : durant cette période, l'organisation a une utilisation courante des informations collectées dans l'optique d'atteindre la finalité visée.
- L'archivage intermédiaire : lorsque l'objectif n'est plus visé, car il est atteint par exemple, les données peuvent encore être conservées. C'est le cas notamment si les informations présentent encore un intérêt ou si leur conservation résulte d'une obligation légale (conservation des factures pendant 10 ans par exemple).
- L'archivage définitif : certaines données peuvent être archivées indéfiniment, notamment si cela représente un intérêt public. Cela concerne principalement les informations collectées par le secteur public.
- L’effacement : si l'archivage intermédiaire ou définitif ne présente pas d'intérêt, l'organisation doit procéder à l'effacement des informations si celles-ci ne servent plus aucun intérêt. Charge à l'entreprise de définir la durée nécessaire à l'atteinte préalable de la finalité.
Bon à savoir : l’archivage intermédiaire et l’archivage définitif ne sont pas systématiques. Leur usage doit être rendu nécessaire par un objectif précis.
5. Assurer la sécurité des informations collectées
Comme le dispose l'article 32 du RGPD, « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Pour respecter cette obligation, la Cnil dresse 17 étapes pour assurer la sécurité des données personnelles au quotidien :
- sensibiliser les utilisateurs ;
- authentifier les utilisateurs ;
- gérer les habilitations ;
- tracer les accès et gérer les incidents ;
- sécuriser les postes de travail ;
- sécuriser l'informatique mobile ;
- protéger le réseau informatique interne ;
- sécuriser les serveurs ;
- sécuriser les sites web ;
- sauvegarder et prévoir la continuité d'activité ;
- archiver de manière sécurisée ;
- encadrer la maintenance et la destruction des données ;
- gérer la sous-traitance ;
- sécuriser les échanges avec des tiers ;
- protéger les locaux ;
- encadrer les développements informatiques ;
- chiffrer, garantir l'intégrité ou signer.
En savoir plus sur la sécurité des données personnelles dans le cadre du RGPD
6. Garantir la conformité au RGPD dans le temps
L'atteinte de la conformité à un instant t n'est pas une fin en soi : l'organisation doit veiller au quotidien à rester conforme aux directives de la RGPD. Cela impose plusieurs missions :
- s'assurer que toutes les équipes veillent au bon respect de la protection des données ;
- vérifier que les mesures mises en œuvre sont appliquées ;
- vérifier que les actions adoptées ne sont pas obsolètes ;
- réaliser une veille réglementaire pour anticiper tout éventuel changement ;
- adapter les procédures le cas échéant.
Lire aussi : ce que change le RGPD pour les professionnels