A propos du RGPD

RGPD, le Règlement Général de la Protection des Données : qui n’en a pas entendu parler !

Deux précisions qui ont peut-être leur importance :

– Une grande partie des dispositions du RGPD existaient déjà avant, et même bien avant, la mise en place de ce dispositif.
– Si le RGPD a fait beaucoup de bruit et coulé beaucoup d’encre autour des données numériques il peut être important de rappeler qu’il en va de même de la protection des données consignées sur des supports plus classiques, ou pourrait-on dire aujourd’hui plus archaïques tels que le papier.

 

Voté par l’Union Européenne en 2016 pour une entrée en vigueur au printemps 2018, ce règlement a pour objectif de définir le cadre juridique de la protection des données personnelles collectées, stockées et gérées par des entités publiques ou privées.

Comme c’était le cas avant son entrée en vigueur, la CNIL est l’organisme chargé de la gestion du RGPD en France.

 

Qu’appelle-ton une « Donnée Personnelle » ?

C’est une information qui concerne une personne physique à titre individuel et va pouvoir servir à l’identifier : son nom, son prénom, son adresse, etc….

Si certaines données sont indispensables pour entretenir une relation, nom, téléphone, adresse postale ou messagerie électronique, d’autres sont considérées sensibles, relevant de l’intime, orientation sexuelle, sensibilité religieuse, appartenance politique. Elles n’ont dans la grande majorité des cas pas lieu d’être collectées et si tel doit être le cas, cela ne peut se faire sans une déclaration écrite, voire l’autorisation explicite de la CNIL.

 

Quelles structures concernées par le RGPD ?

Toutes celles qui collectent des données de ressortissants européens. On pense tout de suite à la « méchante » entreprise, bien-sûr concernée quelle que soit sa taille et même si elle est étrangère, mais il en est vrai aussi de la « gentille » association ou encore de tout organisme public.

 

Les principes du RGPD

Ils sont au nombre de quatre :
– Le consentement
– Le droit des personnes
– La transparence
– La responsabilité


Mise en oeuvre du RGPD

Toute entité qui collecte des données personnelles doit être en mesure de prouver le consentement par les intéressé.e.s des données collectées.
Le RGPD fait une distinction entre les données collectées entre professionnels (BtoB) et les données collectées à des fins commerciales (BtoC) ou autres.
Certaines entreprises peuvent rencontrer en interne les deux cas de figure et doivent alors mettre en oeuvre une organisation distincte pour chacune de ces deux catégories de données collectées.
La transparence implique de fournir des informations claires sur le type de données stockées et la manière dont elles seront utilisées, ce qui bien souvent fait appel à des bandeaux avec cases à cocher avant de pouvoir naviguer librement sur un site internet.

 

Droits des personnes physiques

Un droit d’accès aux données collectées. Ce droit doit être « facilité » et en aucun cas « entravé ».
L’utilisateur peut aussi faire valoir son droit à l’oubli, un droit à la limitation du traitement des données ainsi qu’un droit à la portabilité des données. 
Ces différentes possibilités varient selon les cas, les entités collectrices, les raisons et les finalités. Il y a tellement de cas possibles, et probablement à venir…., qu’il est difficile de tout évoquer ici.

 

 

Une illégalité toutefois assez répandue à laquelle il est facile de s’opposer

Il n’est pas rare en effet d’arriver sur un site qui impose l’acceptation de cookies via une formule assez confuse si l’on veut aller plus loin. Cela est parfaitement illégal et passible d’une amende en cas de plainte auprès de la CNIL.

 

Les mesures de sécurité

Un DPO doit être désigné (Data Protection Officer). A défaut c’est le responsable juridique de l’entité concernée qui endosse la responsabilité dans le cadre du RGPD.
Les mesures de sécurité imposent un encadrement et une information des procédures, y compris avec les sous-traitants et partenaires impliqués dans les opérations qui conduisent à la collecte des données concernées par le RGPD
Il faut toutefois relativiser…. Les exigences à ce niveau ne sont pas les mêmes pour un plombier qui collecte en local les seules adresses de ses clients pour envoyer ses voeux de bonne année et une société commerciale d’envergure qui surfe avec les données sensibles pour atteindre son maximum de performance en s’aidant des technologies les plus abouties de marketing digital (qui derrière de jolis noms pompeux dissimulent de façon à peine voilée des méthodes qui relèvent des pire services secrets d’intelligence avec l’ennemi)

RGPD

En savoir plus sur le RGPD

CNIL

RGPD en six étapes

Ministère de l'Economie

Un mode d'emploi pour la mise en oeuvre du RGPD

Arnaque RGPD !

Professionnels : gare aux démarchages abusifs

Commentaires

mood_bad
  • Pas de commentaire pour l'instant
  • Ajouter un avis