{{1}}
1. RGPD définitions importantes
Le Règlement Général sur la Protection des Données (RGPD) fait suite à une décision européenne dont l’objectif est de renforcer la protection des données personnelles en effectuant une mise en conformité.
La mise en conformité au RGPD correspond à la mise en œuvre de moyens et de mesures nécessaires à son respect, c’est-à-dire que les entreprises et organisations soumises au RGPD doivent mettre en œuvre les mécanismes nécessaires au respect des règles relatives au traitement des données personnelles établies par le Règlement.
Le terme “donnée à caractère personnel” correspond à toute information sur une personne physique permettant de l’identifier en application de l’article 4 du RGPD.
Une donnée à caractère personnel se définit comme toute information se rapportant à une personne identifiée ou identifiable. Une personne est considérée comme identifiée lorsque son identification se fait directement, c’est-à-dire par le prénom et le nom ou bien indirectement, c’est-à-dire par un numéro d’identifiant, un numéro de téléphone ou plusieurs éléments créant un faisceau d’indices propres à son identité. Quant à la seconde catégorie, celle de personne identifiable, celle-ci se traduit par la connaissance d’une seule donnée ou bien d’un croisement de plusieurs données.
L’application du RGPD se traduit par l’application de 3 idées : la transparence, le droit des utilisateurs et la responsabilité des entreprises.
La transparence consiste en une indication précise et claire du but engendrant la collecte des données personnelles. Doivent être alors mentionnés le temps de conservation, leur utilisation et les personnes pouvant y avoir accès.
Le droit des utilisateurs concerne le bénéfice du droit d’accès aux données par l’utilisateur. A ce droit, s’ajoute la possibilité de celui d’oubli, d’effacement, de déréférencement mais aussi de portabilité.
Enfin, la responsabilité des entreprises consiste en la mise en place de moyens adéquats à des fins de protection des données personnelles par des mécanismes adéquats tout en justifiant la pertinence des données collectées.
{{2}}
2. Les principes du RGPD
Les principes du RGPD sont au nombre de trois : celui d’accountability dit responsabilité (a), celui de privacy by default dit protection des données par défaut (b) et enfin, celui de privacy by design ou encore principe de portabilité (c).
a. Le principe d’accountability
Les entreprises ou organisations soumises au RGPD ont l’obligation de respecter les règles relatives à la protection des données personnelles sous peine de lourdes sanctions.
Le RGPD a établi plusieurs principes que doivent respecter les entreprises afin d’être en conformité et de pouvoir démontrer leur mise en conformité.
Ainsi, pour être en conformité avec le RGPD, les entreprises ou organisations doivent obligatoirement respecter des principes tels que : le principe d’accountability ou responsabilité.
Cela désigne l’obligation de mise en œuvre des procédures et mécanismes internes qui permettent aux entreprises et organisations concernées par le RGPD de démontrer qu’ils ont bien respecté les règles relatives à la protection des données personnelles des utilisateurs.
En outre, l’obligation de mise en œuvre de procédures et mécanismes internes permet aux entreprises d’une part, de prouver qu’elles respectent les règles relatives à la protection des données établies par le RGPD et d’autre part, de s’assurer que les mesures techniques et organisationnelles soient bien efficaces.
Par ailleurs, les entreprises soumises au respect du RGPD doivent également veiller à ce que les obligations qui découlent du principe d’accountability soient régulièrement mises à jour afin de garantir aux personnes dont les données personnelles sont utilisées un traitement conforme de ces dernières.
Le principe d’accountability s’accompagne de deux autres principes : le principe de privacy by default et de privacy by design.
b. Le principe de “privacy by default”
Le principe de ”privacy by default“ ou protection des données par défaut désigne le fait que le ou les responsable(s) des traitements des données personnelles doivent obligatoirement s’assurer que les données à caractère personnel des personnes utilisatrices de son service sont protégées en leur assurant le plus haut niveau de sécurité de leurs données. Cela en prenant systématiquement des mesures de sécurité et de protection qui peuvent être mises en œuvre soit, de façon systématique soit, de façon ponctuelle lors du traitement des données personnelles.
Le principe de privacy by défault permet de minimiser et encadrer tant en interne qu’en externe l’usage fait par les entreprises et organisations concernées des données à caractère personnel de leurs clients. Tel est le cas pour la documentation technique relative à la conception qui doit impérativement mettre en exergue le respect de la vie privée.
Le principe de privacy by default s’applique seulement lorsque le produit ou le service est communiqué à l’utilisateur.
Dans ce cas, les standards de protection devront être appliqués par défaut c’est-à-dire sans manipulation extérieure afin que seules les données réellement susceptibles d’être utilisées par les entreprises soient collectées et stockées.
Par conséquent, le principe de privacy by default s’étend à la quantité de données personnelles collectées ou encore à l’étendu du traitement des données, la durée de conservation des données ainsi que l’accessibilité de ces données.
c. Le principe de “ privacy by design”
Le principe de “privacy by design” désigne le principe de portabilité des données personnelles des utilisateurs des services de traitement. Selon ce principe, les responsables du traitement des données à caractère personnel doivent obligatoirement mettre en place des règles internes et mettre en œuvre des mesures qui garantissent le respect de la protection des données personnelles.
Ce principe de portabilité a pour but de protéger les données personnelles des individus.
À cet effet, le principe de privacy by design impose aux entreprises utilisatrices de données personnelles d’intégrer cette protection dès la conception du projet relatif au traitement des données personnelles des individus. Cela, afin de minimiser les risques de non-respect des principes relatifs à la protection des données et ainsi, être en conformité avec le RGPD.
Pour ce faire, l’entreprise doit prendre les mesures et mettre en place des techniques organisationnelles adéquates au traitement des données personnelles.
Les mesures et techniques organisationnelles s’apprécient en fonction de la finalité recherchée par l’entreprise en charge de traiter les données personnelles des individus.
En définitive, le principe de privacy by design permet de mettre en place des mesures préventives qui ont pour objectif de limiter les risques d’atteinte au respect de la vie privée et ainsi, éviter aux entreprises ou organisations le paiement d’une amende pour non-respect du RGPD.
Le principe de privacy by design est un régulateur de l’utilisation des données personnelles des usagers des services de traitement de données.
En effet, les entreprises et organisations chargées de traiter des données personnelles ne doivent pas collecter des données personnelles de leurs usagers sans raison légitime. Le RGPD prévoit également la possibilité pour un usager de supprimer ses données de la base de données sur laquelle elles sont conservées lorsque leur stockage n’est pas utile.
Ce principe permet aux usagers d’avoir un certain contrôle sur leurs données personnelles.
Il est question d’inciter les entreprises à adopter des méthodes techniques de protection des données dès la conception des processus de collecte de données dans l’objectif de garantir à leurs usagers que leurs données personnelles sont protégées et sécurisées.
Dès lors, les entreprises concernées doivent respecter un ensemble de règles relatives à la sécurité des données notamment en matière de collecte, de transfert et conservation des données mais aussi, limiter la perte de données personnelles et sensibles afin d’empêcher la survenance d’un dommage dans le but d’obtenir une bonne réputation favorisant l’arrivée de nouveaux acteurs potentiels pour l’entreprise concernée.
En définitive, le principe de privacy design repose sur plusieurs principes :
- La mise en œuvre de mesures préventives afin de prévenir les violations de la protection des données personnelles ;
- La mise en place d’une protection des données personnelles par défaut c’est-à-dire que les entreprises chargées de la protection des données personnelles sont tenues de mettre en place un système de protection implicite et par défaut ;
- Les entreprises doivent protéger les données personnelles de leurs usagers dès la conception des systèmes de protection de la vie privée ;
- Les entreprises doivent garantir la sécurité et protéger la vie privée de leurs utilisateurs tout au long du projet mais également pendant toute la durée de la conservation des données personnelles ;
- Les entreprises doivent également veiller à ce que leurs pratiques soient visibles et restent transparentes ;
- Les entreprises doivent obligatoirement respecter la vie privée de leurs utilisateurs ;
- Elles doivent garantir à leurs usagers une protection optimale de leurs données personnelles ;
Ces éléments sont les fondements du principe de privacy by design et doivent être respectés à chaque étape du processus.
Pour y parvenir le responsable du traitement des données personnelles doit mettre en œuvre les mesures et techniques adéquates lui permettant de garantir le respect du RGPD.
La personne chargée de mettre en place les mesures et techniques adéquates pour respecter le RGPD est le délégué à la protection des données. Ce dernier devra tenir compte du type de traitement et du contexte dans lequel il a été réalisé : nature des données (sensibles ou non), finalités poursuivies et risques qui peuvent peser sur le traitement des données et sur les droits et libertés des utilisateurs.
Par ailleurs, la responsabilité de la protection des données peut aussi incomber à des sous-traitants selon l’article 4 du RGPD “toute personne traitant des données à caractère personnel pour le compte de responsable, ces derniers sont qualifiés de sous-traitant".
En effet, l’article 4 du RGPD prévoit que le traitement des données personnelles peut être effectué par une ou plusieurs personnes désignées qui détermine les moyens de traitement des données.
De plus, la notion de responsables conjoints du traitement des données personnelles est prévue par l’article 26 du RGPD selon lequel en présence de plusieurs responsables, ceux-ci doivent déterminer conjointement les finalités et les moyens mis en œuvre pour le traitement des données.
Par conséquent, les responsables du traitement doivent également définir de manière transparente leurs obligations respectives dans un contrat afin de respecter les règles du RGPD notamment les règles relatives à l’exercice des droits des personnes dont les données personnelles sont traitées.
En somme, les responsables de traitement des données personnelles doivent à la fois mettre en place les mesures nécessaires au respect du RGPD tout en démontrant leur mise en œuvre car le responsable a une obligation de renseignements sur l’ensemble des traitements qu’il effectue.
Bon à savoir :
La CNIL estime que le responsable du traitement des données personnelles doit être autonome dans la mise en œuvre et la gestion du traitement des données.
En appliquant les principes vus précédemment au droit des sociétés, il ressort que les associés d’une société sont responsables du traitement des données qu’ils mettent en œuvre pour la poursuite de leur activité car ils prennent les décisions concernant des fichiers d’adhérents ou membres de l’entreprise chargée du traitement des données personnelles mais également concernant des fichiers de gestion, de ressources humaines et des fichiers relatifs à la paie des employés.
⇢ Afin de faciliter la rédaction de vos registres RGPD, nous mettons à votre disposition gratuitement un modèle personnalisable de registre RGPD.