Il s’agit de ne collecter et/ou traiter que les données nécessaires à la finalité spécifique du traitement. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.
Objectifs du RGPD
Le règlement général sur la protection des données (RGPD) est un nouvel ensemble de règles et de directives européennes en matière de protection de la vie privée et de sécurité des données pour les résidents de l’Union Européenne. Il est entré en vigueur le 25 mai 2018.
Son objectif est de renforcer les droits des citoyens sur le traitement de leurs données, en responsabilisant les responsables de traitement et leurs sous-traitants. Le RGPD exige de tous les acteurs qui collectent, traitent, analysent et/ou hébergent des données personnelles une adaptation de leurs pratiques et usages en matière de collecte et de traitement des données personnelles. Il concerne toutes les entreprises et organisations, européennes ou non, du moment qu’elles collectent et traitent des données de citoyens de l’UE. Les contrevenants s’exposent à des sanctions très importantes.
Le RGPD impose de nouvelles procédures de sécurité, de tenue de documents, de droits d’accès et de notification à mettre en œuvre pour assurer la conformité. Cela se traduit par une augmentation des exigences administratives et la nécessité de fournir les outils nécessaires pour répondre aux besoins des contrôleurs et des gestionnaires de l’information.
Nos engagements
Soft Concept s’engage à prendre toutes les mesures nécessaires au respect du RGPD. Nous nous engageons également à assister et conseiller nos clients utilisateurs de nos outils pour les aider à être en conformité avec les dispositions du RGPD dans leurs pratiques de collecte et d’analyse de données.
Dispositions à respecter
1. Obligations du responsable du traitement
Le responsable du traitement doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement des données personnelles est effectué conformément au RGPD. Il s’agit notamment de :
-
Intégrer la protection des données dès la conception et par défaut
-
Tenir un registre des activités de traitement
C’est un document qui rappelle les coordonnées du responsable du traitement, indique les finalités du traitement, les catégories de données personnelles collectées, les personnes concernées, les destinataires de l’information, la durée de conservation et de suppression des données…
-
Contractualiser les relations avec les sous-traitants
Le responsable du traitement ne doit faire appel qu’à des sous-traitants offrant des garanties suffisantes. Un contrat écrit doit lier les deux parties et préciser les devoirs du sous-traitant envers le responsable du traitement. Ce contrat doit notamment préciser ce que deviennent les données à caractère personnel quand le contrat prend fin. Le sous-traitant devra également s’engager à ne faire appel à un autre sous-traitant pour effectuer une partie de sa mission que lorsqu’il a reçu une autorisation écrite préalable du responsable du traitement des données.
-
Veiller au respect du principe d'accountability
Le responsable du traitement doit pouvoir démontrer que les traitements sont réalisés dans le respect du RGPD. Il doit pour cela être en mesure de prouver qu’il a mis en œuvre les mesures techniques et organisationnelles nécessaires comme la pseudonymisation et le cryptage des données personnelles (surtout s’il s’agit de données sensibles), la revue de la politique de confidentialité (analyse des systèmes de traitement des données, mesures pour limiter les risques de fuite…), la mise en place de procédure permettant de vérifier régulièrement l’efficacité des mesures de sécurité, l’inventaire des traitements, la désignation d’un DPO, la formation et la sensibilisation régulière du personnel au nouveau règlement sur la protection des données…
-
Nommer un délégué à la Protection des Données
La nomination d’un DPO (Data Protection Officer) est obligatoire pour les autorités ou organisme publics (à l’exception des juridictions), pour les responsables de traitements qui effectuent un suivi régulier et systématique de personnes à grande échelle, ainsi que pour ceux qui traitent à grande échelles des données sensibles.
-
Mettre en oeuvre et veiller au respect des mesures de sécurité
Le responsable du traitement doit garantir un niveau de sécurité adapté au risque en entreprenant et en vérifiant régulièrement l’application des mesures nécessaires : sécurisation des postes de travail, chiffrement des transferts, sauvegardes quotidiennes, engagements de confidentialité des collaborateurs et prestataires, etc.
-
Veiller au respect des droits des personnes
Le responsable du traitement doit informer les personnes concernées de l’utilisation qui sera faite de leurs données à caractère personnel, recueillir leur consentement exprès avant tout traitement de données, répondre à leurs demandes d’accès, de rectification, effacement, limitation, notification, portabilité ou opposition.
-
Réaliser une étude d'impact préalable pour les traitements sensibles
Lorsque le traitement envisagé porte sur des données sensibles et qu’il serait susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, une analyse d’impact est requise, notamment pour les traitements en masse de données sensibles ou de profilage.
-
Encadrer les transferts de données hors UE vers des pays tiers
Des garanties appropriées doivent être prévues pour certains pays qui ne prévoient pas un dispositif de protection équivalent à l’Union Européenne. Ces garanties permettent par exemple de disposer de droits opposables et de voies de recours. Il s’agit des clauses contractuelles types de la Commission européenne, des “Binding Corporate Rules”, ou encore des codes de conduite.
Définitions importantes
-
Traitement
Il s’agit de toute opération ou tout ensemble d’opérations effectuées sur des données à caractère personnel, quel que soit le procédé utilisé (automatisé, manuel…) : collecte, enregistrement, organisation, conservation, modification, communication, interconnexion des données …
-
Données personnelles
Les données personnelles sont définies par l’article 4 du RGPD comme étant « toute information se rapportant à une personne physique identifiée ou identifiable ». Toute donnée assez précise pour permettre de remonter directement ou indirectement à une personne physique déterminée est une donnée personnelle. Il peut s’agir d’un nom, un code, des données de localisation, un identifiant en ligne, une photo, une adresse email, un numéro de téléphone, etc. Le RGPD couvre sans distinction les données personnelles privées, publiques ou professionnelles.
-
Données sensibles
Certaines informations sont classées en données sensibles et exigent des précautions supplémentaires. Il s’agit des informations liées à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale. Il s’agit également des données génétiques, biométriques, de santé ou concernant la vie ou l’orientation sexuelle des personnes. Les condamnations et infractions pénales ainsi que les mesures de sûreté sont également concernées.
-
Responsable du traitement
Le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».
-
Sous-traitant
Le sous-traitant des données traite les données à caractère personnel uniquement pour le compte du responsable du traitement. Il peut s’agir, par exemple, du stockage, sur les serveurs du sous-traitant, des données personnelles traitées par le responsable du traitement.
2. Obligations du sous-traitant
A la différence du responsable du traitement, le sous-traitant ne définit ni la finalité du traitement ni les moyens essentiels du traitement. Il est toutefois tenu à un ensemble d’obligations. Il doit notamment :
-
Ne pas sous-traiter sans autorisation
Le sous-traitant des données ne peut recruter un autre sous-traitant ou nommer un sous-traitant conjoint pour effectuer une partie de sa mission que lorsqu’il a reçu une autorisation écrite préalable du responsable du traitement des données.
-
N'effectuer des traitements que sur instruction
Le contrat doit stipuler que le sous-traitant ne doit traiter les données à caractère personnel que sur instruction documentée du responsable du traitement.
-
Engager son personnel à la confidentialité
Les personnes autorisées à traiter les données à caractère personnel doivent s’engager formellement à respecter la confidentialité ou être soumises à une obligation légale appropriée de confidentialité.