Hot News

Le traitement des données personnelles : comprendre les enjeux du RGPD

Le traitement des données personnelles : comprendre les enjeux du RGPD<br />

Le RGPD ou le règlement général de protection des données est entré en application le 25 mai 2018. Ce texte européen a pour vocation de renforcer la protection des données personnelles. Il est venu compléter la Loi Informatique et Libertés de 1978.

Présentation du Règlement Général de protection des données (RGPD)

Pour commencer cet article, il nous semble important de faire un rappel de ce qu’est la RGPD. Ce texte de loi a pour objectif premier de protéger les informations personnelles des citoyens européens. En effet, pour différents usages ou créations de compte sur certains sites internet par exemple, les utilisateurs sont invités à renseigner des informations dont certaines à caractère personnel. Nous verrons dans un second temps le détail exact de ce qu’est une donnée personnelle. Ces informations à caractère personnel sont stockées et conservées, et jusqu’alors, il n’était pas toujours possible de s’assurer et de vérifier le bon usage de ses données. 

Le RGPD est un texte de loi demandant aux entreprises d’être transparentes quant à l’usage des données d’un individu (utilisateurs, clients, prospects, salariés etc). Ce texte de loi permet également de s’assurer que l’utilisateur a bien transmis son consentement quant à l’utilisation des informations qu’il a renseignées. Il permet d’instaurer un climat de confiance avec les personnes et de responsabiliser les entreprises détentrices des données.

Capture-decran-2024-03-05-a-12.31.44

Le RGPD est un règlement Européen. Il doit s’appliquer sur tout le territoire de l’Union Européenne. Il convient également de rappeler qu’en cas de non conformité RGPD, les entreprises s’exposent à des sanctions pécuniaires pouvant aller jusqu’à 4% du chiffre d’affaires annuel. 

Bien comprendre le RGPD : Qu’est-ce qu’une donnée personnelle ?

Les données personnelles

Une donnée personnelle est une information qui est en lien avec une personne identifiée ou identifiable. Il peut s’agir de :

  • Nom et Prénom
  • Un numéro d’identifiant
  • Un numéro de téléphone
  • Un numéro de sécurité social
  • Un ADN
  • Un groupement de donnée tels que la date de naissance, l’adresse mail et l’adresse postale

Afin que cela soit plus parlant, la CNIL a réalisé une infographie pour représenter un groupement d’information qui constituent des données personnelles. Vous pouvez la consulter ci-dessous.

Capture-decran-2024-03-05-a-12.40.18

 

Les données sensibles

Il existe également un niveau supérieur aux données personnelles, nous les appelons les données sensibles. La CNIL les définit de la manière suivante : 

“Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.“

Source : https://www.cnil.fr/fr/definition/donnee-sensible 

Lorsque ce type de données est récoltée et stockée, une AIPD, analyse d’impact relative à la protection des données, peut s’avérer obligatoire à partir du moment où le traitement de ces données est “susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées”.

    Trois grands principes de la protection des données personnelles

    La protection des données personnelles est un sujet datant de la Loi Informatique et Libertés et qui a, comme nous l’avons vu précédemment, été renforcée par le RGPD. Afin de bien comprendre l’enjeu de cette protection, voici ci-dessous quelques grands principes de cette protection des données.

    Finalité et pertinence de la récolte des données personnelles

    Les données personnelles recensées doivent être expliquées de manière claire et doivent avoir une utilité très précise et définie. Si nous prenons pour exemple un formulaire de contact, il faut éviter de demander une date de naissance si celle-ci n’a pas d’utilité pour traiter la demande de l’utilisateur. La protection des données personnelles permet de limiter la quantité d’informations personnelles récoltées  quand celles-ci ne sont pas nécessaires. Il convient également d’expliquer précisément à quoi vont servir les données, comment elles vont être traitées et stockées et pendant combien de temps. Dans le cadre d’un site internet, il convient de faire apparaître ces informations dans la page dédiée aux données personnelles : Les politiques de confidentialité ou sous un formulaire de contact directement. Plus globalement, des mentions d’informations doivent être accessibles dès qu’il y a un traitement de données personnelles.

    Droits des personnes

    Ici il s’agit de ne pas récolter de données sans l’accord préalable des utilisateurs. Il convient également de laisser la possibilité aux utilisateur de pouvoir exercer les droits suivant : 

    • le droit d’accéder à leurs données,
    • le droit de les rectifier,
    • le droit de les supprimer.

    Dans le cadre d’un site web, il faut prévoir un contact facilement accessible vers lequel l’utilisateur pourra se tourner pour appliquer ses droits et demander de rectifier des informations stockées ou de les supprimer.

    Lorsqu’une personne demande un droit d’accès, un délai maximum est défini pour répondre à sa demande. Un mois maximum pour une demande simple, 8 jours maximum pour une donnée de santé ou encore 3 mois maximum pour une demande comprenant beaucoup de données. Il est possible de refuser ce droit d’accès dans le cas où la demande serait infondée.

    Durée limitée des données

    La durée de conservation des données va dépendre du cadre et de l’objectif de l’utilisation de ces données, on parle ici de cycle de vie de la donnée. Une fois que la donnée n’est plus utile, elle doit être archivée. Pour fixer cette durée, il est recommandé de faire appel au responsable du traitement des données de l’entreprise afin de pouvoir fixer les objectifs en fonction du type d’information récoltée.

    Quelques exemples de délai de conservation maximum en fonction des données

    • Données d’un prospect stockées dans le but d’une prospection commerciale : 3 ans maximum à compter du dernier contact 
    • Données d’un client stockées suite à un achat : 3 ans maximum après la dernière commande
    • Bulletins de paie d’un ancien salarié : 5 ans après la date de son départ
    • Conservation d’un CV suite à une réponse négative : 2 ans 
    • Certains documents comptables : peuvent se conserver jusqu’à 10 ans

    Pratico-pratique : la conformité RGPD pour un site internet

    Site vitrine et RGPD

    Dans le cadre d’un site internet vitrine, les mentions légales minimum obligatoires sont: 

    • Des mentions CNIL à faire figurer sous le formulaire de contact avec la demande de consentement
    • L’affichage d’un contact pour que les utilisateurs puissent exercer leur droit de rectification et de suppression.
    • Une page de mentions légales qui doit contenir obligatoirement les informations suivantes : 
      • Identité de l’entreprise
      • Numéro d’immatriculation au RCS
      • Contact de l’entreprise propriétaire du site
      • Numéro d’identification à la TVA
      • Identité de l’hébergeur
      • Si vous exercez une activité réglementée et soumise à autorisation (pharmacie ou débit de boissons, par exemple) : nom et adresse de l’autorité qui a délivré l’autorisation.

    Dans le cas où votre site dépose des cookies, il est nécessaire d’afficher le bandeau de consentement des cookies afin de l’informer avant qu’il ne navigue sur le site.

    Site ecommerce et RGPD

    Dans le cadre d’un site de vente en ligne, il convient d’apporter une vigilance particulière à la sécurité des données, en plus du minimum obligatoire vu précédemment concernant les sites vitrines. 

    La CNIL recommande trois grandes règles

    • Sécuriser l’ensemble du parcours de vente, ce qui passe, entre autres, par : 
      • la mise en place d’un protocole https
      • la mise en place d’un système de paiement sécurisé
      • imposer la création d’un mot de passe complexe lors de la création du compte client
      • ne pas conserver les données bancaires du client (les données bancaires font partie des données sensibles)
    • Une politique de confidentialité facilement accessible et complète ainsi qu’un accès aux conditions générales de ventes.
    • Un accès à la rectification et suppression des données

    Pour aller plus loin – Se mettre en conformité RGPD

    Pour aller plus loin en ce qui concerne ce règlement général de protection des données, il est vivement conseillé de se rendre sur le site de la CNIL. Il met à disposition l’ensemble des éléments relatifs au RGPD. 

    Pour aller plus loin en ce qui concerne ce règlement général de protection des données, il est vivement conseillé de se rendre sur le site de la CNIL. Il met à disposition l’ensemble des éléments relatifs au RGPD.<br />
Pour lire le texte de loi : https://www.cnil.fr/fr/reglement-europeen-protection-donnees<br />
Pour comprendre : https://www.cnil.fr/fr/comprendre-le-rgpd<br />
Pour agir : https://www.cnil.fr/fr/me-mettre-en-conformite<br />
    Share This