Le Règlement Général sur la Protection de la Donnée (RGPD) crée un cadre unifié entre les différents pays de l’Union Européenne. Il institue l’obligation de sécurisation des données personnelles et responsabilise les acteurs traitant ces données :
- Les responsables de traitement (par exemple votre société ou organisation),
- Les sous-traitants (par exemple Sendethic).
Le RGPD assoit l’enjeu central de la finalité de la collecte des données personnelles, de la transparence des fins visées, des usages des données et de leur délai de conservation par le Responsable de traitement. Les relations entre responsables de traitement et les sous-traitants sont aussi abordées; le RGPD crée une responsabilité partagée quant aux méthodes de sécurisation mises en place à l’évaluation et au suivi de ces méthodes. Le RGPD vise finalement à crédibiliser la régulation grâce à des sanctions renforcées et à une coopération accrue entre les autorités de protection des données (la CNIL en France), qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux.
Le Règlement 2016/679 est constitué de 99 articles applicables à partir du 25 mai 2018.
Quelques définitions utiles à la compréhension du RGPD
Qu’est-ce qu’une donnée à caractère personnel ?
« Toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale».
M. Dupond, résidant au 3 rue des Lilas à Paris ayant pour adresse mail Dupond@hotmail.fr : Ce sont des données personnelles permettant d’identifier directement ou indirectement M. Dupond.
Qu’est-ce qu’un traitement de données ?
« Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction».
Exemple : Vous collectez l’adresse mail, le nom et le prénom d’une personne pour lui envoyer des informations sur votre organisation ? Vous réalisez un traitement de données.
Qu’est-ce qu’un responsable de traitement ?
« La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre ».
Exemple : Vous collectez des données personnelles et vous décidez de les utiliser pour envoyer des communications à vos contacts / prospects / clients / … ? Vous êtes responsable de traitement.
Qu’est-ce qu’un sous-traitant ?
« La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. »
Exemple : Vous utilisez un routeur professionnel (comme Sendethic) / un logiciel de CRM en ligne ?… Ceux-ci sont des sous-traitants.
Qu’est-ce que la responsabilisation ?
Ce principe (aussi nommé « accountability ») désigne « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. » Ainsi, c'est au responsable de traitement de démontrer qu'il est en conformité avec le RGPD des la mise en place de ses traitements.
Qu’est-ce que la protection des données dès la conception et par défaut ?
Ces principes (aussi nommé « Privacy by design and default ») désignent la mise en place par les entreprises de mesures techniques et organisationnelles. Celles-ci garantissent aussi bien la protection des données, que le respect du règlement et les droits des personnes. Vous devez garantir que vous avez, et ce dès la conception de votre traitement, prévu de protéger les données, de respecter les droits des personnes quant à leurs données personnelles (Droit à l' information, accès, rectification, opposition, limitation, portabilité, oubli).
Appréhender le RGPD
- Introduction et définitions utiles,
- Les bases légales justifiant un traitement,
- Les droits des personnes concernées,
- La durée de conservation des données,
- Les obligations de responsable de traitement,
- Sendethic participe de votre conformité,
- La charte interne de protection des données personnelles,
- La prospection par email,
- Le consentement d'une personne et les manières de le documenter.