De quoi s’agit-il ?

Le Règlement Général de Protection des Données (RGPD), entré en application le 25/05/2018, est un texte réglementaire européen encadrant le traitement des données égalitairement dans toute l’UE.

Quel est le but du RGPD ?

Le RGPD, s’inscrivant dans la loi de 1978 « Informatique et Libertés » modifié en 2018 par la loi relative à la protection des données personnelles, a trois objectifs :

• Renforcer les droits des personnes
• Responsabiliser les acteurs traitant des données
• Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.

Qu’est-ce qu’une donnée personnelle ?

La Commission Nationale de l’Informatique et des Libertés (CNIL) défini une donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable » catégorisé en deux types :

• Identification directe : nom, prénom etc.
• Identification indirecte : identifiant, numéro, etc.

Qui est concerné par le RGPD ?

Structure privée ou publique, quel que soit le domaine d’activité et sa taille, si elle effectue une collecte et/ou traitement de données le RGPD s’applique et doit être respecté car celle-ci.

Le RGPD concerne tous les organismes au sein du territoire de l’UE mais aussi les structures qui visent directement les résidents de l’UE par leur activité.

Ce règlement doit être appliqué par les établissements collectant et/ou traitant des données personnelles pour le compte d’un autre, c’est le cas pour les activités de sous-traitance.

Comment respecter le RGPD ?

La CNIL détermine six grands principes du RGPD permettant d’appliquer la RGPD :

• Collecter uniquement les données strictement nécessaires à l’activité ou à l’objectif de la collecte
• Être transparent sur le but et l’utilisation des données : l’individu dont les données personnelles sont collectées doit savoir à quelles fins elles seront utilisées.
• L’exercice des droits des personnes doit être organisé et facile d’accès : l’individu doit pouvoir modifier, consulter, annuler ou s’opposer au traitement de ses données de façon claire et rapide. Seul le traitement des données relevant d’une obligation légale ne peut être contesté.
• La durée de conservation des données : elle doit être clairement indiquée et respecter un temps de conservation en accord avec leur utilité. Une fois ce délai passé les données doive être détruites, anonymisées ou archivées en respect des obligations légales de conservation.
• Garantir la sécurité des données et identifier les risques qu’ils soient physiques ou informatiques
• Veiller à rester continuellement en conformité avec la protection des données personnelles.