Le RGPD est une réglementation européenne instaurée par l’UE le 25 mai 2018. C’est une loi qui vise à responsabiliser les entreprises dont les activités traitent des données à caractère personnel. Elle tend également à renforcer les droits et libertés des utilisateurs. Actuellement, le RGPD s’impose dans tous les organismes et a apporté de nombreux changements dans leurs habitudes. Toutes les entreprises concernées sont tenues de se mettre en conformité au RGPD et doivent respecter tous les principes évoqués dans ce texte.
Comment définir le RGPD ?
Le RGPD ou Règlement Général sur la Protection des Données est entré en vigueur le 25 mai 2018. Cette loi encadre le traitement et la circulation des données à caractère privée sur le territoire économique européen. Depuis sa mise en vigueur, ce nouveau règlement s’applique à toutes les entreprises, quelle que soit sa taille, collectant et traitant des données personnelles et implantées dans le territoire de l’Union européenne.
D’après la CNIL, on considère comme données personnelles : « toute information se rapportant à une personne physique identifiée ou identifiable ». Ces données peuvent être une identification directe :
- nom,
- prénom,
- adresse courrielle ou indirecte telles que numéro de téléphone,
- adresse IP,
- date de naissance,
- etc.
Quels sont les grands principes évoquées par le texte RGPD ?
Le texte RGPD qui encadre la protection des données personnelles a défini six grands principes pour aider les organismes concernés dans leur processus de mise en conformité :
LÉGITIMITÉ et transparence
Ce premier principe parait évident, car les entreprises se doivent d’assurer que la collecte et le traitement ne dérogent pas la nouvelle loi et que tout ce qu’elles font revêt un caractère transparent à l’égard des utilisateurs. Chaque organisme doit avoir une parfaite compréhension du RGPD ainsi que des règles de collecte de données afin qu’il puisse rester légitime dans son activité. Dans votre politique de confidentialité, vous êtes obligés d’indiquer le type de données que vous avez collecté ainsi que la raison pour laquelle elles ont été collectées.
Limitation du traitement
Les données personnelles que vous collectez doivent répondre à des fins spécifiques. Vous êtes tenus d’indiquer explicitement leur objectif et de ne plus les conserver dès lors que cet objectif est atteint. Seules les données dont l’archivage répond à des besoins d’intérêt public, scientifiques, historiques ou statistiques qui bénéficient de plus de souplesse dans leur traitement.
Minimisation des données
Les organismes doivent uniquement traiter les données personnelles dont ils ont strictement besoin pour atteindre leur objectif initial. Ce principe suppose deux intérêts majeurs. Tout d’abord, en cas de violation de données, la personne curieuse n’aura accès qu’à une quantité de données limitée. En outre, ce principe de minimalisation de données favorise la conservation des données d’une manière exacte et à jour.
Exactitude
Selon le RGPD : « toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ». Cela veut dire que toutes les données personnelles utilisées doivent être exactes, toujours afin de garantir leur protection.
Limitation de stockage
Au même titre que la limitation de traitement, les entreprises sont également obligées de supprimer les données ayant déjà été traitées lorsqu’elles ne sont plus nécessaires. Cette limitation de stockage varie en fonction de l’activité et des besoins de l’entreprise. Ainsi, si vous n’êtes pas certain dans la durée de conservation de vos données personnelles, vous devez consulter un spécialiste.
Intégrité et confidentialité
C’est le seul principe qui évoque explicitement les questions de sécurité et de protection de données. Selon le RGPD, toutes les données à caractère personnel doivent être traitées de manière à assurer à garantir la protection des droits et libertés des personnes concernées. Bien que le RGPD n’impose pas de mesures strictes aux entreprises et qu’il les laisse adopter librement leur politique de confidentialité, elles doivent se mettre en conformité à tous ces principes.