📉“95% des possesseurs de smartphones peuvent être ré-identifiés par le croisement d’au moins quatre de leurs positions géographiques, telles que celles contenues dans les métadonnées des photos prises sur mobile. En se basant sur deux localisations comme le trajet récurrent domicile-travail, 50% des gens seraient identifiables”
Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données personnelles, plus connu sous l’acronyme “RGPD”, a vocation à réguler le traitement des données personnelles 👥.
💡 Bon à savoir : au sens du RGPD, une donnée personnelle constitue “toute information se rapportant à une personne physique identifiée ou identifiable”.
Une personne physique peut être identifiée 🧍directement, c’est-à-dire par son nom et prénom ou indirectement, c’est-à-dire par une adresse, un numéro de téléphone, une plaque d’immatriculation ou même une image.
Une personne physique peut être identifiable 👤par le biais d’une donnée unique ou d’un croisement de données.
🇪🇺Le RGPD est un règlement européen tendant à harmoniser la législation en matière de protection des données personnelles, sur l’ensemble du sol européen mais également au-delà. En effet, l’application territoriale du RGPD est considérable puisqu’il contraint tout organisme ressortissant européen traitant des données personnelles, “que le traitement ait lieu ou non dans l'Union” 🌍.
🧐Bien que le RGPD reprenne, dans les grandes lignes, les principes précédemment exposés dans la Loi Informatique et Libertés de 1978 en matière de protection des données personnelles des individus, ce règlement crée des exigences strictes pour les entreprises ! Alors, qui est concerné ? Quels sont les principes à respecter ? 🔍
Tous les organismes publics et privés, quels que soient leur taille ou leur secteur d’activité sont concernés par le RGPD ; il s'agit notamment des TPE, PME, ETI et GIE, des administrations, des collectivités ou encore des associations.
Plus précisément, le RGPD s’applique à ces structures, dès lors qu’elles sont établies sur le sol européen ou que les données traitées sont celles de ressortissants européens.
Cette nouvelle réglementation contraint largement les entreprises puisqu’elle est également applicable aux sous-traitants, ce qui implique l’application du principe de responsabilité partagé entre le responsable de traitement et le sous-traitant.
💡 Bon à savoir : le sous-traitant, selon le RGPD, est celui qui traite des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement.
Le traitement de données personnelles est quasi inévitable dans une société digitalisée comme la nôtre, ce traitement est une opportunité dans un certain nombre de domaines mais il peut constituer une dérive et une violation des droits fondamentaux des individus.
La mise en conformité de son entreprise au RGPD permet de concilier respect du droit des personnes avec opportunité et stratégie de la collecte des données.
Afin de légitimer la collecte et le traitement des data, le règlement européen pose les principes suivants :
1️⃣ Responsabilisation (ou “accountability”), c’est-à-dire l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect.
2️⃣ Minimisation de la collecte et du traitement, ce qui implique que les données traitées doivent être pertinentes et strictement nécessaires.
Il est fondamental de ne collecter que les données personnelles qui sont essentielles à la poursuite de vos objectifs et justifiées par une base légale.
Plus concrètement, le fait, pour un recruteur, de recueillir les croyances religieuses d’un candidat, ne satisfait pas au principe de minimisation puisque cette donnée n’est pas pertinente, adéquate et limitée à ce qui est nécessaire dans le cadre d’une embauche. En revanche, le fait de demander cette même information aux membres adhérents d’une association ou d’une organisation religieuse est autorisé par le RGPD et respecte le principe de minimisation.
3️⃣ Finalité du traitement, ce qui signifie que le traitement doit avoir un but légitimé par une base légale. En effet, tout traitement d’une donnée personnelle doit avoir un fondement légal. Il peut s’agir du consentement exprès d’un individu, intérêt légitime ou un contrat.
En pratique, le traitement d’une donnée personnelle peut se matérialiser par l'enregistrement de ces data sur des fichiers clients, base de données des employés ou par exemple, l’organigramme des projets.
4️⃣ Confidentialité des données ! Aussi évident soit-il, ce principe présente des particularités qu’il convient d’énoncer. En effet, au sein d’une entreprise, les collaborateurs sont généralement soumis à la confidentialité s’agissant des activités de l’entreprise. Or, l’une des variantes du principe de confidentialité appliqué au RGPD est que SEUL le responsable de traitement doit veiller à la sécurité et la confidentialité des données collectées.
Plus concrètement, une personne du Service Marketing ne peut avoir accès, sans autorisation, aux bases de données du Service RH.
L’entrée en vigueur d’une nouvelle réglementation telle que le RGPD peut susciter quelques préoccupations pour les entreprises, notamment pour les TPE et les PME, lesquelles n’ont pas forcément les ressources nécessaires à la mise en conformité au RGPD.
⚠️ Pas de panique, réaliser sa mise en conformité au RGPD relève plus de l’aspect organisationnel que de la technique juridique en soi.
L’une des premières étapes pour vérifier sa conformité au RGPD est de faire un point, un diagnostic ou encore un état des lieux sur les données personnelles collectées.
Avant de débuter, il est important d’avoir en tête ce qu’est, concrètement, une donnée personnelle. À la lecture de l’article 4 du RGPD, la définition d’une donnée personnelle peut laisser planer le flou sur ce que peut être, dans les faits, une donnée personnelle.
À titre d’illustration, un nom, une photo, un enregistrement vocal, un numéro de sécurité sociale, un identifiant, une plaque d’immatriculation, une adresse postale, une adresse email ou encore un numéro de téléphone, peut être une donnée personnelle.
Force est donc de constater que nous traitons, au quotidien, une multitude de données personnelles sans forcément prêter attention aux risques pour la protection de la vie privée d'individus.
La notion de donnée personnelle étant clarifiée, place au recensement des données personnelles !
Il est possible de réaliser une cartographie des données personnelles afin de savoir :
1️⃣Quel type de donnée personnelle je traite ? Quelles sont ces données ? (ex : nom, prénom, adresse IP, …)
2️⃣Est-ce que je traite des données sensibles ?
💡 Bon à savoir : Une donnée sensible est une donnée qui “révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, (...) des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique”
3️⃣Comment ces données sont-elles collectées ?
Selon la CNIL, le Registre des activités de traitement permet de recenser les traitements de données afin d’avoir une vue d’ensemble de ce que le responsable de traitement fait avec les données personnelles.
Le but de ce Registre est notamment de connaître la base légale de toutes les données personnelles collectées mais également de savoir de quelle manière les données sont sécurisées et combien de temps elles seront conservées.
A titre d’exemple, la CNIL a publié son registre de traitement
Après avoir réalisé un état des lieux des données personnelles collectées, avoir établi un registre de traitement, vous remarquerez sûrement que vous pouvez “nettoyer” votre base de données !
En effet, la mise en conformité au RGPD est un bon moyen de faire du tri dans ses bases de données. Conformément au principe de minimisation de la collecte des données personnelles, il est fondamental de ne conserver que les données personnelles strictement nécessaires à la poursuite d’un objectif précis et justifié par un fondement légal.
Au cours du “tri”, il faut vérifier qu’aucune donnée sensible n’est traitée. Si c’est le cas, le responsable de traitement devra veiller à obtenir le consentement exprès des individus dont les données sont collectées.
Également, cette étape sera l’occasion de vérifier que seules les personnes autorisées traitent des données personnelles et que cette autorisation est strictement limitée à la poursuite d’un objectif précis, défini et justifié légalement.
Dernière étape de la mise en conformité au RGPD : la sécurisation des données !
Garantir la sécurité des données personnelles faisant l’objet d’un traitement peut passer par la mise à jour de sa politique de confidentialité RGPD.
💡 Bon à savoir : Des plateformes telle que “Mission RGPD” permettent de se mettre en conformité en aidant, par exemple, à la réalisation d’un diagnostic ou à l’élaboration du registre des activités de traitement.
🚀 Pour aller plus loin dans sa conformité : les certifications délivrées par la CNIL.
Il s’agit de procédure, opérée par un tiers certificateur, destinée à valider ou à attester de la conformité d’un organisme aux exigences et principes posés par le RGPD. Ces certifications constituent un vecteur de confiance pour les individus
Vous savez désormais tout ce qu’il y a à savoir sur la mise en conformité de l’entreprise au RGPD 👏. Si vous avez des questions, notre équipe de juristes est à votre disposition pour vous répondre par chat, mail ou téléphone. 🤓
Si cette fiche pratique vous a inspiré et que vous souhaitez être accompagné dans la mise en conformité de votre organisme au RGPD, votre juriste augmenté QiiRO vous accompagne et vous assiste dans ce processus qui peut se révéler fastidieux. 🤗
A bientôt sur qiiro.eu ! 👋