Archives

28 août 2019

Les 8 exigences de la RGPD

En vigueur dès le 25 mai 2018, le RGPD : Règlement Européen sur la Protection des Données (ou GDPR en anglais) débarque pour responsabiliser les entreprises sur le traitement des données personnelles. Ce principe change en profondeur la manière
d’informer et d’utiliser les informations laissées par les internautes sur les sites internet. La RGPD oblige les entreprises et autres structures à répondre à 8 grandes exigences.

LE DEVOIR DE PREUVES

  • – Documenter les mesures et procédures de protection,
  • – Justifier de l’utilisation des données personnelles.

Les données personnelles d’un individu sont toutes informations relatives à une personne physique identifiée ou identifiable de manière directe ou indirecte. On les regroupe en différentes catégories.

L’identification : nom, prénom, email, composition familiale…
La santé : dossier médical, arrêts maladies…
La navigation internet
L’opinion : religions, syndicales, religieuses…
Le contexte : Géolocalisation, déplacements, connexions WIFI
Les finances : habitudes de consommations, RIB, salaire, transactions…

LE DEVOIR DE TRANSPARENCE

  • – Informer les personnes concernées,
  • – Recueillir un consentement clair via une action de l’utilisateur (cocher une case par exemple). Par ailleurs, ce dernier doit être informé de manière simple et compréhensible, de l’utilisation qui sera faite de ses données. Chaque utilisation doit faire l’objet d’un consentement spécifique.

LE DROITS DES PERSONNES

  • – Garantir aux personnes concernées l’accès, la modification, la restitution et l’effacement de leurs données sur demande.

LA LIMITATION DE CONSERVATION

  • – Limiter la durée de conservation des données personnelles au strict nécessaire.
  • – Réparer les dommages que peuvent subir les utilisateurs, du fait d’un traitement illicite de leurs données, doivent être réparés par le responsable du traitement de données.

LE DEVOIR DE PROTECTION

  • – Sécuriser les données contre les risques de perte, vol ou divulgation.

LE DEVOIR D’ALERTE

  • – Déclaration des incidents de sécurité dans un délai de 72 heures
    En effet, comme le risque 0 n’existe pas, le RGPD prévoit aussi le cas d’un incident ou d’une faille de sécurité. En cas d’atteinte aux données, les entreprises doivent en avertir les autorités de contrôle de la CNIL dans les 72 heures qui suivent.

LA RESPONSABILITÉ SOLIDAIRE

  • – Responsable de traitement : contractualiser auprès des sous-traitants les exigences de protection des données personnelles,
  • – Sous-traitants : apporter les garanties nécessaires en matière de protection,
  • – Réparation du préjudice subi par tous les acteurs de la chaîne.

LE DEVOIR DE TENIR UN REGISTRE DES TRAITEMENTS

  • – Recenser précisément les traitements des données personnelles et établir un registre de l’ensemble des traitements. Registre à tenir à la disposition des autorités de contrôle.

Pour plus d’information, rendez-vous sur la CNIL

Rédaction : Floriane – advanGO

Partager: