Comment choisir entre les différentes annonces légales pour créer votre SASU ? Le Blog du Dirigeant vous répond ! Quelles annonces légales choisir pour constituer sa SASU ? Afin de procéder à la constitution d’une SASU, il est nécessaire de procéder à la publication d’une annonce légale de constitution afin d’informer les tiers de la constitution […]
RGPD : les grands principes de protection des données personnelles
Si tout le monde connait la RGPD, peu sont les entreprises qui en connaissent véritablement les conséquences directes. Explications.
Entré en vigueur en 2018, le Règlement Général sur la Protection des Données (RGPD) a bouleversé le quotidien des entreprises et établissements publics. Pour mieux appréhender l’impact de RGPD sur votre organisme, il convient de rappeler ses deux objectifs principaux :
- Renforcer le droit des individus sur leurs données personnelles ;
- Et responsabiliser les acteurs dans les traitements qu’ils opèrent des données personnelles des individus.
Ces objectifs se traduisent concrètement par un certain nombre d’obligations imposées aux responsables de traitement (c’est-à-dire la personne morale qui détermine la finalité et les moyens du traitement), et les sous-traitants (c’est-à-dire la personne morale qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement).
Pour ce faire, l’article 5 RGPD prévoit un certain nombre de grands principes qui doivent guider les organisations dans la gestion de leurs données.
Faisons le point sur ces 7 principes pour une meilleure compréhension de la mise en conformité RGPD.
1 – Licéité, loyauté et transparence (article 5 RGPD)
Les principes de licéité, loyauté et transparence signifient que les organismes doivent traiter les données personnelles des individus conformément à la loi et au règlement en vigueur et informer clairement ces personnes des traitements opérés sur leurs données.
Pour rappel, une donnée personnelle correspond à toutes informations directes ou indirectes permettant d’identifier une personne physique ou de la rendre identifiable.
Plus précisément, ce principe se subdivise en trois branches :
- Licéité : ce principe signifie que les données personnelles ne peuvent être traitées que sur le fondement d’une base légale, c’est-à-dire un fondement juridique qui autorise la collecte ou l’utilisation d’une donnée. L’article 6 RGPD en énumère 6 : le consentement de la personne, l’exécution d’un contrat, le respect d’une obligation légale, l’intérêt légitime de l’organisme, l’intérêt public ou l’intérêt vital.
- Loyauté : ce principe, bien connu du vocabulaire juridique, notamment sur le terrain de la preuve, est ici utilisé dans son sens premier. Ce principe signifie que l’utilisation des données doit s’effectuer avec honnêteté et conformément à ce que l’organisme déclare aux personnes et aux autorités.
- Et transparence : ce principe signifie que les personnes concernées doivent être valablement informées de leurs droits et de l’utilisation qui est faite de leurs données. Ces informations doivent être mises à la disposition des personnes concernées.
2 – Finalité du traitement (article 5 RGPD)
La finalité du traitement est un élément très important, car il a vocation à limiter le traitement opéré sur les données personnelles. En effet, la finalité est la raison, l’objectif pour lequel les données personnelles sont collectées et utilisées.
Cette finalité a pour objet de guider ensuite l’utilisation qui en fait. Ainsi, les données personnelles ne pourront être utilisées qu’en cohérence avec la finalité déterminée préalablement à la collecte. À l’inverse, si les données sont utilisées pour un objectif s’éloignant de celui initialement fixé, l’organisme s’expose à des sanctions.
La détermination de la finalité n’est pas entièrement libre puisqu’elle doit être relativement précise (pour avoir un effet limitant), être légal et légitime.
3 – Minimisation des données (article 5 RGPD)
Le principe de minimisation des données signifie que l’organisme n’a vocation à ne collecter que les informations strictement nécessaires à son activité. En d’autres termes, moins vous collectez de données, plus vous vous approchez de la conformité.
Pour le dire autrement, ce principe encourage les entreprises à se demander si les données qu’elle détient et collecte sont véritablement nécessaires à son activité. Dans la négative, il convient de supprimer ces données, les anonymiser ou prévoir un mécanisme permettant de limite la collecte des données à ce qui est nécessaire.
4 – Exactitude des données (article 5 RGPD)
Le RGPD n’a pas seulement vocation à empêcher les organismes à collecter des données personnelles. En effet, protéger les données personnelles signifie également conserver l’intégrité des informations utilisées et ne pas altérer leurs exactitudes.
En effet, la sauvegarde de la donnée dans son exactitude est une des façons de la protéger. Pour cela, les organismes doivent prévoir un certain nombre de mesures de sécurité permettant de réduire le risque de fuite de données et de leurs utilisations par un tiers non autorisés. Il convient ainsi de s’astreindre à collecter les informations de manière en cohérence avec la réalité.
5 – Durée de conservation des données (article 5 RGPD)
Ce principe signifie que nul organisme ne peut conserver des données personnelles indéfiniment. Elles doivent fixer une durée de conservation des informations préalablement à leur collecte. Cette durée peut être fixée par un délai (par exemple 2 ans) ou en référence à un évènement (par exemple, à l’issue du contrat ou lors de la description).
La détermination de cette durée n’est pas entièrement libre. Elle doit être fixée en cohérence avec la finalité du traitement. Dans le doute, il convient de se référer aux référentiels de la CNIL sur les durées de conservation.
À l’issue de ce délai, la donnée personnelle doit être effectivement supprimée ou anonymisée, c’est-à-dire que l’important est de supprimer l’identité de la personne à qui appartiennent ces données. En effet, dès lors que la personne n’est plus identifiable, ce n’est plus de la donnée personnelle.
6 – Sécurité des données (article 5 RGPD)
Ce principe signifie que les organismes sont tenus d’assurer la confidentialité des données personnelles dont ils ont la charge. Pour ce faire, chaque responsable de traitement ou sous-traitant doivent prévoir un certain nombre de mesures de sécurité ayant pour objet de réduire de risque de violation de donnée.
Pour rappel, une violation de données personnelles correspond à une défaillance de la sécurité entrainant (intentionnelle ou accidentelle) entrainant la destruction, l’altération, la perte, la divulgation ou l’accès non autorisé.
Les mesures de sécurité sont de plusieurs natures : organisationnelles, techniques ou physiques (article 32 RGPD). L’important est qu’elles soient suffisantes pour réduire tout risque de violation de données.
7 – Accountability et responsabilité (article 5 RGPD)
Enfin, ce dernier principe que tout organisme doit être en mesure de démontrer sa conformité. Pour cela, les responsables de traitements et sous-traitants ont l’obligation de documenter tous les efforts effectués en matière de conformité RGPD.
En pratique, le principe d’accountability (ou responsabilité) se traduit par la construction d’un registre des traitements de données personnelles (article 30 RGPD) qui recense toutes les informations importantes sur les traitements de données : catégories de données, personnes concernées, bases légales, finalités, durées de conservation, personne ayant accès aux données et mesures de sécurité mises en œuvre.
Le principe d’accountabilty est donc essentiel, car assurer la protection des données personnelles, c’est bien, pouvoir le démontrer en cas de contrôle des autorités ou de demandes des individus, c’est mieux.
Pour gagner en efficience dans votre mise en conformité au RGPD, Leto est un logiciel français en mode SaaS dont l’ambition est d’automatiser de nombreuses tâches votre conformité au RGPD. Notamment, elle propose des modules tels que l’inventaire automatisé des données personnelles, la saisie intelligente des traitements, la gestion des exercices des droits, la veille sur les sous-traitants ainsi que d’autres modules. Leto permet également de sensibiliser les collaborateurs grâce au micro-learning sous la forme de mises en situation et de cas pratique applicable à différents métiers.