RGPD

Synthèse 'Règlement Général sur la Protection des Données'

Respect et loyauté

L’organisation doit respecter le ‘client’ en favorisant :

-        La transparence de l’information : Pour un consentement éclairé, les individus doivent connaître les DCP collectées, le traitement de ces DCP et les finalités de la collecte

-        le client a droit à :

                        ° Demander la Suppression des données collectées

                        ° Opposition à la collecte de certaines données

                        ° Accès à ses données collectées

                        ° Rectifier ses données collectées     

   - Le client a aussi droit à la portabilité de ses données personnelles cad récupérer une partie de vos données qui sont aussi les siennes pour bénéficier de son travail antérieur : playlist,  géolocalisations, temps issues de sa montre, mesures de poids issus de sa balance connectée, etc.        

Sécurisation : les entreprises doivent mettre en place des mesures techniques et/ou organisationnelles permettant de garantir la confidentialité et l’intégrité des données ; Les mesures de sécurité, informatique mais aussi physique, doivent être adaptées en fonction de la sensibilité des données et des risques qui pèsent sur les personnes en cas d’incident. En cas de perte d’intégrité, l’organisation devra prévenir la CNIL des problèmes survenus. …. et si nécessaire, informer le client des risques qu’il court.

Pertinence des données/traitements/finalités :

-        Minimisation des données: elles ne peuvent servir qu’aux finalités définies avant la réalisation du traitement et ne peuvent pas être utilisées pour une autre finalité

-        Finalités et traitements pertinents (uniquement ce qui est nécessaire). On doit déterminer préalablement à toute collecte (étude d’impact), les finalités de ce traitement. Par exemple, en échange des coordonnées d’un prospect, une entreprise proposera un devis gratuit. Dans ce cas, demander les informations bancaires du prospect serait contraire au principe de minimisation des données ;

Responsabilisation

L’originalité de cette RGPD est que l’on responsabilise les organisations :

Ø      Il n’est plus nécessaire de déclarer les fichiers et traitement des données

Ø      Un DPO (Data Protection Officer / Délégué à la Protection des Données) devra impérativement nommé lorsque :

o       le traitement est effectué par une autorité ou un organisme public (à l’exception des juridictions dans leur rôle juridictionnel) ;  

o       leurs activités de base les conduit (du fait de la nature, portée et/ou finalité de ces activités) à effectuer un suivi régulier et systématique des personnes à grande échelle ;

o       leurs activités de base les amène à traiter à grande échelle des données sensibles ou qui ont trait à des condamnations et infractions pénales (données génétiques, biométriques, ou afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale,…)

Si le responsable de traitement remplit les critères de désignation obligatoire, son sous-traitant n’est pas nécessairement tenu lui-même de nommer un DPO, et inversement.

Certaines données dites sensibles et certains types de traitements nécessitent une vigilance particulière et ne peuvent être utilisées que sous certaines conditions (TRÈS STRICTES)

Ce sont par exemple les informations :

• révélant l’origine prétendument raciale ou ethnique ;

• portant sur les opinions politiques, philosophiques ou religieuses ;

• relatives à l’appartenance syndicale ;

• concernant la santé ou l’orientation sexuelle ;

• génétiques ou biométriques

• données d’infraction ou de condamnation pénale

Par ailleurs, lorsque votre traitement concerne au moins 2 des 9 critères ci-dessous, il faut conduire une analyse d’impact (PIA : Privacy Impact Assesment) sur la protection des données avant de commencer les traitements :

1. l’évaluation d’aspects personnels ou notation d’une personne (exemple : scoring financier) ;

2. une prise de décision automatisée ;

3. la surveillance systématique de personnes (exemple : télésurveillance) ;

4. le traitement de données sensibles (exemple : santé, biométrie, etc.) ;

5. le traitement de données concernant des personnes vulnérables (exemple : mineurs) ;

6. le traitement à grande échelle de données personnelles ;

7. le croisement d’ensembles de données ;

8. des usages innovants ou l’application de nouvelles technologies (exemple : objet connecté) ;

9. l’exclusion du bénéfice d’un droit, d’un service ou contrat (exemple : liste noire).