Règlement Général sur la Protection de Données (RGPD)
Le règlement général sur la protection des données personnelles est entré en vigueur le 25 mai 2018.
Vous trouverez sur cette page un certain nombre de liens, de documents et d'informations, qui nous paraissent utiles dans le cadre de cette nouvelle règlementation.
Qu'est-ce qu'une donnée à caractère personnel ?
- Toute information se rapportant à une personne physique identifiée ou identifiable.
Qu'est-ce qu'une personne physique identifiable ?
- Une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »
- Exemples de données permettant l'identification d'une personne : nom, prénom, adresse, date de naissance, état civil, membres de la famille, numéro de registre national, numéro de passeport, photos, adresses e-mail, numéro de gsm, coordonnées bancaires, une plaque d'immatriculation, adresses IP, données de localisation, empreintes digitales, ...
Exemples de données à caractère personnel (non exhaustif) :
- Données d'identification, Particularités financières, Caractéristiques personnelles, Données physiques, Habitudes de vie, Données psychiques, Composition du ménage, Loisirs et intérêts, Affiliations, Données judiciaires, Habitudes de consommation, Caractéristiques du logement, Données concernant la santé, Études et formation, Profession et emploi, Données ethniques, Données relatives au comportement sexuel, Opinions politiques, Affiliation à une association professionnelle, Convictions philosophiques ou religieuses, Enregistrements d’images, Enregistrements de sons, ...
- Des données que l'on pourrait considérer comme anonymes peuvent constituer des données à caractère personnel si elles permettent d’identifier indirectement ou par recoupement d’informations une personne précise. Il peut en effet s’agir d’informations qui ne sont pas associées au nom d’une personne mais qui permettent aisément de l’identifier et de connaître ses habitudes ou ses goûts.
Comment se mettre en conformité ?
- Minimiser les données personnelles collectées
- S'assurer du fondement juridique des traitements effectués ou de l'intérêt légitime du traitement
- Eviter de traiter des données sensibles, sauf si nécessaire
- Afficher les mentions légales relatives aux traitements
- Respecter le droit à la portabilité des données, le droit à la rectification et le droit à l'oubli
- Mettre en place un registre des traitements effectués sur les données à caractère personnel
- Assurer la sécurité des données personnelles et un accès limité aux responsables des traitements dans le cadre de l'usage prévu
- Maintenir un registre des violations de données personnelles
- Nommer un délégué à la protection de données (DPO) - indispensable si taille entreprise > 250 personnes
- Réaliser une étude d'impact sur la vie privée, en cas de risque élevé pour le droit et les libertés des personnes
En pratique, par où commencer ?
- Informer le personnel de l'entreprise sur les exigences de la nouvelle règlementation
- Réaliser un inventaire de toutes les données gérées par l'entreprise et identifier les données à caractère personnel.
- Nettoyer les données à caractère personnel de tout ce qui n'est pas nécessaire au métier de l'entreprise et qui ne sont pas liées à une exigence légale, ou qui ne peuvent plus être conservées au regard de la nouvelle règlementation.
- S'assurer du consentement des personnes pour les données personnelles stockées et pour l'usage clairement identifié qui en sera fait par l'entreprise.
- Documenter l'informatique de votre entreprise (infrastructure, outils de gestion, procédures de sécurité, liste des intervenants internes et externes, ...)
Le règlement complet (source : journal officiel de l'Union Européenne) est téléchargeable directement en cliquant ici (PDF de 88 pages).
L'autorité de protection de données a rédigé des recommandations relatives au marketing direct. Un document téléchargeable est disponible en cliquant ici (PDF de 78 pages)
Sources : règlement européen, autorité de protection de données en Belgique, CNIL en France
Dernière mise à jour le 28/2/2020.
INSCRIVEZ-VOUS POUR RECEVOIR NOTRE LETTRE D'INFORMATION