La définition du RGPD

Le Règlement général sur la protection des données (RGPD) est le texte de loi européen de référence en matière de protection des données à caractère personnel. En application depuis le 25 mai 2018 sur l’ensemble du territoire européen, le RGPD renforce et complète les principes établis par la Loi Informatique et Libertés de 1978.

Le cadre réglementaire fixé par RGPD permet ainsi d’assurer la transparence et de garantir les droits des personnes concernées de responsabiliser les entreprises dans le traitement des données personnelles au travers, notamment, des autorités de contrôle.

Le RGPD s’applique par défaut à tout organisme public ou privé qui se situe sur le territoire de l’Union Européenne, mais peut également s’appliquer pour des entreprises situées en dehors de l’union Européenne traitant de données personnelles de citoyens européens. 

La définition du RGPD

Qu’est-ce qu’une donnée personnelle

Toute personne génère des données à caractère personnel ou « donnée personnelle », c’est-à-dire des informations qui concernent cette personne et permettent de l’identifier.

Avec l’entrée en application du Règlement Général sur la protection des Données le 25 mai 2018, la définition retenue est la suivante : « toute information se rapportant à une personne physique identifiée ou identifiable » .

Les données personnelles sont au centre des enjeux du RGPD. C’est pour assurer la protection des données à caractère personnel qu’une telle régulation a été mise en place, tant leur utilisation impacte profondément la vie privée de chacun.

Une donnée personnelle peut consister dans « toute information » , dès lors que celle-ci est matérialisée, quel qu’en soit le support, l’origine, la voie de transmission, physique ou digitale.

Lorsque nous effectuons des démarches administratives, achetons un bien, souscrivons à un service, communiquons par e-mail ou sur un forum, utilisons une application mobile ou les outils digitaux de notre entreprise, nous générons des données personnelles.

Pour être qualifiée de donnée personnelle, l’information en cause doit donc concerner une personne physique – par opposition aux personnes morales (entreprises, société, etc.).

Il existe deux catégories de données personnelles :

  • celles qui permettent d’identifier directement une personne physique (nom, prénom)
  • celles qui permettent d’identifier indirectement une personne physique (numéro de téléphone, plaque d’immatriculation, numéro de sécurité sociale, adresse postale ou email, voix, images …)

Ainsi la « donnée personnelle » peut comprendre un large panel d’informations, allant de base de données CRM au simple cookie d’un site web.

Un traitement de données personnelles qu’est-ce que c’est ?

« Traitement » est le terme générique employé dans le RGPD pour désigner une opération quelconque sur des données personnelles. En effet, le RGPD s’applique aux traitements de données personnelles.

Ceci représente toute opération effectuée sur une donnée personnelle, telle que : la collecte, l’enregistrement, la structuration, le stockage, l’extraction, la modification / rectification, la consultation, l’utilisation, la publication, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le croisement (matching) et l’interconnexion, la limitation, l’effacement et la destruction. 

Toute opération sur des données personnelles est un traitement de données personnelles qui doit être répertorié au sein du « registre de traitement » : procédure obligatoire à tenir à jour désormais pour l’entreprise. A noter qu’un sous-traitant (ou prestataires) peuvent effectuer des traitements de donnée pour le compte de l’entreprise en question. Dans ce cas précis, il faudra être vigilant et intégrer tous les acteurs dans le processus de mise en conformité RGPD.

L’entreprise doit respecter un certain nombre de droits, accordés aux personnes concernées par le traitement de données, lorsque ces dernières en font la demande.

La conservation des données personnelles

Conserver les données personnelles que l’on a en sa possession pendant une durée limitée et raisonnable est obligatoire afin d’assurer leur sécurité et leur fraîcheur.

Qu’il s’agisse de la Loi Informatique et Libertés ou du RGPD, les 2 textes s’accordent pour limiter la conservation des données personnelles dans le temps. En effet, ils indiquent que la conservation doit être proportionnée à la finalité du traitement.

Certains textes de lois fixent une durée de conservation. En l’absence de ceux-là, le responsable de traitement est tenu de fixer une durée proportionnée au regard de l’objectif et du but poursuivi. Une fois ce délai dépassé, le responsable de traitement doit obligatoirement supprimer, anonymiser les données personnelles des personnes concernées.

Par exemple : 

Pour les données relatives à la gestion de la paie, la durée maximale de conservation est de 5 ans. 

La conformité au RGPD n’est pas une certification validée à un instant T, mais un nouveau processus d’amélioration continue au sein de l’entreprise. 

L’objectif d’un projet de mise en conformité au RGPD est d’atteindre un niveau de protection suffisant et adéquat compte tenu des risques. Et ce, afin de pouvoir démontrer à tout moment, notamment en cas d’incidents de sécurité, de plainte ou de contrôle, que toutes les mesures nécessaires ont été mises en œuvre pour parer à ces risques.

La conformité au RGPD est un nouveau processus interne au sein de l’entreprise qui évolue dans le temps, c’est pourquoi l’entreprise doit définir une méthode claire et la faire appliquer au sein de chaque service de son organisation. L’entreprise peut s’appuyer sur une solution logicielle pour mettre en place le processus de conformité.