RGPD et traitement de données, que doit-on faire ?

On continue la saga RGPD en ce mois d’anniversaire, en se concentrant maintenant sur le traitement des données.

Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis mai 2018, a, en effet, redéfini les normes de traitement des données personnelles.

Il impose des obligations strictes aux organisations concernant la collecte, le traitement et la protection des données personnelles.

Selon le RGPD, le traitement de données désigne toute opération ou ensemble d’opérations effectuées sur des données personnelles, que ce soit par des moyens automatisés ou non. Cela inclut, mais ne se limite pas, à la collecte de données, l’enregistrement, l’organisation, la modification, la consultation, l’extraction, l’utilisation, la communication, l’effacement…

Le simple fait d’avoir, de collecter ou de stocker une donnée constitue donc un traitement de données.

Chaque traitement de données doit être conforme au RGPD et en respecter les principes fondamentaux.

Tout traitement de données doit reposer sur une base légale. Il peut s’agir du consentement de la personne, de l’exécution d’un contrat, du respect d’une obligation légale, de la sauvegarde d’intérêts vitaux, d’une mission d’intérêt public ou d’un intérêt légitime à condition qu’il soit conforme aux droits des personnes concernées.

Avant de traiter une donnée, il est donc nécessaire de pouvoir la rattacher à l’une de ces bases légales.

Les données doivent être collectées pour des finalités déterminées précisément avant le traitement, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités.

Cela signifie que les données ne peuvent être utilisées que pour les objectifs pour lesquels elles ont été collectées, sauf si une nouvelle finalité est compatible avec les objectifs initiaux. Il n’est donc pas possible de collecter des données « au cas où », elles doivent répondre à une finalité bien précise.

Le traitement doit se limiter aux données qui sont strictement nécessaires pour les finalités poursuivies. Les organisations ne doivent donc pas collecter des données superflues ou excessives par rapport aux besoins réels et aux finalités définies.

Les données collectées doivent également être exactes et, si nécessaire, mises à jour. Des mesures doivent être prises pour s’assurer que les données inexactes ou incomplètes sont effacées ou rectifiées, afin de ne conserver que les données exactes.

Les données personnelles ne doivent pas être conservées plus longtemps que nécessaire pour les finalités pour lesquelles elles sont traitées. Une fois que les données ne sont plus nécessaires, elles doivent être supprimées ou anonymisées. C’est la raison pour laquelle chez Wysam, nous limitons les durées de validité des liens d’échanges d’informations chiffrées et que les données sont immédiatement supprimées auprès leur consultation ou à l’expiration du lien.

A noter que certaines durées de conservation sont fixées par la loi, des recommandations de la CNIL ou des préconisations des archives de France.

Les données doivent être traitées de manière à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite, et contre la perte, la destruction, le vol ou la modification de données.

Les organisations doivent donc veiller à la sécurité, la confidentialité (seules les personnes autorisées peuvent accéder aux informations), l’intégrité (les données sont exactes et n’ont pas été modifiées ou altérées) et à la disponibilités des données (les données sont accessibles pour les personnes autorisées).

Le chiffrement de données et l’utilisation d’une solution de sécurisation des échanges numériques comme Wysam permet de répondre à cette obligation de sécurité et de protéger les informations personnelles, confidentielles ou sensibles qui transitent par mail. Retrouvez notre engagement pour vos données ici.

Les personnes doivent également être informées de la manière dont leurs données sont collectées, utilisées et partagées. Elles doivent également être informées sur leurs droits (accès, modification, suppression…) détaillées aux articles 15 à 22 du RGPD.

Les responsables du traitement (personnes traitant les données) doivent tenir des registres de leurs activités de traitement des données. Ces registres doivent inclure des informations telles que les finalités du traitement, les catégories de données traitées, les destinataires des données et les mesures de sécurité mises en place. La CNIL met à disposition un modèle de registre de traitement.

Lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des individus, les organisations doivent réaliser une évaluation d’impact sur la protection des données pour identifier et atténuer ces risques. Le logiciel gratuit PIA développé par la CNIL permet d’en réaliser.

Les organisations doivent notifier les violations de données personnelles (notamment après une cyberattaque) à la CNIL et au plus tard 72 heures après en avoir pris connaissance. Il faut entendre par violation de données toute perte de disponibilité, d’intégrité ou de confidentialité de manière accidentelle ou illicite.

Si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des individus, ces derniers doivent également être informés.

Certaines organisations (organismes publics, organismes traitant des données à grandes échelles) doivent désigner un délégué à la protection des données (DPO) pour surveiller la conformité au RGPD, conseiller sur les obligations légales et servir de point de contact avec les autorités de contrôle et les personnes concernées.

Même si la nomination de DPO n’est pas obligatoire pour toutes les entreprises, il est recommandé d’en avoir un pour être accompagné dans la mise en œuvre du RGPD et il est même possible d’avoir recours à des services DPO externalisés.

Le traitement des données au sens du RGPD est régi par des principes stricts et des obligations claires pour garantir la protection des données personnelles. Les organisations doivent veiller à ce que leurs pratiques de traitement soient transparentes, sécurisées et conformes aux exigences légales. En respectant les principes du RGPD, elles protègent non seulement les droits des individus, mais renforcent également la confiance dans leurs pratiques de traitement des données.