_edited.png)
Le RGPD est un texte juridique qui peut être difficile à comprendre lorsqu'on n'est pas initié au langage juridique ou aux termes utilisés. Il est d'autant plus complexe qu'il s'agit d'un seul et même texte à destination d'organisations très hétérogènes, travaillant dans des secteurs d'activités bien divers et pour des finalités très différentes.
Pourtant, une bonne compréhension de ce règlement et de ses objectifs est indispensable à une bonne interprétation de ce texte et afin de mettre en place les mesures adaptées.
Nous vous proposons dans ce troisième article de blog destiné à vulgariser le RGPD d’examiner plus en détail l'article 5 du Chapitre 2 concernant les champs principes relatifs au traitement de données à caractère personnel.
Et si vous ne les avez pas encore lu, retrouvez les deux premiers articles de cette série en fin d'article !
L'article 5 du règlement général sur la protection des données (RGPD) est un élément clé de la législation européenne sur la protection des données. Ce règlement, comme expliqué dans nos précédents articles de blog, a suscité de nombreuses réflexions sur la manière dont les entreprises et les organisations traitent les données à caractère personnel. Pour rappel, le RGPD vise à protéger les droits et les libertés fondamentales des personnes concernées en garantissant un traitement des données à caractère personnel éthique responsable et conforme à la loi.
Et pour être conformes, les traitements de données personnelles doivent ainsi respecter certains principes stricts.
Dans cet article, nous explorerons les différents principes énoncés dans l'article 5 du RGPD, notamment les principes de licéité, de loyauté et de transparence, de finalité, de minimisation, d'exactitude, de durée de conservation, et de sécurité des données.
Nous allons donc examiner l'importance de ces principes qui sont au cœur du RGPD ainsi que leur influence sur les organisations et les entreprises qui traitent des données personnelles.
1. Les principes de licéité, de loyauté et de transparence
Les principes de loyauté et de licéité du traitement sont complétés par un principe de transparence. En d'autres termes, le traitement doit être effectué conformément à la loi, de manière éthique et transparente. [1]
Par « principe de licéité », on entend que le traitement de données doit être effectué conformément à la loi. Les traitements de données sont donc réalisés sur une base légale appropriée, par exemple : l’exécution d’un contrat, l’obligation légale d’un employeur, une mission d’intérêt public, l’intérêt légitime ou par une demande de consentement.
Le principe de « loyauté » signifie que les données à caractère personnel doivent être collectées et traitées de manière juste et strictement conforme à ce pour quoi la personne concernée a été informée et ce pour quoi elle a consenti, afin d’éviter de lui porter préjudice.
Le principe de « transparence » signifie que les personnes concernées doivent être informées de manière claire et compréhensible de toutes les étapes du traitement de leurs données à caractère personnel. La personne dont les données personnelles sont concernés par des traitements de données doit ainsi être clairement informée du traitement de ses données à caractère personnel, de la finalité de ces traitements de données, des types de données collectées, de la base légale applicable, des destinataires potentiels de ces données, de ses droits Informatique et Libertés, de la possibilité de déposer une plainte auprès de la CNIL, etc. Elles doivent être en mesure d'exercer leurs droits en matière de protection des données tels que le droit d'accès, de rectification, d'effacement, de limitation et de portabilité de leurs données.
Prenons l’exemple d’une entreprise qui souhaite mettre en place une newsletter afin de promouvoir ses offres et produits auprès de ses clients actuels et prospects potentiels. Pour respecter les principes de licéité, de loyauté et transparence, l’entreprise doit suivre les étapes suivantes :
Obtenir le consentement des personnes concernées avant de leur envoyer la newsletter. Ce consentement doit être explicite et récolté de manière non-contrainte. Par exemple, l'entreprise peut ajouter une case à cocher (et décochée par défaut) proposant à toute personne envoyant un formulaire de contact de s'abonner également aux communications.
Informer les personnes concernées de la raison de ce traitement de données, des données récoltées, des partenaires commerciaux avec qui ces données seront partagées ainsi que de la possibilité qu'ils auront de se désabonner ou d'exercer leurs droits. Cela peut être renseigné directement à côté de la case à cocher ou dans une politique de confidentialité qui sera rendue accessible facilement.
Permettre aux abonnés de retirer leur consentement à tout moment (via un lien de désabonnement qui fonctionne).
2. Le principe de finalité
Les données à caractère personnel doivent être collectées et traitées pour des finalités spécifiques déterminées, explicites et légitimes. Ainsi, les organisations et les entreprises doivent informer les personnes concernées des finalités pour lesquelles leurs données sont collectées et elles ne sont pas autorisées à les utiliser à d'autres fins que celles présentées à la personne concernée.
Revenons sur l’exemple de l’équipe marketing et communication. La finalité de la collecte des données personnelles est de gérer l’envoi des newsletters. La finalité ne doit pas être détournée : l’équipe marketing ne pourra pas utiliser ces mêmes données pour envoyer des enquêtes de satisfaction à la suite d’un achat par exemple. Car si les personnes concernées ont consenti à laisser leur adresse email pour recevoir vos communications, elles n'ont pas explicitement consenti à être sollicitées pour des enquêtes de satisfaction.
De la même manière, des adresses emails récoltées dans le but d'envoyer des enquêtes de satisfaction ne pourront pas être utilisées pour envoyer des newsletters ou d'autres communications non-sollicitées !
3. Le principe de minimisation des données
La minimisation des données est un principe fondamental de la protection des données. Seules les données strictement nécessaires pour atteindre les finalités spécifiques pour lesquelles elles sont traitées doivent être collectées. Les données collectées doivent être limitées et proportionnées à l'objectif pour lesquelles elles sont collectées. Ainsi, il est strictement interdit de récolter des données « au cas où ».
Reprenons notre exemple précédent : l'entreprise souhaite récolter des données personnelles pour l'envoi de newsletters mensuelles. Pour respecter le principe de minimisation des données, l'entreprise n'est ainsi pas autorisée à récolter d'autres informations qu'une adresse email (seule information vraiment nécessaire pour envoyer un email). Ainsi, la collecte du nom, prénom, du numéro de téléphone, de la date de naissance dans le cadre de l’envoi d’une newsletter est de trop !
4. Le principe d'exactitude
Les données à caractère personnel doivent être correctes et tenues à jour. Les entreprises et les organisations doivent ainsi prendre des mesures adéquates afin de garantir que les données collectées sont toujours exactes et, si nécessaire, afin de les corriger ou de les supprimer. Respecter le principe d'exactitude peut nécessiter de contacter régulièrement les personnes concernées afin de leur demander de confirmer l'exactitude de leurs données ou de procéder à des vérifications automatiques à l'aide de logiciels spécialisés.
Dans le cadre de notre exemple d'envois de newsletters, l’inexactitude de l’adresse électronique empêcherait uniquement la personne concernée de recevoir les newsletters. En revanche, l'inexactitude de certaines données peut avoir plus d'impact sur les personnes concernées : l’inexactitude du RIB d’un salarié (un RIB étant une donnée personnelle) pourrait compromettre la bonne réception de son salaire.
5. Le principe de limitation de conservation des données
Les données à caractère personnel doivent être conservées pendant une durée limitée. Elles ne peuvent pas être conservées plus longtemps que ce qui est nécessaire afin d’atteindre les finalités spécifiques pour lesquelles elles ont été collectées.
Ne pas respecter la durée de conservation des données personnelles peut constituer une atteinte à la vie privée des personnes concernées. En effet, lorsque celle-ci sont conservées plus longtemps que prévu, le risque de violation de la vie privée des personnes s’accroit. En outre, la conservation de données personnelles inutiles peut également rendre les entreprises et les organisations d'autant plus vulnérables aux failles de sécurité pouvant entrainer des violations de données.
La durée de conservation des données est déterminée en fonction des finalités pour lesquelles elles ont été collectées. Celle ci peut également varier en fonction du type de données traitées (sensibles ou non) et en fonction de d'autres facteurs tels que les obligations légales, les demandes des autorités compétentes, les litiges potentiels.
Par exemple, dans le cadre de la newsletter citée en exemple précédemment, les données sont conservées jusqu’au retrait du consentement de la personne concernée. En revanche, si les données ont été collectées pour la gestion d'un contrat, elles peuvent être conservées pendant la durée effective du contrat (et même si la personne concernée retire son consentement de la newsletter).
Attention, la limitation de la conservation des données ne signifie pas nécessairement la suppression immédiate des données personnelles : il faut ainsi bien faire la différence entre la base active (les données personnelles de la base active sont activement traitées) et les données archivées et stockées (qui ne sont plus activement traitées et qui attendent d'être supprimées).
Ainsi, une certaine durée de conservation en base active est demandée, puis une nouvelle durée de conservation est définie pour l’archivage ou le stockage en base intermédiaire.
En effet, il peut y avoir des situations où les données doivent être conservées pour des raisons légales, et même si les finalités initiales pour lesquelles les données ont été collectées ne sont plus d'actualité. Dans ce cas-là, les entreprises et les organisations doivent mettre en place des mesures de sécurité appropriées pour garantir la protection des données personnelles pendant leur période de conservation.
6. Les principes d'intégrité et de confidentialité
Ces deux principes garantissent que les données personnelles sont protégées contre les accès non-autorisés et contre les modifications non-autorisées, afin qu’elles ne soient utilisées que aux fins pour lesquelles elles ont été collectées.
Par « principe d'intégrité » on entend que les données doivent être exactes, complètes et à jour. Les organisations doivent ainsi prendre les mesures nécessaires afin d’empêcher toute modification, altération ou destruction non-autorisée des données. Pour s’assurer que les données sont fiables et utilisables, des mesures de protection des données doivent être mises en place pour garantir que les données sont protégées contre les virus, les attaques de piratage et les autres menaces potentielles.
Par « principe de confidentialité » on entend que les données ne doivent pas être divulguées à des tiers non-autorisés. À cette fin, les organisations doivent s'assurer que seules les personnes autorisées ont accès aux données et que les données ne sont pas utilisées à d'autres fins que celles pour lesquelles elles ont été collectées. Des mesures de sécurité doivent être mises en place afin de contrôler les accès aux données, telles que l'utilisation de mots de passe forts, l’authentification à 2 facteurs et le chiffrage de données.
Les entreprises et les organisations doivent ainsi prendre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles qu'elles traitent.
7. La responsabilité du responsable de traitement
L’article 5 n’énonce pas seulement les principes relatifs au traitement des données personnelles : il aborde également le principe de responsabilité du responsable de traitement. Ainsi, le responsable du traitement est la personne en charge (responsable) du respect des différents principes évoqués précédemment, et c'est sa responsabilité qui peut se voir engagée en cas de non-respect de ses obligations réglementaires.
Le respect de ces principes implique que le responsable de traitement mette en place des documents de contrôle (état des lieux, registre de traitements, AIPD, charte informatique, etc.) au sein de son entreprise afin de garantir la conformité de ses traitements de données et afin d'avoir la capacité de démontrer la conformité de son organisation vis-à-vis du RGPD lors de contrôle de la CNIL.
Les responsabilités du responsable de traitement seront davantage explicitées à l’article 24 du RGPD (et donc dans un prochain article de blog).
Conclusion
Ces principes présentés dans l’article 5 ne sont pas simplement des obligations juridiques, ils ont également une importance éthique afin de garantir que les données personnelles sont traitées de manière responsable. Les organisations et les entreprises qui ne respectent pas ces principes peuvent être soumis à des sanctions financières importantes, mais c'est également la réputation et l'image de marque qui s'en retrouvent impactées.
Ainsi, un respect strict de tous ces principes relatifs aux traitements de données à caractère personnel permet aux organisations de renforcer leur image de marque et d'inspirer confiance, dans un environnement où la protection des données est devenue une préoccupation croissante pour les citoyens.
Les autres articles destinés à vous faciliter le RGPD :
Vous avez apprécié cet article de blog ?
Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !
Découvrez-en plus sur nos prestations de DPO externalisé en temps partagé !
Nous avons besoin de vos réponses !
En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.
Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !
Merci pour vos réponses !
Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !
Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !