top of page

Comment vous assurer que les traitements de données réalisés par votre organisation sont conformes au RGPD ?



information RGPD
Photo de Markus Winkler sur Unsplash


Le RGPD a pour objectif de renforcer la protection des données personnelles des citoyens européens, et de responsabiliser les organisations qui collectent et traitent leurs données. Il impose ainsi aux organisations de fournir des informations compréhensibles, lisibles et transparentes aux personnes concernées par la collecte et le traitement de données personnelles.


Cette obligation de transparence est justement définie dans les articles 12, 13, 14 du règlement, que nous allons analyser aujourd'hui.


Le responsable de traitement doit notamment fournir des information détaillées et exhaustives sur les modalités de collecte et de traitement de vos données ainsi que les bases légales justifiant ledit traitement.


Cette transparence exigée est une garantie, qui permet à la personne concernée de connaître la raison de la collecte de ses données, de comprendre le traitement qui en sera fait, et ainsi, de s’assurer de garder la maîtrise de ses données personnelles grâce aux différents droits existant en la matière. Cette transparence oblige donc les organisations à assurer une utilisation loyale de vos données. 


Alors comment pouvez-vous vous assurer que les traitements de données personnelles que vous réalisez sont conformes à la réglementation RGPD ?


C’est ce que nous allons tenter de vous expliquer dans ce nouvel article.


Informez-vous les personnes concernées de la collecte de leurs données personnelles ?


Le tout premier indicateur pour vous assurer de la conformité des traitements de données personnelles que vous réalisez est de vous assurer de l'information correcte des personnes concernées quant aux données personnelles qui sont collectées.

Une organisation a l'obligation de prévenir les personnes concernées lorsque cette dernière collecte des données personnelles.



Cependant, cela n’est évidemment pas suffisant.




Comment informez-vous les personnes concernées de la collecte de leurs données personnelles ?


Une organisation loyale est une organisation qui informe régulièrement ses prospects, clients ainsi que les internautes de son site internet quant à l’utilisation qui est faite des données personnelles récoltées, et ainsi, qui communique ponctuellement avec ces derniers.


Les organisations ont l'obligation d'informer les personnes concernées de chaque action de collecte de données directe (par exemple, lorsque vous remplissez un formulaire de contact, lorsque vous réalisez un achat en ligne et ainsi, que vous partagez vous-même vos données personnelles) ; mais également indirecte, comme par exemple à travers des dispositifs d'observation de l'activité (par exemple, lorsque vous naviguez sur internet et qu'un site web dépose des cookies pour vous identifier, vous suivre, lorsque vous entrez dans un lieu public ayant installé des caméras de vidéo-surveillance, etc.).


Lorsque la collecte de données est indirecte (c'est-à-dire, lorsque les personnes concernées ne partagent pas elles-mêmes leurs données personnelles avec votre organisation mais que vous les collectez), il est nécessaire d'en informer les personnes concernées le plus rapidement possible (immédiatement lorsque cela est possible, ou dans un délai de 1 mois maximum).


Lorsque vous collectez des données pour une finalité précise, et que cette finalité change, vous devez en informer les personnes concernées (à condition que le traitement de données ne soit pas soumis au consentement ! Si la base légale du traitement de données est le consentement, alors il faudra de nouveau recueillir un consentement pour cette nouvelle finalité de traitement).



En cas de violations de données personnelles, les personnes concernées doivent également être informées de la nature de la violation des données, des données personnelles concernées par cette violation, ainsi que des actions mises en oeuvre par l'organisation pour atténuer les impacts potentiels sur la vie privée des personnes concernées.




Quelles informations communiquez-vous ?


Lorsque vous recueillez des données personnelles, que cela soit fait d'une manière directe ou indirecte, l'organisation doit obligatoirement partager certaines informations telles que :


  • Quelle est l'identité du responsable de traitement (est-ce vous ? Est-ce l'un de vos sous-traitants ?) ainsi que les coordonnées de ce responsable de traitement des données, et s'il existe, du délégué à la protection des données (DPO) qui a été désigné par l’organisme ?

  • Quelles sont les finalités de cette collecte de données personnelles ? Dit autrement, quelles utilisations vont être réalisées avec ces données, dans quel but ces données personnelles ont-elles été récoltées ?

  • Quelle est la base légale permettant de justifier ce traitement de données personnelles ? Est-il nécessaire que la personne concernée donne son consentement, ou bien s’agit-il du respect d’une obligation prévue par la loi ?

  • Qui sont les personnes qui auront accès à ces données personnelles ? Y aura-t-il un transfert de ces données personnelles vers un autre pays (notamment vers un pays hors de l'Union Européenne) ?

  • Quelle est la durée de conservation de ces données seront conservées, combien de temps allez-vous les garder ?

  • De quels droit disposent les personnes concernées en matière de protection des données, d’opposition ou de limite au traitement des données ? Ce sont les droits Informatique et Libertés.

  • Est-ce que vous proposez aux personnes concernées un moyen (le plus facile possible évidemment) de retirer leur consentement à tout moment, après qu'elles aient donné leur consentement pour le traitement de leurs données personnelles ? Lorsque la base légale d'un traitement de données est le consentement, il est obligatoire de pouvoir permettre aux personnes concernées de retirer ce consentement à tout moment.


  • Y a-t-il une prise de décisions automatisé, dont du profilage (c'est-à-dire une utilisation des données personnelles d’un individu en vue d’analyser et de prédire son comportement, à travers l'évaluation de certains de ses aspects personnels, et en vue d’émettre un jugement ou de tirer des conclusions sur elle) ?


  • Proposez-vous un moyen facile aux personnes concernées de déposer une réclamation auprès de la CNIL ? Attention, la réponse ici doit obligatoirement être "oui".



Lorsque l'organisation collecte des données personnelles de manière indirecte, il existe deux questions supplémentaires à se poser :


  • Enfin, quelle est la source des données ? Via quels moyens, quels outils, de quelle manière ces données personnelles ont-elle été récoltées précisément ?


L'exhaustivité dans ces informations à partager avec les personnes concernées par les traitements de données réalisés par votre organisation sont un véritable gage de confiance de de loyauté.


Cependant, il est tout à fait possible de partager ces informations de manière un petit peu disparate, et dans différents documents ou supports de l’organisation.


Généralement, la Politique de Confidentialité est LE document qui permet de centraliser toutes ces informations de manière exhaustive.


Une fois que vous avez apporté des éléments de réponses à toutes les questions citées ci-dessus, un dernier élément reste à prendre en compte : la clarté de ces informations. Bien évidemment, partager des informations exhaustives mais que personnes ne comprend n'aurait que peu d'intérêt.




Les informations que je partage sont-elles compréhensibles ?


En tant que responsable de traitement, vous devez garder à l'esprit que les personnes concernées (c'est-à-dire vos clients, prospects, les internautes sur votre site internet) ne sont pas nécessairement des experts en conformité réglementaire et protection des données personnelles.


Ainsi, lorsque vous partager ces éléments d'informations avec les personnes concernées par les traitements de données personnelles réalisés par votre organisation, vous devez impérativement partager des informations rédigées ou exprimées de manière la plus claire, la plus précise et la plus simple possible.


Cela signifie que ces informations doivent être facilement accessibles, mais surtout compréhensibles, et ne contenir que les éléments essentiels à la bonne compréhension des personnes concernée, et ce quel que soit leur niveau de connaissance en matière de protection des données.


Ainsi, pas de phrases à rallonge, pas de termes technique compliqué, et pas de paragraphes ambigus. Le vocabulaire utilisé doit être simplifié, et utiliser des supports adaptés selon les situations. Par exemple, si ces informations doivent être partagées avec des enfants ou des personnes vulnérables, ces éléments d'informations doivent être adaptés et simplifiés, avec, par exemple, des animations.


Une fois encore, proposer un accès facile et immédiat à ces informations essentielles vous positionne comme une organisation engagée dans une démarche de transparence auprès de son public.



Pour conclure

Finalement, voici donc ce qu’il faut retenir pour vous assurer de votre transparence envers les personnes concernées par les traitements de données personnelles réalisés par votre organisation.



Tout d'abord, demandez-vous :


  • Les personnes concernées ont-elle été informées de la collecte et du traitement de leurs données personnelles ?

  • Quand ont-elles été informées ?

  • Quelles informations ont été partagées ?

  • Ces informations sont-elles claires, compréhensibles ?


Si vous êtes en mesure de répondre positivement à chacune de ces questions, vous êtes alors en mesure d'affirmer que votre devoir de transparence a été correctement rempli.



Petit rappel des droits Informatique et Libertés :


Vos droits mériteraient bien un article dédié sur le blog de CyberSecura. Cependant, comme nous en avons parlé dans cet article, et dans la mesure ou l'information des internautes à propos de ces droits participe à l’obligation de transparence des organisations, voici un simple petit récapitulatif des différents droits Informatique et Libertés.


Le droit à l’information : Les personnes concernées ont le droit de savoir comment leurs données personnelles vont être utilisées, et quels sont leurs différents droits.

Cela leur permet d'évaluer si elles sont en mesure faire confiance aux organisations concernant les traitements de leurs données personnelles.

 

Le droit d’accès : Les personnes concernées ont le droit de demander quelles sont les données personnelles les concernant qu’une organisation possède.

Cela leur permet de savoir quelles sont leurs données personnelles qui sont traitées et de contrôler leur exactitude pour au besoin, les rectifier ou les effacer.

 

Le droit de rectification : Les personnes concernées ont le droit de demander la rectification des informations inexactes ou incomplètes les concernant.

Cela leur permet de s'assurer que l’organisation responsable de traitement n’utilise ou ne diffuse pas des informations erronées les concernant.

 

Le droit d’effacement : Les personnes concernées ont le droit, dans les cas prévus par la loi, de demander la suppression des données personnelles les concernant.

Cela leur permet d’obtenir l’effacement d’une donnée dont elles ne souhaiteraient plus l’exploitation.

 

Le droit d’opposition ou de limite au traitement : Les personnes concernées ont le droit, dans les cas prévus par la loi, de s'opposer à ce qu’une organisation traite leurs données personnelles.

Cela leur permet de contester l’utilisation de leurs données personnelles par une organisation et dans le cadre d'une finalité précise.


 

Articles complémentaires :




 

Vous avez apprécié cet article de blog ?


Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !



 

Nous avons besoin de vos réponses !



En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.


Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !


Merci pour vos réponses !



 

Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !


RGPD grenoble

Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !



 

19 vues

Comments


Commenting has been turned off.
bottom of page