RGPD, c’est quoi ?

Dans la suite de votre information pour comprendre le RGPD, AP3R Consulting, consultant RGPD à Angers vous donne aujourd’hui quelques notions complémentaires.

RGPD c’est quoi ? Définition

RGPD est l’acronyme de Règlement général sur la protection des données.
Adopté en 2016 et entré en vigueur le 25 mai 2018, il vise à protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel et à leur libre circulation sur le territoire européen.

Le RGPD poursuit plusieurs grands objectifs :

• Protéger les personnes physiques quand les informations susceptibles d’identifier ces personnes sont enregistrées dans des fichiers (informatique, papier), traitements de données personnelles
• Permettre aux entreprises et aux administrations de travailler tout en développant leur responsabilisation et leur auto-contrôle.
• Renforcer la confiance, l’éthique

RGPD : les notions de bases à maîtriser

Qu’est ce qu’une donnée à caractère personnel ?

Une donnée à caractère personnel, communément appelée donnée personnelles, est caractérisée par la CNIL comme étant « toute information se rapportant à une personne identifiée ou identifiable ».

Dès lors qu’il y a traitement des données de la part d’un organisme, il se doit de répondre aux exigences établies par le Règlement général sur la protection des données.

Qu’est ce qu’un traitement RGPD ?

Au point de départ, l’on a une information, une personne physique identifiée ou identifiable par référence d’identification (nom, téléphone, localisation …) ou combinaison de plusieurs données.

Un traitement, c’est toute opération effectuée à l’aide de procédé et appliquée à des données ou des ensembles de données à caractère personnel, liée au fonctionnement interne (ressources humaines, comptabilité, sécurité des locaux …), ou liée aux activités (gestion clientèle, prospection commerciale…)

Un traitement peut prendre la forme d’une collecte, consultation, modification, mise à disposition, transmission, communication, conservation, rapprochement, destruction…

Quelques bonnes pratiques

Licéité du traitement des données

Votre traitement doit avoir une référence légale pour être licite : exécution d’un contrat, consentement, respect d’une obligation légale, sauvegarde des intérêts vitaux de la personne, mission d’intérêt publique, intérêts légitimes du responsable de traitement ou d’un tiers.

Documenter votre conformité RGPD

Il est indispensable de documenter votre conformité afin de prouver concrètement ce que vous faites, ce que vous dites, ce que vous écrivez.

La tenue d’un registre de traitement des données (RGPD), fait partie des documents à présenter lors d’un contrôle.

Principe de minimisation des données

Au regard de la finalité du traitement, de la nature des informations collectées, vous devez avoir uniquement les données qui vous sont indispensables. C’est le principe de minimisation des données.

Durée de conservation des données

La durée de conservation des données à caractère personnel doit être indiquée dans votre registre de traitement. Vous devez pour cela, par exemple, prendre en compte le droit des personnes tel que le droit à l’oubli, mais aussi les règles de prescriptions applicables (droit du travail, droit commercial, droit civil …).

Sécurité et confidentialité des données

Elles doivent être définies à travers une politique de sécurité minimale (authentification, droit d’accès, gestion des mots de passe …), transmises au personnel à travers une charte informatique par exemple.

Droit des personnes fichées

Les personnes fichées bénéficient de plusieurs droits. Les procédures d’obtention des informations, de transmission doivent être clairement définies et indiquées.

Mise en conformité RGPD