Qu’est-ce que le RGPD ?
Le règlement général sur la protection des données (RGPD) est un ensemble de règlements que les États membres de l’Union européenne doivent mettre en œuvre afin de protéger la confidentialité des données numériques. Le règlement est également connu sous le nom de règlement européen sur la protection des données, Reg. N° 765/2016.
Qu’est-ce qu’une donnée personnelle ?
Les données personnelles sont toutes les informations qui peuvent être utilisées pour identifier un individu. Cela inclut, sans s’y limiter :
- le nom d’une personne ;
- son adresse électronique ;
- son adresse physique ;
- son adresse IP ;
- son activité sur les réseaux sociaux.
Comment le GDPR protège-t-il les données personnelles ?
Le GDPR exige que les entreprises prennent des mesures pour protéger les données personnelles qu’elles collectent et traitent. Ces mesures consistent notamment à s’assurer que seules les données nécessaires sont collectées, que les données sont stockées de manière sécurisée et que les personnes ont le droit d’accéder à leurs données personnelles et de savoir comment elles seront utilisées.
À qui s’applique la réglementation protégeant les données personnelles ?
Le RGPD s’applique à toute entreprise qui traite les données personnelles de personnes dans l’Union européenne, que l’entreprise soit basée dans ou hors de l’UE.
Quels sont les avantages de la mise en conformité avec le RGPD ?
En plus d’éviter les amendes et les poursuites judiciaires, la conformité au RGPD peut contribuer à renforcer la confiance entre une entreprise et ses clients. Les clients sont plus susceptibles de faire des affaires avec des entreprises dont ils savent qu’elles prennent leur vie privée au sérieux.
Quels sont les droits des personnes dont les données sont collectées ?
Le GDPR donne aux individus le droit de savoir quelles données personnelles sont collectées, pourquoi elles sont collectées et comment elles seront utilisées. Les personnes ont également le droit d’accéder à leurs données personnelles, de demander qu’elles soient corrigées si elles sont inexactes, et de demander qu’elles soient supprimées dans certaines circonstances.
Quels sont les obligations des entreprises en cas de collecte ?
Les entreprises qui collectent des données personnelles doivent divulguer leurs coordonnées aux personnes dont les données sont collectées. Elles doivent également informer les personnes de leur droit d’accéder à leurs données personnelles et leur fournir un moyen de le faire. En outre, les entreprises doivent prendre des mesures pour s’assurer que les données personnelles qu’elles collectent sont exactes et à jour. Enfin, les entreprises doivent supprimer ou détruire les données personnelles lorsqu’elles ne sont plus nécessaires et prendre des mesures pour protéger les données personnelles qu’elles détiennent contre l’accès non autorisé, le vol et la destruction.
Quelles sont les sanctions auxquelles s’exposent les entreprises ?
Le RGPD impose des amendes pouvant atteindre 4 % du chiffre d’affaires annuel mondial d’une entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu), en cas de violation de ses dispositions. De plus, les personnes dont les données sont collectées et mal gérées peuvent poursuivre les entreprises concernées.
Comment l’appliquer ?
Le RGPD s’applique à toute entreprise qui traite les données personnelles de personnes dans l’Union européenne, que l’entreprise soit basée dans ou en dehors de l’UE, comme nous l’avons vu.
Vous devez par conséquent prendre des mesures pour protéger les données personnelles que vous collectez et traitez, par exemple en vous assurant que seules les données nécessaires sont collectées, que les données sont stockées de manière sécurisée et que les individus ont le droit d’accéder à leurs données personnelles et de savoir comment elles seront utilisées. En outre, vous devez divulguer vos coordonnées aux personnes dont vous recueillez les données et les informer de leur droit d’accès à leurs données personnelles. Vous devez également prendre des mesures pour vous assurer que les données personnelles que vous collectez sont exactes et à jour. Enfin, vous devez supprimer ou détruire les données personnelles lorsqu’elles ne sont plus nécessaires et prendre les mesures suivantes.
Les durées de conservation des données
En termes de rgpd conservation des données, il est exigé que les données à caractère personnel ne soient pas conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées. Cela signifie que les entreprises doivent mettre en place une politique précisant la durée de conservation des données personnelles et doivent supprimer ou détruire les données lorsqu’elles ne sont plus nécessaires.
Sécurité des données
Le RGPD exige des entreprises qu’elles prennent des mesures pour protéger les données personnelles qu’elles collectent et traitent contre les accès non autorisés, le vol et la destruction. Il s’agit notamment de s’assurer que seul le personnel autorisé a accès aux données, que les données sont stockées de manière sécurisée et que des mesures sont en place pour empêcher tout accès non autorisé, comme le cryptage.
Droits individuels
Le RGPD donne aux individus le droit de savoir quelles données personnelles sont collectées, pourquoi elles sont collectées et comment elles sont traitées. Les personnes ont également le droit d’accéder à leurs données personnelles, de les faire rectifier si elles sont inexactes et de les faire supprimer dans certaines circonstances.
Le cycle de vie de la donnée
Conservation en base active
Les données ne doivent être conservées qu’aussi longtemps qu’elles sont nécessaires à la réalisation de la finalité pour laquelle elles ont été collectées.
Conservation intermédiaire
Les données qui ne sont plus nécessaires pour la période de conservation active doivent être déplacées vers un lieu de stockage intermédiaire. Les données personnelles ne sont plus utilisées pour atteindre l’objectif fixé (« dossiers clos ») mais présentent encore un intérêt administratif pour l’organisme (ex : gestion d’un éventuel contentieux, etc.) ou doivent être conservées pour répondre à une obligation légale. Les données peuvent alors être consultées de manière ponctuelle et motivée par des personnes spécifiquement habilitées.
Archivage définitif
Les données qui ne sont plus nécessaires doivent être supprimées ou détruites en toute sécurité.
L’identification de la durée de conservation des traitements
Le RGPD prévoit différentes durées de conservation des données en fonction de la finalité de leur collecte. Il n’impose pas de délais précis, mais plutôt une logique de conservation en fonction du besoin et du sentiment de proportionnalité, afin de garantir le respect de la vie privée tout en permettant à l’entreprise de remplir ses missions. Par exemple, les données relatives aux clients (nom, prénom, adresse, numéro de téléphone) doivent être conservées pendant toute la durée de la relation commerciale et au moins pendant 13 mois après sa fin. Autre exemple, les données collectées lors d’un formulaire de contact en ligne (adresse email) doivent être conservées jusqu’à ce que le client en demande la suppression.
Les outils pour définir les durées
Il existe plusieurs outils pour vous aider à définir la durée de conservation des données de votre entreprise, en fonction du type de données collectées.
- le registre de conservation des données : vous aide à faire le point sur les données que vous collectez et traitez, ainsi que sur les différentes périodes de conservation qui leur sont applicables ;
- l’analyse d’impact sur la protection des données : vous permet d’évaluer les risques liés à vos activités de traitement des données et de mettre en place des mesures pour atténuer ces risques ;
- la boîte à outils RGPD : fournit un ensemble d’outils pour vous aider à vous conformer au GDPR, notamment un modèle de politique de conservation des données.
En conclusion, il est important de ne conserver que ce qui est nécessaire à la conformité au RGPD et pas plus. Le RGPD prévoit des durées de conservation des données différentes en fonction de la finalité de leur collecte. Il existe plusieurs outils pour vous aider à définir la durée de conservation des données de votre entreprise, en fonction du type de données collectées. En définitive, il est important de bien comprendre les données que vous collectez et traitez, et de mettre en place des mesures pour garantir que ces données sont protégées contre tout accès non autorisé, tout vol et toute destruction.
Nous vous offrons des services de mise en conformité RGPD pour protéger la confidentialité de vos données personnelles. Contactez-nous dès aujourd’hui pour garantir la conformité de votre entreprise.