RGPD : récapitulons vos obligations

Se poser la question de la finalité des traitements

Vous souhaitez mettre en place un formulaire de collecte de données sur votre site internet ? Posez-vous les bonnes questions et soyez clair sur les objectifs de cet outil et le cadre dans lequel vous allez traiter les données personnelles collectées.

CE QUE DIT LA LOI :
Un fichier doit avoir un objectif précis.
Les informations exploitées dans un fichier doivent être cohérentes par rapport à son objectif.
Les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées.
Tout détournement de finalité est passible de 5 ans d’emprisonnement et de 300 000 € d’amende. (art. 226.21 du code pénal)

Z

J'a déterminé pour chaque fichier sa finalité précise

L’obligation de « minimiser » les données collectées

Posez-vous la question des données qui sont strictement nécessaires à l’exécution du service ou de l’objectif fixé.
« Les données collectées doivent être limitées aux seules données nécessaires à atteindre la finalité annoncée. »
Exemples : L’abonnement à une newsletter ne nécessite pas la collecte de la date de naissance ou de l’adresse postale de l’abonné. L’adhésion à une association ne nécessite pas de stocker un numéro de sécurité sociale.

Limitez les données aux seuls besoins que vous avez pour permettre la bonne exécution du service proposé.

CE QUE DIT LA LOI :
Article 5.1c : « Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».

Z

J'ai limité la collecte de données au strict nécessaire

Le devoir d’information des personnes

Lorsque vous mettez en place un outil de collecte de données personnelles, vous avez le devoir d’en informer la personne concernée. Vous devez notamment lui communiquer les informations suivantes :

  • L’identité du responsable du traitement,
  • Les finalités poursuivies par le traitement (exemple : gestion d’un fichier-client, prospection commerciale, publication dans un annuaire, une liste de membres…),
  • Le caractère obligatoire ou facultatif des réponses à apporter (et des conséquences éventuelles, à leur égard, d’un défaut de réponse), des destinataires des données,
  • La durée de leur conservation,
  • Le droit des personnes fichées d’opposition, d’accès et de rectification ainsi que des modalités d’exercice de ces droits,
  • Les transmissions éventuellement envisagées à des tiers.

Pour votre site internet :

Placez à côté de chaque formulaire de collecte (contact, newsletter, sondage, etc…) un court texte qui regroupe ces mentions d’informations et faites un lien vers votre page de Politique de Confidentialité.

CE QUE DIT LA LOI :
Le refus ou l’entrave au bon exercice des droits des personnes est puni de 1500 € par infraction constatée et 3 000 € en cas de récidive. art. 131-13 du code pénal Décret n° 2005-1309 du 20 octobre 2005

Z

J'ai informé les personnes de l'existence de ces fichiers et de leurs finalités

Garantir à la personne ses droits RGPD

  • Droit d’accès (Article 15) : la personne concernée par les données personnelles a le droit de vérification et de consultation des données personnelles le concernant, et cela gratuitement et à tout moment.
  • Droit de rectification (Article 16)
  • Droit à l’effacement: droit à l’oubli (Article 17)
  • Droit à la limitation du traitement (Article 18) : en cas d’inexactitude des données, de traitement illicite, de changement de finalité de l’usage de ces données, ou en cas d’opposition au traitement par exemple.
  • Droit à la portabilité des données (Article 20) : « Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle »

Vous devez clairement expliquer à la personne concernée comment il peut demander la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement.

Z

J'ai informé les personnes sur leurs droits et les moyens de les exercer au regard de leurs Données Personnelles

La sécurisation des données personnelles

Le prestataire technique qui est en charge de stocker les données doit garantir à la personne la sécurisation de ces données pour éviter la « violation » des données personnelles. La loi précise que des mesures appropriées doivent être mises en place sur le plan technique. Article 4.12.

Quels risques ?

  • Faille de sécurité de la base de données
  • Accès non-autorisé
  • Piratage informatique
  • Destruction, perte ou altération des données

Quelles mesures de sécurisation doivent être prises ?

Tout type de mesures techniques et organisationnelles adaptées à la situation, à la nature des données et à la probabilité des risques. Il peut s’agir :

  • Pseudonymisation et chiffrement des données
  • Actions techniques et organisationnelles pour garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement
  • Actions de sauvegarde des bases de données pour en rétablir l’accès et la disponibilité
  • Procédures visant à tester l’efficacité des procédures techniques

Le responsable technique des données doit être en mesure de prouver qu’il a mis tout en œuvre pour garantir la sécurité des données personnelles dont il a la charge « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques » (Article 32.1)

Extrait de la CNIL (https://www.cnil.fr/fr/organiser-les-processus-internes) :

Organiser les processus implique notamment :

  • de prendre en compte de la protection des données personnelles dès la conception d’une application ou d’un traitement (minimisation de la collecte de données au regard de la finalité, cookies, durée de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données s’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données). Pour cela, appuyez-vous sur les conseils du délégué à la protection des données;
  • de sensibiliser et d’organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs ;
  • de traiter les réclamations et les demandes des personnes concernées quand à l’exercice de leurs droits(droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen) ;
  • d’anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.

Que faire en cas de violation des données ?

La loi impose au responsable du traitement de notifier aux personnes concernées par les données personnelles stockées que celles-ci ont été divulguées, détruites ou encore altérées.
Modèle de notification de violation des données personnelles (CNIL) : https://www.cnil.fr/sites/default/files/typo/document/CNIL_Formulaire_Notification_de_Violations.pdf

CE QUE DIT LA LOI :
Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement.
Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende. (art. 226-17 du code pénal).

Z

J'ai mis en œuvre tous les moyens techniques pour sécuriser ces Données personnelles

La confidentialité des données

Sécurité et confidentialité vont de paire ! Dans vos processus de traitement de données personnelles, vous devez vous assurer que seules les personnes déclarées destinataires de ces données y auront accès.

Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des « tiers autorisés » ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc).

CE QUE DIT LA LOI :
La communication d’informations à des personnes non-autorisées est punie de 5 ans d’emprisonnement et de 300 000 € d’amende. La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende. art. 226-22 du code pénal

Z

J'ai pris la mesure que ces DP sont strictement confidentielles et que seules les personnes autorisées y ont accès.

La durée de conservation des informations

Les données personnelles ont une date de péremption !
Le responsable d’un fichier doit fixer une durée de conservation raisonnable en fonction de l’objectif du fichier. Il peut s’agir d’une durée courte, par exemple dans le cadre d’une demande d’information par le biais d’un formulaire de contact : une fois que la réponse a été apportée à l’internaute, sa demande et ses informations personnelles n’ont à priori plus aucune raison d’être stockées.
Il peut s’agir d’une durée plus longue lorsqu’elle est liée à l’exécution d’un contrat : contrat d’embauche d’un salarié, contrat de vente d’un produit ou d’un service par exemple. Dans ce cas, il est possible d’indiquer que la durée de conservation des données est égale à celle du contrat, voire même au-delà pour permettre la mise en place d’un service après-vente par exemple.

Les durées de conservation généralement admises :

  • La durée maximale de conservation de données personnelles est fixée à 36 mois.
  • La durée maximale de conservation de cookies est fixée à 13 mois.

Dans tous les cas, vous devez indiquer à la personne concernée combien de temps vous vous engagez à conserver ses données.
Et à l’issue de cette période, vous devez supprimer ces données, bien évidemment !

CE QUE DIT LA LOI :
Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d’emprisonnement et de 300 000 € d’amende. art. 226-20 du code pénal

Z

J'ai mis en place des alertes pour supprimer les DP lorsqu'elles atteignent la durée limite du stockage déclaré.