RGPD pour les nuls: 6, le numéro magique


Pour pouvoir comprendre le RGPD, il faut comprendre ce que signifie les données personnelles, le traitement des données personnelles, mais aussi les applications de droits des personnes concernées. Ainsi, ceux qui n’apprécient forcément pas les règles de droit, les articles de lois, vous devrez vous y faire, car ces éléments font partie du puzzle pour la compréhension du RGPD.

Le numéro magique est 6 car c’est le nombre de points importants à mémoriser chaque sous-partie pour comprendre le RGPD.


Sommaire


Le RGPD, c’est quoi ?

RGPD, pour Règlement Général sur la Protection des Données, constitue le texte de référence en matière de protection des données personnelles sur le territoire de l’Union européenne. De surcroît, il s’applique à toute organisation publique et privé présentes sur le territoire européen, et ceux qui ciblent les résidents européens.

Qu’est-ce qu’une donnée personnelle ?

La CNIL définit une donnée personnelle comme toute information se rapportant à une personne physique identifiée ou identifiable.
Une identification peut être directe, comme par le nom ou prénom de la personne, ou indirecte, par un identifiant, numéro de téléphone, adresse mail, voix, images, etc… Aussi, elle peut être réalisé par une seule donnée, et/ou par le croisement d’un ensemble de données.

Et qu’en est-il du traitement des données personnelles ?

Un traitement de données personnelles est toute opération portant sur des données personnelles. En effet, il doit avoir un objectif, une finalité dans les règles de droit légal et légitime au regard de l’activité professionnel.
Aussi, les organismes ont l’obligation de transparence sur leur traitement de données personnelles, et d’informer les personnes ciblées.

RGPD et l’ordre 66

Pour être conforme, comprendre, et valoriser le RGPD, la CNIL évoque le double 6 sur:

  • Les règles d’or de protection de données personnelles
  • Les bases légales adaptées aux traitements de données personnelles

Les 6 règles d’or de protection de données personnelles

  1. Tout d’abord, ne collectez que les données vraiment nécessaires pour atteindre votre objectif
  2. Ensuite, soyez transparent
  3. Mais aussi, organisez et facilitez l’exercice des droits des personnes
  4. N’oubliez pas de fixer des durées de conservation
  5. Mais surtout sécurisez les données et identifiez les risques
  6. Et enfin, inscrivez la mise en conformité dans une démarche continue

Les 6 bases légales du traitement des données personnelles

  1. Consentement: parce qu’il est indispensable que la personne concernée ait consenti au traitement de ses données.
  2. Obligation légale: qui est définie par le droit européen ou droit national d’un État membre auquel le responsable du traitement est soumis.
  3. Contrat: lorsque le traitement est objectivement nécessaire à l’exécution d’un contrat entre l’organisme et les personnes concernées.
  4. Mission d’intérêt public: pour les traitements mis en œuvre par les autorités publiques pour exécuter leurs missions.
  5. Sauvegarde des intérêts vitaux: lorsque le traitement est nécessaire à la sauvegarde des intérêts vitaux de/des personne(s) concernée(s).
  6. Intérêt légitime: lorsque les intérêts de l’organisme traitant les données ne créent pas de déséquilibre au détriment des droits des personnes.

« La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de traiter les données ».

Source: CNIL

ATTENTION! Il est interdit de traiter des données personnelles sans base légale.
Étant donné que ces bases légales ont été définies par l’article 6 du RGPD sur la licéité du traitement.


A l’action! Se préparer pour mieux se protéger… Et encore un 6!

La CNIL met en valeur 6 étapes de préparation pour renforcer la responsabilité des organismes par rapport à la protection des données personnelles.

Les 6 étapes de préparation pour le RGPD

  1. DESIGNER un pilote pour la gouvernance des données personnelles de votre organisation.
  2. CARTOGRAPHIER les traitements de données personnelles pour mesurer l’impact du règlement européen sur la protection des données.
  3. PRIORISER les actions à mener pour vous conformer aux obligations actuelles et à venir.
  4. GÉRER les risques sur les données sensibles à la vie privée pour protéger les données personnelles.
  5. ORGANISER les processus internes pour assurer un haut niveau de protection des données personnelles en toute permanence.
  6. DOCUMENTER pour prouver la conformité au RGPD, nous devons réexaminer et actualiser régulièrement chaque documents et actions pour mieux assurer la protection des données.

Enfin, pour aller plus loin …