Quelles sont les règles d'or du RGPD?
Dernière mise à jour : il y a 13 heures
Les règles d'or du RGPD (Règlement Général sur la Protection des Données) sont un ensemble de principes qui permettent de:
garantir la conformité d'un traitement de données personnelles au règlement général sur la protection des données (RGPD)
limiter les risques liées à la non-conformité d'un traitement de données personnelles
sensibiliser les opérationnels aux bonnes pratiques du RGPD
xDPO vous décrit dans cet article les 10 règles d'or pour appliquer concrètement le RGPD dans votre organisation (Cadeau : en fin de document vous pourrez imprimer une fiche aide mémoire)
A l'issue de cet article, vous connaitrez les 10 règles d'or qui permettent de garantir qu'un traitement de données personnelles est conforme au RGPD :
Tout d'abord précisons la définition d'un traitement de données personnelles:
➤ Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. C'est à dire que les données relatives à des personnes morales (entreprise, organisation, association) ou les données anonymes ne sont pas concernées par le RGPD.
➤ Un traitement de données personnelles est une opération ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission etc.)
Attention, car les données numériques et papiers sont concernées !
Pour être conforme au RGPD, à chaque fois que vous mettez en œuvre un traitement de données personnelles, vous devez respecter les 10 principes suivants :
1️⃣ L’ auto-documentation : Le principe d'auto-documentation est l'un des principes fondamentaux du RGPD. Il exige que les responsables du traitement des données personnelles documentent leurs activités de traitement des données. Le RGPD met fin au régime de déclaration préalable auprès de la CNIL. Depuis 2018 vous devez prendre des mesures de protection des données personnelles adéquates de votre propre initiative et en fournir la preuve avec une documentation. (Articles 5.2 et 24.1 du RGPD, principe d'accountability)
Pour vous aider dans la rédaction de votre Registre des traitements, élément important de l'accountability, notre article "Comment remplir le registre des traitements"
2️⃣ La protection dès la conception :
Le principe de protection dès la conception (privacy by design), également connu sous le nom de protection par défaut, est un principe fondamental du Règlement général sur la protection des données (RGPD). Il exige que les responsables du traitement des données personnelles prennent des mesures pour intégrer la protection de la vie privée dans toutes les phases du cycle de vie du traitement des données personnelles, de la conception à l'exploitation. Si l'utilisateur de votre service ne fait aucun choix, vous devez lui appliquer automatiquement ("par défaut") le meilleur niveau de protection. Et si vous créez un nouveau service, vous devez intégrer la protection des données personnelles dès la conception, dans le cahier des charges. Y compris dans la sélection des sous-traitants (Privacy by design). (Article 25 du RGPD) Sur ce sujet voir notre article Quelles sont les obligations RGPD du sous-traitant?
3️⃣L'obligation de sécurité : Vous devez prendre des mesures pour garantir la confidentialité (seule les personnes légitimes accèdent aux données), l’intégrité (les données ne sont pas tronquées ou illisibles) et la disponibilité des données. Attention, car cette obligation de sécurité s'étend également dans votre relation avec vos sous-traitants ! (lire l’article 32 du RGPD) et vous devez le vérifier auprès d'eux avec la signature d'un contrat. Sur ce sujet voir notre article Quelles sont les obligations RGPD du sous-traitant?
Pour en savoir plus, notre article "Dix mesures essentielles pour votre cybersécurité"
4️⃣Une base légale : C'est le fondement juridique de votre traitement, ce qui vous donne le droit de collecter et traiter des données personnelles. Vous devez choisir pour chaque traitement une base légale parmi les six suivantes : le consentement, le contrat, l’intérêt légitime, l’obligation légale, la mission d’intérêt public, la préservation des intérêts vitaux. (Article 6 du RGPD).
A noter que contrairement à une idée reçue, vous n'êtes pas obligé de demander systématiquement le consentement à la personne pour effectuer un traitement de ses données personnelles : il faut choisir une des six bases légales proposées par le RGPD
Voir la fiche de la CNIL sur les bases légales : https://www.cnil.fr/fr/les-bases-legales
5️⃣La finalité : Le principe de finalité exige que les responsables du traitement des données personnelles ne collectent et ne traitent des données personnelles que pour des finalités spécifiques, explicites et légitimes. Les données collectées ne doivent pas être traitées ultérieurement dans un objectif incompatible avec le but initial. (Article 5 du RGPD). Par exemple vous collectez des adresses emails avec l'objectif d'envoyer des informations sur votre organisation (objectif1) et finalement vous envoyez une newsletter avec des promotions commerciales d'un partenaire (objectif2). Ceci peux constituer une violation de données.
6️⃣La minimisation : Le principe de minimisation exige que les responsables du traitement des données personnelles collectent uniquement les données personnelles nécessaires aux finalités pour lesquelles elles sont collectées. Vous ne traitez que les données strictement nécessaires à l’objectif. Elles doivent être adéquates, pertinentes et limitées, c'est pourquoi vous ne devez choisir que des données "utiles".
Si vous collectez des données pour diffuser une newsletter, vous avez besoin de l'email mais pas de l'adresse postale. (Article 5 du RGPD)
7️⃣ La transparence : Les personnes sont informées du traitement et de l’exercice de leurs droits. Vous devez produire une information compréhensible et facilement accessible pour les personnes. (Article 1 du RGPD)
8️⃣ Les données à risques : Les données sensibles (religion, politique, syndical, orientation sexuelle, données biométriques) ne doivent pas être traitées sauf à de rares exceptions. Dans le doute, vous ne devez pas les collecter (Article 9 du RGPD)
9️⃣ La durée de conservation : Le principe de durée de conservation exige que les responsables du traitement des données personnelles ne conservent les données personnelles que pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées. Ainsi vous devez déterminer une durée de conservation pour chaque donnée collectée en fonction de la finalité (l'objectif de la collecte). A l'issue de cette durée, vous devez archiver, supprimer ou anonymiser ces données. (Article 5 du RGPD)
Pour calculer ces durées, vous pouvez consulter notre article : RGPD - Quelle durée de conservation des données
🔟 Le droit des personnes : Chacun dispose de droit sur ses données personnelles. Vous devez communiquer sur la procédure permettant de les exercer (comment, à qui s'adresser ?) et vous devez les traiter dans un délai maximum d'un mois. A noter aussi que vous pouvez refuser d'y répondre sous certaines conditions. (Articles 12 à 23 du RGPD)
👉 Parmi ces dix règles d'or, il faut en noter 5 règles particulièrement importantes: l’obligation de sécurité, la base légale, la finalité, la minimisation et la durée de conservation.
Pourquoi importantes? Parce que 85% des sanctions sont prononcées en UE sur ces motifs!
Pour vous aider nous vous proposons d'imprimer cet aide mémoire
regles dor PRINT xdpo
.pdf
Download PDF • 104KB
En respectant ces règles simples, vous écarterez le risque de non-conformité et de sanctions de la CNIL.
Les internautes ont aussi consulté dans le Blog:
Comment réaliser une analyse d impact relative à la protection des données (AIPD)
Comment mettre son site internet en conformité avec le RGPD?
Vous souhaitez allez plus loin? Contactez nos experts de la mise en conformité agile.
Mise à jour le 09/10/2022