Quelles sont les règles d'or du RGPD?

Si le RGPD - Règlement Général sur la Protection des Données - vous semble difficile d'accès, les principes fondamentaux qui rendent un traitement de données conforme sont relativement simples.

xDPO vous précise les 10 règles d'or pour appliquer concrètement le RGPD dans votre organisation (spoiler : en fin de document vous pourrez imprimer une fiche aide mémoire)

A l'issue de cet article, vous connaitrez les 10 règles d'or qui permettent de garantir qu'un traitement de données personnelles est conforme au RGPD :

• L'auto-documentation

• La protection dès la conception

• L'obligation de sécurité

• La base légale

• La finalité

• La minimisation

• La transparence

• Les données à risques

• Les durées de conservation

• Les droits des personnes

Tout d'abord précisons la définition d'un traitement de données personnelles:

➤ Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. C'est à dire que les données relatives à des personnes morales (entreprise, organisation, association) ou les données anonymes ne sont pas concernées par le RGPD.

➤ Un traitement de données personnelles est une opération ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission etc.)

Attention, car les données numériques et papiers sont concernées !

Pour être conforme au RGPD, à chaque fois que vous mettez en œuvre un traitement de données personnelles, vous devez respecter les 10 principes suivants :

1️⃣ L’ auto-documentation : Le RGPD met fin au régime de déclaration préalable auprès de la CNIL. Depuis 2018 vous devez prendre des mesures de protection des données personnelles adéquates de votre propre initiative et en fournir la preuve avec une documentation. (Articles 5.2 et 24.1 du RGPD, principe d'accountability)

Pour vous aider dans la rédaction de votre Registre des traitements, élément important de l'accountability, notre article "Comment remplir le registre des traitements"

2️⃣ La protection dès la conception : Si l'utilisateur de votre service ne fait aucun choix, vous devez lui appliquer automatiquement ("par défaut") le meilleur niveau de protection. Et si vous créez un nouveau service, vous devez intégrer la protection des données personnelles dès la conception, dans le cahier des charges. Y compris dans la sélection des sous-traitants (Privacy by design). (Article 25 du RGPD) Sur ce sujet voir notre article Quelles sont les obligations RGPD du sous-traitant?

3️⃣L'obligation de sécurité : Vous devez prendre des mesures pour garantir la confidentialité (seule les personnes légitimes accèdent aux données), l’intégrité (les données ne sont pas tronquées ou illisibles) et la disponibilité des données. Attention, car cette obligation de sécurité s'étend également dans votre relation avec vos sous-traitants ! (lire l’article 32 du RGPD) et vous devez le vérifier auprès d'eux avec la signature d'un contrat. Sur ce sujet voir notre article Quelles sont les obligations RGPD du sous-traitant?

Pour en savoir plus, notre article "Dix mesures essentielles pour votre cybersécurité"

4️⃣Une base légale : C'est le fondement juridique de votre traitement, ce qui vous donne le droit de collecter et traiter des données personnelles. Vous devez choisir pour chaque traitement une base légale parmi les six suivantes : le consentement, l'obligation contractuelle, l’intérêt légitime, l’obligation légale, la mission d’intérêt public, la préservation des intérêts vitaux. (Article 6 du RGPD).

A noter que contrairement à une idée reçue, vous n'êtes pas obligé de demander systématiquement le consentement à la personne pour effectuer un traitement de ses données personnelles : il faut choisir une des six bases légales qu'offre le RGPD

Voir la fiche de la CNIL sur les bases légales : https://www.cnil.fr/fr/les-bases-legales

5️⃣La finalité : Vous ne pouvez traiter des données personnelles que dans un objectif déterminé, explicite et légitime. Les données collectées ne doivent pas être traitées ultérieurement dans un objectif incompatible avec le but initial. (Article 5 du RGPD). Par exemple vous collectez des adresses emails avec l'objectif d'envoyer des informations sur votre organisation (objectif1) et finalement vous envoyez une newsletter avec des promotions commerciales d'un partenaire (objectif2). Ceci peux constituer une violation de données.

6️⃣La minimisation : Vous ne traitez que les données strictement nécessaires à l’objectif. Elles doivent être adéquates, pertinentes et limitées, c'est pourquoi vous ne devez choisir que des données "utiles".

Si vous collectez des données pour diffuser une newsletter, vous avez besoin de l'email mais pas de l'adresse postale. (Article 5 du RGPD)

7️⃣ La transparence : Les personnes sont informées du traitement et de l’exercice de leurs droits. Vous devez produire une information compréhensible et facilement accessible pour les personnes. (Article 1 du RGPD)

8️⃣ Les données à risques : Les données sensibles (religion, politique, syndical, orientation sexuelle, données biométriques) ne doivent pas être traitées sauf à de rares exceptions. Dans le doute, vous ne devez pas les collecter (Article 9 du RGPD)

9️⃣ La durée de conservation : Vous devez déterminer une durée de conservation pour chaque donnée collectée en fonction de la finalité (l'objectif de la collecte). A l'issue de cette durée, vous devez archiver, supprimer ou anonymiser ces données. (Article 5 du RGPD)

Pour calculer ces durées, vous pouvez consulter notre article : RGPD - Quelle durée de conservation des données

🔟 Le droit des personnes : Chacun dispose de droit sur ses données personnelles. Vous devez communiquer sur la procédure permettant de les exercer (comment, à qui s'adresser ?) et vous devez les traiter dans un délai maximum d'un mois. A noter aussi que vous pouvez refuser d'y répondre sous certaines conditions. (Articles 12 à 23 du RGPD)

👉 Parmi ces dix règles d'or, il faut en noter 5 règles particulièrement importantes: l’obligation de sécurité, la base légale, la finalité, la minimisation et la durée de conservation.

Pourquoi importantes? Parce que 85% des sanctions sont prononcées en UE sur ces motifs!

Pour vous aider nous vous proposons d'imprimer cet aide mémoire

En respectant ces règles simples, vous écarterez le risque de non-conformité et de sanctions de la CNIL.

Les internautes ont aussi consulté dans le Blog:

• Quelle check-list RGPD lors d'une due diligence ?

• Votre logiciel de newsletter est-il conforme au RGPD ?

• Quelles sont les obligations RGPD du sous-traitant?

• Comment remplir le registre des traitements ?

• Comment réaliser une analyse d impact relative à la protection des données (AIPD)

• Comment mettre son site internet en conformité avec le RGPD?

Vous souhaitez allez plus loin? Contactez nos experts de la mise en conformité agile.

Mise à jour le 09/10/2022