Rechercher
  • xdpo

Quelles sont les règles d'or du RGPD?

Dernière mise à jour : 11 mai



Le RGPD? Compliqué! L'essentiel du RGPD? Simple !

On vous donne les 10 règles d'or pour comprendre et appliquer le RGPD


Tout d'abord, il faut définir simplement ce qu'est un traitement de donnée personnelle:


Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable;

Un traitement « de données personnelles » est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission etc.)


Attention car les données papiers ou numériques sont concernées.


Pour être conforme au RGPD, à chaque fois que vous mettez en oeuvre un traitement de données personnelles vous devez respecter les 10 principes suivants :


1️⃣ L’auto-documentation : Vous n’avez pas de déclaration préalable à faire à la CNIL. En revanche, vous devez prendre des mesures adéquats, de votre propre initiative et fournir une preuve avec une documentation. « Lire les articles 5.2 et 24.1 du RGPD, principe d'accountability»

2️⃣ La protection dès la conception : Si l'utilisateur de votre service ne fait aucun choix, vous devez lui appliquer par défaut le meilleur niveau de protection. Et si vous créez un nouveau service, vous devez intégrer la protection des données personnelles dès la conception, dans le cahier des charges. Y compris dans la sélection des sous-traitants (Privacy by design). « Lire l’article 25 du RGPD »

3️⃣L'obligation de sécurité : Nous prenons des mesures pour garantir la conformité, l’intégrité et la disponibilité des données ; y compris auprès de nos sous-traitants « lire l’article 32 du RGPD »

4️⃣Une base légale : Vous devez choisir pour chaque traitement une base légale parmi les six suivantes : le consentement, le contrat, l’intérêt légitime, l’obligation légale, la mission d’intérêt public, la préservation des intérêts vitaux. « Lire l’article 6 du RGPD »

5️⃣La finalité : Vous devez justifier d'un traitement dans un objectif (une finalité) déterminé, explicite et légitime) « Lire l’article 5 du RGPD »

6️⃣La minimisation : nous ne traitons que les données strictement nécessaires à l’objectif. « Lire l’article 5 du RGPD »

7️⃣ La transparence : Les personnes sont informées du traitement et de l’exercice de leurs droits. « Lire l’article 1 du RGPD »

8️⃣ Les données à risques : Vous pouvez les traiter sous certaines conditions « Lire l’article 9 du RGPD ». Les données sensibles (religieux, politique, syndical, orientation sexuelle, données biométriques) ne doivent pas être traitées sauf à de rares exceptions.

9️⃣ La durée de conservation : Vous devez les annonçer et les mettre en oeuvre. Pour calculer ces durées vous pouvez consulter notre article de Blog sur le sujet. A l'issue de cette durée, vous devez archiver, supprimer ou anonymiser ces données. « Lire l’article 5 du RGPD »

🔟 Le droit des personnes : Nous les connaissons et savons traiter les demandes. Nous savons aussi à quelles conditions nous pouvons refuser ou ne pas répondre. « Lire les articles 12 à 23 du RGPD »


👉 Parmi ces dix commandements, on note 5 commandements capitaux : l’obligation de sécurité, la base légale, la finalité, la minimisation et la durée de conservation. Pourquoi capitaux? Parce-que 85% des sanctions sont prononcées en UE sur ces motifs!


En respectant ces règles simples, vous écarterez le risque de non-conformité et de sanctions de la CNIL.


Vous souhaitez allez plus loin? Contactez nos experts de la mise en conformité agile.


122 vues0 commentaire