Rechercher
  • xdpo

Quelles sont les règles d'or du RGPD?

Dernière mise à jour : 27 sept.



Le RGPD ? Compliqué !

L'essentiel du RGPD ? Simple !

Nous vous listons les 10 règles d'or pour comprendre et appliquer le RGPD.


Tout d'abord, Qu'est ce qu'un traitement de données personnelles ?


Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.

Un traitement « de données personnelles » est une opération ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission etc.)

Attention, car les données numériques et papiers sont concernées !



Pour être conforme au RGPD, à chaque fois que vous mettez en œuvre un traitement de données personnelles, vous devez respecter les 10 principes suivants :


1️⃣ L’ auto-documentation : Le RGPD met fin au régime de déclaration préalable auprès de la CNIL, en revanche je dois prendre des mesures de protection des données personnelles adéquates de ma propre initiative et en fournir la preuve avec une documentation. (Articles 5.2 et 24.1 du RGPD, principe d'accountability)

Pour vous aider dans la rédaction de votre Registre des traitements, élément important de l'accountability, notre article "Comment remplir le registre des traitements"


2️⃣ La protection dès la conception : Si l'utilisateur de mon service ne fait aucun choix, je dois lui appliquer par défaut le meilleur niveau de protection. Et si je crée un nouveau service, je dois intégrer la protection des données personnelles dès la conception, dans le cahier des charges. Y compris dans la sélection des sous-traitants (Privacy by design). (Article 25 du RGPD)


3️⃣L'obligation de sécurité : je prends des mesures pour garantir la conformité, l’intégrité et la disponibilité des données. Je veille a ce que seules les personnes autorisées aient accès aux données. Attention, mon obligation de sécurité s'étend également dans ma relation avec les sous-traitants ! (lire l’article 32 du RGPD)

Pour en savoir plus, notre article "Dix mesures essentielles pour votre cybersécurité"


4️⃣Une base légale : C'est le fondement juridique de mon traitement, ce qui me donne le droit de collecter et traiter des données personnelles. Je dois choisir pour chaque traitement une base légale parmi les six suivantes : le consentement, l'obligation contractuelle, l’intérêt légitime, l’obligation légale, la mission d’intérêt public, la préservation des intérêts vitaux. (Article 6 du RGPD)


5️⃣La finalité : Je ne dois traiter des données personnelles que dans un objectif déterminé, explicite et légitime. Les données collectées ne doivent pas être traitées ultérieurement dans un objectif incompatible avec le but initial. (Article 5 du RGPD)


6️⃣La minimisation : Je ne traite que les données strictement nécessaires à l’objectif. Elles doivent être adéquates, pertinentes et limitées, donc je choisie consciencieusement les données que je collecte et les mets à jour régulièrement. (Article 5 du RGPD)


7️⃣ La transparence : Les personnes sont informées du traitement et de l’exercice de leurs droits. Je vérifie que mon information soit compréhensible et facilement accessible pour les personnes. (Article 1 du RGPD)


8️⃣ Les données à risques : Les données sensibles (religion, politique, syndical, orientation sexuelle, données biométriques) ne doivent pas être traitées sauf à de rares exceptions. Dans le doute, je ne les collecte pas ! (Article 9 du RGPD)


9️⃣ La durée de conservation : Je détermine une durée de conservation pour chaque donnée collectée en fonction de ma finalité. A l'issue de cette durée, je dois archiver, supprimer ou anonymiser ces données. (Article 5 du RGPD)

Pour calculer ces durées, vous pouvez consulter notre article : RGPD - Quelle durée de conservation des données


🔟 Le droit des personnes : Chacun dispose de droit sur ses données personnelles. Je communique sur la procédure permettant de les exercer (comment, à qui s'adresser ?) et je les traite dans les délais (1 mois en général). Je sais que je peux refuser d'y répondre sous certaines conditions. (Articles 12 à 23 du RGPD)


👉 Parmi ces dix commandements, on note 5 commandements capitaux : l’obligation de sécurité, la base légale, la finalité, la minimisation et la durée de conservation. Pourquoi capitaux? Parce que 85% des sanctions sont prononcées en UE sur ces motifs!


En respectant ces règles simples, vous écarterez le risque de non-conformité et de sanctions de la CNIL.


Vous souhaitez allez plus loin? Contactez nos experts de la mise en conformité agile.


Mise à jour le 09/09/2022


261 vues0 commentaire