Les règles d'or du RGPD (Règlement Général sur la Protection des Données) sont un ensemble de principes qui permettent de:
garantir la conformité d'un traitement de données personnelles au règlement général sur la protection des données (RGPD)
limiter les risques liées à la non-conformité d'un traitement de données personnelles
sensibiliser les opérationnels aux bonnes pratiques du RGPD
xDPO vous décrit dans cet article les 10 règles d'or pour appliquer concrètement le RGPD dans votre organisation (En fin de document vous pourrez imprimer une fiche aide mémoire)
A l'issue de cet article, vous connaitrez les 10 règles d'or qui permettent de garantir qu'un traitement de données personnelles est conforme au RGPD :
La finalité | Quel est votre objectif en faisant ce traitement? |
Les durées de conservation | Combien de temps conservez vous les données? |
La base légale | Quelle est la raison juridique de faire le traitement? |
L'auto-documentation | Comment prouver votre conformité? |
La protection dès la conception | Pensez au RGPD dès la conception de votre service |
L'obligation de sécurité | Quelles sont les mesures de protection mises en oeuvre? |
La minimisation | Toutes les données collectées sont elles nécessaires? |
La transparence | Avez vous décrit les caractéristiques du traitement et facilitez vous la communication avec les personnes? |
Les données à risques | Le traitement est interdit sauf si ... |
Les droits des personnes | Comment les personnes peuvent elles exercer leurs droits? |
Tout d'abord précisons la définition d'un traitement de données personnelles:
➤ Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. C'est à dire que les données relatives à des personnes morales (entreprise, organisation, association) ou les données anonymes ne sont pas concernées par le RGPD.
➤ Un traitement de données personnelles est une opération ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission etc.)
Pour être conforme au RGPD, à chaque fois que vous mettez en œuvre un traitement de données personnelles, vous devez respecter les 10 règles d'or suivantes :
1️⃣La finalité : Le principe de finalité exige que les responsables du traitement des données personnelles ne collectent et ne traitent des données personnelles que pour des finalités spécifiques, explicites et légitimes. Les données collectées ne doivent pas être traitées ultérieurement dans un objectif incompatible avec le but initial. (Article 5 du RGPD). Par exemple vous collectez des adresses emails avec l'objectif d'envoyer des informations sur votre organisation (objectif1) et finalement vous envoyez une newsletter avec des promotions commerciales d'un partenaire (objectif2). Ceci peux constituer un détournement de finalité.
2️⃣ La durée de conservation : Le principe de durée de conservation exige que les responsables du traitement des données personnelles ne conservent les données personnelles que pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées. Ainsi vous devez déterminer une durée de conservation pour chaque donnée collectée en fonction de la finalité (l'objectif de la collecte). A l'issue de cette durée, vous devez archiver, supprimer ou anonymiser ces données. (Article 5 du RGPD)
Pour calculer ces durées, vous pouvez consulter notre article : RGPD - Quelle durée de conservation des données
3️⃣Une base légale : C'est le fondement juridique de votre traitement, ce qui vous donne le droit de collecter et traiter des données personnelles. Vous devez choisir pour chaque traitement une base légale parmi les six suivantes : le consentement, le contrat, l’intérêt légitime, l’obligation légale, la mission d’intérêt public, la préservation des intérêts vitaux. (Article 6 du RGPD).
A noter que contrairement à une idée reçue, vous n'êtes pas obligé de demander systématiquement le consentement à la personne pour effectuer un traitement de ses données personnelles : il faut choisir une des six bases légales proposées par le RGPD
Voir la fiche de la CNIL sur les bases légales : https://www.cnil.fr/fr/les-bases-legales
4️⃣ L’ auto-documentation : Le principe d'auto-documentation est l'un des principes fondamentaux du RGPD. Il exige que les responsables du traitement des données personnelles documentent leurs activités de traitement des données. Le RGPD met fin au régime de déclaration préalable auprès de la CNIL. Depuis 2018 vous devez prendre des mesures de protection des données personnelles adéquates de votre propre initiative et en fournir la preuve avec une documentation. (Articles 5.2 et 24.1 du RGPD, principe d'accountability)
Pour vous aider dans la rédaction de votre Registre des traitements, élément important de l'accountability, notre article "Comment remplir le registre des traitements"
5️⃣ La protection dès la conception :
Le principe de protection dès la conception (privacy by design), également connu sous le nom de protection par défaut, est un principe fondamental du Règlement général sur la protection des données (RGPD). Il exige que les responsables du traitement des données personnelles prennent des mesures pour intégrer la protection de la vie privée dans toutes les phases du cycle de vie du traitement des données personnelles, de la conception à l'exploitation. Si l'utilisateur de votre service ne fait aucun choix, vous devez lui appliquer automatiquement ("par défaut") le meilleur niveau de protection. Et si vous créez un nouveau service, vous devez intégrer la protection des données personnelles dès la conception, dans le cahier des charges. Y compris dans la sélection des sous-traitants (Privacy by design). (Article 25 du RGPD) Sur ce sujet voir notre article Quelles sont les obligations RGPD du sous-traitant?
6️⃣L'obligation de sécurité : Vous devez prendre des mesures pour garantir la confidentialité (seule les personnes légitimes accèdent aux données), l’intégrité (les données ne sont pas tronquées ou illisibles) et la disponibilité des données. Attention, car cette obligation de sécurité s'étend également dans votre relation avec vos sous-traitants ! (lire l’article 32 du RGPD) et vous devez le vérifier auprès d'eux avec la signature d'un contrat. Sur ce sujet voir notre article Quelles sont les obligations RGPD du sous-traitant?
Pour en savoir plus, notre article "Dix mesures essentielles pour votre cybersécurité"
7️⃣ La minimisation : Le principe de minimisation exige que les responsables du traitement des données personnelles collectent uniquement les données personnelles nécessaires aux finalités pour lesquelles elles sont collectées. Vous ne traitez que les données strictement nécessaires à l’objectif. Elles doivent être adéquates, pertinentes et limitées, c'est pourquoi vous ne devez choisir que des données "utiles".
Si vous collectez des données pour diffuser une newsletter, vous avez besoin de l'email mais pas de l'adresse postale. (Article 5 du RGPD)
8️⃣La transparence : Les personnes sont informées du traitement et de l’exercice de leurs droits. Vous devez produire une information compréhensible et facilement accessible pour les personnes. (Article 1 du RGPD)
9️⃣ Les données à risques : Les données sensibles (religion, politique, syndical, orientation sexuelle, données biométriques) ne doivent pas être traitées sauf à de rares exceptions. Dans le doute, vous ne devez pas les collecter (Article 9 du RGPD)
🔟 Le droit des personnes : Chacun dispose de droit sur ses données personnelles. Vous devez communiquer sur la procédure permettant de les exercer (comment, à qui s'adresser ?) et vous devez les traiter dans un délai maximum d'un mois. A noter aussi que vous pouvez refuser d'y répondre sous certaines conditions. (Articles 12 à 23 du RGPD)
👉 Parmi ces dix règles d'or, il faut en noter 5 règles particulièrement importantes: l’obligation de sécurité, la base légale, la finalité, la minimisation et la durée de conservation.
Pourquoi importantes? Parce que 85% des sanctions sont prononcées en UE sur ces motifs!
Pour vous aider nous vous proposons d'imprimer cet aide mémoire
En respectant ces règles simples, vous écarterez le risque de non-conformité et de sanctions de la CNIL.
Les internautes ont aussi consulté dans le Blog:
Vous souhaitez allez plus loin? Contactez nos experts de la mise en conformité agile.
Mise à jour le 09/10/2022