A la base, chaque pays de l’Union Européenne dispose de ses propres lois permettant la protection des données. En France, c’est la Loi Informatique et Libertés de 1978 qui faisait foi, celle-ci et ses diverses révisions continuent d’être en vigueur, mais se voient complétées par le RGPD. D’un autre côté, de nombreuses déclarations obligatoires auprès de la CNIL disparaissent et sont remplacées par des mesures pratiques lors de la collecte et du traitement des données. A noter que pour le domaine de la santé, les déclarations auprès de la CNIL restent nécessaires.
La première étape pour assurer votre conformité au RGPD est d’inventorier toutes les données personnelles collectées par votre organisation : noms, coordonnées, adresses email… Toute donnée permettant de remonter jusqu’à un individu est considérée comme personnelle.
Ces données seront répertoriées dans un registre, qui indiquera à minima pour chaque type de données :
Le message est clair : il faut reprendre la main sur la collecte et le traitement des données. Il est désormais prohibé de collecter des données qui ne sont pas absolument nécessaires au service que l’on propose, et de les garder de manière indéfinie.
La seconde étape de votre mise en conformité concerne l’information des propriétaires des données que vous traitez. Il vous faudra pour cela :
La loi Informatique et Libertés imposait déjà de recueillir le consentement de l’internaute lors de l’inscription à une liste de diffusion. Ce consentement est désormais nécessaire dès lors que l’on collecte des données à caractère personnel. Il faut donc veiller à utiliser un champ de type “opt-in” précisant que l’utilisateur consent à la collecte de ces données pour une utilisation qu’il faut aussi préciser.
Un internaute doit avoir la possibilité de consulter, modifier, supprimer ou récupérer les données qu’il vous a confié. A ce titre, vous devez lui permettre de faire valoir ses droits. Dans ce cas, deux options sont à votre disposition :
Le Data Protection Officer, ou Délégué à la Protection des Données est le référent dans l’organisation pour ce qui concerne la protection des données.
Il n’est obligatoire que dans certains cas :
Pour résumer, le RGPD est une évolution et une harmonisation des règles déjà existantes. Même si les mesures répressives sont déjà prêtes, le but est de faire comprendre aux organisations que les utilisateurs sont les seuls propriétaires de leurs données personnelles, et qu’une organisation ne peut pas en disposer comme bon lui semble.
Même s’il est pour l’instant vécu comme une contrainte à la fois par les éditeurs et par les internautes, il était temps de faire un pas vers la responsabilisation des entreprises vis-à-vis des données qu’elles traitent.
Article d'Anthony Rodriguez