Les 8 commandements de la RGPD

Vous ne savez pas comment exercer en tant qu'architecte vis-à-vis de la RGPD ? Découvrez les 8 règles essentielles à suivre pour garantir votre conformité.
Ecrit par : Martin
10/05/2019 - 3 min de lecture
Sujets : RGPD

Nous continuons donc notre exploration du Règlement Européen sur la Protection des données et son application concrète à la pratique d’architecte avec les 8 commandements de la RGPD.

Dans la première partie de cette série, nous avons définit ce que concernait la RGPD ( on se doute que vous avez pu faire les malins en soirée avec ça ! ).

Aujourd’hui, nous allons nous concentrer sur les 8 commandements la RGPD pour encadrer la protection des données.

Ces 8 commandements de la RGPD sont l’équivalent du règlement de Poudlard : ne pas les respecter, c’est s’exposer à de graves conséquences ( bon ici pas d’araignées géantes dans la Forêt interdite, mais des amendes très lourdes…ce qui fait presque aussi peur !).

 

 

Elles vous donneront une direction à suivre en cas de doute sur votre conformité à la RGPD et vous guideront vers des pistes d’amélioration.

Sans plus attendre, découvrons ensemble les 8 commandements de la RGPD.

 

Premier commandements de la RGPD : La licéité du traitement des données

 

Avant toute chose, il faut que le traitement des données soit licite.

Vous ne pouvez pas traiter les données d’un maître d’ouvrage si le besoin de traitement ne découle pas de l’une des 6 conditions licites listées par la RGPD.

Pour être licite, il faut que le traitement des données soit nécessaire pour :

  • exécuter un contrat
  • respecter une obligation légale
  • sauvegarder des intérêts vitaux
  • exécuter une mission d’intérêt public ( ou relevant de l’exercice de l’autorité publique)
  • sauvegarder des intérêts légitimes du responsable de traitement d’un tiers ( toujours dans le respect des intérêts, libertés et droits fondamentaux de la personne concernée)
  • exécuter une ou plusieurs finalités spécifiques consenties en amont par la personne qui voit ses données traitées. (nous allons y revenir)

Ainsi, il faut toujours que vous ayez une bonne raison de collecter et traiter une donnée.

 

Deuxième commandements de la RGPD : La finalité du traitement

 

La finalité du traitement c’est la notion au coeur de la protection des données. Si vous ne devez retenir qu’une seule chose de tout cet article, c’est celle-ci !

En effet, c’est la finalité qui détermine les facteurs les plus importants de la protection des données comme :

  • la durée de conservation
  • la pertinence de la collecte
  • la liste des personnes habilitées à y accéder

Donc c’est ce que vous voulez en faire qui détermine comment vous devez traiter les données personnelles.

Elles ne peuvent être collectées que pour une finalité définie précisément et légitime.

Comme souvent avec le droit, chaque mot est porteur de sens. Décortiquons cette finalité :

  • Définie précisément” veut dire que l’objectif de la collecte des données est clairement expliqué et compréhensible par les personnes concernées et en interne. ( oubliez les textes de jargon à rallonge, expliquez clairement et simplement pourquoi vous récoltez les données…).
  • La légitimité correspond aux besoins réels que vous avez de ces données. Si la demande semble trop intrusive ou peu justifiée, la légitimité de la finalité peut être remise en cause ( non vous n’avez pas besoin des noms des trois golden retrievers du maître d’ouvrage pour lui agrandir sa véranda)

Pour résumer, la finalité agit comme le cadre dans lequel vous pouvez utiliser les données personnelles.

Vous ne pouvez pas utiliser ces données pour autre chose ou donner accès à des personnes qui n’étaient pas initialement prévues sous peine de prendre le risque que ce soit considéré comme un détournement de finalité.

Et ça, vous voulez vraiment l’éviter !

Le détournement de finalité peut-être soumis à une sanction pénale (code pénal – article 226-21 pour les amateurs de lecture) dont la peine peut s’élever à 300 000 € et 5 ans d’emprisonnement. Mais la sanction la plus courante est la sanction administrative spécialement prévue par la RGPD (RGDP – article 83-5) dont la sanction peut s’élever jusqu’à 20 millions d’euros ou 4% du CA annuel mondial.

Alors certes, les prisons ne sont pas remplies de dangereux détourneurs de finalité, mais vous imaginez une sanction de 4% de votre chiffre d’affaire annuel ? … gloups pas vrai ?

 

 

Ce qui arrive en cas de détournement de finalité

“Mais parfois je change des choses dans ma manière de fonctionner ! Est-ce que je dois m’attendre à avoir le GIGN qui enfonce la porte de mon cabinet pour ça ?” me demanderez-vous.

Et bien non ! ( et heureusement parce que vous avez vu le prix d’une porte !?)

L’évolution des usages n’est évidemment pas impossible, mais la nouvelle finalité doit être en rapport avec l’ancienne.

Il y a trois cas de figure pris en compte par la RGPD, les données vont être traitées à des fins :

  • archivistiques dans l’intérêt public
  • de recherche scientifique ou historique
  • statistiques

Attention, la finalité doit toujours s’exécuter en toute transparence et dans le respect des droits des personnes concernées.

 

Troisième commandements de la RGPD : Minimisation des données

 

Conséquence directe du principe de la finalité, seules les données strictement nécessaires pour atteindre celle-ci peuvent être collectées et traitées. Pas de petite question en plus juste par curiosité (arrêtez d’insister pour les golden retrievers, on a dit non !)

 

Quatrième commandements de la RGPD : Protection particulière des données sensibles

 

Toutes les données ne sont pas égales.

Si il est toujours embêtant d’avoir son nom et son mail écrits dans un dossier quelque part, il est autrement plus problématique d’y avoir aussi ses opinions politiques ou religieuses.

Les données dites à risques ne peuvent être collectées et traitées que dans certaines conditions car il existe un risque élevé pour la personne concernée en cas de mauvais usage.

Il s’agit :

  • de données dites “sensibles” (origines raciales, opinions politiques, philosophiques, santé, vie sexuelle, génétiques, ….).
    Face à ce type de données, le consentement doit être :

    • libre
    • spécifique
    • éclairé
    • univoque
    • facilement révocable
  • le numéro de Sécurité Sociale
  • les données personnelles de type condamnations pénales, infractions et mesures de sûreté

 

Cinquième commandements de la RGPD :

Conservation limitée des données

 

Plutôt que de penser que l’on collecte des données, il vaut mieux se dire que les particuliers vous prêtent leurs données.

Elle ne servent que le temps de compléter l’objectif pour lequel elles avaient été recueillies ( autrement dit la … ? la fffff… ? La finalité bien sûr ! Dites moi que vous l’aviez ?).

Une fois cette finalité atteinte, les données doivent :

  • être effacées
  • faire l’objet d’un processus d’anonymisation qui rende impossible la ré-identification des personnes
  • être archivées sous conditions

Vous devez donc conserver les données le temps d’atteindre l’objectif pour lequel elles ont été collectées. Une fois cet objectif atteint, vous devez encore les conserver pour une durée minimum légale ( qui oscille entre 3 et 10 ans en fonction du type de données) puis les effacer complètement de votre système.

Les Men In black qui effacent les données personnelles de votre mémoire
“Mesdames et messieurs, veuillez regarder la lumière rouge et supprimer les données personnelles de vos serveurs s’il vous plaît”

 

6 – Obligation de sécurité

 

Les données collectées sont exposées à des risques qu’il ne faut pas perdre de vue.

Que ce soit un employé indiscret, des concurrents un peu trop curieux ou carrément le crime organisé, beaucoup de monde s’intéresse aux données que vous récoltez.

En plus de ça, il existe un risque de perte des données en cas d’incident de serveurs, d’erreur de manipulation ( encore la faute du stagiaire ça ! ) ou même en cas de vol d’ordinateur !

Pour tempérer ces risques, des mesures doivent être mises en oeuvre pour assurer de la sécurité des données traitées. Elles doivent être revues régulièrement et ajustées en permanence.

Parmi ces mesures, on compte bien évidemment celles de bon sens :

  • un identifiant spécifique
  • un mot de passe compliqué

( je vous vois d’ici lever les yeux aux ciel, mais voici à titre d’exemple les 5 mots de passe les plus utilisés en 2017 :

  • 123456
  • Password
  • 12345678
  • qwerty
  • 12345

Vous comprenez pourquoi tout le monde continue d’insister sur l’importance du mot de passe maintenant ?
Source : https://www.journaldugeek.com/2017/12/20/voici-la-liste-des-25-mots-de-passe-les-plus-populaires-et-probablement-les-moins-surs-de-2017/ )

  • bien sécuriser les postes de travail
  • responsabiliser les acteurs en vous assurant que tous les employés comprennent bien l’enjeu et l’importance de ces données et de leur accès.
  • protéger le réseau informatique et les serveurs contre d’éventuels problèmes ou attaques
  • limiter les accès aux outils et interfaces administration, ne donnez un accès qu’aux gens en ayant vraiment besoin.
  • sauvegarde régulières

Vous pouvez évidemment pousser plus loin la sécurisation de ces données à l’aide de procédé de cryptage ou de pseudonymisation des individus.

Cela rendra les informations illisibles ou incompréhensibles pour toute personne malintentionnée qui réussirait à y avoir accès.

 

7 – Transparence

 

Vous devez toujours être transparent sur la raison pour laquelle vous collectez les données de particuliers.

Les personnes doivent être informées de l’utilisation des données les concernant et sur la manière d’exercer leurs droits.

Un droit particulièrement important dans la protection des données est le droit à l’information.

Celui-ci implique une justification de la collecte auprès des individus afin que ceux-ci comprennent clairement les conditions de cette dernière et garde la maîtrise de leurs données et de leurs utilisations.

De plus, vous devez prendre toutes les mesures utiles afin de répondre aux demandes transmises à l’occasion de l’exercice de ces droits. Donc vous devez être en mesure de répondre rapidement et clairement si quelqu’un vous demande des précisions sur l’utilisation que vous voulez en faire ou de voir/récupérer ses données personnelles.

 

8 – Droits des personnes

 

Le RGPD prend en compte la position de vulnérabilité dans laquelle se mettent les particuliers en fournissant leurs données personnelles. Pour contrebalancer cette situation, il donne accès à de nombreux droits qui leur permettent de garder la maîtrise de leurs données.

 

Le droit d’accès

 

Prévu par l’Article 15 du RGPD, ce droit permet aux particuliers de savoir quelles données personnelles sont en votre possession et comment elles sont traitées.

Vous devez leur transmettre ces données dans un format compréhensible pour eux.

En cas d’exercice de leur droit d’accès, vous devez être en mesure de leur fournir :

  • les finalités ( les fameuses !) d’utilisation de ces données
  • les catégories de données collectées
  • les destinataires ( ou catégorie de destinataires) qui ont pu accéder à ces données
  • la durée de conservation des données ou les critères qui la détermine
  • l’existence des autres droits ( pas de panique, on vous en parle juste après)
  • la possibilité de saisir la CNIL
  • des informations si vous transférez ces données vers un pays tiers non-membre de l’UE
  • des informations sur la manière dont vous avez récolté ces données (si ce n’est pas directement auprès d’eux, par exemple en obtenant leur email par l’un de vos collègues etc…)

 

Le droit de rectification

 

Mentionné aux Articles 16 et 19 du RGPD, cet article vous oblige à corriger ou compléter les données d’un particulier qui en fait la demande.

Vous devez aussi transmettre ces changements aux autres destinataires des données sauf si cela exigerait des efforts disproportionnés ( et non, la justice ne considère pas un email ou un appel comme un effort disproportionné… même si la journée a été longue et que vous voulez vraiiiiiiiiiiiiiiiiment vous mettre devant Netflix !)

Et attention, vous avez 1 mois pour répondre à cette demande ( 3 mois si la demande est particulièrement complexe ) et une absence de réponse peut ouvrir la voie à une plainte de la part du particulier !

 

Le droit d’opposition

 

Un particulier peut s’opposer à tout moment à l’utilisation de ses données dans un contexte précis.

Il doit alors justifier de “raisons tenant à sa situation particulière”, sauf dans le cas du démarchage commercial, auquel il peut s’opposer sans motif.

Pour refuser cette demande, vous devrez justifier de motifs “légitimes et impérieux” , par exemple une obligation légale, un contrat vous liant au particulier etc…
Pour en savoir plus sur ce droit, direction l’Article 21 du RGPD

 

Le droit à l’effacement

 

Probablement le plus célèbre des droits du RGPD pour sa capacité à faire disparaître vos photos gênantes d’Internet ( adieu photos d’apéro trop arrosés ou de soirées déguisées embarrassantes).

Plus de risque que vos collègues tombent là dessus

Il offre la possibilité à un particulier de demander l’effacement de ses données personnelles dans certains cas de figure. C’est notamment le cas lorsque :

  • les données sont utilisées à des fins de prospection ;
  • les données ne sont pas ou plus nécessaires à la finalité de départ
  • il retire son consentement à l’utilisation de ses données
  • elles font l’objet d’un traitement illicite (par exemple, publication de données  piratées) ;
  • elles ont été collectées lorsque le particulier était mineur dans le cadre de la société de l’information (blog, forum, réseau social, site web…) ( normalement vous ne devriez pas être trop concerné, sauf si vous avez été engagé pour bâtir une maison en Lego !)
  • les données doivent être effacées pour respecter une obligation légale
  • le particulier a utilisé son droit d’opposition et vous n’avez pas de motif légitime ou impérieux pour ne pas donner suite à cette demande.

Vous pouvez écarter ce droit lorsqu’il va à l’encontre de :

  • l’exercice du droit à la liberté d’expression et d’information ;
  • du respect d’une obligation légale (par exemple vous devez conserver certaines données pendant un minimum de temps même après la fin de la relation commerciale) ;
  • l’utilisation des données si elles concernent un intérêt public dans le domaine de la santé ;
  • leur utilisation à des fins: archivistiques dans l’intérêt public, de recherche scientifique ou historique ou statistiques ;
  • de la constatation, de l’exercice ou de la défense de droits en justice.

 

Le droit de limitation

 

Dernier droit de cette liste, il vient compléter les autres.

Lorsqu’un particulier exerce son droit d’opposition, de rectification ou d’effacement, vous pouvez légalement procéder à une vérification de la demande et des données. Durant ce délai, le particulier peut invoquer son droit de limitation qui a pour effet de geler les données que vous détenez sur lui.

Vous devez alors les conserver mais vous ne pouvez pas les utiliser sans son accord ( ou pour des questions ayant trait à la défense des droits ou à l’intérêt de l’Union Européenne ou d’un Etat Membre).


Le droit de limitation dans toute sa splendeur
Voilà !

Vous connaissez désormais les 8 principes fondamentaux de la RGPD.

Ces règles pourront vous guider dans vos efforts de mise en conformité vis à vis du Règlement Européen.

Elles représentent aussi une bonne ligne de conduite à tenir lorsque vous vous interrogez sur la manière dont vous traitez les données de vos clients.

Si vous voulez approfondir un sujet en particulier, le site de la CNIL regorge de documents utiles et clairs pour vous informer sur les conséquences de la RGPD.

D’ici là, si vous avez aimé cet article et que vous connaissez des gens concernés par la RGPD ( et on vous le rappelle, c’est pratiquement tout le monde !), partagez cet article avec eux !

Merci d’avoir pris le temps de lire notre article ! Pour découvrir d’autre contenu c’est ici !

Abonnez-vous à notre Newsletter Nous vous partageons les tips des salariés chez Soan et l’actualité économique autour du paiement !