Nos données personnelles constituent la base de notre vie privée. Avec l’entrée du règlement général sur la protection des données à caractère personnel, la loi définit les données à caractère personnel comme les informations relatives à une personne physique. Ces données sont au cœur des enjeux du règlement européen, c’est pourquoi il faut garantir la protection des personnes concernées.
Qu’entend-on par traitement des données personnelles ?
Le traitement de données à caractère personnel, est un terme employé par le RGPD et la Cnil (Commission nationale informatique et libertés) pour désigner une opération relative aux données personnelles. Concrètement, les traitements de données concernent :
- Les données collectées et enregistrées ;
- La structuration et le stockage des informations personnelles ;
- Le transfert de données ;
- La rectification des informations confidentielles ;
- La publication des données ;
- La limitation des données sensibles ;
- L’effacement des données traitées.
Le champ d’application du RGPD est donc large afin de garantir une excellente protection des données personnelles. D’ailleurs une clause rgpd doit contenir les dispositions nécessaires pour assurer cette sécurité des données.
A titre d’informations ces données doivent permettre d’identifier directement une personne (nom, prénom) ou indirectement (via son numéro de téléphone, sa voix, son adresse email ou postale, son numéro de sécurité sociale aussi).
Une obligation de sécurité
Dès lors qu’une opération implique des données privées, elle est considérée comme un traitement des données personnelles et doit être classée par le responsable du traitement comme tel, et ce, sous la supervision du Dpo (Délégué à la protection des données) : C’est une des clauses essentielles rgpd. Un sous-traitant peut aussi effectuer des traitements de données personnelles, mais dans ce cas, il faut prendre les mesures techniques pour assurer la sécurité des données.
Le respect des droits et libertés des personnes physiques concernées
A partir du moment où une entreprise décide de traiter les données personnelles, un point essentiel doit être pris en compte : Il faut que l’entreprise respecte un certain nombre de droits et de prérogatives, accordés aux personnes visées par le traitement quand elles en font la demande : droit d’opposition, droit d’accès, droit de rectification, droit de transfert de données, droit de suppression des données…
La conservation des données personnelles
Une obligation légale imposée par le RGPD est de mettre en place une durée limitée quant à la conservation des données afin d’assurer leur sécurité. Que ce soit au niveau du RGPD ou de la loi informatique et libertés, il est impératif de limiter la conservation des informations personnelles et d’indiquer les finalités de traitement.
Si la durée n’est pas établie par les textes de lois, alors les responsables de traitement doivent mettre en place une durée proportionnée à l’objectif visé. Une fois ce délai dépassé, l’autorité de contrôle ordonne la suppression des données.
La collecte de données : Un procédé très encadré par la loi
La collecte des données consiste à garder des informations confidentielles sur une ou plusieurs personnes, par n’importe quel moyen et peu importe les finalités. C’est le premier pas à effectuer lorsque l’on désire faire un traitement de données.
Toutefois, cette démarche a un impact sur la protection de la vie privée des personnes concernées. C’est pourquoi, c’est une pratique 100% encadrée par la loi. Cette loi relative à la protection des données vise à ce que la collecte ne soit pas faite de façon abusive. C’est là qu’intervient la base légale ou le consentement des personnes.
Le principe de minimisation est aussi mis en avant et consiste à ce que les données collectées concordent aux finalités pour lesquelles elle sont traitées. Les sociétés ne peuvent donc collecter ces informations qu’à des fins établies dès le départ. Ainsi, il faut indiquer le type de données traitées et collectées ainsi que la raison pour laquelle on entame un traitement.