Les grands principes du RGPD
Les grands principes du RGPD
Le Règlement Général Européen sur la Protection des Données (RGPD), ou “GPRD” de son nom anglais, encadre le traitement des données personnelles au sein de l’UE.
Le RGPD est défini en 6 grands principes, il est recommandé de prendre connaissance de ces derniers pour bien assimiler le cadre législatif relatif au droit des données à caractère personnel.
Les grands principes du RGPD sont définis dans son article 5. Notre avocat RGPD, Aurore BONAVIA, fait le point avec vous sur ces principes.
Principe RGPD n°1 : licéité, loyauté et transparence
C’est le premier grand principe que l’on retrouve dans le RGPD.
Lorsqu’une entreprise traite des données personnelles, elle doit s’assurer de 3 fondements :
- la licéité de la donnée : le traitement est licite si, et seulement si, une parmi les 6 conditions de l’article 6 est respectée ;
- la loyauté : le traitement des données doit correspondre à ce que l’entreprise a décrit à l’internaute concerné ;
- la transparence : rien ne doit être caché à la personne qui fait l’objet d’un traitement de ses données.
Ces 3 fondements sont liés entre eux et leur non-respect consisterait en une violation du RGPD. Dès lors, assurez-vous que le responsable chargé de la gestion des données veille au respect ces points.
Grâce à ces informations, l’individu concerné peut donner son consentement (ou non) ou encore exercer ses droits.
Ce principe et les autres qui suivent s’intègrent avant tout dans l’objectif du RGPD.
Principe RGPD n°2 : limitation des finalités
Les entreprises qui procèdent à la conservation des données personnelles des tiers qui visitent leur site doivent impérativement respecter ce grand principe du RGPD.
Toutes les datas collectées doivent l’être pour “des finalités déterminées, explicites et légitimes”.
Chaque information personnelle récoltée doit être justifiée. Il est impossible de conserver les données sans finalité concrète.
Dès lors, l’enregistrement des données à caractère personnel doit se faire :
- dans un but bien précis ;
- légalement ;
- de façon légitime.
Si vous êtes une organisation, vous devez stipuler explicitement la raison pour laquelle vous gardez les datas des tiers qui visitent votre site.
Parmi les grands principes du RGPD (et donc de la loi informatique et libertés), celui-ci est probablement la pierre angulaire.
Comprenez bien que, pour traiter les informations des internautes, votre traitement doit avoir une finalité.
Principe RGPD n°3 : minimisation des données
Les données personnelles récoltées doivent être minimisées. C’est ce qu’explique l’article 5.1.b) à travers les grands principes du RGPD.
La collecte des informations sur une personne par un site internet doit être “adéquate, pertinente et limitée à ce qui est nécessaire au regard [de leurs] finalités”.
À travers cette règle, le responsable du traitement des données de l’entreprise ne doit traiter uniquement les données qui sont nécessaires.
Un exemple concret :
Une entreprise qui envoie des produits à domicile ne gardera pas les mêmes informations que celle qui n’utilise qu’une newsletter.
Alors que la première pourra conserver l’adresse de domiciliation du client pendant une durée X (5 ans maximum), la seconde ne devra garder que le mail de l’individu.
En effet, les données ont une “durée de vie”. Il est impossible de garder une information ad vitam aeternam. La CNIL propose des recommandations à ce propos sur son site officiel.
Principe RGPD n°4 : exactitude des données personnelles
En plus de leur pertinence, les données personnelles collectées se doivent d’être :
- exactes ;
- tenues à jour si nécessaire.
Il faut comprendre par là que, l’exactitude des données à caractère personnel est exigée, que ce soit au moment de la collecte ou au moment de leur traitement.
La personne chargée du traitement des données d’une entreprise doit faire le nécessaire si certaines données venaient à manquer, à être inexactes ou incomplètes.
Ce principe RGPD rejoint celui du droit d’accès que toute personne physique concernée peut demander.
Droit d’accès qui, rappelons-le, peut être exercer auprès :
- d’une société dont l’individu est client ;
- d’un employeur (dossier administratif) ;
- d’un médecin (dossier médical) ;
- d’une administration.
Ce droit permet à celui qui le souhaite de modifier, supprimer ou rectifier une information le concernant.
Principe RGPD n°5 : limitation de la conservation
Si vous voulez être conforme aux RGPD, 3 chiffres sont à retenir.
En effet, le règlement européen impose une limitation à la conservation des informations des individus :
- 36 mois (3 ans) : c’est la durée maximum autorisée pour conserver les datas des personnes inactives dans votre base de données. Il vous est toutefois possible de les garder plus longtemps si vous les rendez anonymes ;
- 13 mois : tous les 13 mois, vous devez redemander à vos visiteurs leur consentement pour enregistrer leurs données via les cookies ;
- 1 mois : si un utilisateur exerce son droit d’accès, vous avez 1 mois pour répondre à sa demande.
Principe RGPD n°6 : intégrité et confidentialité
La sécurisation est un point majeur dans le RGPD. Le responsable du fichier des datas doit garantir la sécurité ainsi que la confidentialité des données dont il dispose.
Cette sécurisation passe aussi par la protection contre la perte, le traitement non autorisé ou illicite des données, leur destruction, des dégâts accidentels.
L’article 5.1.f) est probablement le plus large des 6 grands principes du RGPD.
L’intégrité et la confidentialité des données sont au cœur du Règlement Général sur la Protection des Données.
Encore une fois, la CNIL (Commission Nationale de l’Informatique et des Libertés) propose des articles complets pour aider les entrepreneurs à assurer la sécurité des données personnelles qu’ils conservent.