Le Règlement Général sur la Protection des Données (RGPD), dont on parle depuis plusieurs mois (lire l’article Sécurité des données personnelles : un nouveau guide de la Cnil), entre en vigueur le 25 mai 2018.

Pour vous aider à savoir où vous en êtes, nous vous avons préparé une “check list”.

I. Définir les objectifs du fichier

Avant toute collecte et utilisation de données personnelles, le responsable de traitement doit précisément annoncer aux personnes concernées ce à quoi elles vont lui servir. Ces objectifs, appelés « finalités », doivent respecter les droits et libertés des individus. Ils limitent la manière dont le responsable pourra utiliser ou réutiliser ces données dans le futur

II. Vérifier la pertinence des données

Seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées : c’est le principe de minimisation de la collecte. Le responsable de traitement ne doit donc pas collecter plus de données que ce dont il a vraiment besoin. Il doit également faire attention au caractère sensible de certaines données.

III. Limiter la conservation des données

Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de les conserver et elles doivent être supprimées. Cette durée de conservation doit être définie au préalable par le responsable du traitement, en tenant compte des éventuelles obligations à conserver certaines données.

 IV . Respecter les droits des personnes

Des données concernant des personnes peuvent être collectées à la condition essentielle qu’elles aient été informées de cette opération. Ces personnes disposent également de certains droits qu’elles peuvent exercer auprès de l’organisme qui détient ces données le concernant : un droit d’accéder à ces données, un droit de les rectifier et enfin un droit de s’opposer à leur utilisation.

V. Sécuriser les données

Le responsable de traitement doit prendre toutes les mesures nécessaires pour garantir la sécurité des données qu’il a collectées mais aussi leur confidentialité, c’est-à-dire s’assurer que seules les personnes autorisées y accèdent. Ces mesures pourront être déterminées en fonction des risques pesant sur ce fichier (sensibilité des données, objectif du traitement…)

Concrètement, comment faire ?

La finalité est, dans la plupart des cas, définie par le contrat. Celui-ci doit donc indiquer de manière explicite et légitime l’objectif poursuivi qui nécessite l’utilisation de données personnelles. Exemple : protection des biens et des personnes, gestion du recrutement, déclarations fiscales, etc.

Des clauses spécifiques peuvent être nécessaires pour les cas où le traitement des données personnelles s’effectue par des salariés ou via l’intervention d’autres sous-traitants.

Cette finalité doit être respectée, c’est-à-dire que les données ne peuvent être utilisées pour un autre objectif que ce qui a été défini.

Toute autre utilisation doit faire l’objet d’un consentement spécifique.

Les bonnes questions à se poser :

  • Quel est le but de mon fichier ? (À quoi va-t-il servir ?)
  • Est-ce légitime, notamment au regard de mes missions et des droits et libertés des personnes ?
  • Comment présenter cette finalité pour la rendre compréhensible par tous ?
  • De quelles données ai-je vraiment besoin pour atteindre l’objectif fixé à mon fichier ?
  • Ai-je bien distingué les données obligatoires des données facultatives ?
  • Les données que je recueille sont-elles objectives ?
  • Pourrai-je en toute transparence, donner accès à toute personne qui en fait la demande à l’ensemble des données que je détiens sur elle ?
  • Est-ce que je recueille des données sensibles ? Ai-je le droit de collecter ces données ? Est-ce justifié au regard de mes missions ? Puis-je faire autrement ?
  • Ai-je prévu une organisation chargée de traiter les demandes informatiques et libertés (droit d’accès, rectification, refus, etc.)
  • Ai-je sécurisé correctement les données personnelles recueillies ?

o Au niveau de mes procédures internes ? Qui a accès à ces données ? Sont-elles sensibles ?

o Au niveau technique ? Mes outils informatiques sont-ils sécurisés ? Existe-t-il une gestion des droits utilisateurs ? Où sont stockées mes données (elles doivent être stockées en Europe uniquement ou dans un pays autorisé par la commission européenne).

Pour en savoir plus :
Consultez cette fiche pratique de la CNIL pour se préparer au RGPD en 6 étapes.