Principes essentiels du RGPD
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Expliquer les principes essentiels des règles de protection de la vie privée prévues dans le RGPD.
- Discuter des mesures que peuvent prendre les entreprises pour protéger les données à caractère personnel.
- Décrire les choix qu’offre le RGPD aux individus concernant leurs données à caractère personnel.
Principes majeurs
Les exigences du RGPD reposent sur plusieurs principes majeurs. Passons celles-ci en revue.
Équité et transparence
Les entreprises doivent toujours traiter les données à caractère personnel dans le respect de la loi, de manière juste et transparente.
Quand la Grande Banque du Nord demande à Marie Dubois de s’inscrire en tant que cliente sur son site, elle doit lui indiquer clairement les informations qu’elle et son site recueillent, et comment elle prévoit de les utiliser. Par exemple, si la Grande Banque suit le parcours de Marie sur son site Web, elle doit expliquer ce suivi dans une politique relative à la confidentialité.
Limitation des finalités
Les entreprises ne peuvent recueillir de données à caractère personnel qu’à des fins spécifiques, explicites et légitimes. Elles ne peuvent pas traiter ces données à caractère personnel d’une façon incompatible avec ces finalités.
Lorsque la Grande Banque demande à Marie de s’inscrire en tant que cliente, elle doit l’informer du traitement qu’elle compte faire de ses données à caractère personnel. La Grande Banque ne doit utiliser les données à caractère personnel de Marie que dans le cadre des finalités qui lui sont décrites dans la notification. Par exemple, la Grande Banque ne doit pas vendre ses informations à une entreprise de déménagement en quête de nouveaux clients, si l’avis relatif à la protection de la vie privée ne précise pas que la Grande Banque communique les données à caractère personnel à cette fin à des entreprises de déménagement.
Minimisation des données
Les entreprises peuvent uniquement recueillir les données à caractère personnel qui sont adéquates, pertinentes et limitées à ce qui est nécessaire pour la finalité prévue.
Lorsque Marie télécharge l’application mobile de la Grande Banque et s’y crée un compte, la Grande Banque ne peut recueillir que les informations utiles pour fournir le service à Marie. L’application ne doit pas enregistrer sa géolocalisation, accéder aux contacts de son téléphone, ni recueillir d’informations sur les autres applications installées sur son téléphone. La Grande Banque ne doit pas demander à Marie de fournir des informations qui ne sont pas utiles pour le traitement de son crédit, comme sa religion ou son appartenance ethnique.
Précision
Les données à caractère personnel doivent être exactes et, si nécessaire, à jour.
Lorsque Marie remplit un formulaire détaillé pour la Grande Banque en vue de faire une offre pour l’achat d’une maison, elle fournit son salaire actuel. Plus tard, elle reçoit une promotion et une augmentation. Elle contacte la Grande Banque pour lui communiquer l’information. La Grande Banque doit mettre à jour ses fichiers pour refléter son nouveau salaire.
Suppression des données
Les données à caractère personnel ne doivent être conservées que pour la durée nécessaire à remplir la finalité initiale de la collecte.
Marie découvre un peu plus tard qu’une autre banque, Petit Crédit du Sud, propose un taux d’intérêt bien plus bas. Marie décide de quitter la Grande Banque pour le Petit Crédit, et informe la Grande Banque qu’elle met fin à leur relation. La Grande Banque doit supprimer toutes les données à caractère personnel de Marie qu’elle ne peut légitimement conserver, notamment sur ses revenus, ses comptes épargne et ses dettes.
Sécurité
Les entreprises doivent mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées pour protéger les données à caractère personnel des traitements non autorisés et des divulgations, consultations, pertes, destructions et altérations accidentelles. Selon le cas d’usage spécifique et les données à caractère personnel traitées, l’utilisation de mesures de ségrégation, de chiffrement, de pseudonymisation et d’anonymisation des données est recommandée voire, dans certains cas, requise, pour permettre la protection des données à caractère personnel.
Dans le cadre du processus de demande de crédit immobilier, le Petit Crédit demande à Marie de remplir un formulaire en ligne demandant des informations personnelles détaillées et sensibles. Le Petit Crédit doit veiller à ce que le formulaire se trouve sur une page web sécurisée et que les données soient chiffrées pendant leur transmission. Quand le Petit Crédit stocke ses données dans son instance Salesforce, il doit veiller à ce que l’accès à ces données soit limité aux employés qui ont légitimement besoin d’y accéder.
Prenons un moment pour passer en revue les mesures que les entreprises peuvent mettre en place pour protéger les données à caractère personnel.
| Mesure | Description |
|---|---|
| Le chiffrement | Contrairement à ce qu’on peut parfois lire, le RGPD n’impose pas aux entreprises de chiffrer les données à caractère personnel. Toutefois, selon les circonstances, la loi encourage le chiffrement comme moyen efficace d’assurer la sécurité et la confidentialité des données à caractère personnel. La loi suggère notamment que le chiffrement peut être adapté aux données à caractère personnel sensibles et à certains types spécifiques de données gérées par les entreprises de secteurs régulés. |
| Pseudonymisation | Le RGPD encourage les entreprises à utiliser la pseudonymisation comme mesure basée sur le risque pour protéger la sécurité des données et les droits des personnes. Dans certains scénarios, les entreprises peuvent utiliser la pseudonymisation pour permettre l’utilisation des données en dehors du cadre de la finalité d’origine. Par exemple, la pseudonymisation peut constituer une protection suffisante contre le risque de profilage. Toutefois, les données pseudonymisées sont encore considérées comme des données à caractère personnel en vertu du RGPD. |
| Anonymisation | Si les données sont véritablement anonymisées, elles ne constituent plus des données à caractère personnel en vertu du RGPD. Toutefois, le seuil d’anonymat est élevé : il doit être impossible d’identifier un individu à partir de ces données en y appliquant un traitement ou en les recoupant avec d’autres informations. |
Responsabilité
Le responsable du traitement est tenu de mettre en œuvre des mesures pour veiller à ce que les données à caractère personnel sous son contrôle soient traitées en conformité avec les principes du RGPD. Il doit notamment désigner un délégué à la protection des données, imposer des obligations contractuelles aux sous-traitants et appliquer les principes de « protection de la vie privée dès la conception » et de « protection de la vie privée par défaut ». De plus, le responsable du traitement doit être en mesure de prouver sa conformité, notamment en conservant un registre des activités de traitement et en effectuant des analyses d’impact sur la protection de la vie privée.
Pour conserver les données à caractère personnel de Marie dans son instance Salesforce, le Petit Crédit doit veiller à avoir mis en place un contrat écrit avec Salesforce concernant le traitement des données à caractère personnel, tel qu’un accord sur le traitement des données. Le Petit Crédit doit également conserver un registre des méthodes avec lesquelles il recueille les informations de Marie, des objectifs visés, des types d’informations recueillis, des organismes avec qui les données sont partagées et des mesures de sécurité en place pour les protéger.
Voici les méthodes permettant aux entreprises d’appliquer les principes de protection de la vie privée dans leur organisation.
| Méthodes | Description |
|---|---|
| Protection de la vie privée dès la conception | Selon ce principe, lorsqu’une entreprise prévoit une nouvelle activité de traitement, développe ou met en œuvre un nouveau produit, un nouveau service ou une nouvelle fonctionnalité, elle doit concevoir ces activités et produits en gardant à l’esprit les principes du RGPD afin qu’ils soient pourvus des protections appropriées pour assurer la protection de la vie privée. |
| Protection de la vie privée par défaut | Selon cette idée, les entreprises doivent toujours utiliser par défaut les paramètres les plus favorables à la protection de la vie privée lors de la collecte, du traitement ou du stockage des données. Par exemple, lorsqu’il s’agit de donner aux individus un choix sur la quantité de données traitées, l’option par défaut doit toujours être celle qui implique le traitement le plus limité. Lors de la sélection d’une période de conservation, le paramètre par défaut doit être la période de la plus courte. |
| Analyse d'impact relative à la protection des données | Analyse des nouvelles activités de traitement visant à identifier et prendre en charge les risques pour la protection de la vie privée. |
Droits individuels
Le RGPD accorde aux personnes concernées un certain nombre de droits concernant la manière dont les responsables du traitement gèrent leurs données. Ces droits imposent aux responsables du traitement de mettre en place des systèmes destinés à répondre et satisfaire rapidement les demandes des personnes concernées.
Accès aux données : Les personnes concernées ont le droit d’obtenir du responsable du traitement la confirmation que les données sont ou non traitées. Si c’est le cas, le responsable du traitement doit fournir aux personnes concernées des informations sur ce traitement : détails sur les données traitées, finalités du traitement et autres parties avec qui ces données sont partagées.
Droit d’opposition : Les personnes concernées peuvent, dans certains cas, s’opposer à tout moment au traitement de leurs données à caractère personnel, en particulier si ce traitement est réalisé à des fins de marketing direct.
Rectification des données : Les personnes concernées peuvent demander à ce qu’un responsable du traitement corrige ou complète les données à caractère personnel si celles-ci sont inexactes ou incomplètes.
Limitation du traitement : Les personnes concernées peuvent demander à ce qu’un responsable du traitement supprime l’accès à leurs données à caractère personnel, ainsi que leur modification. Par exemple, le responsable du traitement peut identifier les données ou employer des moyens technologiques pour veiller à ce qu’elles ne soient plus traitées par quiconque.
Portabilité des données : Dans certains cas, les personnes concernées ont le droit de demander à un responsable du traitement qu’il fournisse leurs données à caractère personnel sous une forme structurée, courante et lisible par une machine (par exemple, un fichier .csv), afin qu’elles puissent transmettre leurs propres données à caractère personnel à une autre entreprise.
Droit de suppression : Également appelé « droit à l’oubli », ce droit donne aux personnes concernées la possibilité de demander à un responsable du traitement qu’il supprime ou retire leurs données à caractère personnel dans les situations suivantes : lorsque les données ne sont plus nécessaires pour la finalité d’origine, lorsque la personne concernée retire son consentement, ou lorsqu’elle s’oppose au traitement de ses données et que le responsable du traitement n’a aucun intérêt légitime justifiant le traitement.
Comment une entreprise peut-elle donc, concrètement, respecter ces principes et répondre aux demandes des personnes concernées ? Dans la prochaine unité, nous vous ferons part de notre point de vue sur des aspects clés du programme de conformité au RGPD.
