Tout comprendre au RGPD grâce au guide Talend

Les données sont désignées comme l’or noir du 21ème siècle. L’exploitation de ces datas a pris une ampleur déterminante aussi bien pour les administrations et organisations publiques que pour les entreprises privées qui ne peuvent plus se permettre de passer à côté de ce supercarburant…Or ce sont les données à caractère personnel qui permettent aux entreprises d’obtenir des détails précis sur les utilisateurs et leur comportement en ligne. C’est pourquoi nos données doivent être préservées par des règles et des lois.

Par conséquent, la protection des données implique bien plus qu'une simple protection contre la collecte et l'utilisation abusive de nos données. Elle implique une protection contre la manipulation, les inégalités et la discrimination.

Qu’est-ce que le RGPD ?

Après des années de débats et de négociations entre les parties prenantes du secteur privé, de la société civile et des responsables politiques de l'UE, le Règlement Général sur la Protection des Données (RGPD) entre en vigueur le 25 mai 2016.

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle s’assimile à toute information se rapportant à une personne physique identifiée ou identifiable. Ainsi, une personne peut être identifiée de façon directe par son nom et son prénom, ou de façon indirecte par un identifiant, un numéro, une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, économique ou encore culturelle.

L’identification d’une personne physique peut ainsi être effectuée :

• À partir d’une seule donnée, ce qui peut correspondre à un numéro de sécurité sociale par exemple,
• À partir du croisement d’un ensemble de données (une personne de sexe féminin vivant à telle adresse, née tel jour, abonnée à tel service de diffusion et militant pour telle cause par exemple).

Qu’est-ce que le traitement d’une donnée personnelle ?

Le traitement de données personnelles correspond à une opération, ou à un ensemble d'opérations portant sur des données personnelles, quel que soit le procédé utilisé : il peut s’agir d’une collecte, d’un enregistrement, d’une organisation, d’une conservation, d’une adaptation, d’une modification, d’une extraction, d’une consultation, d’une utilisation ou encore d’une communication de celles-ci.

Un processus de traitement de données doit avoir un objectif ou une finalité légale et légitime au regard de votre activité professionnelle. Cela signifie qu’une entreprise ne peut pas collecter ou traiter des données personnelles simplement au cas où cela lui serait utile un jour. Le traitement de données personnelles est alors encadré à l’échelle européenne.

Définition du RGPD

Le Règlement Général sur la Protection des Données (RGPD) responsabilise les organismes publics et privés qui traitent leurs données.

Dans un contexte juridique qui s’adapte aux évolutions des technologies et de nos sociétés (usages accrus du numérique, développement du commerce en ligne…), ce règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978. Il renforce ainsi le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant et harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.

Dans ce sens, le cadre réglementaire fixé par le RGPD permet non seulement d’assurer la transparence mais aussi de garantir les droits des personnes concernées et de responsabiliser les entreprises dans le traitement des données personnelles.

Comment s’assurer de sa conformité au RGPD ?

Dès lors qu’une structure traite une ou plusieurs données personnelles, elle se doit de respecter le RGPD en appliquant des principes précis.

Recenser les traitements dans une démarche continue

La conformité n’est pas gravée dans le marbre. Elle dépend du bon respect au quotidien par les agents, à tous les niveaux, des principes et mesures mis en œuvre. De ce fait, le RGPD impose au responsable de traitement de tenir un registre listant les traitements de données.

Ce registre permet à une structure d’avoir une vision claire et globale des activités de la collectivité qui nécessitent la récolte et le traitement de données personnelles. Dans ce sens, la tenue régulière du registre devient l’occasion de sensibiliser les services aux enjeux de la protection des données.

Dans le registre, il est conseillé de créer une fiche par activité recensée, en précisant :

• Le nom et les coordonnées du responsable du traitement et dans la mesure du possible, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
• Les différents objectifs poursuivis par chaque traitement ;
• Les typologies de personnes concernées et de données utilisées : nom, nationalité, adresse…
• Les personnes habilitées à l’accès aux données et à qui elles seront communiquées ;
• Les durées de conservation de ces données en indiquant la durée d’utilité et durée de conservation en archive de celles-ci ;
• Les mesures de sécurité envisagées comme la politique des mots de passe…

Dans le but de détenir un registre exhaustif et à jour, il est impératif d’être en contact assidu avec toutes les personnes de la corporation sujettes au traitement de données personnelles.

Faire le tri dans ses données

Chaque fiche du registre est censée permettre à une organisation de s’assurer que les données traitées sont bien pertinentes et nécessaires à l’objectif poursuivi. Faire le tri dans son registre de données permet à une société de garantir la nature des données traitées afin d’adopter des mesures de sécurité adaptées aux risques spécifiques associés aux données et que seuls les agents habilités ont accès aux données dont ils ont besoin.

Une entreprise n’a pas le droit de conserver des données personnelles indéfiniment. Elles ne sont conservées en base active que le temps strictement nécessaire à la réalisation de l’objectif poursuivi. Ces données doivent être par la suite détruites, anonymisées ou archivées dans le respect des obligations légales applicables en matière de conservation des archives publiques.

Honorer les droits des administrés

Le nombre constant de plaintes reçues par la Commission Nationale de l'Informatique et des Libertés (CNIL) confirme la sensibilité accrue des individus quant à la protection de leurs données personnelles. Chaque fois que des données personnelles sont extraites, que ce soit par le biais d’un formulaire, par l’intermédiaire d’un téléservice ou même de façon orale, une organisation est dans l’obligation d’informer de façon claire et explicite les personnes concernées à propos des conditions d’utilisation de leurs données et de leurs droits.

Une entreprise doit ainsi permettre aux personnes (agents, administrés, prestataires, etc.) de faire usage de leurs droits, à savoir :

• Le droit d’accès, qui permet à la personne concernée d'accéder à toutes les informations détenues sur elle ;
• Le droit de rectification qui lui accorde la modification de celles-ci ;
• Le droit d’opposition qui autorise la personne à refuser l’utilisation des informations détenues sur elle ;
• Le droit d’effacement qui admet la demande de suppression des informations personnelles d’un individu ;
• Le droit à la portabilité qui habilite la personne à récupérer les informations détenues sur elle dans un format ouvert et lisible par machine ;
• Le droit à la limitation qui concède le gel de l’utilisation des informations personnelles d’une personne.

Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, une entreprise peut, par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité sur son site web.

Sécuriser les données et identifier les risques

Une société est tributaire de la mise en place de mesures techniques et organisationnelles afin d’être en capacité de garantir la sécurité des données. En fonction de leur sensibilité, des mesures spécifiques sont nécessaires en cohérence avec les risques pour les droits et libertés des personnes concernées, comme dans le cas d’une usurpation d’identité.

Elle doit alors prendre toutes les mesures nécessaires afin de garantir la sécurité des données : sécurité physique ou sécurité informatique, sécurisation des locaux, gestion stricte des habilitations et droits d’accès informatiques… Ces précautions sont adaptées en fonction du degré de sensibilité des données ou des risques qui peuvent peser sur les personnes en cas d’incident de sécurité.

Trois types de risques sont ainsi à prendre en considération : l’accès illégitime à des données, leur modification non désirée et leur disparition. Ces incidents peuvent avoir des conséquences préjudiciables pour les personnes dont les données sont concernées mais aussi pour les organismes.

Quels sont les risques encourus en cas de non-conformité au RGPD ?

Une procédure de sanction peut être engagée à l’encontre d’un organisme si un manquement au RGPD ou à la loi Informatique et Libertés est constaté, que ce soit suite au dépôt d’une plainte ou d’un signalement auprès de la CNIL ou bien suite à une mission de contrôle de la part de cette-dernière.

Dans ce sens, un certain nombre de sanctions sont prévues. Ces sanctions varient en fonction de la gravité des violations notées par la CNIL : avertissement, sanction pécuniaire, injonction de cesser le traitement jusqu’au retrait d'une autorisation accordée par la CNIL.

Les données constituent, pour la majorité des entreprises, leur principale subsistance afin de garder le contact avec leurs clients et de stocker des informations sur leurs employés. D'un point de vue commercial, c'est à partir de celles-ci que sont décidées les actions de marketing et de vente. Cependant, un grand pouvoir implique de grandes responsabilités. Dans un monde numérique de plus en plus sophistiqué, la protection de données qualitatives s’est acérée. Le règlement RGPD permet aux organisations de conserver une longueur d’avance sur d’éventuelles cyberattaques. C’est à l’initiative de chaque entreprise de protéger les données personnelles stockées dans ses systèmes et de les utiliser de manière responsable, sous le contrôle de la CNIL.

Profitez de la mise en place du RGPD pour sensibiliser l’ensemble de vos collaborateurs sur les règles à suivre en matière de protection des données. Talend vous accompagne dans la préparation au RGPD et la gestion des risques et de conformité à celui-ci à travers plusieurs de ses solutions. Bénéficiez de fonctionnalités de contrôle et de catalogage des données pour vous conformer aux réglementations RGPD.