Cyril Cornet
Traffic Manager
9/3/2023
4 min

Les 8 commandements du RGPD

Nous continuons donc notre exploration du Règlement Européen sur la Protection des données et son application concrète pour les entreprises avec les 8 commandements du RGPD.

Dans la première partie de cette série, nous avons défini ce que concernait le RGPD.

Cette nouvelle approche des données à caractère personnel a un impact gigantesque sur les entreprises. Il change leur manière de stocker les données, de tracker les données (la disparition progressive du fameux cookie) et d’utiliser les données.
La place de la donnée est donc bouleversée par le nouveau règlement européen et il convient de se familiariser avec ses grands principes.

Aujourd’hui, nous allons donc nous concentrer sur les 8 commandements du RGPD pour encadrer la protection des données.

Ces 8 commandements du RGPD sont l’équivalent du règlement de Poudlard : ne pas les respecter, c’est s’exposer à de graves conséquences.

Elles vous donneront une direction à suivre en cas de doute sur votre conformité au RGPD et vous guideront vers des pistes d’amélioration pour éviter toute violation dans les traitements des données personnelles.

Sans plus attendre, découvrons ensemble les 8 commandements du RGPD.

Premier commandement du RGPD : La licéité du traitement des données

Avant toute chose, il faut que le traitement des données soit licite.

Pour traiter de la data en rapport avec la vie privée des utilisateurs, les entreprises doivent s’assurer qu’elles répondent aux 6 conditions licites listées par le RGPD.

Pour être licite, il faut que le traitement des données soit nécessaire pour :

  • Exécuter un contrat ;
  • Respecter une obligation légale ;
  • Sauvegarder des intérêts vitaux ;
  • Exécuter une mission d’intérêt public (ou relevant de l’exercice de l’autorité publique) ;
  • Sauvegarder des intérêts légitimes du responsable de traitement d’un tiers (toujours dans le respect des intérêts, libertés et droits fondamentaux de la personne concernée) ;
  • Exécuter une ou plusieurs finalités spécifiques consenties en amont par la personne qui voit ses données traitées. (nous allons y revenir).

Ainsi, il faut toujours que vous ayez une bonne raison de collecter et traiter une donnée.

Deuxième commandement du RGPD : La finalité du traitement

La finalité du traitement, c'est la notion au cœur de la protection des données, son principe fondamental. Si vous ne devez retenir qu’une seule chose de tout cet article, c’est celle-ci !

En effet, c’est la finalité qui détermine les facteurs les plus importants de la protection des données comme :

  • La durée de conservation ;
  • La pertinence de la collecte ;
  • Et la liste des personnes habilitées à y accéder.

Donc c’est ce que vous voulez en faire qui détermine le cadre dans lequel vous devez traiter les données personnelles.

Elles ne peuvent être collectées que pour une finalité définie précisément et légitime.

Comme souvent avec le droit, chaque mot est porteur de sens. Décortiquons cette finalité :

  • “Définie précisément” veut dire que l’objectif de la collecte des données est clairement expliqué et compréhensible par les personnes concernées et en interne.
  • La légitimité correspond aux besoins réels que vous avez de ces données. Si la demande semble trop intrusive ou peu justifiée, la légitimité de la finalité peut être remise en cause (non, vous n’avez pas besoin des noms des trois golden retrievers du maître d’ouvrage pour lui agrandir sa véranda).

Pour résumer, la finalité agit comme le cadre dans lequel vous pouvez utiliser les données à caractère personnel.

Un traitement qualifié

Vous ne pouvez pas utiliser ces données pour autre chose ou donner accès à des personnes qui n’étaient pas initialement prévues sous peine de prendre le risque que ce soit considéré comme un détournement de finalité.

Et ça, vous voulez vraiment l’éviter !

Le détournement de finalité peut être soumis à une sanction pénale (code pénal – article 226-21 paragraphe 1 pour les amateurs de lecture) dont la peine peut s’élever à 300 000 € et 5 ans d’emprisonnement.
Mais la sanction la plus courante pour les entreprises jugées responsables d’une violation suite à un contrôle est la sanction administrative spécialement prévue par le RGPD (RGDP – article 83 paragraphe 5) dont la sanction peut s’élever jusqu’à 20 millions d’euros ou 4 % du CA annuel mondial.

Alors certes, les prisons ne sont pas remplies de dangereux détourneurs de finalité, mais vous imaginez une sanction de 4 % de votre chiffre d'affaires annuel ? … pas vrai ?

Et bien non !

L’évolution des usages n’est évidemment pas hors la loi, mais la nouvelle finalité doit être en rapport avec l’ancienne.

Il y a trois cas de figure pris en compte par la RGPD, les données vont être traitées à des fins :

  • Archivistiques dans l’intérêt public ;
  • De recherche scientifique ou historique ;
  • Statistiques.

Attention, la finalité doit toujours s’exécuter en toute transparence et dans le respect des droits des personnes concernées.

Vous trouverez la réponse à votre question

Troisième commandement du RGPD : Minimisation des données

Conséquence directe du principe de la finalité, seules les données à caractère personnel strictement nécessaires pour atteindre celle-ci peuvent être collectées et traitées. Pas de petite question en plus juste par curiosité.

Quatrième commandement du RGPD : Protection particulière des données sensibles

Toutes les données ne sont pas égales.

S'il est toujours embêtant d’avoir son nom et son mail écrits dans un dossier quelque part, il est autrement plus problématique d’y avoir aussi ses opinions politiques ou religieuses. Et la CNIL, l’autorité qui assure entre autre le respect du règlement de l’union européenne, est particulièrement vigilante avec la violation de la vie privée et sur tout ce qui touche à des informations discriminantes.

Les données dites à risques ne peuvent être collectées et traitées que dans certaines conditions, car il existe un risque élevé pour la personne concernée en cas de mauvais usage.

Il s’agit :

  • De données dites “sensibles” (origines raciales, opinions politiques, philosophiques, santé, vie sexuelle, génétiques...) ;
    Face à ce type de données, le consentement doit être :
  • Libre ;
  • Spécifique ;
  • Éclairé ;
  • Univoque ;
  • Facilement révocable ;
  • Le numéro de Sécurité Sociale ;
  • Les données personnelles de type condamnations pénales, infractions et mesures de sûreté.

Cinquième commandement du RGPD : Conservation limitée des données

Plutôt que de penser que l’on collecte des données, il vaut mieux se dire que les particuliers vous prêtent leurs données.

Elle ne servent que le temps de compléter l’objectif pour lequel elles avaient été recueillies.

Une fois cette finalité atteinte, les données doivent :

  • Être effacées ;
  • Faire l’objet d’un processus d’anonymisation qui rende impossible la ré-identification des personnes ;
  • Être archivées sous conditions.

Vous devez donc conserver les données le temps d’atteindre l’objectif pour lequel elles ont été collectées. Une fois cet objectif atteint, vous devez encore les conserver pour une durée minimum légale (qui oscille entre 3 et 10 ans en fonction du type de données) puis les effacer complètement de votre système.

Sixième commandement du RGPD : Obligation de sécurité

Les données collectées sont exposées à des risques qu’il ne faut pas perdre de vue.

Que ce soit un employé indiscret, des concurrents un peu trop curieux ou carrément le crime organisé, beaucoup de monde s’intéresse aux données que vous récoltez.

En plus de ça, il existe un risque de perte des données en cas d’incident de serveurs, d’erreur de manipulation (encore la faute du stagiaire ça !) ou même en cas de vol d’ordinateur !

Pour tempérer ces risques, des mesures doivent être mises en œuvre pour assurer de la sécurité des données traitées. Elles doivent être revues régulièrement et ajustées en permanence.

Parmi ces mesures, on compte bien évidemment celles de bon sens :

  • Un identifiant spécifique ;
  • Un mot de passe compliqué.

Vous comprenez pourquoi tout le monde continue d’insister sur l’importance du mot de passe maintenant ?

  • Bien sécuriser les postes de travail ;
  • Responsabiliser les acteurs en vous assurant que tous les employés comprennent bien l’enjeu et l’importance de ces données et de leur accès ;
  • Protéger le réseau informatique et les serveurs contre d’éventuels problèmes ou attaques ;
  • Limiter les accès aux outils et interfaces administration, ne donnez un accès qu’aux gens en ayant vraiment besoin ;
  • Sauvegardes régulières.

Vous pouvez évidemment pousser plus loin la sécurisation de ces données à l’aide de procédé de cryptage ou de pseudonymisation des individus.

Cela rendra les informations illisibles ou incompréhensibles pour toute personne malintentionnée qui réussirait à y avoir accès.

Votre relation est simplifiée

Septième commandement du RGPD : Transparence

Vous devez toujours être transparent sur la raison pour laquelle vous collectez les données de particuliers.

Les personnes doivent être informées de l’utilisation des données les concernant et sur la manière d’exercer leurs droits.

Un droit particulièrement important dans la protection des données est le droit à l’information.

Celui-ci implique une justification de la collecte auprès des individus afin que ceux-ci comprennent clairement les conditions de cette dernière et garde la maîtrise de leurs données et de leurs utilisations.

De plus, vous devez prendre toutes les mesures utiles afin de répondre aux demandes transmises à l’occasion de l’exercice de ces droits. Donc vous devez être en mesure de répondre rapidement et clairement si quelqu’un vous demande des précisions sur l’utilisation que vous voulez en faire ou de voir/récupérer ses données personnelles.

Huitième commandement du RGPD : Droits des personnes

Le RGPD prend en compte la position de vulnérabilité dans laquelle se mettent les particuliers en fournissant leurs données personnelles. Pour contrebalancer cette situation, il donne accès à de nombreux droits qui leur permettent de garder la maîtrise de leurs données.

Le droit d’accès

Prévu par l’Article 15 du RGPD, ce droit permet aux particuliers de savoir quelles données personnelles sont en votre possession et comment elles sont traitées.

Vous devez leur transmettre ces données dans un format compréhensible pour eux.

En cas d’exercice de leur droit d’accès, vous devez être en mesure de leur fournir :

  • Les finalités d’utilisation de ces données ;
  • Les catégories de données collectées ;
  • Les destinataires (ou catégorie de destinataires) qui ont pu accéder à ces données ;
  • La durée de conservation des données ou les critères qui la détermine ;
  • L’existence des autres droits (pas de panique, on vous en parle juste après) ;
  • La possibilité de saisir la CNIL ;
  • Des informations si vous transférez ces données vers un pays tiers non-membre de l’UE ;
  • Les informations sur la manière dont vous avez récolté ces données (si ce n’est pas directement auprès d’eux, par exemple en obtenant leur email par l’un de vos collègues, etc.).

Le droit de rectification

Mentionné aux Articles 16 et 19 du RGPD, cet article vous oblige à corriger ou compléter les données d’un particulier qui en fait la demande.

Vous devez aussi transmettre ces changements aux autres destinataires des données sauf si cela exigerait des efforts disproportionnés.

Et attention, vous avez 1 mois pour répondre à cette demande (3 mois si la demande est particulièrement complexe) et une absence de réponse peut ouvrir la voie à une plainte de la part du particulier !

Le droit d’opposition

Un particulier peut s’opposer à tout moment à l’utilisation de ses données dans un contexte précis.

Il doit alors justifier de “raisons tenant à sa situation particulière”, sauf dans le cas du démarchage commercial, auquel il peut s’opposer sans motif.

Pour refuser cette demande, vous devrez justifier de motifs “légitimes et impérieux”, par exemple une obligation légale, un contrat vous liant au particulier, etc.

Pour en savoir plus sur ce droit, direction l’Article 21 du RGPD

Le droit à l’effacement

Probablement le plus célèbre des droits du RGPD pour sa capacité à faire disparaître vos photos gênantes d’Internet.

Il offre la possibilité à un particulier de demander l’effacement de ses données personnelles dans certains cas de figure. C’est notamment le cas lorsque :

  • Les données sont utilisées à des fins de prospection ;
  • Les données ne sont pas ou plus nécessaires à la finalité de départ ;
  • Il retire son consentement à l’utilisation de ses données ;
  • Elles font l’objet d’un traitement illicite (par exemple, publication de données  piratées) ;
  • Elles ont été collectées lorsque le particulier était mineur dans le cadre de la société de l’information (blog, forum, réseau social, site web…) ;
  • Les données doivent être effacées pour respecter une obligation légale ;
  • Le particulier a utilisé son droit d’opposition et vous n’avez pas de motif légitime ou impérieux pour ne pas donner suite à cette demande.

Vous pouvez écarter ce droit lorsqu’il va à l’encontre de :

  • L’exercice du droit à la liberté d’expression et d’information ;
  • Du respect d’une obligation légale (par exemple vous devez conserver certaines données pendant un minimum de temps même après la fin de la relation commerciale) ;
  • L’utilisation des données si elles concernent un intérêt public dans le domaine de la santé ;
  • Leur utilisation à des fins : archivistiques dans l’intérêt public, de recherche scientifique ou historique ou statistiques ;
  • De la constatation, de l’exercice ou de la défense de droits en justice.

Découvrez notre histoire

Le droit de limitation

Dernier droit de cette liste, il vient compléter les autres.

Lorsqu’un particulier exerce son droit d’opposition, de rectification ou d’effacement. Vous pouvez légalement procéder à une vérification de la demande et des données. Durant ce délai, le particulier peut invoquer son droit de limitation qui a pour effet de geler les données que vous détenez sur lui.

Vous devez alors les conserver, mais vous ne pouvez pas les utiliser sans son accord.

Vous connaissez désormais les 8 principes fondamentaux du RGPD.

Ces règles pourront vous guider dans vos efforts de mise en conformité vis-à-vis du Règlement Européen.

Elles représentent aussi une bonne ligne de conduite à tenir lorsque vous vous interrogez sur la manière dont vous traitez les données de vos clients.

Il est important pour les entreprises d’avoir une personne responsable du respect de ces règles au sein de la structure. C’est le rôle du DPO.

Le DPO est le ou la Délégué(e) à la protection des données. Il ne s’agit pas d’un poste à part, mais d’un rôle que doit prendre une personne de l’entreprise. Elle est alors la garante de la conformité de la collecte de données de l’entreprise avec la loi.

C’est une place importante au sein de l’entreprise, car en cas de contrôle, il faudra prouver que quelqu’un assure ce rôle. D’ailleurs le DPO est obligé par la loi de suivre une formation relative à la protection des données.

Pour conclure

Si vous voulez approfondir un sujet en particulier. Le site de la CNIL regorge de documents utiles et clairs pour vous informer sur les conséquences du RGPD. Il existe aussi de nombreux services et sites qui vous informent et propose de la formation sur le sujet.

D’ici là, si vous avez aimé cet article et que vous connaissez des gens concernés par le RGPD, partagez cet article avec eux !

Soan, la solution de gestion financière qui vous accompagne au quotidien.

Merci d’avoir pris le temps de lire notre article ! N’hésitez pas à visiter notre blog et notre FAQ 🙂

Rendez-vous sur le blog Soan ou abonnez-vous à nos réseaux sociaux : LinkedIn, Facebook ou Youtube.

Lire plus d'articles
Soan
Entreprise éco responsable : La planète vous dit merci !
7/9/2023
4 min
Soan
Soan lève 3.2 millions d'euros pour continuer son développement !
7/9/2023
5 min
Soan
L’équipe marketing, au cœur du développement de l’entreprise
7/9/2023
8 min

Des conseils des salariés de chez Soan et l'actualité économique autour du paiement dans votre boite mail.

Merci ! Votre demande a été reçue !
Oups ! Un problème est survenu lors de la soumission du formulaire.
À PROPOS
Nous contacterComparatifBlogSécuritéLexiquePresseNos partenairesAvis clientsNous rejoindre
LIEN UTILES
Politique de confidentialitéMentions légalesLa RGPD chez SoanTutos vidéoCGUVFAQGérer les cookies
ADRESSE
51 Quai Lawton 33300 Bordeaux+33 5 54 54 05 06

Fait avec des kilos d’amour 💛, des heures de labeur 🕐 et des litres de sueur à Bordeaux.
La société Soan, société par actions simplifiée est enregistrée auprès de MANGOPAY, société anonyme agissant en tant qu’établissement de monnaie électronique agréé, auprès de la CSSF (Commission de Surveillance du Secteur Financier) sous la numéro B173459, en tant qu’agent prestataire de services de paiement.

© Soan 2023