Pour traiter vos données conformément au RGPD, vous devez respecter six principes phares. Ces principes encadrent toute la chaîne d’exploitation, depuis les méthodes de collecte jusqu’aux conditions de stockages en passant par les étapes de traitement de données personnelles. On vous en parle dans cet article.
Légalité, loyauté, transparence, les piliers du traitement de données personnelles
Les données personnelles de vos clients, vos prospects, vos collaborateurs, ont une place à part dans votre patrimoine informationnel.
Le RGPD vous impose tout un cahier des charges de règles à respecter. Et cela commence par la manière de collecter des données.
Ces règles-là tiennent en trois mots :
- Légalité. Collecter des données, oui, mais dans le respect de la loi : oubliez l’extorsion, le chantage ou l’achat de bases illégales.
- Loyauté. Vous pouvez constituer des bases de données en direct ou même auprès de tiers. Mais jamais à l’insu des personnes dont vous utilisez les données… C’est pour cela que des méthodes comme la location de bases de données ou le scraping sont à encadrer rigoureusement.
- Transparence. Préparez-vous à informer les personnes de ce que vous faites des données et de leurs droits. Par exemple vos politiques de confidentialité doivent détailler l’ensemble de vos collectes de données et vous devez tenir à jour un registre de tous vos traitements. Apprêtez-vous à mettre en lumière vos pratiques pour renforcer les liens de confiance.
De plus, le RGPD introduit le principe de responsabilité. Vous devez être en mesure de démontrer que vous êtes en conformité avec la loi. Ces mesures comprennent notamment : une documentation adéquate sur les données personnelles traitées, la façon dont les données personnelles sont traitées, pour quel objectif, pour combien de temps, etc.
Limitez les finalités pour une utilisation RGPD-compatible des données personnelles
Constituer une base de données n’est pas une fin en soi. Par exemple, vous n’organisez pas des campagnes marketing pour le seul plaisir d’écrire des e-mails ?
Vous devez identifier avec précision les objectifs que vous poursuivez (gestion du personnel, de la relation clients…). Cela déterminera tout : de quelles données vous avez besoin, pour en faire quoi, combien de temps.
A l’inverse, vous ne pouvez pas espérer collecter des données :
- dans un but illicite, par exemple gérer une activité de commerce hors-la-loi (trafic de drogues ou de faux diplômes…) ;
- dans un but vague. On collecte les données pour des objectifs précis (par exemple nécessaires à la fourniture d’un service) et on ne conserve pas des données parce qu’elles pourraient servir un jour.
Minimisation, une politique de collecte et d’exploitation des données réduite au strict nécessaire
Une fois que vous avez défini les objectifs que vous poursuivez, vous pourrez mieux déterminer de quelles données vous avez besoin.
C’est aussi cela, la protection des données personnelles au sens du RGPD.
- Pour faire des campagnes téléphoniques, vous n’avez pas nécessairement besoin de l’adresse e-mail ou la photo de vos prospects. Vos formulaires de traitements de données personnelles ne devront par conséquent pas comporter ces champs ;
- un prestataire chargé de tester le fonctionnement technique de votre réseau social d’entreprise n’a pas besoin d’avoir les coordonnées personnelles de vos collaborateurs ;
- Etc.
Pour autant, est-ce si grave que cela de détenir plus de données que ce qu’il vous faut ? Oui, car :
- vous violerez le principe de la minimisation de collecte de données ;
- vous prendrez en charge des coûts (sécurité informatique, maintenance des bases…) liés au stockage de données inutiles ;
- en cas d’attaque informatique par un hacker, vous exposez davantage la vie privée des personnes concernées par le traitement de données personnelles ;
- vous mettez en cause votre e-réputation. Vos clients et prospects peuvent perdre confiance en vous en découvrant ce que vous savez sur eux.
L’exactitude des données, le pré-requis d’un traitement conforme au RGPD
Le RGPD vous impose de gérer des bases exactes et mises à jour.
Cela implique notamment de donner la capacité aux personnes dont vous traitez les données de vous signaler des erreurs, des changements.
Vous devrez également prendre en contact les notifications que vous recevrez afin de rectifier ou supprimer des données incomplètes, inexactes ou obsolètes.
Restreignez les durées de conservation des données personnelles
Vous ne pouvez pas conserver éternellement des données personnelles.
Le RGPD vous imposera en effet de définir une durée appropriée de conservation des données personnelles. Au-delà de cette durée, les données ne vous sont plus utiles pour la finalité que vous poursuivez. A vous d’évaluer votre besoin et de le documenter pour pouvoir prouver le bien-fondé de la durée que vous avez choisi.
Dans certains cas, vous pourrez vous appuyer :
- sur des référentiels développés par l’APD. La protection des données personnelles en Belgique passe aussi par ce type d’outils ;
- sur des durées de conservation imposées par des législations spécifiques (concernant la gestion du personnel ou des contentieux, par exemple).
Que se passe-t-il quand la durée de conservation est atteinte (y compris d’éventuelles périodes d’archivage requises légalement) ? Selon les cas, la donnée sera :
- supprimée définitivement des bases. L’entreprise n’en a plus besoin et donc n’en garde aucune trace ;
- anonymisée. Cela vous permettra de continuer de mener des analyses statistiques et agrégées.
La sécurité, socle de base d’une politique de protection des données personnelles
Vous avez maintenant compris que le traitement de données personnelles comporte un certain niveau de sensibilité.
La sécurité informatique est sans doute une notion avec laquelle vous êtes déjà familier. Vous protégez en effet votre patrimoine, vos systèmes d’information, vos serveurs des attaques externes.
Mais vous le faites pour protéger vos intérêts.
Le RGPD vous impose de veiller à la protection des données personnelles. Vous devrez donc appliquer une politique de sécurité adaptée en fonction du contexte et des risques identifiés.
Attention, si une violation de données survient, dans certains cas vous devrez la notifier au régulateur. Ne pas le faire vous expose à une sanction de l’APD. Tout comme les insuffisances éventuelles de votre politique de sécurité.
Conclusion : êtes-vous prêt à respecter les 6 principes phares du RGPD ?
Pour vous conformer aux 6 principes clés, vous devrez instaurer une politique rigoureuse de gestion des données personnelles.
Cette politique concernera tous les niveaux de la chaîne de traitement des données : vos services internes, vos prestataires et sous-traitants.
Pas de panique, pour vous faciliter la vie, vous pourrez vous appuyer sur des logiciels de qualité qui vous aiderons à vous mettre en règle.
Les solutions Admeet vous permettront par exemple de gérer la conformité RGPD de vos sites web.