Article publié le 27 janvier 2021 par Maïwenn Keroué, Consultante en Data Managament chez AXA pour l’Oiseau Rare
L’exploitation des données personnelles s’est développée au cours des dernières décennies en raison de l’utilisation conséquente d’internet. L’apparition du Big Data et donc du traitement de volumes de données plus importants n’a fait qu’accroître ce phénomène. De nouvelles problématiques ont ainsi émergées comme la fuite de données. Afin de protéger les personnes et leurs vies privées, le RGPD réglemente l’exploitation de toute donnée à caractère personnelle.
Qu’est-ce que le RGPD ?
Le RGPD, ou GDPR chez nos amis anglosaxons, est le Règlement Général sur la Protection des Données. Adopté en 2019 par le règlement européen et applicable sur l’ensemble du territoire européen depuis le 25 mai 2018.
Le RGPD renforce les droits des personnes et responsabilise les entreprises qui traitent des données personnelles notamment grâce aux autorités de contrôles mises en place.
En cas de non-respect de ce règlement, une amende pouvant atteindre jusqu’à 20 millions d’€ ou encore 4% du chiffre d’affaire total de l’entreprise peut être appliquée. Il n’est donc pas étonnant que les entreprises mettent en place de plus en plus de dispositifs permettant de répondre à ces exigences.
Les règles à respecter
Pour chaque projet et chaque traitement, il est nécessaire de mettre en place des règles afin de protéger les données des personnes. Ces règles doivent suivre plusieurs principes. Tout d’abord, une information liée à une personne physique n’est pas exploitable si elle n’a pas d’objectif précis, légal et légitime. C’est ce qu’on appelle le principe de finalité. En fonction des données traitées, elles sont conservées plus ou moins longtemps avant d’être purgées selon le principe de conservation des données.
Pour chaque donnée, en accord avec le principe de sécurité et de confidentialité vous devez garantir sa sécurité et sa confidentialité. Notamment en restreignant les accès aux seules personnes la finalité énoncée. C’est le principe de proportionnalité et de pertinence. Enfin, vous devez respecter les droits des personnes, énoncés par la CNIL dont notamment le droit à l’oubli.
Privacy By Design
Vous devez mettre en place des règles encadrant l’utilisation des données. Ces régles permettent de protéger les individus dès le début de votre projet. Il s’agit de la notion de Privacy by design. Elle implique la prise en compte du RGPD dès la conception de votre projet et pour chaque étape qui le composerent. Comme la collecte des données, le traitement des données … Par ailleurs, pour chaque traitement de données personnelles, vous devez assurer un niveau optimal de protection des données. Il s’agit du Privacy by default qui doit être respecté par le responsable du traitement. Dans la pratique, l’utilisateur ne doit pas avoir à intervenir sur ces données pour assurer leur sécurité.
Il peut être parfois difficile de comprendre ce que le RGPD peut apporter étant donné que les gains réalisés ne sont pas immédiats et difficiles à évaluer quantitativement. De plus, il nécessite un investissement important afin d’être correctement mis en œuvre. Cependant, son respect permet à la fois à votre entreprise d’être conforme vis-à-vis de la réglementation en vigueur. Il permet également de donner confiance aux utilisateurs en protégeant leur vie privée. Il est donc primordial de sensibiliser l’ensemble des parties prenantes à la protection des données. Tout ceci requiert que les entreprises soient proactives et le plus transparentes possible.
Au premier abord, la mise en place d’un process permettant de respecter le RGPD peut sembler difficile. Il s’agit en effet d’un chantier important. Cependant, la CNIL à mis en place une formation en ligne sur son site pour vous aider à travers chaque étape. Il ne vous reste que quelques clics pour commencer à vous y mettre !