13
RGPD, quatre lettres magiques RGPD ... ces quatre lettres sont devenues réalité le 25 mai 2018. Cette date marque le coup d’envoi officiel du General Data Protection Regulation. Ou règlement général sur la protection des données (RGPD), en français Pour commencer, vous vous êtes peut-être posé la question suivante : mon organisation est-elle soumise à ce règlement ? Une deuxième question se pose alors : mon organisation a-t-elle le droit de traiter des données à caractère personnel ? Enfin, en ces temps de pandémie, une question non négligeable : comment puis-je sécuriser au mieux mes données en cas de travail ou de réunion à domicile ? Comme la protection de la vie privée est essentielle, nous aimerions donner ici quelques éléments de réponse. considérés, comme la collecte, l’enregistrement, l’organisation, la structuration, l’expédition, la diffusion ou toute autre forme de mise à disposition, le rapprochement, l’effacement ou la destruction de données.
iStockphoto.com/NicoElNino.
1. Mon organisation est-elle soumise au règlement général sur la protection des données ? Pour faire bref, la réponse est très probablement OUI. La plupart des organisations traitent plus de données à caractère personnel qu’elles ne le pensent. Presque toutes les organisations ont : • des données sur le personnel ; • des données relatives aux clients et/ou aux fournisseurs ; • un site web ou une application. L’adresse IP est en effet également une donnée à caractère personnel. • Le règlement s’applique lorsque des données à caractère personnel sont entièrement ou partiellement traitées par des moyens automatisés ou lorsque ces données sont collectées dans un fichier. • Deux notions doivent être clarifiées ici : • données à caractère personnel : on entend par là toute information relative à une personne physique qui est identifiée ou peut être identifiée ; • traitement : presque tous les synonymes peuvent être
2. Mon organisation a-t-elle le droit de traiter des données à caractère personnel ? En tant qu’entreprise, vous ne pouvez pas collecter ni utiliser des données à caractère personnel comme bon vous semble. Vous pouvez traiter des données à caractère personnel si vous remplissez au moins une des six conditions suivantes.
2.1. Consentement C’est simple : vous demandez aux personnes si elles consentent à l’utilisation de leurs données à caractère personnel. En tant qu’organisation, vous devez être en mesure de démontrer que : • ce consentement est donné librement : personne n’est mis sous pression, en étant par exemple désavantagé s’il ne donne pas son consentement ; • ce consentement est spécifique : un consentement distinct doit être octroyé pour chaque finalité ; • ce consentement est univoque : il doit s’agir d’un acte positif. Aucune case préalablement cochée ; et • vous avez suffisamment informé la personne concernée. Vous devez indiquer quelle est votre organisation, pourquoi (la finalité) vous souhaitez traiter des données à caractère personnel et, concrètement, de quelles données à caractère personnel il s’agit. Enfin et surtout, vous veillez à ce que les personnes concernées aient le droit de modifier ou de retirer leur consentement, à tout moment. Il n’est pas toujours facile de demander le consentement, et ce n’est malheureusement pas aussi simple qu’il y paraît. Magazine mensuel de l’ITAA | N° 1 | Février 2021
