Pour ce troisième volet de notre série d’articles, la protection des données en pratique, nous allons aborder le respect du droit des personnes. En effet, c’est le point central du RGPD, ce pour quoi il existe. Pour rappel, n’hésitez pas à consulter nos précédents articles:
- La protection des données (RGPD) en pratique: Introduction
- La protection des données en pratique: Le tri des données
Contexte historique du respect du droit des personnes
Avant 2018, les droits des personnes en ce qui concerne leur vie privée, en particulier vis-à-vis des technologies digitales étaient régis de façon plus ou moins différente dans chaque pays. Certains disent qu’avant le RGPD les gens n’avaient aucun droit relatif à leurs données en ligne. Il n’en est rien, mais les disparités entre les lois de chaque nation rendaient effectivement la mise en pratique du respect du droit des personnes compliquée. Exemple : un citoyen français visite un site allemand, quelles lois s’appliquent en regard de ses données personnelles ?
Le RGPD met fin à ces problèmes de juridiction en uniformisant les lois pour l’Union européenne et en précisant qu’il fait foi pour tout ressortissant de l’UE.
Concernant le respect du droit des personnes, le RGPD renforce votre obligation d’information auprès de vos clients, collaborateurs, etc. en regard de la collecte et du traitement que vous faites de leurs données.
La première étape
Ainsi, la première étape du respect du droit des personnes consiste à faire preuve de transparence et d’informer les gens pour lesquels les données ont été récoltées. Cela s’applique, peu importe le moyen de collecte utilisé. En conséquence, une personne qui vous remet sa carte de visite doit donc être informée de ce que vous allez en faire.
La CNIL liste les mentions qu’il est nécessaire d’avoir dans cette phase d’information.
- Pourquoi recueillir les informations
- Quel est le principe qui vous autorise à les collecter
- Qui y a accès
- Le temps de conservation des données
- Comment les personnes concernées peuvent-elles exercer leurs droits
- Y a-t-il un transfère des données en dehors de l’UE
Évidemment, vous n’êtes pas obligé de mentionner précisément tout ça sur chaque formulaire et à chaque fois que vous prenez une carte de visite. Vous pouvez éditer une politique de confidentialité et vous contenter d’informer vos utilisateurs, contacts, clients, etc. que vous collectez leurs données et leur indiquer de se référer à la politique de confidentialité.
Vous pouvez vous appuyer sur les exemples de mentions fournies par la CNIL pour vous aider.
Respect du droit des personnes : deuxième étape
Cette étape consiste à leur permettre d’exercer effectivement leur droit. Vous devez donc pour cela être conscient du droit qu’ils ont sur leurs données, c’est à dire :
- Accès
- Rectification
- Opposition
- Effacement
- Portabilité
- Limitation de traitement
Pour l’exercice de leur droit, vous pouvez prévoir un formulaire, un numéro de téléphone ou une adresse mail qu’ils pourront utiliser au besoin et en cas de questions relatives à leurs données. Pesez à indiquer clairement ce moyen de contact. Il est évidemment judicieux qu’ils n’aient pas besoin de chercher dans toutes les pages de votre site ou dans tous les documents contractuels pour trouver cette information.
Faites en sorte que votre organisation interne vous permette de répondre à leur demande dans de très courts délais. Vous avez en effet un mois maximum pour traiter toute demande relative aux données personnelles.
Conclusion
Le RGPD a été créé dans le but de renforcer le droit des personnes sur leurs données personnelles. Il est donc normal que le respect de ce droit soit au centre d’une stratégie de conformité avec le RGPD. Cela vous permet évidemment d’échapper à une lourde amende et des plaintes auprès de la CNIL, mais cela peut également vous éviter une mauvaise publicité, notamment sur les réseaux sociaux, et augmente la qualité de votre relation de confiance avec vos clients. Nous parlerons de sécurité des données dans notre prochain article.