Si, depuis son entrée en vigueur le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) vous confère de nombreux avantages vous permettant de gérer facilement vos données personnelles, il a également pour objectif de renforcer leur protection. Il impose donc de nouvelles obligations aux organisations qui collectent et stockent vos données. Nous vous dévoilons les 4 principales :
Une organisation collectant des données personnelles a l’obligation légale d’assurer leur sécurité. Les mesures de protection mises en place doivent être proportionnelles au degré de sensibilité des données et à l’importance des conséquences que leur violation pourrait engendrer pour les personnes concernées. Si l’organisation fait appel à un ou plusieurs sous-traitants, elle doit également s’assurer que ces derniers garantissent suffisamment la protection des données qui leur sont transmises.
Les organisations doivent respecter le principe de minimisation des données, c’est-à-dire ne recueillir que les données à caractère personnel nécessaires à l’atteinte de l’objectif pour lequel elles les collectent. Elles doivent donc se contenter du strict minimum et ne pourront pas vous demander plus d’informations à votre sujet que celles dont elles ont besoin pour le but affiché. Si les entreprises doivent mettre en place des mesures techniques afin d’assurer la protection de vos données comme évoqué précédemment, cette sécurisation doit aussi passer par des dispositions organisationnelles, comme en limiter l’accès aux personnes habilitées ayant un rôle dans leur traitement, et ne pas les conserver au-delà des limites de temps nécessaires.
Lorsqu’une organisation souhaite mettre en place un traitement de données personnelles susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées (par exemple impliquant des données sensibles, des personnes “vulnérables”, aboutissant à des évaluations, des notations, ou bien établissant une surveillance systématique), celle-ci doit effectuer une analyse d’impact relative à la protection des données (AIPD). Il s’agit d’évaluer tous les risques en cas de vol, perte, altération ou encore effacement accidentel des données afin d’aboutir à la mise en place de mesures appropriées de protection des données. Cette analyse doit être révisée régulièrement (au moins tous les 3 ans) afin de conserver un bon niveau de sécurité malgré d’éventuelles évolutions.
Une organisation subissant une violation de données personnelles doit la notifier à la CNIL (Commission nationale de l’informatique et des libertés, autorité administrative française) dans un délais de 72 heures. Dans le cas où la violation en question peut induire d’importants risques pour les personnes dont les données sont impactées, ces dernières doivent également être informées.
Ces nouvelles exigences prescrites par le RGPD permettent donc d’assurer la protection de vos données personnelles en imposant aux organisations un certain niveau de sécurisation, mais également un accès restreint à celles-ci, ainsi qu’un devoir de notification en cas d’incident indépendamment des mesures mises en place. En plus de les sécuriser, les entreprises ont aussi le devoir de vous permettre d’exercer vos droits RGPD afin de gérer vos données (droit d’accès, droit d’effacement droit de rectification, droit d’opposition…).