Quelles sont les 10 règles d'or du RGPD ?
- xdpo
- 4 oct. 2021
- 6 min de lecture
Dernière mise à jour : 3 mars
Le RGPD (Règlement Général sur la Protection des Données) est constitué de 173 "considérants" et 99 articles mais pour rendre conforme votre organisation, il convient avant tout d'appliquer les 10 règles essentielles du RGPD, des principes de bon sens qui permettent de :
Garantir la conformité d'un traitement de données personnelles au RGPD
Limiter les risques liées à la non-conformité
Sensibiliser vos équipes aux bonnes pratiques du RGPD
xDPO vous décrit dans cet article les 10 règles d'or pour appliquer concrètement le RGPD dans votre organisation ( En fin de document vous pourrez imprimer une fiche aide mémoire).
A l'issue de cet article, vous connaitrez les 10 règles d'or qui permettent de garantir qu'un traitement de données personnelles est conforme au RGPD :
La finalité | Quel est votre objectif en faisant ce traitement? |
Les durées de conservation | Combien de temps conservez vous les données? |
La base légale | Quelle est la justification juridique de faire le traitement? |
L'auto-documentation | Chaque organisation est responsable de sa conformité et doit en garder des preuves. |
La protection dès la conception | Intégrer le RGPD dès la conception de votre service |
L'obligation de sécurité | Prendre des mesures de protection des données traitées |
La minimisation | Ne traiter que les données nécessaires au traitement |
La transparence | Décrire et publier ce que vous faites des données et permettre aux personnes de communiquer avec vous |
Les données à risques | Le traitement est interdit sauf dans quelques cas précis. |
Les droits des personnes | Comment les personnes peuvent elles exercer leurs droits et comment nous gérons les demandes en interne |
Qu'est-ce qu'une Donnée Personnelle ?
Une donnée personnelle est une information permettant d'identifier directement ou indirectement une personne physique. Les données relatives aux personnes morales (entreprises, organisations, associations) ou les données anonymisées ne sont pas couvertes par le Règlement Général sur la Protection des Données (RGPD).
Qu'est-ce qu'un Traitement de Données Personnelles ?
Le traitement des données personnelles englobe toute opération effectuée sur ces données, indépendamment du procédé utilisé. Cela inclut la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation, la modification, l'extraction, la consultation, l'utilisation, et la communication par transmission, entre autres.
Pour être conforme au RGPD, à chaque fois que vous mettez en œuvre un traitement de données personnelles, vous devez respecter les 10 règles d'or suivantes :
1️⃣La finalité
Le principe de finalité, tel que défini par l'Article 5 du RGPD, impose aux responsables de traitement de ne collecter et traiter les données personnelles que pour des finalités spécifiques, explicites et légitimes. Les données ne doivent pas être utilisées à des fins différentes de celles initialement prévues.
Par exemple, si vous collectez des adresses e-mail pour informer sur votre organisation (objectif initial), puis les utilisez pour envoyer une newsletter contenant des promotions commerciales d'un partenaire (nouvel objectif), cela peut constituer un détournement de finalité.
2️⃣ La durée de conservation
Le principe de durée de conservation impose aux responsables de traitement de ne conserver les données personnelles que le temps nécessaire pour atteindre les objectifs pour lesquels elles ont été collectées.
Il est donc essentiel de définir une durée de conservation spécifique pour chaque type de donnée, en fonction de sa finalité.
À l'expiration de cette période, les données doivent être archivées, supprimées ou anonymisées, conformément à l'Article 5 du RGPD.
Pour calculer ces durées, vous pouvez consulter notre article : RGPD - Quelle durée de conservation des données .
3️⃣Une base légale
La base légale est le fondement juridique qui autorise la collecte et le traitement des données personnelles. Pour chaque traitement, vous devez sélectionner une base légale parmi les six options suivantes : consentement, contrat, intérêt légitime, obligation légale, mission d'intérêt public, ou préservation des intérêts vitaux (Article 6 du RGPD).
Contrairement à une idée reçue, le consentement n'est pas systématiquement requis pour traiter des données personnelles. Vous devez choisir la base légale la plus appropriée parmi celles proposées par le RGPD.
Voir la fiche de la CNIL sur les bases légales : https://www.cnil.fr/fr/les-bases-legales
4️⃣ L’ auto-documentation
Le principe d'auto-documentation est un pilier essentiel du RGPD. Il impose aux responsables du traitement de prendre des mesures de conformité au RGPD de manière proactive et de conserver des preuves de leurs activités de traitement des données.
Avant l'entrée en vigueur du RGPD, les organisations devaient déclarer leurs traitements de données personnelles.
Depuis 2018, il est obligatoire de mettre en place des mesures de protection des données personnelles de manière autonome et d'en fournir la preuve par une documentation adéquate, conformément aux articles 5.2 et 24.1 du RGPD, qui établissent le principe d'accountability.
Pour vous aider dans la rédaction de votre Registre des traitements, élément important de l'accountability, notre article "Comment remplir le registre des traitements" .
5️⃣ La protection dès la conception :
Le principe de protection dès la conception, également appelé protection par défaut, est un pilier essentiel du Règlement général sur la protection des données (RGPD). Il impose aux responsables du traitement des données personnelles d'intégrer des mesures de protection de la vie privée à chaque étape du cycle de vie des données, de la conception à l'exploitation.
En l'absence de choix explicite de l'utilisateur, le niveau de protection le plus élevé doit être appliqué automatiquement par défaut. Lors du développement de nouveaux services, la protection des données personnelles doit être intégrée dès le début, en incluant ces exigences dans le cahier des charges.
Ce principe s'applique également à la sélection des sous-traitants, garantissant ainsi une protection optimale des données tout au long de la chaîne de traitement (Article 25 du RGPD).
Sur ce sujet voir notre article Quelles sont les obligations RGPD du sous-traitant?
6️⃣L'obligation de sécurité
Il est crucial de mettre en place des mesures pour assurer la confidentialité, l'intégrité et la disponibilité des données. La confidentialité garantit que seules les personnes autorisées accèdent aux informations, tandis que l'intégrité protège les données contre toute altération ou corruption. De plus, la disponibilité assure que les données sont accessibles quand cela est nécessaire.
Il est essentiel de mettre en place des mesures matérielles, logicielles et organisationnelles. Ces mesures visent à protéger les données personnelles, à rétablir leur intégrité en cas d'incident et à tester régulièrement les systèmes pour garantir leur efficacité.
Notez que cette obligation de sécurité s'applique également à vos relations avec les sous-traitants, conformément à l'article 32 du RGPD. Il est donc essentiel de vérifier leur conformité par la signature d'un contrat.
Sur ce sujet voir notre article Quelles sont les obligations RGPD du sous-traitant?
Pour en savoir plus, notre article "Dix mesures essentielles pour votre cybersécurité"
7️⃣ La minimisation
Le principe de minimisation des données impose aux responsables du traitement de ne collecter que les données personnelles strictement nécessaires aux finalités définies.
Vous devez traiter uniquement les données indispensables à l'objectif visé, en veillant à ce qu'elles soient adéquates, pertinentes et limitées à ce qui est "utile".
Par exemple, pour l'envoi d'une newsletter, seule l'adresse e-mail est requise, et non l'adresse postale. (Article 5 du RGPD)
8️⃣La transparence
Assurez-vous que toutes les personnes concernées sont informées du traitement de leurs données et connaissent leurs droits. Fournissez des informations claires et accessibles, conformément à l'Article 1 du RGPD.
9️⃣ Les données à risques
Les informations sensibles, telles que les données religieuses, politiques, syndicales, l'orientation sexuelle et les données biométriques, ne doivent pas être traitées, sauf dans de rares exceptions. En cas de doute, évitez de les collecter (Article 9 du RGPD).
🔟 Le droit des personnes
Chaque individu possède des droits sur ses données personnelles.
Il est essentiel de communiquer clairement la procédure pour exercer ces droits, notamment en précisant comment procéder et à qui s'adresser.
Les demandes doivent être traitées dans un délai maximal d'un mois.
Notez également que, sous certaines conditions, il est possible de refuser de répondre à ces demandes. (Articles 12 à 23 du RGPD)
👉 Parmi ces dix règles d'or, il faut en noter 5 règles particulièrement importantes: l’obligation de sécurité, la base légale, la finalité, la minimisation et la durée de conservation.
Pourquoi importantes? Parce que 85% des sanctions sont prononcées en UE sur ces motifs!
Pour vous aider nous vous proposons d'imprimer cet aide mémoire
En respectant ces règles simples, vous écarterez le risque de non-conformité et de sanctions de la CNIL.
Les internautes ont aussi consulté dans le Blog:
Vous souhaitez allez plus loin? Contactez nos experts de la mise en conformité agile.
Comments