French

Ce texte est extrait du Livre Blanc Utilisation des solutions de Rever pour la mise en conformité des entreprises vis-à-vis du Règlement Général sur la Protection des Données, voir ici pour le télécharger.

Dans le contexte actuel où le mot « GDPR » et l’imminence de son entrée en vigueur donnent des sueurs froides aux responsables IT et aux départements légaux des entreprises, il est bon de rappeler les bases de la nouvelle règlementation concernant la « protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. »

Concentrons-nous sur les deux thèmes qui concernent toutes les organisations dès lors qu’elles possèdent des informations sur des individus :

Les droits des personnes

Les droits des personnes dans leurs relations avec les organisations privées ou publiques sont définies comme suit :

  1. La personne concernée a le droit d'obtenir de l’entreprise la confirmation que des données à caractère personnel la concernant sont traitées, et d’obtenir les informations suivantes :
    • les finalités des traitements.
    • les catégories de données à caractère personnel concernées.
    • l'existence d'une prise de décision automatisée, et en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.
  2. La personne concernée a le droit de savoir si les données ont été obtenues directement ou indirectement et dans ce cas, de connaître la source.
  3. La personne concernée a le droit de recevoir une copie de ses données dans une forme intelligible.
  4. La personne concernée a le droit de demander la suppression, l’effacement ou le blocage des données.

Les obligations des entreprises

La règlementation européenne impose aux entreprises un certain nombre d’obligations qui sont synthétisées comme suit :

  1. Respect des droits des personnes :
    • Lorsqu’elle collecte des données personnelles, l’entreprise doit en informer la personne concernée, préciser les finalités des traitements et à qui elles sont transférées.
    • Seules les données « légales » peuvent être collectées.
    • Les données personnelles doivent être exactes et actualisées.
    • L’entreprise doit garantir que la personne concernée peut faire rectifier, supprimer ou bloquer ses données personnelles.
  2. Protection des données personnelles :
    • L’entreprise doit protéger les données personnelles contre les destructions, pertes ou élimination accidentelles ou volontaires, en particulier en cas de transmission sur les réseaux. Les mesures de protection doivent être appropriées par rapport aux données.
  3. Obligations en matière de traitement :
    • Les données personnelles doivent être collectées pour des traitements légitimes.
    • Les données personnelles doivent être adéquates, pertinentes et minimales au regard des finalités des traitements.
    • Les données personnelles qui permettent d’identifier une personne ne peuvent pas être conservées plus longtemps que le strict nécessaire.
  4. Autres obligations :
    • Si elle est demandée par l’Autorité Nationale de Protection des Données, l’entreprise doit établir une étude d’impact sur la vie privée (“Privacy Impact Assessment” - PIA).
    • L’entreprise doit avoir un "Délégué à la Protection des Données" (DPO).
    • L’entreprise doit collaborer avec l’Autorité Nationale de Protection des Données.

Dans ce contexte, il est nécessaire de pouvoir construire un « schéma de classification » des données personnelles. Ce schéma est propre à chaque entreprise et dépend du type de données collectées par l’entreprise.

Par exemple, le schéma ci-dessous identifie les différentes catégories de données personnelles, des moins sensibles (en bleu) aux données « interdites » (en vert) :

schéma données personnelles

De manière générale, par « données personnelles » il faut comprendre « toutes données ou informations relatives à une personne physique ». Voir le point 3.1 de notre livre blanc pour le détail de ce qu’est une donnée personnelle.

gdpr white paper banner

Mots clés: 

Auteur(s): 

Muriel Adamski sur base d'un document écrit par Dominique Orban de Xivry