Ecrit le 12 juin 2019
Le RGPD c’est le Règlement Général de Protection des données. Cedrick MORMANN, expert en cyber-sécurité, consultant spécialisé en conduite de changement et NTIC, en a parlé le 4 juin lors du petit-déjeuner des entreprises de la Com’Com’ de Nozay. Il a sans doute posé plus de questions qu’il n’a apporté de réponses.
Le RGPD est un règlement de l’Union européenne, le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne. Il est entré en application le 25 mai 2018. Sommes-nous concernés ? A titre individuel, oui. A titre collectif surtout.
A titre individuel, quelles sont mes données ? A qui je les transmets ? Mes données, ce sont les informations qui révèlent mon origine ethnique, mes opinions politiques, mes convictions religieuses ou philosophiques ou mon appartenance syndicale. Ce sont également les données génétiques, les données biométriques qui permettent d’identifier une personne physique de manière unique, les données concernant ma santé, ma vie sexuelle ou mon orientation sexuelle. Il est interdit de recueillir et d’utiliser ces données. Sauf dans certains cas précis et notamment :
– Si la personne concernée a donné son consentement exprès (écrit, clair et explicite) ;
– Si ces données sont nécessaires dans un but médical ou pour la recherche dans le domaine de la santé ;
– Si leur utilisation est justifiée par l’intérêt public et autorisé par la CNIL (commission nationale informatique et libertés)
– Si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.
Une donnée à caractère personnel, c’est toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement.
Par exemple : un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc.
qu’on le veuille ou non, nos données personnelles sont transmises à des tas de gens, à notre banque par exemple ou à notre mairie pour les listes électorales. Chacun de nous collecte des données sur les autres, par exemple la liste des contacts dans le téléphone ! Le souci c’est de savoir ce qui est fait de ces données. Qui a le droit de les consulter ? A-t-on le droit de les vendre ? Le RGPD est là pour préciser les règles.
A titre collectif, tous ceux à qui on a ainsi transmis des données, ont l’obligation de les protéger. Toutes les entreprises, toutes les administrations, toutes les associations font du « traitement de données personnelles ». Exemple : tenue d’un fichier des adhérents, collecte de coordonnées de clients via un questionnaire, mise à jour d’un fichier de fournisseurs, etc.
« Collecter et traiter des données personnelles implique avant tout d’informer les personnes sur ce que vous faites de leurs données et de respecter leurs droits » a dit M. Mormann.
Des recommandations :
1 : constituer un registre de traitement des données.
2 : faire le tri dans les données pour éliminer toutes les informations inutiles
3 : informer les personnes :
– pourquoi vous collectez les données (par exemple pour gérer l’achat en ligne du consommateur) ;
– ce qui vous autorise à traiter ces données (par exemple le consentement de la personne concernée),
– qui a accès aux données.
– combien de temps vous les conservez
– les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits.
« Vous êtes responsable des données qui vous ont été confiées »
Si le risque zéro n’existe pas en informatique, vous devez prendre les mesures nécessaires pour garantir au mieux la sécurité des données. Vous êtes en effet tenu à une obligation légale d’assurer la sécurité des données personnelles que vous détenez, en minimisant les risques de pertes de données ou de piratage.
Cette protection est sérieuse au point qu’il est demandé aux détenteurs de données de signaler à la CNIL les violations de données personnelles, dans les 72 heures, si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées. Cette notification s’effectue en ligne sur le site internet de la CNIL. Si ces risques sont élevés pour ces personnes, vous devrez les en informer.
Enfin ne pas oublier que les personnes ont un droit à l’oubli. Celui-ci permet à un individu de demander le retrait sur le World Wide Web de certaines informations qui pourraient lui nuire sur des actions qu’il a faites dans le passé. Le droit à l’oubli s’applique concrètement soit par le retrait de l’information sur le site d’origine, on parle alors du droit à l’effacement, soit par un déréférencement du site internet par les moteurs de recherches, on parle alors du droit au déréférencement.
Consulter : voir cnil.fr