Qu’est-ce que le RGPD ?
Au mois d’avril 2016, le Parlement européen a adopté une nouvelle législation qui réglemente, d’une manière plus large et plus complète qui englobe tous les pays de l’Union européenne, la manière dont les données personnelles des citoyens européens peuvent être collectées, stockées, transférées et protégées. Le présent règlement (RGPD –Règlement général sur la protection des données) vise à donner aux citoyens un plus grand contrôle sur la manière dont les informations personnelles les concernant sont utilisées.
Qu’est-ce qu’une donnée à caractère personnel ?
« IIP – Information d’identification personnelle – Toute information se rapportant à une personne physique identifiée ou identifiable »
Est réputée être une personne physique « identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
Les données peuvent être stockées sur n’importe quel support, qu’il soit physique, virtuel, graphique, technologique ou sonore, y compris des étiquettes, des fichiers, des puces / cartes RFID, des documents imprimés / écrits, etc.
Traitement des données à caractère personnel
Toute opération portant sur de telles données constitue un traitement de données à caractère personnel, lequel est soumis au consentement de la personne concernée. Le consentement doit être :
- « libre » – basé sur une démarche proactive de l’utilisateur, sans limiter l’accès aux services et pouvant être retiré avec autant de facilité que lorsqu’il a été donné ;
- « éclairé » – dans un langage simple et direct ;
- « spécifique » – Le consentement doit correspondre à une finalité donnée (par exemple : l’inscription pour participer à un événement est différente de celle visant à recevoir des informations marketing) ;
- « non équivoque » – Les options pré-cochées ne sont pas autorisées et l’omission ne peut être assimilée à un « consentement » ;
- « démontrable » – Le processeur de données doit être en mesure de démontrer que le consentement a été donné ou retiré ;
Le traitement des données est également autorisé lorsqu’il est fondé sur un intérêt légitime (par exemple, la collecte de services), par obligation légale ou dans le cadre de services contractuels (paiement des salaires, vérification des réclamations, etc.).
Traitement des données vs Contrôle des données
Il est essentiel que les organisations impliquées dans le traitement des données à caractère personnel comprennent leur rôle et déterminent si elles agissent en tant que processeur de données ou en tant que contrôleur de données. Ces renseignements sont pertinents pour établir les responsabilités de chacun.
Le contrôleur de données détermine la finalité du traitement des données et la manière dont elles seront traitées.
Champ d’application
Le règlement assiste les citoyens et les protège dans le monde entier. Cela signifie qu’il s’applique à toute organisation ou événement qui collecte ou traite les informations à caractère personnel de citoyens européens, quel que soit le lieu de l’événement, au sein de l’Union européenne ou ailleurs.
Vous avez encore des questions à ce sujet ? Contactez-nous !