Comprendre le RGPD

Le règlement général sur la protection des données (RGPD), en vigueur depuis le 25 mai 2018, est
le cadre juridique de l’Union européenne qui gouverne la collecte et le traitement des données à
caractère personnel.

Qu'est-ce que le RGPD ?


Le règlement général sur la protection des données (RGPD), en vigueur depuis le 25 mai 2018, est le cadre juridique de l’Union européenne qui gouverne la collecte et le traitement des données à caractère personnel. Il a pour objectifs de :

  •  Donner aux citoyens de l’Union européenne plus de visibilité et de contrôle sur leurs données à caractère personnel (DCP) ;
  • Permettre à l’administration de maîtriser le cycle de vie des données et de pouvoir les transmettre sur simple demande. Le RGPD simplifie les démarches et responsabilise tous les acteurs : les déclarations auprès de la CNIL disparaissent et sont remplacées par l’obligation de documenter sa conformité. La CNIL conserve toutefois un droit de contrôle sur le respect de la procédure et sur l’application de la loi.

Qu'est-ce qu'une donnée à caractère personnel ?

Est considérée comme « donnée à caractère personnel » (DCP) toute information permettant de faire le lien directement (à partir d’une donnée) ou indirectement (à partir du croisement de plusieurs données) avec une personne physique. Une DCP peut être un nom, un prénom, une date de naissance, un pseudonyme, un numéro de sécurité sociale, une plaque d’immatriculation de véhicule, un numéro de téléphone, une adresse IP, un historique de navigation, une géolocalisation, une photographie, un avatar.

En savoir plus ici.

Qu'est-ce qu'une donnée sensible ?

Toute information concernant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance raciale, les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données de santé, la vie ou l’orientation sexuelle d’une personne physique est une donnée sensible.

Il est interdit de recueillir et d’utiliser ces données sauf dans certains cas précis.

En savoir plus ici.

Les huit règles d'or pour respecter le RGPD

Licéité du traitement

    Le traitement est licite si la personne concernée a consenti au traitement de ses données à caractère personnel et si le traitement est nécessaire :

  •   à l’exécution d’un contrat,
  •   au respect d’une obligation légale,
  •   à la sauvegarde des intérêts vitaux de la personne concernée,
  •   à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique,
  •   aux fins des intérêts légitimes par le responsable de traitement.

Finalité du traitement

Les DCP collectées ne peuvent être traitées que pour une finalité précisément définie et légitime.

Minimisation des données

Seules les DCP nécessaires pour répondre à la finalité peuvent être collectées et traitées.

Protection particulières des données sensibles

Les données sensibles ne peuvent être collectées et traitées que dans certaines conditions.

Conservation limitée des données

Les DCP doivent être archivées, supprimées ou anonymisées dès que la finalité pour laquelle elles ont été collectées est atteinte.

Obligation de sécurité

Au regard des risques des mesures doivent être mises en œuvre pour s’assurer de la sécurité des DCP traitées.

Transparence

Les personnes doivent être informées de l’utilisation des DCP les concernant et de la manière d’exercer leurs droits.

Droit des personnes

Tout traitement de DCP mis en œuvre sans l’accord de la hiérarchie fait peser une responsabilité.

Les droits de tous les usagers

Le droit d’être informé sur l’utilisation des données

Un établissement ou un service qui collecte des informations sur un usager doit fournir une information claire sur l’utilisation des données et sur l’exercice des droits.

Le droit d’opposition

L’usager dont les données ont été collectées peut, à tout moment, s’opposer à ce que l’établissement ou le service utilise certaines données. Attention, ce droit possède des limites, notamment dans le cas de traitements nécessaires à une mission de service public.

Le droit d’accès

L’usager peut demander à un établissement ou à un service s’il détient des données le concernant et demander à ce qu’on les lui communique pour en vérifier le contenu.

Le droit de rectification

L’usager peut demander à ce que les données le concernant soient corrigées si les sont inexactes ou incomplètes. Ceci permet d’éviter qu’un établissement ou un service n’utilise ou ne diffuse des informations inexactes sur l’usager.

Le droit au déréférencement

L’usager peut demander aux moteurs de recherche de ne plus associer un contenu qui lui porte préjudice à son nom et prénom.

Le droit à l’effacement

L’usager peut demander à un établissement ou un service l’effacement des données à caractère personnel le concernant.

Le droit à la portabilité

Ce droit offre à l’usager la possibilité de récupérer une partie de ses données dans un format lisible. L’usager est libre de stocker. Ailleurs ses données portables ou de les transmetre aisément d’un système à un autre dans la perspective d’une réutilisation à d’autres fins.

Le droit à l’intervention humaine face au profilage de l’usager ou à une décision automatisée

L’usager doit rester vigilant et se poser la question de savoir si les DCP demandées sont nécessaires au bon déroulement du service.

 Qu'est ce qu'un traitement ?

Un traitement de données à caractère personnel ne prend pas uniquement la forme d’un fichier ou d’un dossier. Il peut prendre la forme d’une application, d’un enregistrement, d’une reconnaissance biométrique, par exemples.
Un traitement peut aussi prendre la forme papier. Si vous stockez des fiches de renseignements des usagers dans une armoire, rangées par ordre alphabétique, cela constitue un traitement de données.
Lorsque vous collectez, enregistrez, organisez, conservez, adaptez, modifiez, extrayez, consultez, diffusez, effacez, etc des données à caractère personnel, vous effectuez un traitement.
 
Pour en savoir plus cliquez ici.

Les principes clés du traitement de données à caractère personnel

Le principe de finalité

La finalité indique à quoi le fichier, l’application pédagogique va servir. Cette finalité, compatible avec les missions administratives et pédagogiques, devra être respectée tout au long du traitement.

Le principe de minimisation et de pertinence

Seules les données strictement nécessaires à la réalisation de l’objectif déterminé doivent être collectées.

La limitation de la conservation des données

La durée de conservation des données doit être limitée au strict minimum. Cette durée de conservation doit être définie au préalable par le responsable du traitement.

La sécurité des données

Le responsable de traitement doit prendre toutes précautions pour garantir la protection et la confidentialité des données collectées.

Respecter le droit des personnes

Les usagers disposent de droits afin de garder la maîtrise de leurs données. Le responsable du traitement doit leur expliquer comment les exercer (auprès de qui ? sous quelle forme ?).

Mise à jour : avril 2023