A la faveur de la XIIIe conférence annuelle des rencontres francophones de la protection des données personnelles, notre rédaction s’est donnée pour devoir de sensibiliser et d’informer sur les notions de Donnée personnelle, traitement de données, et de « Règlement Général sur la Protection des Données » (RGPD).
- donnée personnelle
Par définition, une «donnée personnelle» est «toute information se rapportant à une personne physique identifiée ou identifiable». Une personne pouvant être identifiée directement (exemple : nom, prénom) ou indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image, etc.
- traitement de données personnelles
Il s’agit d’une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement). Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papiers sont également concernés et doivent être protégés dans les mêmes conditions.
- LE RGPD
Le sigle RGPD signifie en français « Règlement Général sur la Protection des Données » et « General Data Protection Regulation » ou GDPR en anglais. Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.
Il impacte également les relations entre les autres états et l’Union européenne. Aussi, tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné par le RGPD dès lors qu’elle est établie sur le territoire de l’Union européenne, ou que son activité cible directement des résidents européens. C’est le cas par exemple d’une société établie en France, qui exporte l’ensemble de ses produits au Maroc pour ses clients moyen-orientaux doit respecter le RGPD. De même, une société établie en Chine, proposant un site de e-commerce en français livrant des produits en France doit respecter le RGPD.
Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont les données sont traitées. Ces personnes (clients, collaborateurs, prestataires, etc.) ont donc des droits sur leurs données : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.
Par ailleurs, étant entendu que le risque zéro n’existe pas en informatique, il est nécessaire de prendre les mesures pour sécuriser les données en réduisant les risques de pertes ou de piratage. Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données traitées et des risques qui pèsent sur les personnes en cas d’incident. Aussi, des réflexes doivent être développés à l’instar de la mise à jour des antivirus et logiciels, le choix des mots de passe, le chiffrement des données dans certaines situations et les sauvegardes.
Cette démarche d’anticipation peut être complétée par la souscription à des polices d’assurance (responsabilité civile, dommages couverts…) et surtout sur les services à l’assuré (notamment l’assistance en cas de sinistre, de gestion de crise…).
Source : cnil.fr/professionnel