RGPD : des droits renforcés pour l’accès et le contrôle des données personnelles

  1. RGPD donnees personnelles UE drapeau

Inscrit au Journal Officiel de l’Union Européenne (JOUE) en mai 2016, le Règlement général pour la protection des données, RGPD, entre en application le 25 mai. Ce cadre européen va à la fois renforcer des principes existants et introduire de nouveaux droits pour l’accès et le contrôle de vos données personnelles.

Vos données personnelles vous seront accessibles à tout moment

L’accès facilité à leurs données personnelles pour les personnes concernées est au coeur du Règlement général pour la protection des données. Ainsi, les utilisateurs ont la possibilité à tout moment de consulter les données collectées à leur sujet.

Ils peuvent alors demander la rectification ou l’effacement de certaines informations. Le RGPD garantit également le droit à la portabilité des données. Concrètement, cela signifie que vous pouvez récupérer les éléments vous concernant, sous une forme facilement exploitable, mais aussi les transférer, à votre convenance, à un acteur tiers. Ce nouveau règlement vous procure ainsi une plus grande maîtrise sur vos données personnelles.

De nouvelles règles entrent en jeu pour protéger vos données personnelles

Le responsable du traitement des données est tenu d’informer dans le détail toutes les personnes concernées de la teneur des informations collectées, ainsi que de chaque utilisation qui en sera faite.

Les utilisateurs doivent également être avertis au préalable de leurs droits sur leurs données personnelles. Un consentement de leur part est indispensable avant tout traitement.

Les outils utilisés pour le traitement de vos données personnelles doivent être conçus de manière à ce que la nature de ces données soit immédiatement identifiable. La mise en place et la tenue régulière de registres décrivant l’intégralité des actions effectuées à partir de données personnelles sont à la charge du responsable de traitement.

En termes de responsabilité, le RPGD élargit le scope en y intégrant les sous-traitants et prestataires éventuels de l’entreprise. Le niveau de responsabilité découle directement de l’importance du rôle joué par chaque acteur dans le traitement des données.

Des données personnelles collectées uniquement pour des actions précises

Il s’agit d’un autre point essentiel introduit par le RGPD. Ce nouveau règlement stipule en effet que chaque donnée personnelle doit être récupérée dans un objectif précis, clairement défini et surtout communiqué aux personnes concernées.

Le principe de collecte de données par défaut est ainsi banni du cadre mis en place par le RGPD. Par ailleurs, les outils de traitement des données devront embarquer des fonctionnalités permettant de supprimer toutes les informations personnelles non pertinentes par rapport à la finalité souhaitée.

Directement lié à ce point, le responsable de traitement est chargé de tenir à jour les données utilisées, de manière à ce que les informations utilisées soient systématiquement exactes, précises et actualisées.

Enfin, la durée de conservation des données doit elle aussi répondre à des exigences de cohérence en lien avec les objectifs poursuivis par le responsable de traitement. La conservation illimitée des données est ainsi exclue. Leur suppression incombe, en fonction du rôle de chacun, à l’entreprise ainsi qu’à ses partenaires.

Des données personnelles envoyées hors d’Europe, est-ce possible ?

Le RGPD n’émet aucune interdiction de transférer des données personnelles en dehors du territoire de l’Union européenne. Cependant, il convient de prouver qu’une telle action est nécessaire pour le bon déroulement des actions de traitement souhaitées. Cela s’applique par exemple aux entreprises disposant de structures en UE et à l’international.

Un cadre extrêmement strict a été défini pour ce type de pratiques. Dans un premier temps, les personnes concernées doivent être averties et donner leur consentement à ce transfert d’informations. Sur cette base, les responsables de traitement doivent apporter des garanties concernant la protection des données.

Ce niveau de sécurité doit ainsi être exactement équivalent à celui dont bénéficient les données en Union européenne, que ce soit lors du transfert ou lors de tout traitement ultérieur effectué en dehors de l’UE. Les données personnelles restent dans tous les cas soumises au droit européen en vigueur, avec les obligations qui en découlent… et les sanctions que le non-respect de ces dernières peut entraîner.

Bon à savoir :

Si toutes les entreprises seront concernées par le RGPD, ce dernier fera preuve d’une certaine souplesse vis-à-vis des PME de moins de 250 salariés. Ces dernières pourront ainsi être exemptées de la tenue des registres complets sur leurs activités de traitement des données.