Cabinet STEFI 06 44 81 32 12
LES 6 GRANDS PRINCIPES DU RGPD
Ou comment constituer un fichier de personnes physiques selon les règles de l'art du RGPD
contact@missionsdpo.fr
La conformité au RGPD
L'entreprise, l'organisme, l'association, de toute taille et de toute forme va nécessairement constituer des fichiers de personnes physiques et traiter leurs données personnelles (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement.)Toute entité doit indiquer ce qu'elle fait de ces données dans le Registre des activités de traitement des données personnelles. Une fiche par finalité/fichier sera éditée. Elle doit aussi informer les personnes concernées et leur permettre d'exercer leurs droits sur leurs données. Le traitement des DCP (données à caractère personnel) doit se conformer aux 6 grands principes du RGPD.
Conformité RGPD
1- Finalité et minimisation2-Information transparence aux personnes concernées3- Organiser et faciliter l'exercice des droits des personnes 4- Fixer des durées de conservation 5- Sécuriser les données et identifier les risques 6-Démarche d'amélioration continue de la conformité
Règlement Général sur la protection des données personnelles
1- Le principe de finalité et de minimisation
La finalité indique à quoi le fichier va servir. Lorsque vous inscrivez un fichier dans le registre des activités de traitement, vous devez indiquer sa finalité : cette finalité devra être respectée tout au long de la construction et de l'utilisation de votre fichier.
Exemples de finalités dans la constitution de fichiers : - Recrutement du personnel, - Gestion de la paie, - Gestion des prospects, - Gestion de la clientèle, - Gestion des fournisseurs, - Vidésurveillance : Protection des biens et des personnes, etc.
Quand : La définition d’une finalité doit intervenir durant la phase de conception du projet. La bonne question à se poser :
A quoi va servir mon fichier ? Cette finalité est elle légitime, notamment au regard de mes missions et des droits et libertés des personnes ?
Le principe de minimisation par rapport à la finalité déterminée : Ne collectez que les données vraiment nécessaires pour atteindre cette finalité déterminée.
2- Le principe de transparence vis à vis de la personne concernée
Soyez transparent, le droit à l'information :
Les individus doivent conserver la maîtrise des données qui les concerne.
À quels moments le responsable de traitement doit informer les personnes concernées ?
Dans le cadre de la collecte
- en cas de collecte directe : au moment du recueil des données ;
- en cas de collecte indirecte : dès que possible (notamment lors du 1er contact avec la personne concernée) et, au plus tard, dans le délai d’un mois (sauf exceptions).
Vous devez informer les personnes concernées :
- en cas de collecte directe des données : lorsque les données sont recueillies directement auprès des personnes (exemples : formulaire, achat en ligne, souscription d’un contrat, ouverture d’un compte bancaire) ou lorsqu’elles sont recueillies via des dispositifs ou des technologies d’observation de l’activité des personnes (exemples : vidéosurveillance, analyse de la navigation sur Internet, géolocalisation et wifi analytics/tracking pour la mesure d’audience, etc.) ;
- en cas de collecte indirecte des données personnelles : lorsque les données ne sont pas recueillies directement auprès des personnes (exemples : données récupérées auprès de partenaires commerciaux, de data brokers, de sources accessibles au public ou d’autres personnes).
Quelles informations dois-je donner ?
Dans tous les cas :
Identité et coordonnées de l’organisme (responsable du traitement de données) ;
Finalités (à quoi vont servir les données collectées) ;
Base légale du traitement de données (c’est-à-dire ce qui donne le droit à un organisme de traiter les données) : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, etc.) ;
Caractère obligatoire ou facultatif du recueil des données (ce qui suppose une réflexion en amont sur l’utilité de collecter ces données au vu de l’objectif poursuivi – principe de « minimisation » des données) et conséquences pour la personne en cas de non-fourniture des données ;
Destinataires ou catégories de destinataires des données (qui a besoin d’y accéder ou de les recevoir au vu des finalités définies, y compris les sous-traitants) ;
Durée de conservation des données (ou critères permettant de la déterminer) ;
Droits des personnes concernées (les droits d’accès, de rectification, d’effacement et à la limitation sont applicables pour tous les traitements)
Coordonnées du délégué à la protection des données de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles ;
Droit d’introduire une réclamation auprès de la CNIL
Selon les cas :
les intérêts légitimes poursuivis par le responsable du traitement (exemple : prévention de la fraude) si le traitement est fondé sur la base légale de l’intérêt légitime ;
le fait que les données sont requises par la réglementation, par un contrat ou en vue de la conclusion d’un contrat ; l’existence d’un transfert des données vers un pays hors Union européenne (ou vers une organisation internationale), les garanties associées à ce transfert et la faculté d’accéder aux documents autorisant ce transfert (exemple : les clauses contractuelles types de la Commission européenne) ;
l’existence d’une prise de décision automatisée ou d’un profilage, les informations utiles à la compréhension de l’algorithme et de sa logique, ainsi que les conséquences pour la personne concernée ;
le droit au retrait du consentement à tout moment, si le base légale du traitement est le consentement des personnes ;
les autres droits applicables au traitement, en fonction de sa base légale : droit d’opposition et droit à la portabilité.
Informations supplémentaires à donner en cas de collecte indirecte :
Catégories de données recueillies ;
Source des données (en indiquant notamment si elles sont issues de sources accessibles au public).
https://www.cnil.fr/fr/passer-laction/rgpd-exemples-de-mentions-dinformation Exemples de mentions d'informations CNIL
3- Organisez et facilitez l'exercice des droits des personnes
Vous devez organiser des modalités permettant aux personnes d’exercer leurs droits et répondre dans les meilleurs délais à ces demandes de consultation ou d’accès, de rectification ou de suppression des données, voire d’opposition, sauf si le traitement répond à une obligation légale (par exemple, un administré ne peut s’opposer à figurer dans un fichier d’état civil). Ces droits doivent pouvoir s’exercer par voie électronique à partir d’une adresse dédiée.
Délai de réponse : Les personnes concernées disposent de droits afin de garder la maitrise de leurs données. Le responsable du fichier doit leur expliquer comment les exercer (auprès de qui ? sous quelle forme ?)… Lorsqu’elles exercent leurs droits, les personnes doivent obtenir une réponse avant un mois.
Le recueil du consentement Le consentement est une démarche active de l’utilisateur, explicite et de préférence écrite, qui doit être libre, spécifique, et informée. Dans un formulaire en ligne, il peut se matérialiser, par exemple, par une case à cocher non cochée par défaut. Le consentement est "préalable" à la collecte des données. Le consentement préalable de la personne concernée est notamment requis en cas : de collecte de données sensibles ; de réutilisation des données à d’autres fins ; d'utilisation de cookies pour certaines finalités ; d'utilisation des données à des fins de prospection commerciale par voie électronique.
Le droit d’opposition
Les personnes doivent pouvoir s’opposer à la réutilisation par le responsable du fichier de leurs coordonnées à des fins de sollicitations, notamment commerciales, lors d’une commande ou de la signature d’un contrat. Une case à cocher, non cochée par défaut, doit leur permettre d’exprimer leur choix directement sur le formulaire ou le bon de commande à remplir. La simple mention de l’existence de ce droit dans les conditions générales n’est pas suffisante.
Toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données, sauf si celui-ci répond à une obligation légale (ex : fichiers des impôts).
Les droits d’accès et de rectification
Toute personne peut :
accéder à l’ensemble des informations la concernant ;
connaître l’origine des informations le concernant ;
accéder aux informations sur lesquelles le responsable du fichier s’est fondé pour prendre une décision le concernant (par exemple, les éléments qui auraient servi pour ne pas vous accorder une promotion ou le score attribué par une banque et qui a conduit au rejet de votre demande de crédit) :
en obtenir la copie (des frais n’excédant pas le coût de la reproduction peuvent être demandés) ;
exiger que ses données soient, selon les cas, rectifiées, complétées, mises à jour ou supprimées.
Ces droits peuvent s’exercer :
Par courriel ou via un formulaire en ligne : en indiquant l’adresse électronique à utiliser ou le lien vers le formulaire en ligne.
Par courrier papier : en indiquant l’adresse postale à laquelle envoyer le courrier et en recommandant au demandeur de faire un envoi en recommandé avec accusé de réception.
Sur place : en proposant de prendre rendez-vous, en informant le demandeur qu’il peut se faire accompagner par la personne de son choix et qu’il pourra demander une copie des données.
À noter : le rendez-vous doit durer suffisamment longtemps pour que le demandeur puisse prendre note commodément et complètement des données détenues.
Le responsable du fichier dispose d’un délai de réponse maximal d'un mois à compter de la date de réception de la demande. Si la demande exercée sur place ne peut être satisfaite immédiatement, un avis de réception daté et signé doit être remis au demandeur. Si la demande est incomplète, le responsable du fichier est en droit de demander des compléments : le délai est alors suspendu et court à nouveau une fois ces éléments fournis.
Si et seulement si, l’organisme a des doutes raisonnables sur l'identité du demandeur, il peut lui demander de joindre tout document permettant de prouver son identité, par exemple pour éviter les usurpations d’identité. En revanche, il ne peut pas demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à la demande.
Dans quels cas les droits des personnes sur leurs données peuvent être limités ?
Certains traitements qui poursuivent des objectifs d’intérêt public importants ou bien quand d'autres droits comme la liberté d'expression et d'information peuvent justifier de limiter la portée des droits des personnes sur leurs données, notamment le droit d’opposition. Une telle dérogation doit être prévue par la loi et respecter, dans tous les cas, certains principes essentiels.
4- Fixer des durées de conservation
Vous ne pouvez pas conserver les données indéfiniment.
Elles ne sont conservées en « base active », c’est-à-dire la gestion courante, que le temps strictement nécessaire à la réalisation de l’objectif poursuivi. Elles doivent être par la suite détruites, anonymisées ou archivées dans le respect des obligations légales applicables en matière de conservation des archives publiques.
Comment concilier les durées de conservation et les archives ?
Le cycle de vie de la donnée : Pour un même traitement, les données personnelles poursuivent des phases successives. On parle de « cycle de vie » de la donnée personnelle.Ce cycle connaît trois phases : Conservation en base active Il s’agit de la durée nécessaire à la réalisation de l’objectif (finalité du traitement) ayant justifié la collecte/enregistrement des données. Par exemple, dans une entreprise, les données d’un candidat non retenu seront conservées pendant 2 ans maximum (sauf s’il en demande l’effacement) par le service des ressources humaines.
En pratique, les données seront alors facilement accessibles dans l’environnement de travail immédiat pour les services opérationnels qui sont en charge de ce traitement (ex : le service des ressources humaines pour les opérations de recrutement) ;
Archivage intermédiaire
Les données personnelles ne sont plus utilisées pour atteindre l’objectif fixé (« dossiers clos ») mais présentent encore un intérêt administratif pour l'organisme (ex : gestion d’un éventuel contentieux, etc.) ou doivent être conservées pour répondre à une obligation légale (par exemple, les données de facturation doivent être conservées dix ans en application du Code de commerce, même si la personne concernée n’est plus cliente). Les données peuvent alors être consultées de manière ponctuelle et motivée par des personnes spécifiquement habilitées ;
Archivage définitif
En raison de leur « valeur » et intérêt, certaines informations sont archivées de manière définitive et pérenne.
À la différence de la conservation en base active, les deux dernières étapes ne sont pas systématiquement mises en place. Leur nécessité doit être évaluée pour chaque traitement, et, pour chacune de ces phases, un tri sera opéré entre les données.
5- Le principe de sécurité
Sécurisez les données et identifiez les risques
Vous devez prendre toutes les mesures utiles pour garantir la sécurité des données : sécurité physique ou sécurité informatique, sécurisation des locaux, armoires et postes de travail, gestion stricte des habilitations et droits d’accès informatiques. Cela consiste aussi à s’assurer que seuls les tiers autorisés par des textes ont accès aux données. Ces mesures sont adaptées en fonction de la sensibilité des données ou des risques qui peuvent peser sur les personnes en cas d’incident de sécurité.
Le responsable du fichier est astreint à une obligation de sécurité : il doit notamment prendre les mesures nécessaires pour garantir la sécurité des données qu’il a collectées et éviter leur divulgation à des tiers non autorisés. Une approche par les risques
Le responsable du fichier doit identifier les risques sur la vie privée des personnes concernées engendrés par son traitement avant de déterminer les moyens adéquats pour les réduire. Pour ce faire, il convient d'adopter une vision globale et d'étudier les conséquences sur les personnes concernées.
Les bonnes questions à se poser :
Quels pourraient être les impacts sur les personnes concernées en cas :
- d’accès illégitime ?
- de modification non désirée ?
- de disparition ?
Est-ce grave ?
Comment chacun de ces scénarios pourrait-il arriver ?
Est-ce vraisemblable ?
Quelles mesures (de prévention, de protection, de détection, de réaction…) devraient être prévues pour réduire ces risques à un niveau acceptable ?
Pour aller plus loin : l’analyse d'impact relative à la protection des données (AIPD)
Une AIPD est un outil d’évaluation d’impact sur la vie privée. Une AIPD repose sur 2 piliers :
- Les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;
- La gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.
6- Le principe d'amélioration continue
Inscrivez la mise en conformité dans une démarche continue
La conformité est une démarche dynamique. Elle dépend du bon respect au quotidien par les agents, à tous les niveaux, des principes et mesures mis en oeuvre.
Il faut contrôler régulièrement lévolution des traitements et la mise à jour du registre, que les procédures et les mesures de sécurité mises en place sont bien respectées et adaptez-les si besoin.
Organiser les bonnes pratiques RGPD de l'organisme
La mise en place et l'actualisation régulière du registre des activités de traitement est une bonne pratique RGPD. La CNIL suggère d'utiliser le Registre des activités de traitement comme un outil de pilotage RGPD et d'enrichir chaque fiche de traitement du registre par :- La base légale du traitement,- L'existence des mentions d'informations et de possibilté d'exercice des droit des personnes, - Une analyse systématique du risque avec les mesure de sécurité approprié
Désigner un DPO
La désignation d'une personne dédiée à la conformité ou/et d'un délégué à la protection des données (interne : salarié ou externe : indépendant) pour conseiller et accompagner le responsable de traitement dans la mise en place et la démarche dynamique de la conformité.
Cabinet STEFI Stéphanie Rabassa DPO certifiée contact@missionsdpo.fr 06 44 81 32 12
LES 6 GRANDS PRINCIPES DU RGPD
Caulier Stéphanie
Created on January 15, 2026
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Terrazzo Presentation
View
Visual Presentation
View
Relaxing Presentation
View
Modern Presentation
View
Colorful Presentation
View
Modular Structure Presentation
View
Chromatic Presentation
Explore all templates
Transcript
Cabinet STEFI 06 44 81 32 12
LES 6 GRANDS PRINCIPES DU RGPD
Ou comment constituer un fichier de personnes physiques selon les règles de l'art du RGPD
contact@missionsdpo.fr
La conformité au RGPD
L'entreprise, l'organisme, l'association, de toute taille et de toute forme va nécessairement constituer des fichiers de personnes physiques et traiter leurs données personnelles (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement.)Toute entité doit indiquer ce qu'elle fait de ces données dans le Registre des activités de traitement des données personnelles. Une fiche par finalité/fichier sera éditée. Elle doit aussi informer les personnes concernées et leur permettre d'exercer leurs droits sur leurs données. Le traitement des DCP (données à caractère personnel) doit se conformer aux 6 grands principes du RGPD.
Conformité RGPD
1- Finalité et minimisation2-Information transparence aux personnes concernées3- Organiser et faciliter l'exercice des droits des personnes 4- Fixer des durées de conservation 5- Sécuriser les données et identifier les risques 6-Démarche d'amélioration continue de la conformité
Règlement Général sur la protection des données personnelles
1- Le principe de finalité et de minimisation
La finalité indique à quoi le fichier va servir. Lorsque vous inscrivez un fichier dans le registre des activités de traitement, vous devez indiquer sa finalité : cette finalité devra être respectée tout au long de la construction et de l'utilisation de votre fichier.
Exemples de finalités dans la constitution de fichiers : - Recrutement du personnel, - Gestion de la paie, - Gestion des prospects, - Gestion de la clientèle, - Gestion des fournisseurs, - Vidésurveillance : Protection des biens et des personnes, etc.
Quand : La définition d’une finalité doit intervenir durant la phase de conception du projet. La bonne question à se poser : A quoi va servir mon fichier ? Cette finalité est elle légitime, notamment au regard de mes missions et des droits et libertés des personnes ?
Le principe de minimisation par rapport à la finalité déterminée : Ne collectez que les données vraiment nécessaires pour atteindre cette finalité déterminée.
2- Le principe de transparence vis à vis de la personne concernée
Soyez transparent, le droit à l'information : Les individus doivent conserver la maîtrise des données qui les concerne.
À quels moments le responsable de traitement doit informer les personnes concernées ? Dans le cadre de la collecte - en cas de collecte directe : au moment du recueil des données ; - en cas de collecte indirecte : dès que possible (notamment lors du 1er contact avec la personne concernée) et, au plus tard, dans le délai d’un mois (sauf exceptions).
Vous devez informer les personnes concernées : - en cas de collecte directe des données : lorsque les données sont recueillies directement auprès des personnes (exemples : formulaire, achat en ligne, souscription d’un contrat, ouverture d’un compte bancaire) ou lorsqu’elles sont recueillies via des dispositifs ou des technologies d’observation de l’activité des personnes (exemples : vidéosurveillance, analyse de la navigation sur Internet, géolocalisation et wifi analytics/tracking pour la mesure d’audience, etc.) ; - en cas de collecte indirecte des données personnelles : lorsque les données ne sont pas recueillies directement auprès des personnes (exemples : données récupérées auprès de partenaires commerciaux, de data brokers, de sources accessibles au public ou d’autres personnes).
Quelles informations dois-je donner ? Dans tous les cas : Identité et coordonnées de l’organisme (responsable du traitement de données) ; Finalités (à quoi vont servir les données collectées) ; Base légale du traitement de données (c’est-à-dire ce qui donne le droit à un organisme de traiter les données) : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, etc.) ; Caractère obligatoire ou facultatif du recueil des données (ce qui suppose une réflexion en amont sur l’utilité de collecter ces données au vu de l’objectif poursuivi – principe de « minimisation » des données) et conséquences pour la personne en cas de non-fourniture des données ; Destinataires ou catégories de destinataires des données (qui a besoin d’y accéder ou de les recevoir au vu des finalités définies, y compris les sous-traitants) ; Durée de conservation des données (ou critères permettant de la déterminer) ; Droits des personnes concernées (les droits d’accès, de rectification, d’effacement et à la limitation sont applicables pour tous les traitements) Coordonnées du délégué à la protection des données de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles ; Droit d’introduire une réclamation auprès de la CNIL
Selon les cas : les intérêts légitimes poursuivis par le responsable du traitement (exemple : prévention de la fraude) si le traitement est fondé sur la base légale de l’intérêt légitime ; le fait que les données sont requises par la réglementation, par un contrat ou en vue de la conclusion d’un contrat ; l’existence d’un transfert des données vers un pays hors Union européenne (ou vers une organisation internationale), les garanties associées à ce transfert et la faculté d’accéder aux documents autorisant ce transfert (exemple : les clauses contractuelles types de la Commission européenne) ; l’existence d’une prise de décision automatisée ou d’un profilage, les informations utiles à la compréhension de l’algorithme et de sa logique, ainsi que les conséquences pour la personne concernée ; le droit au retrait du consentement à tout moment, si le base légale du traitement est le consentement des personnes ; les autres droits applicables au traitement, en fonction de sa base légale : droit d’opposition et droit à la portabilité. Informations supplémentaires à donner en cas de collecte indirecte : Catégories de données recueillies ; Source des données (en indiquant notamment si elles sont issues de sources accessibles au public).
https://www.cnil.fr/fr/passer-laction/rgpd-exemples-de-mentions-dinformation Exemples de mentions d'informations CNIL
3- Organisez et facilitez l'exercice des droits des personnes
Vous devez organiser des modalités permettant aux personnes d’exercer leurs droits et répondre dans les meilleurs délais à ces demandes de consultation ou d’accès, de rectification ou de suppression des données, voire d’opposition, sauf si le traitement répond à une obligation légale (par exemple, un administré ne peut s’opposer à figurer dans un fichier d’état civil). Ces droits doivent pouvoir s’exercer par voie électronique à partir d’une adresse dédiée.
Délai de réponse : Les personnes concernées disposent de droits afin de garder la maitrise de leurs données. Le responsable du fichier doit leur expliquer comment les exercer (auprès de qui ? sous quelle forme ?)… Lorsqu’elles exercent leurs droits, les personnes doivent obtenir une réponse avant un mois.
Le recueil du consentement Le consentement est une démarche active de l’utilisateur, explicite et de préférence écrite, qui doit être libre, spécifique, et informée. Dans un formulaire en ligne, il peut se matérialiser, par exemple, par une case à cocher non cochée par défaut. Le consentement est "préalable" à la collecte des données. Le consentement préalable de la personne concernée est notamment requis en cas : de collecte de données sensibles ; de réutilisation des données à d’autres fins ; d'utilisation de cookies pour certaines finalités ; d'utilisation des données à des fins de prospection commerciale par voie électronique.
Le droit d’opposition Les personnes doivent pouvoir s’opposer à la réutilisation par le responsable du fichier de leurs coordonnées à des fins de sollicitations, notamment commerciales, lors d’une commande ou de la signature d’un contrat. Une case à cocher, non cochée par défaut, doit leur permettre d’exprimer leur choix directement sur le formulaire ou le bon de commande à remplir. La simple mention de l’existence de ce droit dans les conditions générales n’est pas suffisante. Toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données, sauf si celui-ci répond à une obligation légale (ex : fichiers des impôts).
Les droits d’accès et de rectification Toute personne peut : accéder à l’ensemble des informations la concernant ; connaître l’origine des informations le concernant ; accéder aux informations sur lesquelles le responsable du fichier s’est fondé pour prendre une décision le concernant (par exemple, les éléments qui auraient servi pour ne pas vous accorder une promotion ou le score attribué par une banque et qui a conduit au rejet de votre demande de crédit) : en obtenir la copie (des frais n’excédant pas le coût de la reproduction peuvent être demandés) ; exiger que ses données soient, selon les cas, rectifiées, complétées, mises à jour ou supprimées.
Ces droits peuvent s’exercer : Par courriel ou via un formulaire en ligne : en indiquant l’adresse électronique à utiliser ou le lien vers le formulaire en ligne. Par courrier papier : en indiquant l’adresse postale à laquelle envoyer le courrier et en recommandant au demandeur de faire un envoi en recommandé avec accusé de réception. Sur place : en proposant de prendre rendez-vous, en informant le demandeur qu’il peut se faire accompagner par la personne de son choix et qu’il pourra demander une copie des données. À noter : le rendez-vous doit durer suffisamment longtemps pour que le demandeur puisse prendre note commodément et complètement des données détenues. Le responsable du fichier dispose d’un délai de réponse maximal d'un mois à compter de la date de réception de la demande. Si la demande exercée sur place ne peut être satisfaite immédiatement, un avis de réception daté et signé doit être remis au demandeur. Si la demande est incomplète, le responsable du fichier est en droit de demander des compléments : le délai est alors suspendu et court à nouveau une fois ces éléments fournis. Si et seulement si, l’organisme a des doutes raisonnables sur l'identité du demandeur, il peut lui demander de joindre tout document permettant de prouver son identité, par exemple pour éviter les usurpations d’identité. En revanche, il ne peut pas demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à la demande.
Dans quels cas les droits des personnes sur leurs données peuvent être limités ? Certains traitements qui poursuivent des objectifs d’intérêt public importants ou bien quand d'autres droits comme la liberté d'expression et d'information peuvent justifier de limiter la portée des droits des personnes sur leurs données, notamment le droit d’opposition. Une telle dérogation doit être prévue par la loi et respecter, dans tous les cas, certains principes essentiels.
4- Fixer des durées de conservation
Vous ne pouvez pas conserver les données indéfiniment. Elles ne sont conservées en « base active », c’est-à-dire la gestion courante, que le temps strictement nécessaire à la réalisation de l’objectif poursuivi. Elles doivent être par la suite détruites, anonymisées ou archivées dans le respect des obligations légales applicables en matière de conservation des archives publiques. Comment concilier les durées de conservation et les archives ?
Le cycle de vie de la donnée : Pour un même traitement, les données personnelles poursuivent des phases successives. On parle de « cycle de vie » de la donnée personnelle.Ce cycle connaît trois phases : Conservation en base active Il s’agit de la durée nécessaire à la réalisation de l’objectif (finalité du traitement) ayant justifié la collecte/enregistrement des données. Par exemple, dans une entreprise, les données d’un candidat non retenu seront conservées pendant 2 ans maximum (sauf s’il en demande l’effacement) par le service des ressources humaines. En pratique, les données seront alors facilement accessibles dans l’environnement de travail immédiat pour les services opérationnels qui sont en charge de ce traitement (ex : le service des ressources humaines pour les opérations de recrutement) ; Archivage intermédiaire Les données personnelles ne sont plus utilisées pour atteindre l’objectif fixé (« dossiers clos ») mais présentent encore un intérêt administratif pour l'organisme (ex : gestion d’un éventuel contentieux, etc.) ou doivent être conservées pour répondre à une obligation légale (par exemple, les données de facturation doivent être conservées dix ans en application du Code de commerce, même si la personne concernée n’est plus cliente). Les données peuvent alors être consultées de manière ponctuelle et motivée par des personnes spécifiquement habilitées ; Archivage définitif En raison de leur « valeur » et intérêt, certaines informations sont archivées de manière définitive et pérenne. À la différence de la conservation en base active, les deux dernières étapes ne sont pas systématiquement mises en place. Leur nécessité doit être évaluée pour chaque traitement, et, pour chacune de ces phases, un tri sera opéré entre les données.
5- Le principe de sécurité
Sécurisez les données et identifiez les risques Vous devez prendre toutes les mesures utiles pour garantir la sécurité des données : sécurité physique ou sécurité informatique, sécurisation des locaux, armoires et postes de travail, gestion stricte des habilitations et droits d’accès informatiques. Cela consiste aussi à s’assurer que seuls les tiers autorisés par des textes ont accès aux données. Ces mesures sont adaptées en fonction de la sensibilité des données ou des risques qui peuvent peser sur les personnes en cas d’incident de sécurité.
Le responsable du fichier est astreint à une obligation de sécurité : il doit notamment prendre les mesures nécessaires pour garantir la sécurité des données qu’il a collectées et éviter leur divulgation à des tiers non autorisés. Une approche par les risques Le responsable du fichier doit identifier les risques sur la vie privée des personnes concernées engendrés par son traitement avant de déterminer les moyens adéquats pour les réduire. Pour ce faire, il convient d'adopter une vision globale et d'étudier les conséquences sur les personnes concernées.
Les bonnes questions à se poser : Quels pourraient être les impacts sur les personnes concernées en cas : - d’accès illégitime ? - de modification non désirée ? - de disparition ? Est-ce grave ? Comment chacun de ces scénarios pourrait-il arriver ? Est-ce vraisemblable ? Quelles mesures (de prévention, de protection, de détection, de réaction…) devraient être prévues pour réduire ces risques à un niveau acceptable ?
Pour aller plus loin : l’analyse d'impact relative à la protection des données (AIPD) Une AIPD est un outil d’évaluation d’impact sur la vie privée. Une AIPD repose sur 2 piliers : - Les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ; - La gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.
6- Le principe d'amélioration continue
Inscrivez la mise en conformité dans une démarche continue La conformité est une démarche dynamique. Elle dépend du bon respect au quotidien par les agents, à tous les niveaux, des principes et mesures mis en oeuvre. Il faut contrôler régulièrement lévolution des traitements et la mise à jour du registre, que les procédures et les mesures de sécurité mises en place sont bien respectées et adaptez-les si besoin.
Organiser les bonnes pratiques RGPD de l'organisme
La mise en place et l'actualisation régulière du registre des activités de traitement est une bonne pratique RGPD. La CNIL suggère d'utiliser le Registre des activités de traitement comme un outil de pilotage RGPD et d'enrichir chaque fiche de traitement du registre par :- La base légale du traitement,- L'existence des mentions d'informations et de possibilté d'exercice des droit des personnes, - Une analyse systématique du risque avec les mesure de sécurité approprié
Désigner un DPO
La désignation d'une personne dédiée à la conformité ou/et d'un délégué à la protection des données (interne : salarié ou externe : indépendant) pour conseiller et accompagner le responsable de traitement dans la mise en place et la démarche dynamique de la conformité.
Cabinet STEFI Stéphanie Rabassa DPO certifiée contact@missionsdpo.fr 06 44 81 32 12