Le RGPD en quelques mots
Le Règlement Général sur la Protection des Données (RGPD) impose un cadre strict à toute organisation qui traite des données personnelles. Voici les principales obligations à connaître :
Désignation d'un DPO
La désignation d'un Délégué à la Protection des Données est obligatoire pour les organismes publics, ou lorsque les activités impliquent un suivi régulier et systématique à grande échelle, ou le traitement de données sensibles.
Licéité, loyauté et transparence
Les données doivent être collectées pour des finalités légitimes, de manière claire et compréhensible pour les personnes concernées.
Limitation des finalités et minimisation
Seules les données strictement nécessaires à l'objectif poursuivi peuvent être collectées et utilisées. Ne conservez que les données essentielles à la production de vos services ou produits.
Exactitude et durée de conservation limitée
Les données doivent être tenues à jour et conservées uniquement pendant une durée justifiée. Appliquez systématiquement une « date de péremption » à vos données.
Sécurité des données
Le responsable de traitement doit mettre en place des mesures techniques et organisationnelles adaptées pour garantir la Disponibilité, l'Intégrité et la Confidentialité (DIC) des données. Le DIC est l'essence de la sécurité des données, notamment dans la norme ISO 27001. Il prend naissance dès la conception : on parle de security by design.
Respect des droits des personnes
Droit d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité. Veillez toujours à rendre les demandes des personnes concernées simples et accessibles.
Responsabilité (accountability)
L'organisation doit être en mesure de démontrer sa conformité : documentation, registre des traitements, analyses d'impact (AIPD/PIA). C'est mettre en place et suivre l'activité dans la durée.
Notification des violations de données
Toute violation de données personnelles doit être notifiée à l'autorité de contrôle (la CNIL[2] en France) dans un délai de 72 heures[1], et parfois aux personnes concernées si le risque est élevé.
Ces obligations proviennent du règlement européen[1] et visent à renforcer la protection des données personnelles ainsi que la confiance des citoyens dans le traitement de leurs informations. Il n'existe pas de certification RGPD à proprement parler — c'est une obligation légale. Les sanctions financières peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial[1].
Attention : nous vous conseillons toujours de consulter directement les textes en vigueur ou de prendre conseil afin de vous assurer que l'information utilisée est à jour.