rgpd, gdpr, données
2021 – Digisanté
RGPD : traitement de données personnelles
L’acronyme RGPD signifie : Règlement Général sur la Protection des Données.
Ce règlement a pour objectif de définir un cadre opérationnel, administratif et juridique auquel les entités (entreprises, association, établissements publics…) doivent se conformer si elles traitent des données personnelles de citoyens européens.
Qu’est-ce qu’une donnée personnelle ?
Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ».
Une personne peut être identifiée :
- directement (exemple : nom, prénom)
- ou indirectement (exemple : par une adresse IP, un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).
L’identification d’une personne physique peut être réalisée :
- à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN)
- à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)
Quelques conseils sur les principaux droits des utilisateurs
Afin de rendre à chacun la maîtrise de ses données à caractère personnel, le Règlement Général sur la Protection des Données (RGPD) accorde aux personnes physiques de nouveaux droits. Toutefois, pour ne pas entraver la libre circulation desdites données, l’exercice de ces droits est strictement encadré par le règlement. Dans l’espoir de favoriser l’apaisement des relations entre les acteurs économiques et institutionnels qui collectent et traitent les données et les particuliers, le RGPD insiste sur la nécessaire transparence des informations et l’application aisée des droits des personnes concernées.
Le droit d’accès :
Le droit d’accès au fichier de ses données personnelles est garanti par l’article 15 du Règlement Général sur la Protection des Données actuellement en vigueur.
Le droit d’accès au fichier de ses données personnelles est l’un des plus fondamentaux des droits des utilisateurs. En effet, il permet à tout citoyen de l’UE de contacter un organisme de traitement de données, pour avoir accès à l’ensemble des datas privées le concernant.
Au quotidien, beaucoup de personnes ont accès à des informations personnelles nous concernant. C’est dans ces cas pratiques que le droit d’accès peut être invoqué par une personne auprès :
• de son employeur pour son dossier personnel
• de son médecin pour son dossier médical
• d’une administration pour être certain que ses données soient traitées dans les règles
• d’un réseau social, d’un site, d’un forum
Ainsi, vous pouvez savoir exactement quelles données privées sont stockées et traitées, peu importe l’organisme de traitement.
Si un utilisateur exerce auprès de vous son droit d’accès, vous devez lui fournir, dans un délai d’un mois, toutes les informations que vous avez sur lui.
Le droit de rectification :
Selon l’article 16 du règlement, les informations collectées et traitées par les sous-traitants doivent être exactes, complètes et mises à jour. Dans le cas contraire, les personnes physiques concernées ont le droit d’exiger une rectification des données, si celles-ci sont incorrectes ou incomplètes.
Pour que la demande de rectification soit validée, il faut que la personne concernée apporte des justifications du caractère erroné des données personnelles la concernant.
Si un utilisateur exerce auprès de vous son droit de rectification, vous devez lui fournir, dans un délai d’un mois, une confirmation de rectification au demandeur.
Le droit à l’effacement :
Prévu par l’article 17 du RGPD et également connu sous l’appellation de « droit à l’oubli » ou « droit à l’oubli numérique », le droit à l’effacement des données permet à tout citoyen résidant dans un pays membre de l’Union européenne de demander à un organisme d’effacer les données personnelles qui le concerne.
Il faut savoir que le droit à l’effacement n’est en aucun cas un droit absolu. D’après les dispositions de l’article 17 du RGPD, il s’applique dans un certain nombre de cas :
- lorsque les données qui font l’objet de la demande d’effacement sont utilisées en vue d’une prospection,
- lorsque les données personnelles à supprimer ne répondent plus aux finalités pour lesquelles elles ont été initialement collectées ou lorsque celles-ci ont été traitées autrement par le responsable du traitement. La résiliation d’un contrat illustre parfaitement ce second cas, et les données en question portent entre autres les coordonnées téléphoniques, postales ou bancaires de l’individu concerné,
- lorsque la personne concernée, c’est-à-dire le propriétaire des données à effacer, retire son propre consentement au traitement desdites données, et surtout, à partir du moment où aucun fondement juridique ne vient justifier le traitement. Il s’agit généralement des données à caractère sensible, dès que les données concernées font l’objet d’une utilisation ou d’un traitement illicite,
- lorsque les données ont été collectées dans le cadre d’un service proposé aux mineurs, c’est-à-dire lorsque la personne concernée était encore mineure au moment de la collecte des données,
- lorsqu’une obligation légale rend l’effacement des données incontournable,
- lorsque la personne concernée s’est opposée au traitement de ses données et que l’organisme en charge du traitement de ces dernières ne présente pas de motif valable qui le pousse à ne pas donner suite à la demande d’effacement.
Si un utilisateur exerce auprès de vous son droit à l’effacement, vous devez, dans un délai d’un mois, supprimer toutes les informations que vous avez sur lui.
Quelques conseils sur les violations de données personnelles
Votre organisme est victime d’une violation ?
Une notification doit être transmise à la CNIL dans les meilleurs délais à la suite de la constatation d’une violation présentant un risque pour les droits et libertés des personnes.
Vous avez maximum 72h, suite à la constatation, pour transmettre la notification de violation.
Durant ces 72h vous devez :
- Repérer la violation
- Mettre en place des contre-mesures
- Informer les personnes touchées par la violation
- Notifier la CNIL via notifications.cnil.fr/notifications
Passé ces 72h :
- Vous vous exposez à des mesures répressives si vous n’avez pas notifié la CNIL
- Vous aurez un retour de la CNIL (conseil, rappel des recommandations, orientation vers un accompagnateur)
- Vous pourrez mettre en place des mesures complémentaires
Find Me.
Adressez-moi //
35 Rue des Magnolias
44450 Divatte sur Loire – France