rgpd, gdpr, données
2021 – Digisanté

RGPD : traitement de données personnelles

L’acronyme RGPD signifie : Règlement Général sur la Protection des Données.
Ce règlement a pour objectif de définir un cadre opérationnel, administratif et juridique auquel les entités (entreprises, association, établissements publics…) doivent se conformer si elles traitent des données personnelles de citoyens européens.

Lire la suite

Qu’est-ce qu’une donnée personnelle ?

Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ».

Une personne peut être identifiée :

  • directement (exemple : nom, prénom)
  • ou indirectement (exemple : par une adresse IP, un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

  • à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN)
  • à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)

Quelques conseils sur les principaux droits des utilisateurs

Afin de rendre à chacun la maîtrise de ses données à caractère personnel, le Règlement Général sur la Protection des Données (RGPD) accorde aux personnes physiques de nouveaux droits. Toutefois, pour ne pas entraver la libre circulation desdites données, l’exercice de ces droits est strictement encadré par le règlement. Dans l’espoir de favoriser l’apaisement des relations entre les acteurs économiques et institutionnels qui collectent et traitent les données et les particuliers, le RGPD insiste sur la nécessaire transparence des informations et l’application aisée des droits des personnes concernées.

Le droit d’accès :

Le droit de rectification :

Le droit à l’effacement :

Prévu par l’article 17 du RGPD et également connu sous l’appellation de « droit à l’oubli » ou « droit à l’oubli numérique », le droit à l’effacement des données permet à tout citoyen résidant dans un pays membre de l’Union européenne de demander à un organisme d’effacer les données personnelles qui le concerne.

Il faut savoir que le droit à l’effacement n’est en aucun cas un droit absolu. D’après les dispositions de l’article 17 du RGPD, il s’applique dans un certain nombre de cas :

  • lorsque les données qui font l’objet de la demande d’effacement sont utilisées en vue d’une prospection,
  • lorsque les données personnelles à supprimer ne répondent plus aux finalités pour lesquelles elles ont été initialement collectées ou lorsque celles-ci ont été traitées autrement par le responsable du traitement. La résiliation d’un contrat illustre parfaitement ce second cas, et les données en question portent entre autres les coordonnées téléphoniques, postales ou bancaires de l’individu concerné,
  • lorsque la personne concernée, c’est-à-dire le propriétaire des données à effacer, retire son propre consentement au traitement desdites données, et surtout, à partir du moment où aucun fondement juridique ne vient justifier le traitement. Il s’agit généralement des données à caractère sensible, dès que les données concernées font l’objet d’une utilisation ou d’un traitement illicite,
  • lorsque les données ont été collectées dans le cadre d’un service proposé aux mineurs, c’est-à-dire lorsque la personne concernée était encore mineure au moment de la collecte des données,
  • lorsqu’une obligation légale rend l’effacement des données incontournable,
  • lorsque la personne concernée s’est opposée au traitement de ses données et que l’organisme en charge du traitement de ces dernières ne présente pas de motif valable qui le pousse à ne pas donner suite à la demande d’effacement.

Si un utilisateur exerce auprès de vous son droit à l’effacement, vous devez, dans un délai d’un mois, supprimer toutes les informations que vous avez sur lui.

Quelques conseils sur les violations de données personnelles

Votre organisme est victime d’une violation ?

Une notification doit être transmise à la CNIL dans les meilleurs délais à la suite de la constatation d’une violation présentant un risque pour les droits et libertés des personnes.

Vous avez maximum 72h, suite à la constatation, pour transmettre la notification de violation.

Durant ces 72h vous devez :

Passé ces 72h :

  • Vous vous exposez à des mesures répressives si vous n’avez pas notifié la CNIL
  • Vous aurez un retour de la CNIL (conseil, rappel des recommandations, orientation vers un accompagnateur)
  • Vous pourrez mettre en place des mesures complémentaires

Let’s Talk.

// Contactez-moi