Le RGPD, quand la sécurité rime avec règlements

Dixit Wikipédia :Le règlement nᵒ 2016/679, dit règlement général sur la protection des données, est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne.

Le RGPD est donc un règlement de l’Union Européenne visant à protéger les données personnelles par un traitement spécifique tout en responsabilisant les acteurs de ce traitement.

Qu’est ce que le RGPD ?

Le règlement européen responsabilise les organismes publics et privés qui traitent des données agissant dans le secteur de l’Union Européenne . Donc tout organisme traitant des informations implantée dans l’UE ou son activité cible directement des résidents européens est soumis au RDPG.

Autrement dit, tout organisme gérant des données personnelles telle que le nom, l’adresse, les passions, l’age, le sexe,les envies… sont soumis au RDPG.

Ces données ou informations personnelles sont des données qui permettent d’identifier un utilisateur. Quand vous commandez sur un site internet, vous avez un compte ( que ce soit un compte normal ou un compte dit invité ) car vous avez forcement donné votre email, un nom, une adresse pour vous faire livrer. Vous avez donc un identifiant client. Cela vous permet tout simplement de pouvoir vous connecter et repasser commande sur le même site sans avoir à re remplir votre adresse.

Ces données, quand vous avez commandé sur un site internet servent pour des obligations légales, comme la facturation par exemple et dans certains cas pour le marketing.

Le RDPG oblige les organismes, société demandant ces données à les traiter correctement et ne demander que l’essentiel.

Si sur un site e-commerce on vous demande un numéro de téléphone pour la livraison, mais aussi pour vous appeler en cas d’erreur sur une commande. L’age peut être demandé non pas pour du marketing mais plutôt pour savoir si vous avez plus de 18 ans.

Par contre, on vous demandera vos passions ou votre profession.

Cette notion de donnée personnelle est quand même assez large, comme par exemple dans certains réseaux sociaux où on vous cible sur des idées politiques ou religieuses.

Comment doivent ils les gérer ?

La CNIL donne 4 ordre d’actions :

  • La constitution d’un registre
  • Le tri des informations
  • Le respects des données et utilisateurs
  • La sécurisation

Le registre a pour but d’identifier et surtout amener l’organisme à définir le but de l’enregistrement des données. Cela permet, si un contrôle est effectué d’avoir la liste des données, la classification, l’emplacement,le but mais aussi les personnes ayant accès à ces données.

Si des données sensibles sont demandées sans avoir pour un but précis, c’est une sanction.

Le dirigeant de l’entreprise est responsable du registre !

Le tri permet de savoir où sont stockés et par qui les données transitent. Il permet en plus de savoir comment l’organisme les obtient.

Le respects des droits, lui implique de savoir si l’entreprise qui vous demande ces informations le fait dans le cadre légale. C’est d’ailleurs ce que le consommateur voit sur un site dans une page dédiée.

L’organisme met en exergue le droit de l’utilisateur, la durée de stockage des informations, le but, le consentement et le droit de rétractation, ainsi que le fait que ces informations transitent ou non vers d’autres sociétés ou pays.

Même si bon nombre d’internaute sont impliqués et connaissent les modalités du RDPG, il est quelques fois difficile de faire comprendre certaines données essentielles au bon fonctionnement d’un site.

Lorsqu’une personne ayant commandé sur un site internet demande le retrait des informations sur le site, celui-ci ne pourra le faire qu’à condition que la personne n’ait jamais eu de commande effective sur ce site.

Les informations de facturation étant à garder 10 ans pour l’entreprise.

Par contre, si la personne s’est inscrite et n’a jamais commandé, la société se doit d’anonymiser les informations de l’internaute, soit au bout de 3 ans automatiquement, soit à la demande de l’internaute.

Le consentement au traitement des données doit se faire par validation en cochant et non en décochant une case.

La sécurisation des données est un des points importants.

Sécuriser c’est ne pas donner l’accès à n’importe qui n’importe quand. C’est aussi se protéger des attaques pour ne pas laisser ces accès en libre accès.

Le fait d’avoir des mots de passe compliqués et changer fréquemment peut aider dans cette démarche.

Une réflexion sur « Le RGPD, quand la sécurité rime avec règlements »

Les commentaires sont fermés.