RGPD pour les débutants

Le RGPD est la réglementation commerciale la plus complète à sortir de l’UE depuis de nombreuses années.

Les entreprises doivent apprendre à gérer le RGPD de manière efficace et compétente pour garantir la conformité sans compromettre les activités commerciales quotidiennes.

Les données personnelles sont toutes les données permettant d’identifier une personne.

Exemples:

  • Un e-mail peut être utilisé pour identifier une personne.
  • Un numéro de téléphone peut être utilisé pour identifier une personne.
  • Une adresse peut être utilisée pour identifier une personne.
  • Une adresse IP peut être utilisée pour identifier une personne.
  • Le numéro d’identification national peut être utilisé pour identifier une personne.
  • Le numéro de passeport peut être utilisé pour identifier une personne.
  • Un numéro de carte de crédit peut être utilisé pour identifier une personne.

Les données qui s’ajoutent à ce que nous savons d’une personne sont des données personnelles.

  • Passe-temps
  • Intérêts
  • Consommation
  • Modèles comportementaux
  • Accent
  • Caractéristiques physiques

La plupart des données traitées par les entreprises pourraient être considérées comme des données personnelles.

Le RGPD s’applique à toutes les entreprises, organisations et institutions de l’UE.

Le RGPD s’applique également à toute entreprise, organisation ou institution qui propose des biens ou des services à toute personne dans l’UE. Ceci s’applique qu’il y ait paiement ou non.

Exemple

Toute boutique en ligne ou service vendant sur le marché de l’UE, que cette entreprise soit basée aux États-Unis ou en Australie, devra se conformer au RGPD.

Le RGPD s’applique au traitement des données personnelles par des responsables du traitement non établis dans l’UE s’ils traitent des données personnelles de personnes concernées basées dans l’UE.

Le RGPD exige que chaque responsable de traitement respecte les principes énoncés à l’ article 5 du RGPD.

Légalité, équité et transparence

Vous devez traiter les données personnelles de manière licite, loyale et transparente pour la personne concernée.

Limitation des finalités

Vous ne collecterez des données personnelles que pour des finalités déterminées, explicites et légitimes. Vous ne pouvez pas traiter ces données personnelles de manière incompatible avec les finalités.

Minimisation des données

Vous ne traiterez que les données personnelles adéquates, pertinentes et limitées à ce qui est nécessaire aux finalités initiales du traitement.

exactitude

Le traitement des données personnelles doit être exact et à jour. Vous vous efforcerez de faire en sorte que les données inexactes soient effacées ou rectifiées.

limitation de la conservation

Le traitement des données personnelles est limité à la période pour laquelle il est nécessaire aux fins pour lesquelles les données personnelles ont été traitées. Par conséquent, les données personnelles doivent être supprimées ou rendues anonymes lorsqu’elles ne sont plus nécessaires aux fins initiales.

Intégrité et confidentialité

Les données personnelles doivent être traitées de manière sécurisée afin de protéger les données personnelles contre un traitement non autorisé ou illégal. Il doit également être protégé contre la perte, la destruction ou les dommages accidentels en utilisant des mesures techniques ou organisationnelles appropriées.

Responsabilité

En tant que responsable du traitement, vous êtes responsable du respect de ces principes et êtes en mesure de documenter cette conformité.

Un responsable de traitement est une entreprise qui détermine les finalités et les moyens du traitement des données personnelles.

C’est un concept essentiel à comprendre car il détermine vos obligations vis-à-vis du RGPD.

Un sous-traitant est une entreprise qui traite des données personnelles pour le compte du responsable du traitement.

C’est un concept essentiel à comprendre car il détermine vos obligations vis-à-vis du RGPD.

Un sous-traitant doit toujours conclure un accord de traitement de données avec le responsable du traitement, conformément à l’ article 28 du RGPD.

Lorsque vous collectez des données personnelles auprès de la personne concernée, vous devez fournir à la personne concernée des informations sur les raisons et la manière dont vous traiterez ces données. Ces exigences sont écrites dans les articles 13-14 du RGPD.

En pratique, vous pourriez fournir ces informations dans une politique de confidentialité qui devrait être accessible à la personne lors de la collecte de données personnelles.

Wow. C’est une grande question à laquelle on ne répond pas rapidement.

Une exigence principale du RGPD est de tenir un registre des activités de traitement sous votre responsabilité ( article 30 ).

Vous devrez également fournir ces informations à vos personnes concernées dans une politique de confidentialité ( article 13 + 14 ).

Vous devrez traiter les données selon les principes de ce règlement ( article 5 ).

Vous devrez conclure des accords de traitement de données avec tous les sous-traitants que vous avez engagés pour traiter les données en votre nom ( article 28 ).

Vous devrez procéder à des évaluations des risques de vos activités de traitement et, sur la base de celles-ci, mettre en œuvre des mesures organisationnelles et techniques appropriées pour garantir que les données personnelles sont traitées en toute sécurité.

Ces exigences ne sont que quelques-unes des nombreuses exigences du RGPD.