top of page

RGPD est l’acronyme de :

 

Règlement général sur la protection des données ;
GDPR (General Data Protection Regulation) en anglais et AVG (Algemene Verordening Gegevensbescherming) en néerlandais. Ce règlement européen remplace la directive 95/46/CE de 1995 sur la protection des données personnelles.

Il vise à mieux protéger la vie privée des citoyens en établissant des règles uniformes dans l’ensemble de l’UE. D’une part, les citoyens obtiennent plus de contrôle sur l’utilisation de leurs données à caractère personnel. De l’autre, le RGPD établit une structure juridique claire, une norme qui s’applique dans toute l’Europe, de sorte que les entreprises savent comment agir pour garantir la protection de la vie privée.

 

À qui le RGPD s’applique-t-il ?

Toute organisation, entreprise ou autorité publique qui collecte et traite des données à caractère personnel de citoyens européens doit appliquer le RGPD, quel que soit le pays où l’entreprise ou l’organisation est établie. Une entreprise américaine qui travaille avec des données d’utilisateurs européens doit donc également se conformer à ces règles. Si vous avez une boutique physique ou en ligne et que vous recueillez les adresses de vos clients pour leur envoyer régulièrement des courriers par voie postale ou numérique, vous êtes également soumis au RGPD.

La définition de la notion de données à caractère personnel est importante à cet égard. La version anglaise du règlement parle de PII (Personal Identification Information). Il s’agit non seulement de votre nom, de votre adresse, de votre numéro de carte d’identité, de votre numéro de registre national, de votre date de naissance, mais aussi de données numériques telles que votre localisation, votre adresse IP, les données des cookies, les étiquettes RFID. Les données de santé, génétiques, biométriques, raciales et ethniques, l’orientation sexuelle et l’opinion politique sont aussi couvertes.

 

En bref, voici les principes :


La collecte de données, en ligne et hors ligne :

  • L’utilisateur doit donner son consentement explicite. À titre d’exemple, les cases préalablement cochées (opt-out) pour recevoir un bulletin d’information ou des communications commerciales ne sont plus autorisées : l’utilisateur doit lui-même cocher la case (opt-in).

    • À partir du 24 mai, chaque utilisateur de DIPLA devra d’abord vérifier ses données et cocher la case qui autorise Profisi à traiter celles-ci.

    • Profisi ne crée pas d’utilisateurs. L’utilisateur ayant les droits d’orgadmin peut ajouter des personnes dans DIPLA.

  • Il existe toutefois quelques exceptions au principe susmentionné : il est possible de traiter les données à caractère personnel sans consentement lorsque cela s’impose pour exécuter un contrat avec l’utilisateur, remplir une obligation légale, accomplir une mission d’intérêt public, ou protéger des intérêts vitaux de l’utilisateur ou d’autres personnes physiques.

  • Le collecteur de données doit indiquer expressément quelles données sont collectées et à quelle fin.

    • Seuls le nom d’utilisateur, le nom, le prénom et l’adresse électronique de l’utilisateur sont conservés dans DIPLA. Ces données sont associées à un identifiant unique.

    • Cet identifiant est utilisé partout dans Dipla pour effectuer un enregistrement quand un utilisateur :

      • a effectué une action ;

      • a modifié ou créé quelque chose ;

      • a transmis ou doit accomplir une tâche ;

      • Si des mesures sont effectuées et des photos prises dans MyDIPLA, les coordonnées GPS sont aussi conservées.

    • DIPLA ne traduit ce nom que lorsque c’est nécessaire pour l’utilisation de DIPLA. 

    • DIPLA permet à tout utilisateur d’anonymiser son nom. Dans ce cas, les données sont conservées, mais sans plus être liées à une personne. 

  • Les données collectées ne peuvent être utilisées qu’à cette fin et pour une durée compatible avec celle-ci.

    • Profisi conserve les données aussi longtemps que l’organisation est abonnée à DIPLA.

 

La conservation des données

  • Les données doivent être conservées selon un système conçu pour les protéger et garantir leur caractère privé.

  • Toute violation de la sécurité des données doit être signalée dans les 72 heures.

  • Les utilisateurs ont un droit de consultation : ils doivent pouvoir accéder aux données, les consulter, les corriger éventuellement, les faire effacer, mais aussi pouvoir les transférer. L’entreprise doit être en mesure de présenter une copie électronique de son dossier privé.

    • L’interface de DIPLA est conçue de telle sorte que chaque utilisateur et chaque orgadmin puisse gérer pleinement ses données à caractère personnel.

  • L’utilisateur doit également pouvoir retirer son consentement à tout moment.

    • L’utilisateur peut le faire en se faisant anonymiser. 

 

Le suivi de ces données :

  • Les entreprises de plus de 250 travailleurs doivent nommer un délégué à la protection des données (Data Protection Officer) pour superviser la mise en œuvre correcte du RGPD.

  • Cela ne s’applique pas à DIPLA.

  • Des organes de contrôle spéciaux (autorité de contrôle) sont chargés de contrôler la conformité au RGPD dans les différents États membres. En Belgique, cette compétence a été confiée à l’Autorité de protection des données.

 

Le transfert de données :

Le transfert de données vers des organisations situées en dehors de l’UE n’est autorisé que si ces organisations peuvent démontrer qu’elles se conforment aussi au RGPD.

 

 

 

Traitement des données

Le RGPD signifie-t-il que nous devons désormais demander/obtenir, pour chaque traitement, le consentement de la personne dont nous souhaitons traiter les données ?

La question précédente semble préoccuper bon nombre de personnes qui s’interrogent sur les nouvelles règles du RGPD.
La réponse à cette question est brève : Non, il n’est pas nécessaire d’obtenir à chaque fois un consentement explicite pour le traitement de données à caractère personnel.

DONNÉES À CARACTÈRE PERSONNEL
L’objectif est de mieux protéger la vie privée des citoyens en établissant des règles uniformes dans l’ensemble de l’UE. D’une part, les citoyens obtiennent plus de contrôle sur l’utilisation de leurs données à caractère personnel. D’autre part, le RGPD établit une structure juridique claire, une norme qui s’applique dans toute l’Europe, de sorte que les entreprises savent comment agir pour garantir la protection de la vie privée.

TRAITEMENT DES DONNÉES
Le RGPD parle de « traitement des données à caractère personnel ». Les données à caractère personnel sont « toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement ». Il s’agit de données telles que le nom, le numéro d’identification, les données de localisation, les numéros de téléphone, les adresses électroniques et les identifiants en ligne (par exemple, les informations obtenues au moyen de l’utilisation de cookies traceurs).

La liste est évidemment plus longue. Les données relatives à l’identité physique, génétique, psychologique, culturelle ou sociale d’une personne physique sont également couvertes par le RGPD, mais cela ne concerne pas ou peu notre secteur.



La notion de personne physique
La notion de « personne physique » apparaît à plusieurs reprises dans les paragraphes précédents. Il est très important de ne pas la limiter à la personne en sa simple qualité privée.
Supposons qu’un particulier vienne frapper à votre porte pour enregistrer et gérer un certain nombre de noms de domaine « .be ». Il est bien évident que le nom et l’adresse électronique de ce client font partie des données à caractère personnel. Mais le nom et l’adresse électronique personnelle (par exemple jan.peeters@company.be) du membre du personnel d’un revendeur avec lequel vous avez des relations professionnelles le sont tout autant !

Même entre entreprises, vous pouvez donc être amené à traiter des données à caractère personnel.

Traitement
On entend par traitement toute opération ou ensemble d’opérations portant sur des données à caractère personnel.
Ce concept fait également l’objet d’un certain nombre de malentendus. On pense souvent que le traitement implique une forme de manipulation de grande ampleur, telle que la transmission de ces données à un tiers. Mais ne vous y trompez pas, le simple fait de collecter ces données constitue déjà un traitement !

PRINCIPES ÉLÉMENTAIRES DU TRAITEMENT
Que la personne concernée ait consenti ou non au traitement de ses données, un certain nombre de règles doivent TOUJOURS être respectées :
 

  • Les données doivent être traitées de manière licite, loyale et transparente.

  • Les données doivent être traitées pour des finalités déterminées, explicites et légitimes.

  • Le traitement doit être adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités pour lesquelles les données sont traitées.

  • Les données traitées doivent être correctes et les données incorrectes doivent être supprimées ou corrigées dès que possible.

  • Les données ne peuvent être conservées que pendant la période nécessaire aux fins du traitement.

  • Les données traitées doivent être protégées de manière appropriée contre le traitement non autorisé et la perte accidentelle.

LE CONSENTEMENT DE LA PERSONNE CONCERNÉE ET SES ÉQUIVALENTS
La règle la plus élémentaire est que le traitement est licite dans la mesure où la personne concernée a donné son consentement au traitement de ses données à caractère personnel.
Contrairement à ce qui se passait auparavant, ce consentement doit résulter d’un acte positif clair de la personne concernée.

 

Responsable du traitement ou sous-traitant

Ces deux notions clés du RGPD donnent encore trop souvent lieu à confusion :

  1. le responsable du traitement et

  2. le sous-traitant.


1. Le responsable du traitement.

En vertu du RGPD, le responsable du traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. C’est la détermination des finalités et des moyens qui fait de vous un responsable du traitement ou un sous-traitant. Le responsable du traitement est l’interlocuteur de l’autorité de contrôle en ce qui concerne le traitement des données à caractère personnel, et celui à qui les personnes concernées peuvent s’adresser pour faire valoir leurs droits.

2. Le sous-traitant
Le sous-traitant est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Vous pouvez considérer le sous-traitant comme celui qui effectuera le traitement externalisé des données pour le compte du responsable du traitement, en sous-traitance. Les prestataires de services informatiques et les secrétariats sociaux en sont des exemples courants. Remarque : tous les sous-traitants (au sens large) d’une entreprise ne sont pas des sous-traitants au sens du RGPD. Le traitement de données à caractère personnel est la condition déterminante pour qu’un sous-traitant soit ou non un sous-traitant au sens du RGPD.

 

 

Toutes les données contenues dans DIPLA sont la propriété d’une organisation. DIPLA n’est qu’un outil de collecte, de stockage et de traitement.

https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controllerprocessor/what-data-controller-or-data-processor_fr


 

bottom of page