RGPD : Règlement Général sur la Protection des Données
​
En anglais, cela correspond au GDPR (General Data Protection Regulation), et en néerlandais à AVG (Algemene Verordening Gegevensbescherming). Ce règlement européen remplace la directive sur la protection des données 95/46/CE de 1995.
L'objectif est de mieux protéger la vie privée des citoyens et d'établir des règles uniformes dans toute l'UE. D'une part, il donne aux individus plus de contrôle sur la façon dont leurs données personnelles sont utilisées. D'autre part, le RGPD pose un cadre juridique clair et uniforme dans toute l'Europe afin que les entreprises sachent comment garantir la vie privée.
​
À qui s'applique le RGPD ?
​
Toute organisation, entreprise ou administration qui collecte et traite des données personnelles de citoyens européens doit respecter le RGPD, indépendamment de l'endroit où elle est établie. Par exemple, une entreprise américaine traitant les données d'utilisateurs européens doit se conformer au RGPD.
Si vous gérez une boutique physique ou en ligne et que vous collectez les adresses de vos clients pour leur envoyer des courriers ou e-mails, vous êtes concerné par le RGPD.
Il est essentiel de comprendre ce que sont les données personnelles. Le règlement fait référence aux PII (Personally Identifiable Information). Cela inclut non seulement les noms, adresses, numéros d'identité, dates de naissance, mais aussi les données numériques telles que les localisations, adresses IP, cookies, et les tags RFID. Les données de santé, ainsi que les données génétiques, biométriques, raciales, ethniques, l'orientation sexuelle et les opinions politiques en font aussi partie.
​
Principes clés résumés :
​
Collecte de données, en ligne et hors ligne :
-
L'utilisateur doit donner un consentement explicite. Les cases pré-cochées (opt-out) ne sont plus autorisées. L'utilisateur doit lui-même cocher la case (opt-in) pour recevoir des newsletters ou messages commerciaux.
-
Tout utilisateur de DIPLA, à partir du 24 mai, devra vérifier ses données et donner son consentement explicite à Profisi pour leur traitement.
-
Profisi ne crée pas d'utilisateurs. L'utilisateur ayant les droits "orgadmin" peut ajouter des personnes dans DIPLA.
-
Exceptions : Le traitement de données sans consentement est permis lorsqu'il est nécessaire à l'exécution d'un contrat, d'une obligation légale, d'une mission d'intérêt public, ou pour protéger des intérêts vitaux.
Le responsable du traitement doit clairement indiquer quelles données sont collectées et dans quel but.
Dans DIPLA, seules les données suivantes sont enregistrées : nom d'utilisateur, nom, prénom et adresse e-mail, liés à un identifiant utilisateur unique. Cet identifiant est utilisé dans DIPLA pour enregistrer les actions, modifications, tâches, mesures et photos (avec coordonnées GPS dans MyDIPLA).
Le nom de l'utilisateur n'est affiché que si nécessaire au fonctionnement de DIPLA. L'utilisateur peut anonymiser son nom, ce qui conserve les données sans lien personnel.
Les données collectées ne peuvent être utilisées qu'à des fins précises et conservées pour une durée limitée.
Profisi conserve les données aussi longtemps que l'organisation dispose d'un abonnement à DIPLA.
​
Conservation des données
​
Les données doivent être conservées dans un système conçu pour protéger la vie privée.
Toute violation de données doit être signalée dans les 72 heures.
Droits des utilisateurs : Les utilisateurs ont le droit de :
-
Accéder à leurs données
-
Voir, corriger, supprimer ou transférer leurs données
-
Obtenir une copie électronique de leurs données personnelles
L'interface de DIPLA est conçue pour offrir à chaque utilisateur et administrateur d'organisation un contrôle total sur ses données personnelles.
Les utilisateurs peuvent retirer leur consentement à tout moment.
Cela peut se faire en demandant l'anonymisation de leur nom.
​
Contrôle et supervision des données
​
Les organisations de plus de 250 employés doivent désigner un Délégué à la Protection des Données (DPD) pour assurer le respect du RGPD.
Cette obligation ne s'applique pas à DIPLA.
Chaque État membre de l'UE a désigné une autorité de contrôle pour superviser le respect du RGPD.
En Belgique, il s'agit de l'Autorité de Protection des Données (APD).
​
Transfert de données
​
Le transfert de données vers des organisations situées hors de l'UE n'est autorisé que si ces organisations peuvent prouver leur conformité au RGPD.
​
Traitement des données
​
Le RGPD exige-t-il un consentement pour chaque traitement ?
Beaucoup de personnes pensent que oui, mais la réponse est non — le consentement explicite n'est pas toujours requis.
Le RGPD vise à mieux protéger la vie privée et à offrir un cadre uniforme en Europe.
Données personnelles : Toute information concernant une personne physique identifiable.
Cela inclut le nom, les numéros d'identification, les données de localisation, les numéros de téléphone, adresses e-mail et identifiants en ligne (comme les cookies).
Les données relatives à l'identité physique, génétique, psychologique, culturelle ou sociale sont aussi concernées, bien que peu courantes dans notre secteur.
​
Personne physique
​
Ce terme ne se limite pas à la sphère privée.
Par exemple :
Un client privé qui enregistre un domaine : son nom et e-mail sont des données personnelles.
Mais le nom et l'e-mail personnel (ex. jan.peeters@company.be) d'un employé d'un revendeur le sont également.
Vous pouvez donc traiter des données personnelles aussi en contexte professionnel.
​
Définition de traitement
​
Le traitement inclut toute opération sur des données personnelles.
Il ne s'agit pas uniquement d'opérations complexes. Le simple fait de collecter des données est déjà un traitement.
Règles d'or pour le traitement :
-
Traitement licite, équitable et transparent
-
Objectifs déterminés, explicites et légitimes
-
Traitement limité au strict nécessaire
-
Exactitude des données et correction rapide des erreurs
-
Conservation limitée dans le temps
-
Sécurité contre les pertes ou accès non autorisés
​
Consentement et équivalents
​
La règle de base :
Un traitement est licite si la personne concernée a donné son consentement explicite et informé.
Ce consentement doit résulter d'une action claire et positive — l'inaction ne suffit pas.
​
Responsable du traitement vs. Sous-traitant
​
Deux rôles clés du RGPD :
-
Responsable du traitement
La personne ou l'entité qui détermine seule ou conjointement les objectifs et les moyens du traitement.
Il est responsable devant l'autorité et doit permettre aux personnes concernées d'exercer leurs droits. -
Sous-traitant
La personne ou l'entité qui traite des données pour le compte du responsable.
Ex. : fournisseurs de services IT, secrétariats sociaux.
Tous les sous-traitants ne sont pas des "sous-traitants RGPD". Cela ne concerne que ceux qui traitent des données personnelles pour le compte d'autrui.
​
Contexte DIPLA
Toutes les données dans DIPLA appartiennent à une organisation.
DIPLA est uniquement un outil de collecte, de stockage et de traitement de ces données.
Source : Commission européenne – Responsables et Sous-traitants