2 GRANDS PRINCIPES DU RGPD

Nous avons parlé la dernière fois des Données à Caractère Personnel (DCP) dans le cadre du nouveau Règlement Général sur la Protection des Données. Les organismes qui traitent des données personnelles ont la responsabilité de les maîtriser afin de les protéger.

Est-ce que les données que vous collectez par rapport à vos clients, vos salariés, vos sous-traitants sont essentiels pour atteindre vos objectifs à un moment donné ?

Et, savez-vous combien de temps vous devriez conserver ces données ?

Intéressons-nous donc à deux grands principes du règlement Européen (RGPD), concernant les données à caractère personnel. Il s’agit des principes suivants :

⇨ Le principe de proportionnalité et de pertinence

Selon le Règlement Général sur la Protection des Données, les entreprises ne doivent collecter que les données personnelles pertinentes et nécessaires pour accomplir des objectifs précis, c’est à dire, pour des finalités déterminées.

Disons, la société Untel demande à ce que ses clients laissent leur adresse e-mail ainsi que leur numéro de portable sur son site internet afin de recevoir des newsletters. Or, ces dernières se diffusent par voie électronique, et pour l’instant la société n’utilisera pas les numéros de portables. Pour être en conformité avec le RGPD, le délégué à la protection des données de cette entreprise devrait supprimer, de sa base de données, les numéros de portables de ses clients.

L’avantage de se conformer à ce principe, oui, disons bien l’avantage, c’est que vous auriez moins de données à maîtriser, et en cas éventuelle de fuite de données ou de cyberattaque, la personne intruse n’aura accès qu’à une quantité minimale de données.

⇨ Le principe d'une durée de conservation limitée

Le RGPD dicte un enregistrement des données à caractère personnel pour une durée de conservation limitée qui doit être fixée.

Revenons à notre exemple de la société Untel et l’envoi de ses newsletters. La durée de conservation des adresses mail de ses clients doit donc être déterminée et limitée. Dans ce cas, Untel conserve l’adresse mail tant que la personne concernée ne se désinscrit pas (via le lien de désinscription intégré aux newsletters), et que le service existe.

La CNIL donne des exemples de durées de conservation préconisées :

Dans le cas d'un dispositif de vidéosurveillance poursuivant un objectif de sécurité des biens et des personnes, la conservation des images ne peut excéder 1 mois.

Les données relatives à gestion de la paie ou au contrôle des horaires des salariés peuvent être conservées pendant 5 ans.

Les données figurant dans un dossier médical doivent être conservées 10 ans à compter de la consolidation du dommage.

La Cnil recommande que les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans soient supprimées. (Source: La CNIL)

C’est important, car la CNIL a récemment prononcé une amende de 400 000 euros, et a rendu publique la sanction, à l’encontre d’une société qui ne respectait pas les durées de la conservation des données.

Nous parlerons un peu plus la prochaine fois sur les conséquences de ne pas se conformer.

Plus qu'une obligation légale, se conformer au Règlement Général sur la Protection des Données est une occasion de se questionner sur son approche de la data et des processus informatiques et administratifs.

Nous pouvons vous accompagner !

SumDigi propose un service d’accompagnement à la mise en conformité des entreprises au RGPD. Nous nous déclarons DPO (Délégué à la Protection des Données) auprès de la CNIL et nous serons les interlocuteurs privilégiés auprès de vos collaborateurs et vos clients.

A bientôt sur notre blog!