Données personnelles : 4 points clés pour respecter le RGPD
La procédure de traitement des données personnelles est encadrée par le Règlement général de protection des données (RGDP). L’opération n’est en effet valide que dans la mesure où le consentement express de la personne concernée n’a souffert d’aucune irrégularité.
Dans ce billet, nous vous proposons de prendre connaissance de quatre points clés pour se conformer aux recommandations du RGPD (ou GDPR en Anglais) en matière de recueil du consentement et de traitement des données.
La transparence du consentement
Le consentement est indispensable dans le cadre du traitement des données personnelles des internautes. Il doit être à la fois libre, spécifique, éclairé et univoque.
Un consentement libre suppose que l’internaute n’a été ni influencé ni contraint. Il doit pouvoir décider librement sans être victime de représailles en cas de refus.
Mieux, le caractère libre est apprécié dans le cas où le refus de consentir à un service qui n’est pas nécessaire à l’exécution d’un contrat n’impacte pas négativement son exécution.
La spécificité a trait à l’unicité. En effet, un consentement ne doit correspondre qu’à un seul traitement pour une finalité bien déterminée. Dans le cas d’un traitement qui intègre plusieurs finalités, des mesures doivent être prises pour que l’internaute puisse choisir librement l’une ou l’autre des finalités pour lesquelles il consent au traitement de ces données.
Un consentement éclairé signifie que le responsable du traitement met à la disposition de l’internaute toutes les informations jugées nécessaires pour l’accompagner dans son choix.
Par univoque, on entend sans ambiguïté. Ainsi, le consentement doit être donné par un acte positif clair. Toute autre déclaration émanant de l’internaute est aussi suffisante pour rendre licite le traitement des données.
La preuve du consentement
En matière de traitement de données, ce n’est pas tout que le consentement soit valide. Encore faudrait-il en conserver la preuve afin de pouvoir démontrer à tout moment que la personne concernée a bien donné son consentement.
Selon la Commission nationale de l’informatique et des libertés (CNIL), la preuve du consentement est fournie par quatre éléments : le contenu, la finalité, le caractère positif du choix et la date.
Ainsi, il est nécessaire de garder une trace de l’appel à consentement soumis à l’internaute. Un registre des consentements peut être inséré dans la documentation générale de l’organisme en charge du traitement.
Les droits de l’internaute
Toute personne doit pouvoir prendre connaissance de certaines informations lorsque ses données personnelles sont demandées.
Le RGPD recommande de mettre à sa disposition : l’identité du responsable de traitement (DPO), les coordonnées du Délégué à la protection des données, les personnes pouvant y accéder, la finalité des traitements, le type de données collectées, leur durée de conservation, l’existence du droit de demander l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci et la procédure pour exercer son droit d’accès, de rectification et d’effacement.
L’internaute doit être informé de ses droits et de la procédure mise en place s’il décide de retirer son consentement.
La sécurité des données personnelles
Le transfert des données personnelles doit faire l’objet d’une protection contre le traitement non autorisé, la perte, la destruction ou les dégâts d’origine accidentelle.
Comme mesure, la CNIL préconise de rendre obligatoire l’utilisation des versions plus récentes du protocole de sécurisation TLS. Ainsi, l’ensemble des formulaires soumis en ligne doit pouvoir s’afficher sur des landing pages sécurisées en HTTPS.
Centraliser la gestion et les traitements des consentements
La gestion des données utilisateurs et des consentements est un vaste chantier qui peut être lourd à mettre en place pour de petites structures. Pour aider les entreprises il existe des outils et logiciel comme Central Consent Manager permettant de centraliser la gestion de toutes les données utilisateur de l’entreprise et ainsi faciliter une mise en conformité.