boussole pour guider vers la conformité

Guide RGPD, épisode 4 : les avez-vous bien collectées ?

Lors de l’épisode 3, nous avions commencé à compléter notre registre des traitements.

Nous allons maintenant vérifier si nos données ont été collectées en conformité avec le règlement.

Le consentement à l’utilisation des données est un des fondements du règlement, dont les conditions applicables sont définies aux articles 4 et 7 du RGPD. Le consentement doit être libre, spécifique, éclairé et univoque.

Le consentement est l’un des fondements possibles du traitement automatique des données : c’est celui qui s’applique notamment aux opérations de marketing direct.

PRÉCISONS CES NOTIONS AVEC QUELQUES EXEMPLES CONCRETS

Le consentement doit être libre, ne pas être contraint, ni influencé. Si la personne refuse le traitement, elle ne doit pas subir de conséquences négatives.

Par exemple, un opérateur de téléphonie mobile recueille le consentement de ses clients pour l’utilisation de leurs coordonnées par des partenaires à des fins de prospection commerciale. Le consentement est considéré comme libre, à condition que le refus des clients n’impacte pas la fourniture du service de téléphonie mobile (exemple donné par la CNIL).


Le consentement doit être spécifique
, il doit correspondre à un seul traitement, pour une finalité déterminée.

Si le traitement comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités.

Par exemple, un distributeur de matériel électronique souhaite recueillir des données pour enregistrer le matériel et gérer la garantie, mais aussi pour les partager avec des partenaires commerciaux. Le client doit pouvoir consentir à l’un ou l’autre des traitements de manière séparée.


Le consentement doit être éclairé
, il doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente :

  • L’identité du responsable du traitement ;
  • Les finalités poursuivies ;
  • Les catégories de données collectées ;
  • L’existence et les modalités d’un droit de retrait du consentement ;
  • L’utilisation des données dans le cadre de décisions individuelles automatisées ou le transfert vers un pays hors Union européenne.


Le consentement doit être univoque 
: il doit être donné par une déclaration ou tout autre acte positif clair. Les cases pré-cochées, les consentements groupés, les validations par défaut sont donc à proscrire.

JE DISPOSE DÉJÀ DE DONNÉES, DOIS-JE LES FAIRE REVALIDER ?

Si vos données ont été recueillies avant l’application du RGPD, mais en conformité avec celui-ci (c’est-à-dire en ayant respecté les points ci-dessus), il n’est pas nécessaire de les faire valider de nouveau. Dans le cas contraire, vous devez ré-obtenir un consentement.

LA CONFORMITÉ DE MON SITE WEB POUR LA COLLECTE DE DONNÉES PERSONNELLES ?

En plus des mentions légales déjà existantes, le RGPD stipule que les données suivantes doivent être mentionnées  (source: service-public.fr) :

  • Coordonnées du délégué à la protection des données (DPO ou DPD) de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles ;
  • Finalité poursuivie par le traitement auquel les données sont destinées ;
  • Caractère obligatoire ou facultatif des réponses et conséquences éventuelles à l’égard de l’internaute d’un défaut de réponse ;
  • Destinataires ou catégories de destinataires des données ;
  • Droits d’opposition, d’interrogation, d’accès et de rectification ;
  • Le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un Etat n’appartenant pas à l’Union européenne;
  • Base juridique du traitement de données (c’est-à-dire ce qui autorise légalement le traitement : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, notamment) ;
  • Mention du droit d’introduire une réclamation (plainte) auprès de la CNIL.

 

Lors de l’épisode 5, nous analyserons la protection des données.

Auteur : François Gervais, Vert & Bleu Conseil

 

Ce sujet vous intéresse ? Inscrivez-vous à notre liste de diffusion RGPD, et réservez dès à présent votre matinée du 23 mai prochain ! Plus d’infos très bientôt…

    Partager sur