L’article 4 du RGPD définit une donnée personnelle comme “toute information se rapportant à une personne physique identifiée ou identifiable”. C’est donc une notion très large qu’il est nécessaire de préciser.

Une personne peut être identifiée :

• Directement (exemple : nom, prénom)
• Indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone),…)

L’identification d’une personne physique peut être réalisée :

• à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN)  
• à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)

L’article 4 définit aussi la notion de « traitement » des données personnelles comme “toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte l’enregistrement” par exemple.

 Le RGPD régule donc le le traitement des données personnelles mais offre aussi des conseils pour éviter un possible contentieux.

Créer un registre sur le traitement des données personnelles

Un autre conseil est celui de créer un registre dédié au traitement des données personnelles de vos utilisateurs. En effet, le registre est constitué de fiches pour chaque activité recensée, et précise :

• L’objectif poursuivi (exemple : la fidélisation client) ;
• Les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire) ;
• Celui qui a accès aux données (exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;
• La durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).

Un tel registre permet de gagner du temps lorsqu’une demande d’information est faite puisque toutes les informations nécessaires sont déjà répertoriées.

Le traitement de données personnelles

Le traitement de données personnelles nécessite une base légale. En effet, pour être légal, le traitement doit être basée sur l’une des conditions suivantes exposées à l’article 6 du RGPD: 

• Le consentement : la personne a consenti au traitement de ses données ;
• Le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;
• L’obligation légale : le traitement est imposé par des textes légaux ;
• La mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
• L’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ;
• La sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.

Le RGPD a aussi posé l’exigence de collecter uniquement les informations nécessaires et essentielles à l’exécution de votre activité, ainsi que celle de prévoir une date limite de conservation des données.

En plus de ces exigences, le RGPD indique aussi tous les droits des utilisateurs à respecter incluant : 

• Le droit à l’information
• Le droit d’accès aux données
• Le droit de rectification 
• Le droit d’effacement
• Le droit d’opposition.

Le recours à un avocat pour vous accompagner dans vos démarches

Grâce à notre formulaire La protection des données personnelles sur un site internet vous pourrez vous tenir informé de vos droits et obligations. Enfin, vous pourrez à terme être mis en relation avec un avocat afin d’obtenir une assistance, un accompagnement pour vos recours et démarches juridiques et profiter de l’expérience d’un professionnel du droit. Vous pourrez ainsi choisir entre plusieurs prestations :  assistance juridique, rédaction d’un document juridique ou encore se faire représenter par celui-ci.