Traitement des données : quelles sont vos obligations ?
Le traitement des données est une notion centrale du RGPD, puisque c’est le critère même de son application. Autrement dit, vous êtes concerné par le RGPD dès que vous opérez une opération de traitement des données en direction de résidents européens. Revenir sur cette notion centrale est donc important.
Qu’est-ce que le traitement des données ? Qu’ai-je le droit de faire ? Quelles sont mes obligations en tant que responsable du traitement des données ou dirigeant ? La conformité au RGPD est devenu un enjeu majeur pour les dirigeants des entreprises et organisations européennes. Nous vous éclairons sur la notion de traitement des données, vos obligations, et sur comment vous mettre en conformité avec le RGPD.
Qu’est-ce que le traitement des données au sens du RGPD ?
Traitement des données : définition
La notion de traitement des données est définie par le RGPD dans son article 4. A la lecture de la définition, on se rend compte que la notion de traitement est extrêmement large. Elle désigne toute action ou opération faite sur la donnée. Il peut s’agir de collecte, de classement, d’organisation de la donnée, de sa transmission, par exemple.
Dès lors que vous récupérez de la donnée, quelle que soit l’utilisation qui en est faite, vous entrez donc très probablement dans le champ du traitement des données défini par le RGPD. Il n’y a donc aucune condition de secteur, de type de donnée ou encore de taille d’entreprise. C’est pourquoi les PME sont concernées par le RGPD, par exemple. C’est au niveau des obligations que des ajustements sont faits en fonction de la taille de l’entreprise, comme on va le voir plus loin.
Qu’est-ce que la donnée personnelle ?
Reste à définir rapidement la notion de donnée personnelle elle-même. En effet, si le traitement des données est très large sur ce qu’est le traitement lui-même, encore faut-il qu’il s’agisse de donnée personnelle au sens du RGPD. Là encore, c’est l’article 4 du texte qui définit la notion. Une donnée personnelle est une donnée portant sur une personne physique identifiée ou identifiable. Ce point mérite une seconde d’attention. Une personne quand elle peut être identifiée directement ou indirectement. Il peut s’agir d’une désignation par un pseudo, un numéro client ou un identifiant quelconque, évidemment un nom, un numéro de téléphone, etc. voire par différentes caractéristiques physiques, physiologiques, psychiques ou culturelles, comme ses préférences.
Parmi ces données, on retrouve dans le RGPD la notion de données sensibles, qui portent par exemple sur des informations de santé, ethniques ou religieuses ou encore sur l’orientation sexuelle. Celles-ci méritent une attention particulière et des normes de sécurité supérieures. Néanmoins, vous l’aurez compris, il n’est pas nécessaire que la donnée soit considérée comme sensible pour que l’entreprise opère un traitement des données.
Enfin, il faut noter que la personne concernée par la donnée peut varier. Ainsi, il peut s’agir de vos clients, partenaires, fournisseurs, utilisateurs et même de vos salariés. Utiliser un logiciel de gestion de paie par exemple, c’est déjà faire du traitement de données.
Quelles sont vos obligations dans le traitement des données ?
Le traitement des données n’est évidemment pas interdit par le RGPD. C’est justement le critère qui permet de déterminer qui est concerné par le RGPD. En revanche, traiter les données vous soumet à plusieurs obligations.
Tenir un registre des activités de traitement
Ce registre regroupe différentes informations : identité du responsable du traitement des données, catégories de données traitées, finalités du traitement, durée de conservation, etc.… À noter que pour les PME, ces obligations sont allégées pour ne concerner que les traitements non-occasionnels, ceux qui présentent un risque pour les droits et libertés des personnes concernées ou encore ceux portant sur des données sensibles.
Le recours aux sous-traitants
Le RGPD encadre les sous-traitants lorsque leur mission comprend un traitement des données. Plusieurs obligations sont nécessaires, notamment vous assurer que vos sous-traitants offrent des garanties suffisantes de sécurité de la donnée.
Le principe d'accountability
L’entreprise doit créer une documentation permettant de démontrer à tout moment que les principes du RGPD sont respectés. Notamment, il vous faut justifier que la donnée est effectivement utilisée pour remplir les finalités prévues.
La nomination d'un DPO
Dans certains cas, la nomination d’un DPO responsable du RGPD dans l’entreprise est nécessaire. Dans tous les cas, nommer un DPO peut vous aider, notamment pour dresser la documentation requise.
Sécurité de la donnée
Tout traitement des données entraîne une obligation de sécurisation de la donnée. L’entreprise doit mettre en place des mesures pour protéger les documents et données, qu’elles soient sur papier (sécuriser l’accès aux locaux) ou numériques.
Principe de limitation / Principe de minimisation
Ces deux principes fonctionnent ensemble et peuvent se résumer ainsi : le traitement des données doit être minimal proportionnellement aux finalités poursuivies. Cela signifie que les opérations ne doivent pas excéder les finalités pour lesquelles le consentement a été recueilli (si le RGPD exige le consentement).
De plus, il est nécessaire de limiter l’accès des personnes à la donnée : seules les équipes concernées par les opérations à effectuer doivent avoir accès à la donnée, et seulement aux documents utiles à leur mission.
Better Seald than sorry.