Mieux comprendre les termes clés pour propulser votre croissance
-
d
- Dashboard (Tableau de bord)
- Data
- Data broker
- Data lake
- Data mining (Exploration de données)
- Data-driven (Piloté par les données)
- Deep Learning
- Données anonymisées
- Données B2B : définition
- Données intentionnelles
- Données légales
- Données ouvertes (Open Data)
- Données personnelles
- Données structurées et non structurées
Protection des données personnelles
Protection des données personnelles : définition
La protection des données personnelles désigne l’ensemble des règles, procédures et responsabilités permettant à une organisation de respecter les droits des personnes concernées et de démontrer sa conformité au RGPD. Elle repose notamment sur le principe d’accountability, ou responsabilisation, qui impose au responsable du traitement de pouvoir documenter et justifier sa conformité, au-delà du simple respect formel des obligations.
Les droits des personnes concernées
Le RGPD reconnaît plusieurs droits aux personnes dont les données sont traitées. Le droit d’accès permet d’obtenir la confirmation qu’un traitement est mis en œuvre et d’en connaître les principales modalités. Le droit de rectification permet de corriger une donnée inexacte ou incomplète. Le droit à l’effacement, parfois appelé droit à l’oubli, permet d’obtenir la suppression de données dans certaines conditions, notamment lorsqu’elles ne sont plus nécessaires à la finalité poursuivie. Le droit d’opposition permet de s’opposer à certains traitements, notamment à des fins de prospection commerciale. Le droit à la portabilité permet, dans les cas prévus par le RGPD, de récupérer certaines données dans un format structuré pour les transmettre à un autre responsable de traitement. Ces droits doivent pouvoir être exercés sans formalisme excessif. Le responsable du traitement doit en principe répondre dans un délai d’un mois, prolongeable dans certains cas.
Le registre des traitements
Le registre des activités de traitement recense les traitements de données personnelles mis en œuvre par une organisation : finalités poursuivies, catégories de données concernées, destinataires, durées de conservation et mesures de sécurité associées. Prévu par l’article 30 du RGPD dans les cas concernés, il constitue un outil central de pilotage et de documentation de la conformité.
Le délégué à la protection des données
Certaines organisations doivent désigner un délégué à la protection des données (DPO), notamment les autorités ou organismes publics concernés, les organisations qui effectuent un suivi régulier et systématique des personnes à grande échelle, ou celles qui traitent à grande échelle des catégories particulières de données. Le DPO conseille l’organisation, contribue au contrôle du respect du RGPD en interne et constitue un point de contact avec l’autorité de contrôle et les personnes concernées.
Limites
Une conformité uniquement formelle ne suffit pas. Un registre tenu, un DPO désigné ou une politique de confidentialité publiée ne garantissent pas, à eux seuls, le respect effectif des droits des personnes si les processus internes ne permettent pas réellement de traiter une demande d’accès, de rectification, d’opposition ou d’effacement dans les délais applicables. Le non-respect de ces obligations peut exposer à des sanctions significatives. Le RGPD prévoit des amendes administratives pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. À titre d’exemple, la CNPD luxembourgeoise a prononcé en 2021 une amende de 746 millions d’euros à l’encontre d’Amazon Europe Core S.à r.l.
Voir aussi
RGPD
Consentement utilisateur
Sécurisation des données
Sources et références
CNIL. Les droits pour maîtriser vos données personnelles. Présentation des droits d’accès, de rectification, d’effacement, d’opposition et de portabilité.
CNIL. Le registre des activités de traitement. Obligation prévue par l’article 30 du RGPD.
CNIL. Désigner un délégué à la protection des données (DPO). Cas de désignation obligatoire et missions du DPO.
CNPD Luxembourg. Décision concernant Amazon Europe Core S.à r.l.