Mieux comprendre les termes clés pour propulser votre croissance

Protection des données personnelles

Protection des données personnelles : définition

La protection des données personnelles désigne l’ensemble des règles, procédures et responsabilités permettant à une organisation de respecter les droits des personnes concernées et de démontrer sa conformité au RGPD. Elle repose notamment sur le principe d’accountability, ou responsabilisation, qui impose au responsable du traitement de pouvoir documenter et justifier sa conformité, au-delà du simple respect formel des obligations.

 

Les droits des personnes concernées

Le RGPD reconnaît plusieurs droits aux personnes dont les données sont traitées. Le droit d’accès permet d’obtenir la confirmation qu’un traitement est mis en œuvre et d’en connaître les principales modalités. Le droit de rectification permet de corriger une donnée inexacte ou incomplète. Le droit à l’effacement, parfois appelé droit à l’oubli, permet d’obtenir la suppression de données dans certaines conditions, notamment lorsqu’elles ne sont plus nécessaires à la finalité poursuivie. Le droit d’opposition permet de s’opposer à certains traitements, notamment à des fins de prospection commerciale. Le droit à la portabilité permet, dans les cas prévus par le RGPD, de récupérer certaines données dans un format structuré pour les transmettre à un autre responsable de traitement. Ces droits doivent pouvoir être exercés sans formalisme excessif. Le responsable du traitement doit en principe répondre dans un délai d’un mois, prolongeable dans certains cas.

 

Le registre des traitements

Le registre des activités de traitement recense les traitements de données personnelles mis en œuvre par une organisation : finalités poursuivies, catégories de données concernées, destinataires, durées de conservation et mesures de sécurité associées. Prévu par l’article 30 du RGPD dans les cas concernés, il constitue un outil central de pilotage et de documentation de la conformité.

 

Le délégué à la protection des données

Certaines organisations doivent désigner un délégué à la protection des données (DPO), notamment les autorités ou organismes publics concernés, les organisations qui effectuent un suivi régulier et systématique des personnes à grande échelle, ou celles qui traitent à grande échelle des catégories particulières de données. Le DPO conseille l’organisation, contribue au contrôle du respect du RGPD en interne et constitue un point de contact avec l’autorité de contrôle et les personnes concernées.

 

Limites

Une conformité uniquement formelle ne suffit pas. Un registre tenu, un DPO désigné ou une politique de confidentialité publiée ne garantissent pas, à eux seuls, le respect effectif des droits des personnes si les processus internes ne permettent pas réellement de traiter une demande d’accès, de rectification, d’opposition ou d’effacement dans les délais applicables. Le non-respect de ces obligations peut exposer à des sanctions significatives. Le RGPD prévoit des amendes administratives pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. À titre d’exemple, la CNPD luxembourgeoise a prononcé en 2021 une amende de 746 millions d’euros à l’encontre d’Amazon Europe Core S.à r.l.

 

Voir aussi

RGPD
Consentement utilisateur
Sécurisation des données

 

Sources et références

CNIL. Les droits pour maîtriser vos données personnelles. Présentation des droits d’accès, de rectification, d’effacement, d’opposition et de portabilité.

CNIL. Le registre des activités de traitement. Obligation prévue par l’article 30 du RGPD.

CNIL. Désigner un délégué à la protection des données (DPO). Cas de désignation obligatoire et missions du DPO.

CNPD Luxembourg. Décision concernant Amazon Europe Core S.à r.l.

Retour aux definitions
Trouver des entreprises
Demande sur-mesure Trouver des entreprises