Cette fois c'est sûr, votre entreprise est sujette au règlement européen sur la protection des donnée ! Concernée certes, mais pour quel type de données à caractère personnel ?
Pour qualifier les données personnelles, la nouvelle réglementation européenne a repris la définition déjà existante de la Directive 95/46/CE.
Il est utile de faire un rappel sur les différentes natures de données existantes, en conséquence la fiche suivante reprendra les principales informations à connaitre pour aborder avec confiance la réglementation.
Et si vous voulez vous assurer d'avoir bien appréhendé la notion de données identifiées, identifiables ou sensibles , vous pouvez tester vos connaissances en effectuant le quizz associé.
Avec cette nouvelle réglementation, il y a deux principes fondamentaux:
1) les données en possession doivent être limitées au minimum nécessaire pour la finalité du traitement.
C'est le principe de minimisation des données. L’idée est de ne gérer que les données à caractère personnel indispensables à la marche et au développement de l'entreprise. Dans votre projet de conformité au RGPD, pour chaque donnée à caractère personnel il faudra se poser la question : quel traitement est fait de cette donnée, quelle valeur nous apporte cette information ?
2) le niveau de protection des données doit être proportionnel à leur sensibilité.
Dans le cas d'une violation de sécurité entraînant notamment la divulgation non autorisée de données à caractère personnel, plus la gravité des dommages ou préjudices potentiels causés sur les libertés et les droits fondamentaux des personnes concernées sera importante, plus l’Autorité Nationale de Protection des Données (en France la CNIL) va considérer que les mesures de sécurité n’étaient pas à la hauteur de l'enjeu, et donc plus le montant de l'amende sera élevé.
RGPD - Données à caractère personnel - Quizz
Les commerciaux de l'entreprise ont accès via leurs propres mobiles aux données à caractère personnel des clients et prospects de l'entreprise, notamment : le nom et prénom d'un contact, une adresse postale, une adresse de messagerie électronique, le genre, le statut marital et la date d'anniversaire.
Question 1:
Ces données sont-elles des données sensibles ?
Question 2:
Lors d'une discussion informelle sur le RGPD entre IT et Marketing, autour d'un café, il apparaît qu'aujourd'hui c'est au bon vouloir des commerciaux de souhaiter un joyeux anniversaire à leur contact. Et personne ne sait dire à quoi sert vraiment l'information "genre". La personne de l'IT propose de supprimer purement et simplement ces données. Est-ce judicieux ?
Question 3:
Les données à caractère personnel concernant les clients et les prospects sont dans le nuage, en mode SaaS. L'entreprise considère que c'est au fournisseur de service de s'assurer de la sécurité et de la protection de ses données. Est-ce suffisant ?
Vous trouverez les réponses à vos questions ici.
Vous pouvez aussi consulter :
Préambule au Règlement Général sur la Protection des Données
Le RGPD et son Champ d'Application
Préambule au Règlement Général sur la Protection des Données
Le RGPD et son Champ d'Application
