1. Faire apparaître les mentions d’information RGPD au moment de la collecte
Le RGPD impose dans son article 13 que la personne qui collecte des données personnelles (le responsable du traitement), informe clairement les personnes concernées de ce qui sera fait de leurs données. Voir le détail des mentions d’information ici.
1.1 Rédiger les mentions d’information RGPD (process automatisé)
Une manière simple de rédiger ces mentions automatiquement est d’utiliser un logiciel de gestion de la conformité RGPD, qui va pré-rédiger les mentions d’information (il est possible de les écrire à la main mais il faut compter 1/2 journée en moyenne)
Par exemple, une entreprise qui souhaite collecte des données personnelles d’une personne, afin de lui proposer de répondre à une offre d’emploi peut simplement exporter les mentions légales RGPD de la manière suivante :
Cette étape permettra de générer les mentions d’information suivantes :
1.2. Afficher ces mentions sur le support de collecte des données
Une fois les mentions légales générées, le plus difficile est fait, car il suffit ensuite simplement d’afficher ces mentions à l’utilisateur au moment de la collecte des données personnelles.
Vu la taille des mentions légales, la CNIL accepte un renvoi vers un document séparé, à condition d’afficher au minimum trois éléments :
- l’identité du responsable de traitement (le contenu de la première case)
- les finalités du traitement (le contenu de la 3ème case)
- les droits des personnes
On peut ensuite ajouter un lien vers les mentions détaillées, ou les faire apparaître dans une fenêtre nouvelle (popup).
2. Vérifier que la collecte des données est minimisée
Une seconde obligation essentielle à respecter est de s’assurer de la minimisation des données. En effet, le RGPD impose au responsable de traitement (la personne qui collecte les données) de ne collecter que le minimum de données dont il a besoin, au regard de son objectif (la finalité du traitement).
L’obligation est imposée par l’article 5 du RGPD qui précise que les données personnelles doivent être :
«_ adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données)_»
Prenons un exemple concret afin d’illustrer notre propos : la mise en place d’une newsletter. Le règlement impose, dans un tel cas, de ne collecter que les données qui sont strictement nécessaires à cette newsletter. Quelles sont donc les données susceptibles de pouvoir être collectées à cet égard ?
Réponse : l’email.
Aucune autre donnée ne sera vraiment nécessaire à l’envoi de la newsletter, sauf peut-être le prénom si le responsable du traitement personnalise l’envoi des courriels.
3. Vérifier que le traitement des données a été intégré dans le registre
Une troisième obligation à respecter est de s’assurer que la collecte des données personnelles est bien intégrée dans le registre des traitements. En effet, le RGPD impose d’effectuer le recensement de l’ensemble des traitements de données personnelles mis en oeuvre dans l’organisation.
Avant la réforme de 2016, on procédait à la déclaration à la CNIL du traitement. Aujourd’hui le RGPD impose de déclarer son traitement dans son registre - voici un exemple de registre RGPD réel ici.
En pratique un registre RGPD comporte la liste de tous les traitements de données personnelles mis en oeuvre, tels que par exemple :
- Site Internet
- Paie
- Plan de continuité
- Liste de partenaires
- Contrôle d’accès aux locaux
- Cantine
- Monétique
- Vidéo surveillance
- Géolocalisation de véhicules
- Postes de travail
- Facturation
- Embauche (CV…)
- Outils de prospection commerciale
- Traçabilité des actions informatiques
- Gestion d’accès des sauvegardes
- Logs de serveurs
- Centrale téléphonique
De même qu’une série d’information pour chaque traitement. Il est commun d’utiliser un logiciel de gestion du registre RGPD pour fabriquer le registre automatiquement et le maintenir à jour.