Notre produit
Le malentendu le plus courant en matière de confidentialité des données concerne le type de données personnelles que vous stockez. Bien que le type de données stockées par une application puisse paraître intrusif par rapport à votre vie privée, vous ne pouvez pas juger de la légalité de tel ou tel service juste en regardant l’ensemble de données en question.
Pour en être capable, vous aurez au préalable besoin de définir un objectif légal.
Ce terme qui peut faire penser à un indicateur de performances commerciales est en réalité une notion capitale lorsqu’il s’agit de se conformer au RGPD (Règlement Général sur la Protection des Données).
Avant même de penser à traiter (collecte et stockage) des données personnelles, vous devrez définir l’objectif de ce traitement. Supposons que vous êtes un directeur d’établissement scolaire et que vous souhaitez créer une liste de diffusion incluant les apprenants afin de partager des actualités relatives à la vie de votre établissement. Dans ce cas, l’objectif du traitement des données des apprenants est de gérer une liste de diffusion par laquelle vous partagez des actualités UNIQUEMENT liées aux actualités de votre établissement.
En tant que contrôleur de cette liste de diffusion, définir l’objectif vous permettra de répondre à un certain nombre de questions essentielles liées au RGPD.
1. Comment puis-je rendre le traitement légal vis-à-vis du RGPD ?
Il existe six raisons dîtes « légitimes » pour traiter des données personnelles, et elles nécessitent toutes un objectif. Dans notre exemple plus haut, une approche basée sur le consentement est la plus appropriée. Mais il est important de garder en tête qu’il existe d’autres raisons pour lesquelles une organisation souhaiterait traiter vos données (dans l’intérêt public par exemple). Cependant, tout traitement doit avoir un objectif clairement défini et transparent pour être légal.
2. Quels types de données personnelles suis-je autorisé à traiter ?
Le RGPD fonctionne sur le principe de minimisation de données. Si nous reprenons notre exemple de liste de diffusion plus haut, les noms et e-mails devraient suffire. Par contre, collecter des informations telles que le genre (homme ou femme) des membres ne serait pas légal. Tout simplement car l’objectif du traitement de données ne le nécessite pas.
A lire également : Renforcer la sécurité de son mot de passe pour mieux protéger ses données.
3. Quel type de sécurité dois-je mettre en place pour protéger les données ?
Avoir une bonne compréhension de votre objectif ainsi que du type de données que vous collectez/stockez, vous informera sur le niveau de sécurité nécessaire. Avez-vous envisagé le pire des scénarios (le piratage de votre base de données) ? Quels mécanismes devez-vous mettre en place pour vous en prémunir ? Une utilisation abusive d’adresses e-mail est l’un des moyens les plus courants de commettre une fraude. Assurez-vous donc de mettre en place des mécanismes offrant une sécurité appropriée au traitement, idem si vous passez par un fournisseur tiers, veillez à ce que ce dernier offre également des garanties appropriées.
4. Comment collecter des données personnelles et informer les utilisateurs ?
Le point de départ sera d’informer les utilisateurs de l’objectif de la collecte des données. Reprenons l’exemple du directeur d’établissement. Vous ne pouvez pas vous servir de l’objectif initial (créer une liste de diffusion pour partager des actualités liées à la vie de l’établissement) comme un prétexte pour SPAMMER vos apprenants avec des e-mails dont l’objectif serait de vendre des solutions éducatives. Le principe directeur de la collecte des données est que celle-ci doit TOUJOURS se faire de manière transparente.
A lire également : RGPD & Confidentialité : 5 enseignements après 2 ans d’enseignement à distance.
5. Quand dois-je supprimer les données personnelles ?
Comme la plupart des objectifs, le vôtre arrivera également à son terme à un moment donné. Ce terme coïncidera à la fin de la validité de votre objectif ou si le traitement des données n’est plus légal. Dès lors, vous aurez l’obligation de supprimer les données.
Dans le cas de notre liste de diffusion, l’objectif prendra fin à partir du moment où il y a retrait de consentement d’un ou plusieurs apprenants ou dans le cas d’un changement d’établissement.
Si en tant qu’utilisateur, vous vous posez des questions à propos du type de données dont un service dispose à votre sujet, voici les questions auxquelles vous devrez répondre pour vous assurer que ce dernier respecte bien votre vie privée :
- Quel est l’objectif de ce service qui collecte/stocke mes données ?
- Quelle est la raison présentée pour exploiter mes données ? Est-elle légale ?
- Le vendeur protège-t-il mes données de manière appropriée ?
- En tenant compte des points 1, 2 et 3, les données que je consens à partager sont-elles raisonnables ?
L’avantage du RGPD est qu’il oblige les contrôleurs à rendre ces informations facilement accessibles aux utilisateurs d’un service. Avec un peu de chance, il y aura davantage de transparence sur l’exploitation des données personnelles après le 25 mai 2018.
Retrouvez l’intégralité de notre plan d’action sur notre FAQ.
Nadjirou Timera, itslearning
Publié le 21 mai 2018, mis à jour le 23 juin 2022
Abonnez-vous à notre newsletter
Continuer la lecture…
Actualités
avril 24, 2023
Actualités
avril 20, 2023
Actualités
janvier 24, 2023
Actualités
janvier 9, 2023
Actualités
janvier 4, 2023
Actualités
janvier 2, 2023
Actualités
décembre 7, 2022
Actualités
octobre 10, 2022
Actualités
octobre 10, 2022
Actualités
octobre 10, 2022
Actualités
août 22, 2022
Actualités
juin 23, 2022
