Qu’est-ce qu’une donnée personnelle ?
C’est l’ensemble des informations rapportant à une personne physique identifiée ou identifiable, directement ou non, grâce à un identifiant ou à un ou plusieurs éléments propres à son identité. (Nom, prénom, adresse mail, localisation, numéro de carte d’identité, adresse IP, photo…).
Ainsi, certaines informations dites « sensibles » ne doivent pas figurer dans un fichier : croyance religieuse, appartenance politique, origine ethnique, etc … Sauf exception prévue par la loi ou autorisation de la CNIL. La loi soumet les responsables de la collecte et du traitement d’informations à un certain nombre d’obligations.
Quelles sont les organisations permettant de règlementer et protéger les données personnelles ?
Premièrement, la CNIL (commission nationale de l’informatique et des libertés) qui, en tant qu’autorité administrative indépendante, vérifie que la loi soit respectée.
Ensuite, la loi « informatique et libertés » précise les principes et modalités du traitement informatique des données à caractère personnel. De plus, l’article 34 de cet loi précise que :
Les responsables des traitements sont tenus de prendre toutes précautions utiles, au regard de la nature des données et des risques présentées par le traitement, pour préserver la sécurité des données et notamment empêcher qu’elles soient déformées endommagées ou que des tiers y aient accès.
Enfin, le RGPD (règlement général sur la protection des données) impose aux organisations de collecte et traitement des données à caractère personnel une obligation de transparence et de loyauté envers les personnes concernées. C’est un règlement européen qui complète les lois françaises en vigueur. Lorsque des manquements au RGPD ou à la loi « informatiques et libertés » sont contactés, la CNIL peut prononcer des sanctions pénales et/ou pécuniaires envers les organisations contrevenantes. Cette nouvelle obligation nécessite que les organismes mettent en place des procédures permettant de détecter puis de remonter les incidents de sécurité.
Compte tenu de la sensibilité du sujet et des cas qui explosent en France depuis 2018, l’objectif a été d’établir une trame de fond permettant aux entreprises de mieux comprendre la mise en application du RGPD.
Les actions à réaliser pour établir un audit interne :
- Faire l’inventaire de sa base de données,
- Faire la cartographie des traitements actuels de la base de données,
- Limiter les traitements et la conservation des données,
- Identifier la base juridique qui permet et autorise le traitement des données,
- Informer les clients sur leurs droits,
- Désigner un DPO,
- Vérifier les mesures de confidentialité des données.
