Suite à l’introduction du RGPD en 2018, de nombreuses entreprises sont confrontées à des défis concernant la façon de traiter les exigences. Ces défis sont toujours d’actualité en 2022. Le traitement et la manipulation appropriés des données personnelles ne sont pas seulement une responsabilité éthique, mais aussi une exigence légale qui, si elle n’est pas respectée, peut entraîner d’énormes amendes, des conséquences financières et une perte de réputation. Combiné au fait que les données personnelles sont partout et que chaque organisation traite des données personnelles d’une manière ou d’une autre, cela laisse les organisations face à un grand défi. Puisqu’il est presque impossible d’éviter le traitement des données personnelles de nos jours, ces 4 principes peuvent s’appliquer à vous, mais son étendue variera en fonction de votre contexte. Par conséquent, je vais expliquer les 4 principes du RGPD avec un exemple qui suivra tout au long de cet article. Cet exemple est conçu pour être le plus générique possible et applicable pour le plus grand nombre d’organisations possible, cliquer ici pour plus d’informations sur ce sujet !
Exemple des 4 principes rgpd
Disons que votre organisation souhaite créer une newsletter en ligne pour vos clients et/ou membres. Votre public peut s’inscrire à la newsletter de plusieurs manières. Ils peuvent par exemple s’abonner à votre newsletter en remplissant un formulaire sur votre site Web, ou ils peuvent également cocher une case lorsqu’ils effectuent un achat sur votre site Web. De cette manière, vous obtenez une base de données de vos clients et vous leur envoyez de temps en temps un contenu pertinent. En outre, vous utilisez cette base de données pour personnaliser votre message à votre public, par exemple en surveillant leur comportement sur votre site Web. C’est assez simple, non ?
Bien, maintenant que nous nous sommes mis d’accord sur un exemple auquel presque tout le monde peut s’identifier, examinons les 4 principes de protection des données dans le RGPD et voyons comment ils se rapportent à notre exemple. Permettez-moi d’abord de faire un avertissement : ces 4 principes du GDPR sont pertinents dans de nombreux autres cas également et vous devriez traduire les points de cet article dans vos propres pratiques. Cela peut être par exemple lorsque vous organisez un concours Instagram, que vous organisez un événement pour vos employés ou que vous maintenez une base de données avec vos contacts professionnels.
1. légalité, équité et transparence
Ok, je sais, j’ai dit principe 1 et vous voyez trois choses. Je vous promets que c’est le seul principe qui comporte plus d’une chose principale (en quelque sorte). Donc, sans vous embrouiller encore plus, laissez-moi vous expliquer : basiquement, ce principe nous dit que le traitement des données personnelles doit être effectué de manière légale, équitable et transparente :
Légale : signifie que vous recueillez des données et les traitez sur une base légale valide. Par exemple, obtenir le consentement de l’utilisateur pour que vous puissiez traiter ses données est un moyen très courant d’obtenir une base légale pour le traitement des données personnelles. Il existe de nombreuses bases légales pour le traitement des données personnelles, que vous pouvez lire ici.
équité : signifie que votre traitement des données personnelles est dans le meilleur intérêt de la personne sur laquelle portent les données et que la portée du traitement peut être raisonnablement attendue par la personne.
Transparence : signifie que vous communiquez clairement ce que, comment et pourquoi vous traitez les données à ceux dont vous traitez les données. Cela doit se faire de manière à ce que les personnes dont vous traitez les données puissent facilement comprendre la portée et les modalités de votre traitement.
2. limitation de la finalité
Ce principe nous dit que vous ne devez traiter les données personnelles que pour la finalité à laquelle vous les avez destinées. En d’autres termes, vous ne devez pas réutiliser les données personnelles à des fins autres que celles auxquelles elles sont destinées. Vous ne devez pas utiliser les données que vous obtenez par le biais de votre newsletter, à d’autres fins que celles que vous avez indiquées. Par exemple, si vous avez indiqué dans le consentement à votre newsletter que vous stockez les adresses IP de vos abonnés pour documenter quand et comment le consentement a été obtenu (car c’est une exigence du GDPR), vous ne pouvez pas utiliser les adresses IP de vos abonnés pour leur envoyer un contenu personnalisé, par exemple des suggestions de produits, qui est ciblé pour leur zone géographique. Cela reviendrait à utiliser leurs données personnelles à une autre fin. En revanche, si vous avez par exemple déclaré que vous collectez leur adresse IP pour envoyer la newsletter et du contenu pertinent, vous pourriez être en mesure d’utiliser leurs données personnelles pour envoyer des e-mails ciblés. Bien que, veuillez faire attention à l’accent mis sur le mot « pourrait », car il existe des exigences très strictes à cet égard. Lorsqu’il s’agit de traiter des données personnelles, votre équipe agit comme des travailleurs de première ligne. Vous devez vous assurer qu’ils ne réutilisent pas accidentellement les données d’une manière non conforme. La meilleure façon de communiquer cela est de former votre équipe et de la sensibiliser aux questions de confidentialité. La meilleure façon de s’en assurer, est de former vos employés et de les sensibiliser aux questions de confidentialité.
3. minimisation des données
Lorsqu’il s’agit de données, nous sommes tous coupables de les thésauriser. Nous gardons des choses parce que c’est agréable à avoir, mais nous ne les utilisons jamais. En ce qui concerne le troisième principe du GDPR, nous ne devrions pas garder des données qui traînent si nous n’en avons pas besoin. Ce principe nous dit que nous ne devrions pas recueillir plus de données personnelles que ce qui est nécessaire pour fournir le service que nous entendons. En d’autres termes, il ne faut collecter et traiter que la quantité exacte de données nécessaires.
4. exactitude
Ce principe peut prêter à confusion. Alors que tous les autres principes que nous avons vus jusqu’à présent consistent à en savoir le moins possible sur les personnes dont nous traitons les données, celui-ci est en quelque sorte le contraire. Ce principe consiste à disposer des données les plus exactes possibles. Cela signifie que les données personnelles que nous traitons doivent être correctes et à jour et que vous devez, en tant que responsable du traitement et/ou sous-traitant, prendre des « mesures raisonnables » pour vous en assurer. Cela n’est toutefois pertinent que lorsque l’exactitude des données personnelles est importante pour la personne sur laquelle portent les données. Laissez-moi vous expliquer en revenant à notre exemple. Disons qu’un de vos abonnés s’est inscrit à votre newsletter avec son e-mail d’entreprise alors qu’il travaillait dans l’entreprise X. Si cette personne change d’emploi et travaille désormais dans l’entreprise Y, l’adresse e-mail de l’entreprise X ne fonctionnera plus. Ainsi, les données dont vous disposez sur cet utilisateur ne sont plus exactes. Une « mesure raisonnable » dans ce scénario pourrait être d’inclure un lien dans votre newsletter où vos abonnés peuvent changer leur adresse e-mail. Ainsi, lorsque la personne sait qu’elle va changer d’emploi, elle peut facilement mettre à jour les informations personnelles que vous avez sur elle. Vous pourriez également disposer d’un système CRM ou d’un système de marketing par e-mail qui garde la trace des adresses e-mail qui répondent automatiquement lorsque vous envoyez votre newsletter.