RGPD & Droit à l’oubli numérique

Comment ça marche ? Comment être en règle avec le RGPD ? Que dit la loi sur le droit à l’oubli numérique

Dans un premier temps, avant de parler du droit à l’oubli numérique, il faut se pencher sur le Règlement Européen sur les Données Personnelles.

Depuis le 25 mai 2018, une nouvelle réglementation en matière de gestion de données personnelles s’applique dans toutes les sociétés françaises. Le règlement européen sur la protection des données appelé plus communément le RGPD. A noter que la loi sur le droit à l’oubli numérique est le fruit de ce règlement européen.

A quoi sert le RGPD ?

Ce texte renforce les droits des personnes. Mais aussi introduit également une plus grande responsabilité des entreprises sur les conditions de recueil des données personnelles. En effet, désormais les entreprises doivent demander une autorisation à leurs prospects et clients afin de pouvoir leur envoyer des actualités et informations. Fini le temps où l’on envoyait tout et n’importe quoi par email, il faut à présent le consentement de la dite personne. Aussi, l’entreprise devient responsable de la protection des données RGPD. Ainsi cela devient un changement fondamental qui concerne toutes les formes de structures d’entreprises y compris les TPE & PME. Par ailleurs, découvrez aussi le champ d’application du RGPD en B to B.

Des sanctions sévères en cas de non mise en oeuvre en matière de protection des données

Le RGPD ne renforcent pas seulement les obligations qui pèsent sur les gestionnaires de fichiers. Et il prévoit également un durcissement des sanctions. Ainsi, en cas de manquement grave, une amende pouvant aller jusqu’à 20 Millions d’Euros ou 4 % du chiffre d’affaires de l’entreprises. Cependant la CNIL devrait être clémente avec les premières entreprises contrôlées sous couvert de modifier leur fonctionnement.

Comment se mettre en conformité avec le RGPD ?

D’abord, qu’est ce qu’une donnée personnelle informatique ?

Une donnée personnelle est une information qui permet, à elle seule ou en la croisant avec d’autres données, d’identifier une personne soit directement (nom et prénom par exemple) soit indirectement (téléphone, email, adresse postale, photo, enregistrement audio, empreintes ou encore des analyses ADN). 

Dès lors qu’il regroupe ce type d’information, un fichier est considéré comme un traitement de données personnelles et doit ainsi être constitué conformément au RGPD.

Audit de votre système actuel pour la mise en conformité RGPD

Tout d’abord recenser l’existant dans votre entreprise afin de se mettre en conformité. Dans ce cas, avez-vous des fichiers de données type prospects & clients ? Ou encore votre fichier salariés et bulletins de salaires ?

L’ensemble de ces fichiers doivent être recensés et consignés dans le registre RGPD interne. Plus d’informations sur le livre blanc de la CNIL sur le registre à tenir.

Ensuite désigner en interne un délégué à la protection des données (DPO)

Il s’agit ici d’une recommandation de la CNIL.

Et il en va de même avec la nomination d’un responsable du traitement des données.
Par soucis d’organisation, il peut bien évidemment s’agir de la même personne. Cette personne doit être mentionnée dans les conditions générales d’utilisation du site internet de l’entreprise afin de faciliter à son identité rapidement. Il sera le responsable interne de la collecte de données sensibles de votre entreprise.

Aussi, il aura la tâche d’informer les autorités dans le cadre de violations de données de votre entreprise. Il aura 72 heures pour informer

Dans un deuxième temps, identifier les actions à mener

Pour cela, rien de plus simple ! Il suffit de se poser quelques questions élémentaires afin de vous aider dans la prise de décision.

Tout d’abord, quels sont les besoins de ma société face à ces données personnelles ?

Dans le cas, où vous ayez en votre possession des fichiers anciens que vous n’utilisez plus comme par exemple une liste de prospects ou un fichier d’exposant récupéré dans un salon professionnel …

Si c’est le cas et que nous n’en avez plus besoin : supprimez ces fichiers !

Ensuite, vérifiez chaque type d’information recueilli et demandez vous si son traitement est nécessaire. Par exemple, est-ce utile de connaître les opinions politiques de vos salariés ou encore le nombre d’enfants ?

Enfin, vous devez mettre à jour régulièrement votre fichier. La CNIL et le RGPD ne donne aucune périodicité. Cela restera vous le libre arbitre sur la période de mise à jour à mettre en place.

Puis qui accède à ces données au sein de l’entreprise ?

Seules les personnes en charge de la gestion du fichier doivent pouvoir accéder aux données personnelles. Donc opter pour des accès restreints à votre base de données en intégrant un mot de passe pour la version digitale.

Enfin respecter les droits des personnes fichées avec le droit à la rectification et l’oubli numérique …

Les personnes concernées par le fichage de données personnelles possèdent des droits sur leurs données. Vous devez prendre en compte ces droits lors de la création mais également au cours de la gestion du traitement des données. Ainsi, lorsque votre entreprise collecte des données personnelles, vous devez informer les personnes concernées de la finalité du traitement, de la raison de ce recueil de données mais aussi du délai pendant lequel elles seront conservées. Il sera aussi impératif de préciser qui aura accès à leurs données et comment elles peuvent exercer leurs droit à la rectification ou droit à l’oubli numérique.

Que dit la loi sur le droit à l’oubli numérique ?

Le RGPD  qui signifie Règlement Européen sur la Protection des Données Personnelles, est entré en application le 25 mai 2018. Ce règlement est un changement très important dans la protection des données personnelles. En effet, il légitime le droit à l’effacement et à l’oubli dans son article 17. 

En effet, l’article 17 reconnait conforme le droit d’obtenir du responsable de traitement et de l’édition d’un site internet. Premièrement, toute personne peut demander l’effacement de ses données personnelles. Ensuite, il peut ordonné la cessation de la diffusion de ses données. Et particulièrement si l’individu concernée ne souhaite plus leur utilisation.

La loi a évolué dans ce sens fin 2014, à travers la jurisprudence de la Cour de justice de l’Union Européenne. Cette évolution reconnait l’obligation d’un exploitant d’un moteur de recherche de supprimer, sur demande de l’intéressé, les informations le concernant. L’exploitant doit effacer tous les résultats obtenus à partir d’une recherche effectuée par le nom de l’intéressé. Mais aussi sur les url qui dirigent vers les pages web où les informations apparaissent. C’est à partir de cette date que Le droit à l’oubli numérique et le RGPD commence à prendre forme.

Mais c’est sous l’impulsion de la directive européenne 95/46/CE du 24 octobre 1995 relative à la protection des personnes physique sur le traitement des données à caractère personnel que tout a commencé. Et, surtout, à la libre circulation des données.

Comment faire disparaître des pages ou informations indésirables ?

Concernant la demande de suppression de pages ou contenus indésirables, voici les différents portails connus auprès desquels vous avez la possibilité de faire cette demande  :

Le moteur de recherche Bing

Puis : le moteur de recherche Google

Ou encore le moteur de recherche Yahoo

Si vous souhaitez obtenir plus d’informations :

Source CNIL pour l’annuaire des formulaires de déréférencement