< Retour

Module 4.3

Les six grands principes du RGPD

ESS

Nous voici donc déjà bien avancés. Les notions et acteurs centraux du RGPD sont identifiés, il faut désormais entrer dans le cœur du sujet, à savoir tout mettre en œuvre au sein de votre organisme pour respecter au mieux le RGPD. 

Pour atteindre cet objectif, prenons comme référence la “bible” que constitue le site de la CNIL et suivons les six principes qu’il énonce pour dérouler les actions concrètes à mettre en œuvre. 

Les 6 principes

1. Ne collectez que les données vraiment nécessaires pour atteindre votre objectif

2. Soyez transparent

3. Organisez et facilitez l’exercice des droits des personnes 

4. Fixez des durées de conservation 

5. Sécurisez les données et identifiez les risques 

6. Une démarche continue à approfondir en conclusion

1. Ne collectez que les données vraiment nécessaires pour atteindre votre objectif 

Commençons par ce qui doit devenir le centre de pilotage de votre politique RGPD : le registre des activités de traitement. Ce document obligatoire vous permet de recenser et d’analyser les traitements de données personnelles qui vous sont confiées et d’identifier les parties prenantes qui interviennent, les catégories de données traitées, leurs finalités, leurs durées de conservation et les mesures de sécurité mises en place pour les protéger. 

🔉Le principe de minimisation

Cette pratique se nomme “le principe de minimisation” dans le RGPD. Comme le définit la CNIL, il “prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.” Pour donner un cas d’application, il n’est pas nécessaire de fournir le statut marital d’un salarié dans un fichier RH.  

Pourtant, si ce document de gestion des données collectées est absolument indispensable, la protection des données, elle, commence au moment où vous décidez quelles données collecter, pour quel usage et sur quel fondement juridique. 

Pour cela, nous pouvons nous appuyer sur les acquis de la première partie. Avant de créer un fichier ou un formulaire, posez-vous d’abord la question du “pourquoi”. 

La finalité donc, doit être déterminée, explicite (formulée noir sur blanc) et légitime (cohérente avec votre mission et le droit applicable). Vous ne pouvez pas collecter des informations “au cas où” elles serviraient plus tard. 

Ainsi, pour chaque traitement, prenez l’habitude de rédiger une phrase de finalité, courte et compréhensible, que vous pourrez réutiliser dans votre registre et vos mentions d’information. 

📑Les bases légales pour votre association

Pensez également à mentionner l’une des bases légales prévues par le RGPD. 
Les plus fréquentes dans vos structures sont : 

  • L’exécution d’un contrat (gestion de l’adhésion, d’un contrat de travail, d’une inscription à une formation). 
  • Le respect d’une obligation légale (tenue de la comptabilité, obligations sociales vis-à-vis des salariés, conservation de certaines données). 
  • L’intérêt légitime de votre structure (gestion d’un fichier de contacts pour la communication institutionnelle, sécurité de vos locaux ou systèmes), sous réserve de ne pas porter une atteinte disproportionnée aux droits des personnes. 
  • Le consentement explicite, libre et éclairé de la personne, en particulier pour certaines actions de communication ou pour traiter certaines données sensibles dans un cadre non obligatoire. 

Votre choix de base légale doit être fait une fois pour toutes, documenté dans le registre des traitements, et rendu visible dans vos mentions d’information. 

Des questions supplémentaires doivent également se poser pour répondre au principe de minimisation. Il exige de ne collecter que les données strictement nécessaires à la finalité poursuivie. Concrètement, cela signifie qu’avant de créer un formulaire ou un fichier, vous devez passer chaque champ au “crible” suivant :  

  • Cette donnée est-elle indispensable pour atteindre l’objectif annoncé ? 
  • Si je ne l’avais pas, pourrais-je quand même rendre le service de manière correcte ? 
  • S’agit-il d’une donnée sensible (santé, opinions, etc.) qui exigerait une justification et des garanties renforcées ? 

Si la réponse n’est pas un “oui” clair, supprimez le champ. 
Rappelez-vous qu’une donnée collectée est une responsabilité : il faudra la protéger, la mettre à jour, la supprimer au bon moment, et pouvoir la restituer en cas de demande. En quelques mots : simplifiez-vous la vie et conservez le strict nécessaire. 

🌞L’appliquer au quotidien !

Pour appliquer ce principe au quotidien, vous pouvez créer les outils et documents suivants : 

  • Créer des fiches de traitement avec trois blocs : finalité, base légale, liste des données strictement nécessaires. 
  • Revoir vos formulaires existants (papier et en ligne) et supprimer les champs superflus. 
  • Adopter une “checklist formulaire” : toute nouvelle collecte passe par une validation RGPD (finalité + base légale + minimisation). 

2. Soyez transparent

Au moment de vous confier des informations les concernant, les personnes dont vous traitez les données doivent comprendre ce que vous faites, pourquoi vous le faites, et quels sont leurs droits. 

🤔Comment appliquer la transparence dans votre organisation ?

La transparence est un pilier du RGPD : on ne collecte pas de données à l’insu des personnes, ni pour des usages cachés. 

Au moment où vous collectez les données, la personne doit ainsi savoir : 

  • Qui est responsable du traitement (nom de la structure, coordonnées de contact),. 
  • À quoi vont servir les données (finalités),. 
  • Sur quelle base légale repose le traitement,. 
  • À qui les données seront éventuellement communiquées (destinataires, sous-traitants, partenaires),. 
  • Combien de temps elles seront conservées ou quels critères permettent de déterminer cette durée,. 
  • Quels sont ses droits (accès, rectification, effacement, opposition, limitation, portabilité, saisir la CNIL) et comment les exercer,. 
  • S’il y a des transferts hors Union européenne et avec quelles garanties. 

Cette information doit être rédigée dans un langage clair et compréhensible par le public concerné, en évitant le jargon juridique. 

Pour plus de lisibilité dans vos documents, vous pouvez distinguer deux niveaux d’information.  

La mention “courte”, directement attachée au formulaire (papier ou en ligne), qui résume les points essentiels : finalité, base légale, principaux destinataires, durée de conservation, droits et contact. 

Une politique de confidentialité plus détaillée (par exemple sur votre site web ou dans un livret remis aux personnes), qui reprend l’ensemble des traitements et des droits de manière structurée. 

L’important est que la personne puisse facilement retrouver l’information qui la concerne, sans avoir à fouiller dans d’innombrables documents.

🛠️Quid des outils externes ?  

Le même principe de transparence s’applique lorsque vous utilisez des outils externes. Vous devez informer les personnes que leurs données sont hébergées ou traitées par ces prestataires. Préciser si les données peuvent être transférées hors de l’Union européenne, et sous quelles garanties. Encadrer la relation par un contrat ou des conditions écrites, prévoyant les obligations de confidentialité, de sécurité et d’assistance. 

3. Organisez et facilitez l’exercice des droits des personnes 

Informer sur les droits ne suffit pas : vous devez aussi organiser votre structure pour être réellement capable d’y répondre dans de bonnes conditions. 

🛡️Les droits protégés par le RGPD

Avant d’entrer dans le levier qui vous permettront d’assurer que les personnes puissent facilement disposer de leurs droits, faisons un état général de leurs droits : 

Le droit à l’information : toute personne a le droit d’être informée de manière claire, transparente et compréhensible sur le traitement de ses données personnelles. Cette information doit être fournie au moment de la collecte des données, que ce soit directement auprès de la personne ou via un tiers. 

Le droit d’accès : toute personne peut demander au responsable de traitement si des données la concernant sont traitées et, le cas échéant, obtenir une copie de ces données ainsi que des informations sur les modalités du traitement. Vous disposez d’un délai d’un mois pour répondre. 

Le droit de rectification : toute personne peut demander la rectification de données inexactes ou incomplètes la concernant. Si vous constatez qu’une donnée est erronée suite à une demande, vous devez la corriger sans délai. Ce droit s’exerce simplement : la personne vous signale l’erreur et vous apporte, si nécessaire, les éléments justifiant la rectification. Vous devez répondre dans le délai d’un mois. 

Le droit à l’effacement (« droit à l’oubli ») : dans certaines situations, une personne peut demander l’effacement de ses données personnelles. Ce droit n’est pas absolu et s’exerce notamment lorsque : 

  • Les données ne sont plus nécessaires au regard des finalités, 
  • La personne retire son consentement et il n’existe pas d’autre base légale, 
  • La personne s’oppose au traitement et il n’existe pas de motif légitime impérieux, 
  • Les données ont été traitées illicitement, 
  • Les données doivent être effacées pour respecter une obligation légale. 

Le droit à la limitation du traitement : ce droit permet à une personne de demander le « gel » de ses données dans certaines situations comme En cas de contestation de l’exactitude des données (le temps de vérifier) Lorsque le traitement est illicite mais que la personne préfère la limitation à l’effacement Lorsque les données ne sont plus nécessaires au responsable mais que la personne en a besoin pour ses droits En cas d’opposition au traitement (le temps de vérifier si les motifs légitimes du responsable prévalent) 

Le droit à la portabilité : ce droit permet à une personne de récupérer les données qu’elle a fournies dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement. À noter que ce droit ne s’applique que lorsque le traitement est fondé sur le consentement ou sur un contrat et qu’il est effectué à l’aide de procédés automatisés. 

Le droit d’opposition : toute personne peut s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement fondé sur l’intérêt légitime du responsable ou sur l’exécution d’une mission d’intérêt public. En matière de prospection commerciale, le droit d’opposition est absolu, la personne peut s’opposer sans avoir à justifier sa demande. Lorsqu’une personne s’oppose à un traitement, vous devez cesser le traitement, sauf si vous démontrez qu’il existe des motifs légitimes et impérieux qui prévalent sur les intérêts, droits et libertés de la personne, ou si le traitement est nécessaire à la constatation, l’exercice ou la défense de droits en justice. 

📌Comment vous protégez ?

Pour faciliter l’exercice de ces droits, vous pouvez d’ores et déjà prévoir : 

  • Une adresse email dédiée (du type “donneespersonnelles@…” ou “rgpd@…”). 
  • Un formulaire en ligne ou une rubrique sur votre site expliquant la démarche. 
  • Une adresse postale pour les personnes qui ne sont pas à l’aise avec le numérique. 

Veillez à ce que ces informations soient cohérentes avec vos mentions d’information et votre politique de confidentialité. 

Ensuite, définissez un processus interne clair : 

  • Réception de la demande (email, courrier, formulaire), 
  • Vérification de l’identité du demandeur et de la légitimité de la demande (surtout en cas de données sensibles ou de risque d’usurpation), 
  • Recensement des données dans vos différents systèmes (fichiers, logiciels, archives), 
  • Analyse de la demande (acceptation, refus motivé, limitation, délai supplémentaire si nécessaire), 
  • Réponse dans un délai d’un mois, en expliquant ce qui a été fait. 

En cas de demande complexe, vous pouvez prolonger le délai de deux mois supplémentaires, à condition d’en informer la personne dans le premier mois. 

Pour gagner en efficacité et en cohérence, vous pouvez également prévoir une procédure écrite “Traitement des demandes de droits”, accessible à toutes les personnes concernées en interne accompagnée de modèles de réponses (confirmation d’accès, rectification effectuée, effacement réalisé, refus motivé, demande d’informations complémentaires etc.). 

4. Fixez des durées de conservation 

Enfonçons une porte ouverte : on ne peut pas conserver des données personnelles indéfiniment. La durée de conservation doit être en cohérence avec la finalité du traitement et, le cas échéant, avec les obligations légales applicables. 

⏳️Déterminer la durée de conservation des données

Il vous revient alors de déterminer une durée de conservation en “base active”, pendant laquelle les données sont utilisées pour la gestion courante. Le cas échéant, une durée d’archivage (accès restreint, pour répondre à des obligations légales, des contrôles ou des contentieux potentiels). Un mode de suppression ou d’anonymisation à l’issue de ces durées. 

L’objectif est double : limiter les risques en ne conservant pas inutilement des données, et respecter les textes qui imposent certaines durées minimales (par exemple, en matière comptable ou sociale). Ces durées doivent être documentées dans votre registre et cohérentes avec vos mentions d’information. 

⏱️Comment mettre en oeuvre ces durées de conservation ?

Pour mettre en œuvre ces durées de conservation, vous pouvez paramétrer des règles automatiques de suppression ou d’anonymisation ou planifier des campagnes régulières de “nettoyage” des fichiers. Pensez également à adapter vos contrats avec vos sous-traitants pour qu’ils respectent aussi ces durées. 

5. Sécurisez les données et identifiez les risques 

Et oui, la cybersécurité est l’un des piliers majeurs du RGPD, et l’on peut imaginer que si vous êtes parvenus à ce module de la formation, les bonnes pratiques à adopter au sein de votre organisme n’ont plus beaucoup de secrets pour vous. Vous pouvez reprendre les acquis du module 1 pour structurer la sécurité informatique de votre association ou entreprise afin de lutter contre un fléau majeur qui touche tout type d’organismes : la violation de données. 

La CNIL définit une violation de données comme un incident de sécurité ayant des conséquences sur la confidentialité, l’intégrité ou la disponibilité des données personnelles (perte, accès non autorisé, divulgation, altération). 

📞Que faire en cas de violation des données ?

Votre rôle en tant que responsable de traitement vous contraint à plusieurs obligations en cas de violation de données. 

Parmi elles, vous devez vous préparer à détecter et qualifier un incident (quelles données, combien de personnes concernées, quelles conséquences possibles), mettre en œuvre rapidement des mesures correctives. D’abord, il vous faut informer l’autorité compétente à ce sujet – la CNIL – dans un délai de 72h pour déposer une déclaration initiale. Ensuite, s’il y a un risque élevé, il faut prévenir les personnes concernées.  

Encore une fois, votre registre joue un rôle majeur dans ce cas de figure : il doit intégrer un historique des incidents, décrivant pour chacun la date, la nature de l’incident, les données et personnes concernées, les mesures prises et les leçons tirées.  

Pour découvrir le dernier des 6 principes, rendez-vous au prochain et dernier module 4.4 !

Ce module a été rédigé par Alice Picard, consultante cybersécurité chez Advens, diplômée en Master droit du numérique et passionnée par l’accompagnement des organisations dans leur mise en conformité.

Module précédent

Module suivant