Les règles de base
Avant de discuter des exigences du RGPD, penchons nous sur deux règles de base.
1. Sur la base de votre contexte métier, vous devez identifier les données personnelles que traite votre entreprise.
2. Identifiez les populations pour lesquelles des données personnelles sont collectées et pourquoi elles sont collectées.
Avoir en tête ces deux règles de base vous aidera à constituer la base des mesures de vérification qui permettront de vous conformer au RGPD.
Les règles sur la collecte des données personnelles
- Le consentement est indispensable : le RGPD explique comment les données personnelles doivent être collectées auprès des personnes concernées. Si les entreprises reçoivent le consentement des personnes concernées dans un format écrit (déclaration de consentement), les termes et conditions du traitement doivent être rédigés en utilisant un langage clair et accessible.
- Formes d'obtention du consentement : les entreprises peuvent obtenir le consentement des personnes concernées en utilisant :
- Une déclaration écrite sur leur site web avec une case à cocher qui indique que les personnes concernées acceptent la déclaration et donne leur consentement à l'organisation pour utiliser leurs données à des fins spécifiques.
- Des options de paramètrage au sein des services ou des sites de médias sociaux qui indiquent que les personnes concernées acceptent le traitement de leurs données personnelles. Assurez-vous que ces paramètres ne sont pas activés par défaut.
- Indiquez la finalité des traitements : informez les personnes pour lesquelles des données sont collectées et garantissez que les données ne seront pas traitées à d'autres fins. Si les données sont collectées pour différentes raisons, vous devez les énumérer explicitement.
Plan d'action suite à la collecte des données
Nous avons vu que vous deviez avoir le consentement des personnes pour collecter des données. Maintenant que vous avez les données en main, les conseils suivants vous aideront à vous conformer au RGPD :
- Isolez les données personnelles : stockez les données personnelles des personnes concernées séparément du reste des données de votre entreprise. En procédant ainsi, la vérification des données personnelles sera plus efficace. L'audit des accès utilisateurs, des modifications/suppressions de données et de la gestion des autorisations sur les données personnelles sera plus simple si les données sont isolées.
- Soyez conscient de la période de stockage : le RGPD indique que les entreprises ne doivent pas stocker de données personnelles plus longtemps que ce qui est indiqué dans le document de consentement. L'isolement des données personnelles vous aide également à surveiller la durée de stockage des données personnelles. Certaines solutions de sécurité peuvent également générer des notifications si le stockage des données personnelles dépasse la période souhaitée.
- Surveillez les accès : Accordez un accès aux données seulement à ceux qui sont autorisés à traiter les données. Gardez un oeil sur les autorisations qui sont accordées. Établissez des mesures appropriées pour surveiller l’octroi d'autorisations, les escalades de privilèges et les activités des utilisateurs sur les systèmes de stockage.
Voilà pour ce qui concerne les règles de collecte des données du RGPD. Dans notre prochain article, nous parlerons des exigences du RGPD concernant le traitement des données.