Vidéo : droits et obligations des entreprises avec le RGPD
Le traitement des données personnelles par les entreprises et les administrations implique des obligations pour ces dernières et des droits pour les personnes auprès desquelles des données sont collectées.
Une obligation de transparence : le droit à l'information
Quiconque traitant des données personnelles devra fournir aux personnes, préalablement à leur collecte, son identité, des informations concernant les finalités du traitement, c'est-à-dire la raison pour laquelle les données sont collectées, comment les données sont traitées et pendant combien de temps et avec qui elles sont susceptibles d'être partagées par celui qui les recueille. Au-delà de l'objectif premier qui est de faire comprendre aux personnes comment leurs données seront traitées, le but est d'inciter les entreprises à mener une réflexion sur la manière dont elles traitent les données personnelles, par exemple concernant la durée de conservation.
Cet autocontrôle de l'entreprise qui doit s'interroger sur le point de savoir si toute vérité est bonne à dire, peut ainsi l'inciter à repenser le pourquoi, le comment et la relation de confiance qu'elle souhaite instaurer avec les personnes, tout en se préservant des marges légitimes d'innovation et d'efficacité dépassant la seule fourniture des services que les personnes souscrivent auprès d'elles, par exemple.
La nécessité de fixer une durée de conservation des données
La durée de conservation des données est souvent négligée par les entreprises, bien qu'elle doive être définie. Ainsi, il n'est pas suffisant de mettre des mentions d'informations générales sans durée de conservation proportionnée à l'usage qui en sera fait. La nécessité d'informer les utilisateurs sur les critères qui vont déterminer la durée de conservation contraint donc les entreprises à les définir, par exemple la durée pendant lequel un service est fourni ou la durée pendant laquelle une entreprise souhaite envoyer de la prospection commerciale en utilisant ces données. Au-delà de ces périodes, il existe également des obligations légales et réglementaires qui imposent aux entreprises de conserver un nombre restreint de données, par exemple à des fins d'archivage, qui seront accessibles à un nombre plus limité de personnes.
Un nouveau droit pour les personnes : le droit à la portabilité
Le nouveau règlement permet de faciliter le transfert de données fournies par l'utilisateur entre différentes entreprises, sous le contrôle de la personne concernée. Une personne peut ainsi récupérer des données la concernant afin de les confier à une autre entreprise. Bien qu'il soit encore trop tôt pour savoir si ce droit sera utilisé de manière fréquente, il est malgré tout nécessaire pour les entreprises de mettre en place les mécanismes nécessaires afin de pouvoir répondre à ces demandes dès l'entrée en vigueur du nouveau règlement.
Un renforcement du consentement
La maîtrise des personnes sur leurs données se voit renforcée avec le règlement. En effet, il est nécessaire de leur demander leur consentement lorsque la collecte de donnée(s) ne repose pas sur une obligation légale ou contractuelle. Ce consentement devra être libre, spécifique, éclairé et univoque, tel que prévu par le RGPD. Pour certaines données, telles que les données de localisation, il sera toujours nécessaire d'obtenir le consentement des personnes, qu'elles pourront retirer à tout moment, et qu'il faudra renouveler tous les 6 mois ou 1 an, suivant les modalités dans lesquelles les personnes sont localisées.
Texte d'Etienne Drouard et Alex Salehi