Quoi de neuf ?

Piqûre de rappel sur le RGPD

Posté le 03/02/2023

Illustration de l'actualité - cliquer pour agrandir

Le 28 janvier dernier, c’était la Journée mondiale de la protection des données. L’occasion de revenir sur le RGPD, le règlement européen sur les données personnelles. En vigueur depuis plus de 4 ans, le sigle RGPD est entré dans notre quotidien. Mais savez-vous vraiment ce qu’il recouvre ?

Le sigle RGPD signifie Règlement Général sur la Protection des Données. Entré en vigueur le 25 mai 2018, ce règlement européen s’applique de manière identique à tous les pays membres de l’Union européenne. Un de ses objectifs majeurs est de donner aux citoyens davantage de droits sur la manière dont leurs données sont utilisées.

En cette journée mondiale de protection des données, il est bon de rappeler que le RGPD vous donne la main sur le contrôle de vos données personnelles. N’hésitez pas à faire usage de cette prérogative.

Une donnée personnelle, c’est quoi ?

Une donnée personnelle est toute information qui permet d’identifier directement ou indirectement une personne physique. Directement, c’est le cas du nom, du prénom ou encore de l’adresse mail nominative. Indirectement, c’est par exemple un numéro de téléphone, un numéro de compte en banque ou de carte de crédit, une adresse IP, une plaque d’immatriculation, une photo, etc.

Le RGPD porte sur tous les traitements liés à ces données. C’est-à-dire la collecte, l’enregistrement, la diffusion, la mise à disposition, la consultation, le triage… et même la suppression et la destruction des données. Il est aussi important de se rappeler qu’on ne parle pas ici uniquement de processus informatiques. Tous les types de supports sont concernés, papier inclus.

Le principe de licéité

Pour rappel, il appartient au responsable de traitement de déterminer une base légale avant toute opération de traitement. En pratique, lorsqu’un même traitement de données poursuit plusieurs finalités, c’est-à-dire plusieurs objectifs, une base légale doit être définie pour chacune de ces finalités. De plus, il n’est pas possible de « cumuler » des bases légales pour une même finalité : il faut en choisir une seule.

Enfin, la base légale choisie fait partie des informations devant être portées à la connaissance des personnes concernées car elle a un impact sur l’exercice des droits des personnes concernées.

Les six bases légales du traitement des données à caractère personnel

L’exécution du contrat

Le traitement est considéré comme licite lorsqu’il est nécessaire à l’exécution d’un contrat ou à la préparation d’un contrat avec la personne concernée. Par exemple, pour l’établissement des rémunérations ou la mise à disposition des bulletins de salaire.

L’obligation légale

Le traitement est considéré comme licite lorsqu’il est effectué conformément à des textes légaux auxquels le responsable de traitement est soumis. A titre d’exemple, citons l’Ordonnance sur la transparence des rémunérations et avantages des mandataires publics bruxellois.

L’exécution d’une mission d’intérêt public

Le traitement est licite quand il est effectué en lien avec une mission d’intérêt public ou qui relève de l’exercice de l’autorité publique. C’est notamment le cas du traitement des revenus par les impôts.

L’intérêt vital

Le traitement est considéré licite s’il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’un tiers, comme pour le traitement de données à des fins humanitaires.

L’intérêt légitime

Le traitement est licite s’il est nécessaire à la poursuite d’intérêts légitimes poursuivis par le responsable de traitement. Ces objectifs ne doivent pas porter atteinte aux intérêts, aux droits et aux libertés de la personne concernée. C’est par exemple le cas pour un registre des visiteurs.

Le consentement

Les organisations qui récoltent et traitent les données personnelles doivent en informer les citoyens et obtenir leur consentement. Le RGPD parle plus précisément de « consentement préalable, éclairé et univoque ». Par exemple, le consentement des salariés pour l’utilisation de leur photographie dans le cadre d’un réseau social interne est nécessaire.

En tant que citoyen, qu’est-ce que je peux faire ?

En vertu du RGPD, tout citoyen peut exercer divers droits sur ses données personnelles, comme le droit d’accès et de copie, le droit de rectification, le droit à l’effacement, etc.

Peu de citoyens font valoir ces droits, tout comme ceux qui découlent de la « e-Privacy Directive » (la Directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques). Combien de fois cliquez-vous sur « Accepter tous les cookies » quand vous visitez un site web ? Lisez-vous vraiment les nouvelles conditions générales envoyées par YouTube, Facebook ou Apple avant de cliquer sur « Valider » ? Pour activer une carte de fidélité, le magasin a-t-il vraiment besoin de connaître votre adresse, votre profession, votre âge ?

A tout moment, vous pouvez retirer votre consentement à l’utilisation de vos données ou demander à ce qu’elles soient rectifiées ou supprimées. Cependant, de nombreuses bannières cookies ne permettent pas de retirer un consentement dans la pratique. Ceci pour des raisons techniques mais aussi en raison de la nature même de l’utilisateur qui est quasiment anonyme. Par ailleurs, l’e-Privacy Directive ne l’exige pas, sauf en ce qui concerne les mailings.

Le rôle du DPO

DPO veut dire « Délégué à la Protection des Données ». Son rôle et ses missions sont définies par l’article 39 du RGPD. Le DPO a notamment une mission de sensibilisation du personnel par rapport à toutes les règlementations. Cet article en est un exemple.

Il veille aussi à la mise en conformité RGPD de l’institution dans laquelle il travaille et coordonne les « best practices ». A l’initiative du CIRB, les DPO et responsables en sécurité de l’information des institutions régionales se retrouvent régulièrement lors des sessions « DPO/ISA* Knowledge Center » pour des mises en commun d’expériences et un partage des connaissances.

Le DPO est aussi la personne de référence pour tout collaborateur qui a des questions sur le traitement et la protection des données personnelles. Vous pouvez le contacter par mail via l’adresse suivante : dpo@paradigm.brussels.

Equipe pluridisciplinaire

Les services publics, quelle que soit leur taille, sont obligés de désigner un Délégué à la Protection des Données.

Le CIRB a donc développé des services spécifiques pour assister les administrations dans ce travail. Car il est en effet possible de mutualiser cette fonction entre plusieurs entités.

Début 2023, plus de 35 institutions font appel au CIRB pour ce service.

Pour en savoir plus sur le RGPD :

Le portail fédéral : https://www.belgium.be/fr/justice/respect_de_la_vie_privee/protection_des_donnees_personnelles
Le site de l’Autorité de Protection des Données (APD) : https://www.autoriteprotectiondonnees.be/citoyen
Un autre site de l’APD qui regorge d’informations pour mieux protéger sa vie privée : https://www.jedecide.be/
La protection des données personnelles, ça passe aussi par une vigilance de chacun d’entre nous. Le site Aware Attitude, auquel participent i-CITY et le CIRB, propose des articles et des vidéos pour en savoir plus. Des affiches et des memo cards sont mises gratuitement à disposition et peuvent servir de support à des campagnes de sensibilisation chez les clients et partenaires du CIRB : https://aware-attitude-cirb.bruxelles.be/

* ISA = Information Security Advisor

Mots-clés associés : newsletter-ACT Catégories :