Quelles règles, en pratique?
Le RGPD s’applique à chaque responsable du traitement de données, c’est-à-dire toute personne physique ou morale, autorité publique, tout service ou autre organisme qui détermine les finalités et les moyens du traitement des données à caractère personnel.
De la transparence. Un langage clair et compréhensible doit être utilisé au moment d’informer le particulier de la manière dont ses données seront traitées. Pas question de jargon juridique en petits caractères !
SEUL. Le traitement doit être licite, les personnes doivent avoir consenti de manière Spécifique, Éclairée, Univoque et Libre (SEUL) au traitement de leurs données pour une finalité spécifique. Le consentement devra pouvoir être retiré aussi facilement qu’il a été donné.
Ces données ne peuvent être collectées que pour une finalité déterminée et strictement limitée aux données nécessaires au but recherché. Par exemple, si un consommateur s’enregistre sur le site d’une société de livraison à domicile, celle-ci peut réclamer une adresse mais pas la profession du client ou sa date de naissance.
Les données ne peuvent être conservées que pour une durée nécessaire au regard de la finalité poursuivie. Dans notre exemple, si l’entreprise arrête son activité de livraisons ou si la personne cesse d’être cliente, elle n’a plus de raison de conserver les adresses des personnes inscrites.
Les données doivent être exactes, sans quoi il faut mettre en œuvre toutes les mesures raisonnables pour les rectifier.
La sécurité des données doit être garantie.
Attention. Un nouveau droit est institué: la portabilité des données. Il permet de récupérer les données personnelles et de les transférer à un autre responsable du traitement, par exemple, un autre fournisseur de service.