Selon la CNIL, les données sont considérées "à caractère personnel" dès lors qu’elles concernent des personnes physiques identifiées directement ou indirectement. Exemples de données : adresse IP, nom, n° d’immatriculation, n° de téléphone, photographie, etc.
Mais aussi, toutes les informations dont le recoupement permet d’identifier une personne précise comme par exemple une date de naissance associée à une commune de résidence.
En quoi consiste le traitement de données ?
Toutes opérations effectuées sur des données à caractère personnel (collecte, enregistrement, conservation, modification, extraction, consultation, utilisation, communication ou toute autre forme de mise à disposition, etc.), que le procédé soit informatisé ou non.
De nouveaux droits en faveur des personnes dont les données sont collectées.
Portabilité
Les personnes peuvent réclamer à l’entreprise la restitution de toutes les données les concernant.
Effacement
Possibilité de demander la suppression des données collectées sur la personne.
Transparence et consentement renforcé
Les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer.
Réparation
Tout individu peut exiger réparation des dommages matériels ou moraux causés par une violation du Règlement.
De nouvelles obligations pour les acteurs traitant des données personnelles.
Garantir les droits des personnes concernées
Ne collecter que les données personnelles nécessaires au regard de la finalité.
Traiter les données de manière à garantir une sécurité et une confidentialité appropriées.
Mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données dès la conception (du produit ou service) et par défaut.
Fixer une durée raisonnable de conservation des informations personnelles.
Notifier la CNIL dans les 72h en cas de violation de données à caractère personnel, ainsi que les personnes physiques concernées (en fonction de la gravité).
Réaliser une analyse d'impact en cas de risque élevé pour les droits et libertés des personnes.
Tenir un registre des activités de traitement de toutes les données personnelles récoltées (finalités, lieux d’hébergement, durées de conservation, mesures de sécurité dont elles font l’objet...).
Nommer un Délégué à la protection des données.
Etre en capacité de démontrer sa conformité avec le RGPD à tout moment.