Vos obligations RGPD
Pour être en conformité au RGPD, vous devez déterminer précisément vos finalités de traitement, vous assurer de disposer d’une base juridique valable pour la poursuite de celles-ci, agir en toute transparence envers les personnes concernées quant à ce que vous faites avec leurs données à caractère personnel et assurer l’exercice effectif de leurs droits. Vous devez mettre en place les mesures de sécurité adéquates eu égard aux risques que peuvent présenter vos traitements pour les données à caractère personnel dont vous êtes en charge. Vous devez également pouvoir à tout moment démontrer ce que vous avez mis en place pour être en conformité avec le RGPD, conformément au principe d’ « accountability ».
L’une de vos obligations primordiales est de déterminer la ou les finalités que vous poursuivez et qui requière(nt) que des données à caractère personnel soient traitées. En d’autres termes, les objectifs que vous entendez atteindre au moyen de l’utilisation de ces données personnelles. Bien cerner et prévoir vos finalités vous permet de définir les traitements qui seront nécessaires à la réalisation de celles-ci.
Outre que vos opérations de traitement doivent être nécessaires à la réalisation de vos finalités, les données à caractère personnel que vous traitez doivent elles aussi être nécessaires à celles-ci.
Afin de pouvoir traiter des données à caractère personnel, vous devez disposer d’une base juridique, telle que prévue par le RGPD, ou une loi spéciale le cas échéant. Vous ne pouvez pas traiter des données à caractère personnel « parce que vous l’avez décidé » ou « parce que ça améliore vos performances ». Le RGPD édicte 6 bases juridiques dont certaines peuvent apparaître plus adéquates en matière de traitements à des fin de marketing direct, comme le consentement de la personne concernée ou vos intérêts légitimes.
Chacune de ces bases juridiques impliquent le respect de critères précis que vous êtes tenus d’observer pour pouvoir traiter valablement les données à caractère personnel. Par exemple, si vous fondez vos traitements sur la base du consentement des personnes concernées, vous devez notamment veillez à ce que celui-ci soit univoque, libre, spécifique et éclairé.
Il vous appartient de déterminer cette base et de vous y maintenir. Vous ne pouvez changer en cours de traitement.
Vous devez assurer aux personnes concernées l’exercice effectif des droits dont elles disposent en vertu du RGPD, notamment en ne rendant pas compliqué l’exercice de ces droits, et les tenir informées des décisions que vous prenez lorsqu’elles en exercent un auprès de vous.
De manière générale, vous devez veiller à respecter votre obligation fondamentale de transparence envers les personnes concernées, que ce soit avant la collecte de leurs données ou après celles-ci. Votre politique de vie privée est à cet égard un document absolument nécessaire. La rédaction de celle-ci en des termes clairs, complets et accessibles est un impératif.
Vos traitements de données doivent respecter la protection des données à caractère personnel, dès la conception mais également par défaut.
Vous devez mettre en place les mesures de sécurité nécessaires à la protection des données à caractère personnel dont vous avez la maîtrise.