CONTENUS DU MODULE
Ce module de formation explique les principes de protection des données. Il est primordial car ces principes doivent être appliqués pour chaque traitement, dès la conception et par défaut. Le GDPR définit six principes de protection des données : la transparence, la limitation des finalités, la minimisation, l’exactitude, la durée de conservation, et la sécurité. Ce module est constitué d'un motion design de 3 minutes suivi d'un quiz pour valider les acquis des apprenants.
OBJECTIFS PÉDAGOGIQUES
Tous les traitements de données à caractère personnel sont encadrés par des règles à connaître et à appliquer : les principes clés de protection des données.
La transparence : les données doivent être collectées de manière "licite, loyale et transparente". Les personnes doivent être informées du traitement qui sera fait de leurs données, de façon claire, concise et facilement compréhensible.
La limitation des finalités : les données doivent être "collectées pour des finalités déterminées, explicites et légitimes". Par exemple, une banque ne peut pas utiliser les informations d’un compte client pour d’autres buts, comme de la prospection, sans consentement préalable des personnes concernées.
La minimisation : les données doivent être traitées de manière "adéquate, pertinente et limitée" au regard de la finalité de traitement. Autrement dit, il ne faut collecter que les données indispensables à l’objectif poursuivi. Pour envoyer un devis à un particulier, un artisan a besoin de son nom et de ses coordonnées, mais il n’a pas besoin d’un relevé d'identité bancaire à ce stade de l’échange.
L’exactitude : les données doivent être "exactes et mises à jour" au regard de la finalité de traitement. Si les données sont erronées ou devenues excessives, l’entreprise ou l’organisation doit les corriger ou les effacer et "sans tarder" précise le Règlement européen.
La durée de conservation : les données personnelles doivent être conservées uniquement le temps nécessaire au traitement. Une durée de conservation doit être définie pour chaque catégorie de données et chaque finalité. Ensuite les données doivent être supprimées, excepté dans le cas d’une obligation légale comme l’archivage à des fins historiques, scientifiques ou statistiques, ou pour faire valoir un droit en justice.
La sécurité et la confidentialité : le responsable du traitement doit "garantir une sécurité appropriée des données". Cela nécessite des mesures de sécurité pour protéger les données contre un traitement non autorisé ou illicite, contre toute fuite et toute faille...
Ces principes clés peuvent être complétés par une juridiction spécifique selon le pays où l’organisation est implantée.
Les données à caractère personnel dites "sensibles", quant à elles, sont très strictement réglementées. Leur traitement n’est possible qu’avec le consentement explicite de la personne ou pour défendre ses intérêts vitaux. Elles suivent alors les principes de protection des données assorties de mesures de sécurité renforcées : circuit spécifique, serveur dédié et isolé, armoires sécurisées pour les dossiers papier...