Qui recueille les données personnelles et où se situe la responsabilité de l’entreprise ?

Dans le sillage du scandale Cambridge Analytica / Facebook, où 87 millions de données personnelles ont été utilisées à des fins politiques, la question de la protection des données est devenue centrale pour les entreprises et les médias. Avec l’application du RGPD (Règlement Général sur la Protection des Données), il est crucial de comprendre qui collecte les données et comment elles sont traitées. Il est également important de savoir où se situe la responsabilité en cas de manquement.

Aujourd’hui, il est courant de recevoir un courrier ou un e-mail d’une entreprise que l’on ne connaît pas. Cela est la preuve que des données à caractère personnel ont été collectées ou traitées par des tiers. Certains acteurs sont des courtiers en données et opèrent souvent en toute discrétion. En outre, la collecte indirecte pose la question de la finalité du traitement et du respect des obligations en matière de protection des données.

Le monde de la collecte de données est à la fois lucratif et opaque. Les données sont comparées à un nouveau pétrole, car leur utilisation commerciale peut générer des revenus importants. Selon Newsweek, entre 2 500 et 4 000 entreprises américaines achètent et revendent des informations personnelles, directement ou indirectement.

Les entreprises collectent :

• Des catégories de données variées : nom, adresse, adresse IP, numéro de téléphone, e-mail.
• Des données sensibles, parfois à caractère raciale ou ethnique, santé, ou financières.
• Des données collectées via formulaires, cookies, réseaux sociaux, ou partenariats.

Le responsable du traitement doit informer les personnes concernées de la finalité du traitement, des destinataires des données, et de combien de temps les données seront conservées. Cette information se rapportant aux traitements doit être claire, claire et simple. Ainsi, elle doit être conforme au RGPD.

Toutes les entreprises, quelle que soit leur taille, sont responsables de la collecte des données. De plus, elles doivent se conformer à une obligation légale de protection.
Le RGPD impose :

• La mise en œuvre de mesures techniques et organisationnelles pour protéger les données.
• La mise en conformité avec le principe de minimisation des données et la logique privacy by design.
• La mise à jour et la conservation des données selon la durée de conservation appropriée.

Les sanctions en cas de défaut de conformité sont lourdes :

• Jusqu’à 2 % du chiffre d’affaires mondial ou 10 M€ pour les infractions mineures.
• Jusqu’à 4 % du chiffre d’affaires mondial ou 20 M€ pour les violations graves.

Les entreprises doivent également mettre en place un registre des traitements, des programmes de conformité, et des dispositifs d’alerte. Ces mesures visent à éviter tout risque de non-conformité.

En Europe, la protection des données est un droit fondamental. Les entreprises qui collectent les données des citoyens européens doivent respecter :

• Les exigences légales du RGPD.
• Les règles de transfert des données hors UE, limitées aux pays disposant d’une base légale de protection adéquate.
• Les bonnes pratiques de conservation des données et de sécurité des données.

Aux États-Unis, la réglementation est plus souple ; la vie privée est souvent traitée comme une valeur commerciale. Pour être conforme au RGPD, toute personne morale opérant avec l’Europe doit donc mettre en place des processus adaptés.

Afin de limiter l’utilisation abusive des données, chaque entreprise doit informer les personnes concernées des finalités pour lesquelles leurs données collectées sont traitées. Les droits du consommateur incluent :

• Exercer vos droits : droit d’accès, droit de rectification, droit d’opposition, portabilité des données, et effacement de données.
• Demander que des données soient effacées pour respecter une obligation légale.
• Saisir la CNIL, l’autorité de contrôle, en cas de manquement.

Les formulaires et cases à cocher doivent être clairs, et les finalités du traitement transparentes. De plus, la politique de confidentialité doit être disponible sur le site web. Les lettres d’information, la gestion des cookies, et les mises à jour régulières des procédures sont indispensables pour rester conforme au RGPD.

Conformément à la loi Informatique et Libertés et au RGPD en vigueur dans l’Union européenne, toute personne physique identifiée ou identifiable peut exercer ses droits sur ses données personnelles. La Commission nationale (CNIL) est l’autorité de contrôle française compétente pour veiller à ce que les données collectées et les traitements de données soient conformes à la réglementation.

Chaque entreprise doit mettre à disposition un formulaire de contact clair et simple, permettant de faire une demande d’accès, de rectification, d’opposition ou de suppression des données. Les personnes concernées doivent être informées de la finalité du traitement, de la source des données, et des destinataires qui peuvent y accéder, notamment les services internes comme les ressources humaines.

Les entreprises doivent mettre en place des procédures et des outils garantissant l’accessibilité des informations et la transparence des pratiques. Elles pouvez également proposer des lettres d’information pour communiquer les mises à jour de leur politique de confidentialité, tout en respectant les consentements des personnes et les conditions générales de traitement.

DiliTrust propose des services de gouvernance qui garantissent la sécurité des données et la mise à disposition de solutions fiables. Ils fournissent l’analyse d’impact nécessaire pour chaque traitement de données. Nos solutions sécurisées permettent aux organisations de mettre en conformité leurs pratiques avec le RGPD. Elles assurent la protection de toute information sensible.

Contactez-nous pour découvrir comment nous pouvons vous aider à protéger vos données. Nous vous aidons à respecter l’ensemble des obligations en matière de protection des données.