- Le blog et les actualités de Witik
- Collecte des données personnelles : 4 points clés
Collecte des données personnelles : 4 points clés
La collecte de données personnelles est nécessaire à de nombreuses activités. Elle touche un domaine beaucoup plus large que ce qu’on imagine au premier abord : par exemple, la gestion de la paie des salariés implique de collecter un certain nombre de leurs données personnelles.
Evidemment, les enjeux de la conformité au RGPD se font plus ressentir quand la collecte de données personnelles se fait sur vos clients, candidats ou utilisateurs. Mais même ici, de nombreuses actions, comme la sauvegarde d’identifiants de connexion, impliquent de passer par la donnée.
Nous revenons en 4 points clés sur la collecte des données personnelles de vos clients et utilisateurs, pour vous permettre de remplir vos objectifs stratégiques tout en garantissant votre conformité aux règles en la matière.
Quelles données personnelles pouvez-vous collecter ?
Toutes les données personnelles ne se valent pas. Leur collecte et leur traitement n’est pas équivalent en fonction de leur nature et de ce que vous souhaitez en faire.
En effet, tout traitement de données doit se faire pour poursuivre une finalité, c’est-à-dire un objectif. Encore faut-il que celui-ci soit licite et légitime et que le traitement de données envisagé permette bien de le remplir et y soit proportionné.
Autrement dit, vous ne pouvez pas collecter des données supplémentaires qui ne seraient pas n écessaires pour remplir l’objectif.
Précisons aussi que le consentement à la collecte (dont on va parler plus loin) se fait également en fonction de cette finalité et de cet objectif. Lors du recueil du consentement, il convient donc de préciser pourquoi vous souhaitez récupérer la donnée et ce que vous allez en faire.
Pour finir, il faut noter que certains types de données font l’objet d’une protection particulière. Il s’agit des données sensibles : elles se rapportent par exemple à la situation de santé de votre client ou à d’autres éléments protégés par la loi et parfois par la Constitution (préférences sexuelles, religion…). Dans ce cas, des précautions supplémentaires doivent être prises et dont on ne parlera pas dans ce présent article.
Le consentement au cœur de la collecte des données personnelles
Le consentement est un des principaux critères permettant de justifier d’une collecte de données personnelles.
Celui-ci doit être recueilli avant tout traitement de données et doit, on l’a dit, porter sur les données d’une part et sur la finalité du traitement d’autre part.
Par ailleurs, le consentement lui-même doit répondre à certains critères pour être considéré comme valide par la CNIL et le RGPD.
Sans entrer dans les détails ici, rappelons que le consentement doit être libre, spécifique, éclairé et univoque.
Le consentement libre implique que votre client ou utilisateur puisse refuser de donner son accord sans pour autant que son accès au service soit bloqué. Cela ne s’applique pas aux données nécessaires au bon fonctionnement du service et trouve certaines limites (cas des cookie walls notamment).
Le consentement doit être éclairé, c’est-à-dire que vous devez fournir suffisamment d’informations à la personne pour qu’elle sache à quoi elle donne son accord précisément.
De plus, il doit être spécifique : notamment, vous devez permettre à la personne de donner son accord pour la collecte d’un type de données mais pas d’une autre, par exemple, ou pour la poursuite d’une finalité mais pas d’une autre. Autrement dit, il doit être possible d’accéder à une vision granulaire de l’accord, par exemple via un bandeau cookies conforme, qui permette de faire son choix.
Enfin, le consentement doit être univoque : on ne doit pas avoir de doute sur la volonté de l’utilisateur lorsqu’il donne son consentement. Cela passe forcément par une action positive, comme le fait de cocher une case par exemple. A l’inverse, le fait de continuer à naviguer sur un site ou de ne pas décocher une case précochée ne vaut pas consentement !
Une fois le consentement acquis, vous pouvez collecter les données personnelles de vos utilisateurs ou clients. Mais attention, le chemin ne s’arrête pas là : encore faut-il conserver les données de façon conforme, notamment en ce qui concerne la durée de leur conservation, et respecter les droits des personnes concernées.
Durée de conservation des données personnelles
Une fois que vous avez les données personnelles en votre possession, cela ne veut pas dire que vous pouvez les garder pour toujours ! Là encore, nous ne pouvons pas ici revenir en détail sur toutes les règles sur le sujet. Pour en savoir plus, consultez notre article sur la durée de conservation des données.
Néanmoins, rappelons quelques règles. D’abord, on a vu que le traitement des données était lié à une finalité précise. Assez logiquement, une fois cette finalité accomplie ou éteinte, vous devez supprimer les données qui vous y ont aidé.
Ensuite, les données personnelles doivent être supprimées au bout d’un certain temps, qui dépend selon les cas. Dans certains cas, des obligations légales peuvent venir étendre cette durée (par exemple, les contrats ou données de facturation doivent être conservées 10 ans conformément au Code de commerce.
Quoi qu’il en soit, il est donc primordial de mettre en place une base de données saine et à jour, qui indique notamment la date de collecte de la donnée pour pouvoir la supprimer en temps et en heure.
L’exercice des droits après la collecte
Pour finir, les personnes dont vous détenez les données personnelles ont des droits et peuvent les exercer. Ces droits concernent l’opposition (qui correspond en fait au retrait de leur consentement), la modification ou encore le droit à l’oubli (effacement de certaines données les concernant).
Le RGPD précise que l’exercice de ces droits doit être facilité par les entreprises. Concrètement, vous devez mettre en place un dispositif facilement accessible, par exemple via votre site web, permettant aux personnes de vous adresser leurs demandes. Vous devez également pouvoir y répondre dans des délais raisonnables et vous assurer d’être en mesure d’appliquer les décisions nécessaires. Par exemple, vous devez effectivement pouvoir supprimer rapidement les données personnelles d’un utilisateur s’il le demande.
On le voit, la collecte des données personnelles repose sur plusieurs principes fondamentaux du RGPD et n’est pas si simple à mettre en place en toute sécurité ! Heureusement, des plateformes et outils RGPD comme Witik vous aident à remplir l’ensemble des obligations qu’on a vues ensemble facilement et rapidement !