Des données utiles
Si vous devez retenir une chose, c’est bien celle-ci : toutes les données que vous collectez doivent répondre à un but bien précis. En d’autres termes, elles vous sont utiles. Et ce, à tout moment de leur traitement.
Exemple
Si vous créez une newsletter, le groupe sanguin d’un nouvel inscrit n’aura certainement pas une grande utilité pour votre organisme. De la même manière, si vous avez besoin de connaître le genre de la personne, c’est de sa civilité dont vous aurez besoin… pas de son numéro de sécurité sociale.
Des données à durée déterminée
Collecter des données utiles à votre activité, c’est bien. Savoir leur dire au revoir, c’est mieux. Une fois que les données en votre possession ont rempli leur rôle, elles doivent ensuite être détruites, anonymisées ou encore archivées. Le tout, de manière sécurisée, bien entendu.
Exemple
Dans le cas d’un contrat client arrivé à terme, certaines des données collectées doivent être archivées. Cette obligation permet de respecter les règles comptables. Il est aussi conseillé de conserver les données liées au contrat pendant 5 ans en archivage ; cette action vise à se prémunir en cas de contentieux.
Des données protégées
Au cœur de votre activité, la sécurité. Peu importe la manière dont vous décidez de traiter les données au sein de votre organisme (au format physique ou informatique), vous devez pouvoir garantir leur protection. Les mesures en place devront s’adapter notamment à la sensibilité des données.
Exemple
Vous êtes plutôt papier ? Si vous possédez des documents contenant des données personnelles, ces derniers doivent être conservés dans du mobilier fermé à clef. Il sera uniquement accessible aux personnes habilitées et la clef doit être en sécurité, retirée du mobilier. Une préférence pour l’informatique ? Si vous conservez des données personnelles sur un serveur, il doit impérativement être sécurisé. Cette sécurisation passe par des identifiants et des mots de passe robustes, propres à chaque utilisateur et à chaque logiciel.
De la transparence avant toute chose
Au moment où une donnée vous est confiée, l’individu concerné doit être informé de l’utilisation que vous comptez en faire. C’est simple : avec le traitement de données personnelles, c’est la transparence qui prime. De la même manière, chaque individu doit être en mesure de connaître ses droits et comment les exercer.
Exemple
Il est impératif d’indiquer qu’une personne peut s’opposer à l’utilisation de ses données personnelles pour un démarchage commercial. Sans donner l’option à un utilisateur de refuser cette utilisation, vous pourrez être sanctionné.
De l’organisation pour de la simplification
Afin de permettre à chacun d’exercer ses droits relatifs à ses données, il est important de s’organiser. Pour toutes les données collectées, des modalités doivent être mises en place : ainsi, un individu pourra simplement faire la demande de consulter, modifier ou supprimer des données le concernant.
Exemple
Vous devez indiquer à votre public comment vous contacter pour exercer ses droits (via une adresse mail ou grâce à un formulaire en ligne, notamment). Une fois une demande reçue, il faut savoir y répondre de la façon la plus fluide possible – le tout, dans un délai d’un mois à compter de la réception de cette demande.
En interne, vous devez établir un processus clair : celui-ci doit vous permettre de vérifier l’identité de la personne concernée, mais aussi la nature de sa demande et si vous devez y faire droit ou non. Enfin, vous devez pouvoir répondre à la personne concernée pour lui communiquer les suites données à sa demande.