Quelques notions RGPD

Le Règlement Général sur la Protection des Données (RGPD)

 

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données ou General Data Protection Regulation (GDPR) entré en vigueur le 25 mai 2018 est le nouveau règlement de référence pour l’encadrement du traitement des données personnelles.

 

Loi informatique et liberté & RGPD

Le RGPD ne remplace pas la Loi Informatique et Liberté mais se pose plutôt dans une continuité logique en établissant des règles de collecte et d’utilisation des données personnelles plus spécifiques :

  • Définit un cadre plus spécifique.
  • Donne des droits aux citoyens européens (portabilité, oubli, etc.)
  • Donne des responsabilités aux acteurs traitant les données et définit des rôles et des outils (Étude d’Impact à la Vie Privée)
  • Obligation de transparence, notamment concernant les failles de sécurité et/ou les fuites de données.

On passe à un système beaucoup plus actif, ou la gestion des données personnelles est un composant de toutes études qui doit être considéré à chaque étape, de la conception du projet à l’archivage des données.

 

Qui est concerné ?

Toutes les entreprises, organismes publiques ou privés qui ciblent les données personnelles d’un résident vivant de l’UE.

 

Types de données :

Qu’est-ce qu'une donnée Personnelle ?

Toutes donnée qui sert à identifier une personne :

  • Nom/Prénom
  • Adresse IP
  • N° d’immatriculation
  • N° de téléphone
  • Photographie
  • Numéro d’Identification Nationale Étudiant (INE)

Mais aussi toutes les données permettant de discriminer une personne au sein d’une population :

  • Fichiers statistiques
  • Lieu de résidence
  • Profession
  • Sexe
  • Âge

Attention ! Certaines données anonymes peuvent permettre d’identifier indirectement ou par recoupement et sont donc considérées comme personnelles.

  • Empreinte digitale
  • ADN
  • Date de naissance associée à une commune de résidence
  • Régime alimentaire spécifique (Vegan, végétarien, sans sel, sans porc, etc.)

 

Qu’est-ce qu'une donnée Sensible?
  • L’origine raciale/ethnique,
  • Les opinions politiques/philosophiques/religieuses,
  • L’appartenance syndicale
  • La santé
  • La vie sexuelle
  • Les données biométriques

La collecte et le traitement de ces données doivent être pertinents et proportionnés au regard des objectifs recherchés.

 

Qu’est-ce qu'une donnée Génétique ?

C’est une donnée à caractère personnel, relative aux caractéristiques génétiques héréditaires ou acquises d’une personne, qui donne des informations uniques sur sa physiologie ou son état de santé. Elles résultent par exemple de l’analyse d’un échantillon biologique.

 

Qu’est-ce qu'une donnée Biométrique ?

C’est une donnée à caractère personnel résultant d’un traitement technique spécifique. Elle est relative aux caractéristiques physiques/physiologiques/comportementales d’une personne, qui permettent son identification directe ou indirecte, telles que des images faciales ou d’analyses dactylographiques.

 

Qu’est-ce qu'une donnée de Santé ?

Il s’agit des données à caractère personnel relatives à la santé physique/mentale d’une personne, y compris la prestation de services de soins de santé. Ce sont des données considérées comme sensibles car elles révèlent des informations sur l’état de santé de cette personne.

 

Qu’est-ce qu'un Traitement de Données ?

Toute opération sur les données, quel que soit le procédé utilisé :

  • Collecte
  • Communication par transmission/diffusion ou toute autre forme de mise à disposition (mail, courrier, base de données téléphone, etc.)
  • Modification
  • Conservation
  • Consultation
  • Organisation, conservation, enregistrement, adaptation, modification, extraction, utilisation, rapprochement ou interconnexion, etc.

Un traitement de données doit être :

  • Légitime
  • Conforme au registre des traitements (obligatoire à partir de +250 employés)
  • Autorisé (avec documentation à l’appui) par le Responsable de traitement

 

Les Rôles du RGPD :

Qu’est-ce qu'un Responsable de traitement ?

La personne physique/morale, l’autorité publique ou le Service qui décide des moyens et des finalités des données à caractère personnel.

 

Qu’est-ce qu'un Sous-Traitant ?

La personne physique/morale, l’autorité publique ou le Service qui traite les données pour le compte, sur instruction et sous l’autorité d’un responsable de traitement.

  • Il doit aider le Responsable de Traitement à garantir le respect de ses obligations

 

Le Profilage

Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne, pour analyser ou prédire des éléments sur une personne physique concernant :

♦ Son rendement au travail

♦ Sa situation économique

♦ Sa santé

♦ Ses préférences personnelles

♦ Ses intérêts, sa fiabilité et son comportement

♦ Sa localisation ou ses déplacements

 

Pseudonymisation

Traitement de données à caractère personnel afin de séparer les informations permettant d’identifier une personne physique du reste des données supplémentaires. Les informations identifiantes sont alors conservées sur des supports différents.