Comprendre les notions clés RGPD / GDPR

QU’EST-CE QU’UNE DONNEE PERSONNELLE ?

Une donnée personnelle est une information se rapportant à une personne physique, qui permet de l’identifier directement (ex : ses nom et prénom) ou indirectement (ex : un numéro de sécurité sociale).

Si une information ou un croisement d’informations permet d’identifier un individu, alors cette information ou ce croisement d’informations est une donnée personnelle.

Sont ainsi considérées comme des données personnelles les informations suivantes : un numéro de téléphone, une adresse mail, une adresse postale, un RIB, des données de localisation, un identifiant en ligne, une adresse IP, etc.

Il peut s’agir d’un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

QU’EST-CE QU’UN TRAITEMENT DE DONNEES ?

Un traitement est toute opération effectuée sur la donnée personnelle. La définition est donc très large.

Il peut s’agit de la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication, le rapprochement ou l’interconnexion, la limitation, l’effacement ou encore la destruction de données.

QU’EST-CE QU’UNE FINALITE DE TRAITEMENT ?

La finalité d’un traitement, c’est l’objectif poursuivi, la raison pour laquelle on traite une donnée.

QU’EST-CE QU’UN RESPONSABLE DE TRAITEMENT ?

Un Responsable du traitement est la personne physique ou morale, l’autorité publique, le service qui, seul ou conjointement avec d’autres, détermine les finalités (les objectifs) et les moyens du traitement.

Prenons un exemple : une entreprise décide de réaliser un site de vente en ligne. A l’occasion de cette activité, elle va réaliser des traitements de données personnelles (notamment les données d’identification de ses clients pour exécuter les ventes). L’entreprise est qualifiée de « responsable » de ces traitements puisque c’est elle qui détermine la finalité de ces traitements (la vente en ligne) et le moyen de traitement (le site internet).

QU’EST-CE QU’UN SOUS-TRAITANT ?

Dans certains cas, la personne qui traite des données personnelles agit, non pas pour son compte, mais pour le compte d’un tiers. La personne qui traite les données est alors qualifiée de « sous-traitant » et doit respecter des obligations particulières.

Le sous-traitant est ainsi la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte d’un responsable du traitement.

Reprenons le même exemple : une entreprise souhaite réaliser un site de vente en ligne. L’entreprise est responsable de traitement. Elle fait appel à un web master pour assurer la maintenance et l’hébergement du site de vente en ligne.

Le web master va traiter des données personnelles pour le compte d’un responsable de traitement.

Un document écrit devra obligatoirement être signé entre le responsable de traitement et le sous-traitant afin d’encadrer le traitement des données personnelles et prévoir les droits et obligations des acteurs.

QU’EST-CE QU’UN DESTINATAIRE DES DONNEES ?

Un destinataire est la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données, qu’il s’agisse ou non d’un tiers, sans pour autant réaliser de traitement sur les données.

QU’EST-CE QU’UNE VIOLATION DE DONNEES PERSONNELLES ?

Le GDPR vise la violation de la sécurité entraînant, de façon accidentelle ou non, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles, ou l’accès non autorisé à ces données.

En cas de violation de données, le responsable de traitement et le sous-traitant (s’il existe) peuvent engager leur responsabilité conjointe.

LE CONSENTEMENT DE LA PERSONNE CONCERNEE

Lorsque la personne concernée doit donner son consentement à un traitement de ses données (ce consentement n’est pas toujours requis), ce consentement doit remplir certains critères importants. A défaut, le consentement donné n’est pas valable.

Le consentement de la personne concernée est une manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données personnelles la concernant fassent l’objet d’un traitement.

Le consentement doit donc être express (non implicite), préalable au traitement (non a posteriori), donné en toute connaissance de cause (avant de donner son accord, la personne doit notamment être informée de manière claire et transparente de la ou des finalités de traitements de ses données).

QU’EST-CE QU’UNE DONNEE SENSIBLE ?

Une donnée sensible est d’abord une donnée personnelle.

Elle est ensuite une donnée dite « sensible » car elle concerne des informations particulières d’une personne : la santé, l’ethnie, la religion, la race, l’appartenance politique ou syndicale, l’orientation et la vie sexuelle.

Retenez que le traitement d’une donnée sensible est en principe interdit, sauf cas particuliers.