Donnée à caractère personnel (donnée personnelle)

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.

Une personne physique peut être identifiée :

• Directement (exemple : nom et prénom) ;
• Indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

• À partir d’une seule donnée (exemple : nom) ;
• À partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour et membre dans telle association) 

Traitement de données à caractère personnel (traitement)

Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction. 

Finalité d’un traitement

La finalité du traitement est l’objectif principal de l’utilisation de données personnelles.

Les données sont collectées pour un but bien déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet objectif initial. Ce principe de finalité limite la manière dont le responsable de traitement peut utiliser ou réutiliser ces données dans le futur.

Exemples de finalité : gestion des recrutements, gestion des paies, gestion des clients, enquête de satisfaction, surveillance des locaux, etc.

Responsable de traitement

La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement

Sous-traitant

La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Délégué(e) à la protection des données (DPD)

Le délégué à la protection des données (DPD) est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme. Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions. Pour garantir l’effectivité de ses missions, le délégué doit disposer de qualités professionnelles et de connaissances spécifiques et doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement adéquats.

Personne(s) concernée(s)

Personnes auxquelles se rapportent les données qui font l'objet du traitement : salariés, patients, étudiants, etc.

Registre des traitements

Le registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que le responsable de traitement fait avec les données personnelles. Il permet notamment d’identifier :

• Les parties prenantes 
• Les catégories de données traitées 
• À quoi servent ces données, qui y accède et à qui elles sont communiquées 
• Combien de temps les données personnelles sont conservées 
• Comment elles sont sécurisées

Analyse d’impact sur la protection des données (AIPD)

Une analyse d’impact sur la protection des données est une étude qui doit être menée lorsqu'un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.

L'AIPD se décompose en trois parties :

• Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels 
• L’analyse, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux  (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques 
• L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

Violation de données

Une violation de la sécurité se caractérise par la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

Il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.

Exemples :

• Suppression accidentelle de données médicales conservées par un établissement de santé et non sauvegardées par ailleurs ;
• Perte d’une clef USB non sécurisée contenant une copie de la base clients d’une société ;

Les obligations des responsables du traitement concernant les violations de données personnelles, et notamment leur notification à la CNIL et aux personnes concernées, sont prévues dans le RGPD.