Le RGPD pour les nuls (1/6) : Comprendre les données personnelles

Une donnée personnelle c'est quoi ?

Une donnée personnelle, c'est une information se rapportant à une personne physique identifiée ou identifiable. Dans cet article, il est question de définir les données personnelles et leurs but : le traitement de donnée.

De façon directe, par exemple un nom ou un prénom.

De façon indirecte, par exemple un numéro de client, numéro de téléphone, plusieurs éléments spécifiques combinés permettant d'identifier une personne.

Un coiffeur vivant et travaillant dans une commune nommée de 200 habitant devrait être très facile à identifier par exemple. Cela rends la personne physique identifiable. Cette identification a été réalisée par un croisement d'un ensemble de donnée.

Ces données personnelles peuvent aussi être sensibles si elles appartiennent aux catégories suivantes :

  • Origine raciale ou ethnique
  • Opinion politique, philosophique ou religieuse
  • Appartenance syndicale
  • Santé
  • Orientation sexuelle
  • Génétique ou biométrique

Un traitement de donnée, c'est quoi ?

Si une entité, entreprises ou structure publique, vient à collecter des données personnelles, cela doit être pour un but bien précis. C'est ce qu'on appelle le traitement de données.

Le traitement de données est une opération ou multitude d'opération, nécessitant l'utilisation des données personnelles des utilisateurs, clients ou employés, pour une action définie.

Tout comme il existe des données personnelles sensibles, il y a aussi des traitements spéciaux.

  • Evaluation d’aspect personnel
  • Prise de decision automatisée
  • Surveillance de personne
  • Traitement de données sensibles
  • Traitement de données de personnes vulnérables (ex : mineurs)
  • Traitement à grande echelle de données personnelles
  • Croisement d’ensemble de données
  • Usage innovants ou l’application de Nouvelles technologies (ex: objets connectés)
  • Exclusion du benefice d’un droit, d’un service ou contrat

Dans le cas où le traitement de donnée répond à au moins 2 des critères ci-dessus, alors la réalisation d'une analyse d'impact sur la protection des données personnelles (PIA - Privacy Impact Assessment) est obligatoire.

Voici un exemple de traitement de donnée

Plus concrètement, lorsque vous réalisez un achat en ligne, vous partagez avec l'enseigne plusieurs informations personnelles : nom, prénom, adresse email, adresse de facturation, adresse de livraison.

L'adresse e-mail est nécessaire pour faire le suivi de la commande.

L'adresse de facturation, avec le nom et prénom, est nécessaire pour créer une facture à destination de l'acheteur.

L'adresse de livraison, avec le nom et prénom, est nécessaire pour livrer la commande.

Ici, nous avons trois traitement de données : suivi de commande, facturation, livraison. Aucune donnée n'appartient aux catégories sensibles. Aucun traitement n'est considéré comme spécial.

Néanmoins, il y a un cas de figure complémentaire à gérer : certaines données personnelles doivent être partagées par l'enseigne au transporteur afin de livrer la commande.

Le partage des données personnelles avec un tiers : comment ça fonctionne ?

Si l'enseigne ne partage pas le nom, prénom et adresse de livraison au transporteur, le colis n'est pas près d'arriver !

Pour cela, l'acheteur doit consentir le partage de ces informations à un tiers.

Pour l'entreprise, cela implique un lien très étroit entre les deux structures. Il existe deux notions :

  • Le responsable du traitement de donnée est celui qui obtient le consentement, le site de commerce en ligne dans notre exemple.
  • Le sous-traitant des données est celui qui traite des données personnelles pour le compte d'un responsable de traitement, le transporteur dans notre exemple.

Les points importants à retenir :

Le responsable du traitement est celui qui doit obtenir le consentement et être transparent dans sa politique de confidentialité sur les traitements de données.

Le responsable du traitement est aussi celui qui doit s'assurer que ses sous-traitants sont conformes et en accord avec le RGPD. En d'autre terme, il est garant de la conformité des sous-traitants aux yeux du sujet (l'utilisateur, client ou employé).

Le sous-traitant doit lui être conforme RGPD, mais aussi se soumettre à l'exercice de cartographie des données personnelles afin de s'assurer que les traitements de données sont réalisés en conformité avec le responsable du traitement de données.

Une cartographie des données personnelles ?

Pour terminer, afin de se rapprocher de la confirmité RGPD, les premières étapes sont les suivantes :

  • Identification des données personnelles
  • Identification des traitements
  • Identification des tiers

En identifiant tout cela, il est donc possible de réaliser une cartographie de l'utilisation des données personnelles au sein de l'entreprise. Celle-ci doit comprendre les éléments suivants :

  • Type de donnée personnelle
  • Source de l'information
  • But de la donnée personnelle (quel traitement ?)
  • Durée de rétention (combien de temps garder la donnée ?)
  • Périmètre (A quels tiers est partagé cette donnée ?)
  • Liste des emplacements de stockage et d'utilisation, et flux de données

Cette cartographie doit permettre de créer une base saine afin de débuter une conformité RGPD. En réalisant ce travail correctement, cela permet aussi de réfléchir à une meilleure façon de travailler et d'optimiser les flux de données internes à l'entreprise.

Privaya souhaite sensibiliser et rendre accessible la compréhension du Règlement Général pour la Protection des Données (RGPD) entré en vigueur en mai 2018.

Dans cette optique, Privaya met à disposition 6 articles pour mieux comprendre le RGPD et savoir comment celui-ci s'applique selon les cas d'études.

logo PrivayaPrivaya vous aide à reprendre le contrôle de vos données personnelles

Nous nous engageons à ne jamais partager aucune information sur votre identité en ligne. Vous seul pouvez choisir de partager vos données personnelles.

Privaya est une marque de la société Tomorrow Security, société par actions simplifiée, immatriculée au Registre du Commerce et des Sociétés (RCS) sous le numéro 842571549.

© 2020 Privaya