Se rendre au contenu

Notre Glossaire du RGPD

Les données personnelles

La notion de « traitement de données personnelles » englobe diverses actions liées aux données, que ce soit sur support numérique, ou en format papier, que ces actions soient réalisées manuellement ou informatiquement. Cela inclut la collecte, le stockage (sur un serveur ou en archive physique), l’utilisation pour une analyse, le partage avec d’autres parties, et même la suppression de ces données. Chaque étape de ce processus est considérée comme un traitement.

Afin d’être légitime, tout traitement de données personnelles doit avoir un objectif spécifique défini à l’avance et doit reposer sur un fondement juridique clair. Selon le RGPD, ce fondement juridique peut être établi en se basant sur l’une des bases légales autorisées par la réglementation en vigueur. Ces bases légales garantissent un équilibre entre la protection des droits individuels et la nécessité d’utiliser ces données dans un contexte légitime.

La notion de « donnée à caractère personnel », telle que définie par le RGPD, englobe toutes les informations liées à une personne physique permettant son identification.

Cette identification peut être directe, résultant d’une seule donnée comme le nom ou le prénom, ou indirecte par le croisement ou la combinaison de plusieurs données, telles que le numéro de sécurité sociale, l’adresse, la date de naissance, les traitements médicaux suivis, ainsi que d’autres informations spécifiques. 

En d’autres termes, toute information qui, seule ou en combinaison, peut conduire à l’identification précise d’une personne physique est considérée comme une donnée à caractère personnel selon le RGPD.

Une violation de sécurité survient lorsque des données personnelles sont détruites, perdues, altérées, divulguées de manière non autorisée ou si un accès non autorisé à ces données se produit, que ce soit de manière accidentelle ou illégale.

Si un incident dans la chaîne de traitement compromet de manière globale ou partielle l’intégrité, la confidentialité ou la disponibilité de ces données, cela constitue une violation de données

Par exemple, une suppression accidentelle de données médicales, la perte d’une clé USB contenant une base de clients ou une modification malveillante de résultats d’analyse.

Dans de telles situations, les responsables du traitement des données ont des obligations, notamment celle de notifier les violations à la CNIL (Commission Nationale de l’Informatique et des Libertés), ainsi qu’aux personnes concernées.

Les Eléments du RGPD


Un(e)  Délégué(e) à la Protection des Données  (DPO)

Le Délégué à la protection des données (DPO - Data Protection Officer) veille à ce que l’organisme respecte les règles du règlement européen sur la protection des données. Sa désignation est obligatoire seulement dans certaines situations et peut être interne ou externe à l’organisme. Pour être efficace, le DPO doit avoir des compétences spécifiques et des ressources suffisantes.

Lorsque la désignation d’un DPO n’est pas obligatoire, il est possible de choisir de nommer volontairement un DPO pour renforcer la conformité au RGPD et la protection des données.

Quoi qu’il en soit, il est recommandé de désigner une personne ou une équipe chargée de la protection des données. Si ce rôle n’est pas formellement celui d’un DPO, un référent organisationnel de la conformité doit être identifié au sein de l’organisme.

La CNIL, la Commission Nationale de l’Informatique et des Libertés, est l’autorité de contrôle en France. Son rôle en tant que régulateur des données personnelles consiste à s’assurer que le traitement de ces données ne porte pas atteinte à l’identité humaine, aux droits de l’homme, à la vie privée, ainsi qu’aux libertés individuelles ou publiques.

En plus de jouer ce rôle de surveillance, la CNIL a également une mission de conseil et d’information pour tous. Elle veille à informer et à protéger les droits des individus, à aider les professionnels à être conformes, et à anticiper les questions éthiques liées aux données.

Cependant, la CNIL n’est pas uniquement une source d’information et de conseil. Elle a également le pouvoir de contrôler les pratiques et de sanctionner en cas de non-conformité aux règles établies.

Le RGPD accorde des droits essentiels en ce qui concerne la protection des données personnelles.

Pour les personnes concernées par un traitement de leurs données, cela signifie en premier lieu qu’elles disposent du droit d’être clairement informées sur la collecte, l’utilisation et le traitement de leurs informations.

Puis, tout au long du processus de traitement, ces mêmes personnes disposent également du droit d’accéder à leurs données, de les rectifier, de s’opposer à leur traitement, de demander leur suppression, de limiter le traitement, de pouvoir recevoir leurs données personnelles dans un format structuré afin de les transférer ailleurs (portabilité), et de demander une intervention humaine afin de ne pas faire l’objet de décisions automatisées

L’exercice de ces droits donne aux utilisateurs un réel contrôle et la possibilité de jouer un rôle actif dans la gestion de leurs données personnelles.

Les organisations sont tenues de respecter ces droits et de mettre en place des mécanismes facilitant leur exercice. Ces mesures permettent aux individus.

Les différents acteurs et leurs rôles


Le responsable de traitement, dans le contexte de la protection des données, est la personne ou l’entité qui décide de la manière dont les données personnelles seront collectées, utilisées et traitées. 

Il est responsable de prendre des décisions essentielles concernant le traitement des données personnelles et assume la responsabilité juridique à l’égard des tiers. En d’autres termes, c’est celui qui a le contrôle et la responsabilité légale sur la gestion des données personnelles conformément aux lois et réglementations en vigueur.

Le sous-traitant, personne physique ou morale, traite des données pour le compte du responsable de traitement. 

Il est lié par un contrat qui précise les obligations telles que la transparence, la traçabilité, la sécurité des données, l'application des principes de protection des données, et l'assistance, l'alerte et le conseil en cas de violation, respectant ainsi les règles du RGPD.

Désigne une personne physique ou morale, une autorité publique, ou tout autre organisme qui reçoit une communication de données à caractère personnel, de la part du responsable du traitement initial.

Il peut être interne ou externe à l'organisation d'origine.

Le terme "personne concernée" englobe toute personne pouvant être identifiée, directement ou indirectement, par des moyens tels qu'un nom, un numéro d'identification, des données de localisation, ou d'autres éléments liés à son identité physique, psychique, économique, culturelle, ou sociale.

En somme, la personne concernée est la personne à laquelle les données personnelles d’un traitement se rapportent, le RGPD vise à garantir la protection de ses droits et libertés en régulant le traitement de ses données.