Suite au webinaire sur le RGPD nous vous proposons une série de quatre articles sur le sujet.
- Origine et périmètre du RGPD
- Données personnelles : ce qu’on peut faire avec et comment le faire
- Les grands principes du RGPD
- Des cas pratiques
Ici, nous allons nous intéresser au traitement des données personnelles. Dans le précédent article, nous avions abordé l’origine et le périmètre du RGPD. Dans le suivant, nous parlerons de ses grands principes.
Ce que l’on peut faire avec les données personnelles
On parle de traitement, la collecte en étant une forme particulière.
- Celui-ci doit être fait de manière loyale et licite pour des finalités déterminées, explicites et légitimes. En outre, un des points suivants doit être validé : consentement, contrat, obligation légale ou intérêts vitaux.
- Plus on monte dans l’échelle de sensibilité de la donnée personnelle plus on doit justifier de son traitement et de sa sécurisation. Par exemple, dans une newsletter seul le courriel est nécessaire. Ce qui signifie que si on collecte aussi la civilité, ça sous-entend qu’il est prévu de faire plusieurs newsletters (une par civilité ou par absence de civilité).
Les étapes d’un projet de traitement de données personnelles
Les deux acteurs principaux dans le RGPD sont le responsable de traitement et le délégué à la protection des données (DPD / DPO en anglais). Ces deux fonctions peuvent être à plein temps ou non, mutualisées voire externalisées. Attention, dans tous les cas, il ne doit y avoir dans aucun cas un lien de subordination entre ces deux employés même en dehors de ces deux fonctions. Pour revenir aux étapes, elles doivent se dérouler ainsi.
- Le responsable de traitement à partir d’un besoin établit un cahier des charges et peut le transmettre ou non au délégué à la protection des données. C’est ce que l’on appelle la maîtrise d’ouvrage.
- Si le dossier lui a été transmis, le délégué à la protection des données peut décider de faire une étude d’impact de préférence avec l’outil développé par la Cnil. Grâce à celle-ci, il amende ou non le projet. Comme l’étude d’impact n’est pas obligatoire, même dans le cas de certains traitements RGPD pour les petites entreprises, il est possible de ne pas avoir de délégué à la protection des données. Par contre, si on fait une analyse d’impact, celle-ci doit être obligatoirement faite par un délégué à la protection des données.
- Après le retour de l’avis consultatif du délégué à la protection des données, le responsable de traitement établit la conduite opérationnelle des travaux, l’effectue et la consigne dans un registre. Attention, s’il délègue une ou plusieurs opérations à des sous-traitants, il a l’obligation légale de moyens et de résultats de leurs actions. Un contrat doit être établit et signé par les différents partenaires sur les conditions de traitement et de protection des données confiées en sous-traitance. C’est ce que l’on appelle la maîtrise d’œuvre.
- Enfin, on applique le principe du droit à l’oubli, qui signifie qu’à la fin du traitement il faut anonymiser, archiver, voire, dans le meilleur des cas, supprimer l’ensemble des données personnelles dans un délai raisonnable.
Quelques liens pour aller plus loin
Outils
Acteurs du RGPD
- Délégué à la protection des données (DPO)
- Responsable des traitements :
Articles sur la pseudo-anonymisation
- Exemple des taxis new-yorkais par le Linc (Laboratoire d’innovation numérique de la Cnil)
- obtention de l’adresse postale grâce au croisement des trajets et à la reconnaissance spatiale des photos publiées
- détermination de la religion musulmane chez les conducteurs de taxis grâce aux cinq arrêts à heure fixe par jour
- Étude de trois chercheurs belges (applicable au domaine médical) :