Données personnelles : ce qu’on peut faire avec et comment le faire

Données personnelles

Suite au webinaire sur le RGPD nous vous proposons une série de quatre articles sur le sujet.

Ici, nous allons nous intéresser au traitement des données personnelles. Dans le précédent article, nous avions abordé l’origine et le périmètre du RGPD. Dans le suivant, nous parlerons de ses grands principes.

Ce que l’on peut faire avec les données personnelles

On parle de traitement, la collecte en étant une forme particulière.

  • Celui-ci doit être fait de manière loyale et licite pour des finalités déterminées, explicites et légitimes. En outre, un des points suivants doit être validé : consentement, contrat, obligation légale ou intérêts vitaux.
  • Plus on monte dans l’échelle de sensibilité de la donnée personnelle plus on doit justifier de son traitement et de sa sécurisation. Par exemple, dans une newsletter seul le courriel est nécessaire. Ce qui signifie que si on collecte aussi la civilité, ça sous-entend qu’il est prévu de faire plusieurs newsletters (une par civilité ou par absence de civilité).

Les étapes d’un projet de traitement de données personnelles

Les deux acteurs principaux dans le RGPD sont le responsable de traitement et le délégué à la protection des données (DPD / DPO en anglais). Ces deux fonctions peuvent être à plein temps ou non, mutualisées voire externalisées. Attention, dans tous les cas, il ne doit y avoir dans aucun cas un lien de subordination entre ces deux employés même en dehors de ces deux fonctions. Pour revenir aux étapes, elles doivent se dérouler ainsi.

  • Le responsable de traitement à partir d’un besoin établit un cahier des charges et peut le transmettre ou non au délégué à la protection des données. C’est ce que l’on appelle la maîtrise d’ouvrage.
  • Si le dossier lui a été transmis, le délégué à la protection des données peut décider de faire une étude d’impact de préférence avec l’outil développé par la Cnil. Grâce à celle-ci, il amende ou non le projet. Comme l’étude d’impact n’est pas obligatoire, même dans le cas de certains traitements RGPD pour les petites entreprises, il est possible de ne pas avoir de délégué à la protection des données. Par contre, si on fait une analyse d’impact, celle-ci doit être obligatoirement faite par un délégué à la protection des données.
  • Après le retour de l’avis consultatif du délégué à la protection des données, le responsable de traitement établit la conduite opérationnelle des travaux, l’effectue et la consigne dans un registre. Attention, s’il délègue une ou plusieurs opérations à des sous-traitants, il a l’obligation légale de moyens et de résultats de leurs actions. Un contrat doit être établit et signé par les différents partenaires sur les conditions de traitement et de protection des données confiées en sous-traitance. C’est ce que l’on appelle la maîtrise d’œuvre.
  • Enfin, on applique le principe du droit à l’oubli, qui signifie qu’à la fin du traitement il faut anonymiser, archiver, voire, dans le meilleur des cas, supprimer l’ensemble des données personnelles dans un délai raisonnable.

Quelques liens pour aller plus loin

Outils

Acteurs du RGPD

Articles sur la pseudo-anonymisation