Skip to main content

RGPD, culture G

RGPD = Règlement Général sur la Protection des Données

Il encadre et harmonise le traitement des données personnelles dans l'UE depuis mai 2018. Il s'inscrit dans la continuité de la Loi français informatique et Libertés (1978). Il s'applique à toute organisation qui traite des données personnelles pour son compte (ou non) dès lors qu'elle est établie sur le territoire de l'UE et/ou son activité cible directement des citoyens européens. --> Reconnect est donc concerné ! 

En France, la CNIL (Commission nationale de l'informatique et des libertés) est l'autorité chargée de veiller à la protection des données personnelles (fonctions : conseils + sanctions). 

Grands principes :

  • Volonté d'un traitement transparent des données personnelles dans l'UE
  • Limiter la manière dont on peut utiliser ou réutiliser les données récoltées dans le futur
  • Remettre l'utilisateur au cœur de la gestion de ses données : 
    • consentement explicite et positif
    • droit d'accès et rectification
    • droit à la portabilité des données (extraction et migration)
    • droit à l'effacement

Les données personnelles

= toute information se rapportant à une personne physique identifiée ou identifiable.

Une personne identifiable peut être identifiée de différentes façons :

  • directement : prénom, nom par exemple
  • indirectement : identifiant, numéro de téléphone, éléments génétiques, etc.

L'identification d'une personne physique peut être réalisée : 

  • à partir d'une seule donnée (ADN ou nom par exemple)
  • à partir d'un croisement de plusieurs données "indirectes" (qqn qui vit à cet endroit, né tel jour, etc.)

Base de données personnelles = si on le prénom, nom de la personne mais aussi si avec un croisement de données on peut remonter jusqu'à cette personne. 

Exemples de données personnelles courantes :

  • Données d’indentification : état civil, identité, données d’indentification, images, date de naissance, pseudonyme de réseau social, matricule, etc.
  • Donnée de contact : e-mail, téléphone, adresse postale, etc.
  • Statut professionnel : CV, scolarité, formation professionnelle, titres, distinctions, poste, fonctions, entreprises, CDI/CDD, stagiaire, consultant, etc.
  • Vie personnelle : situation familiale, catégorie socio-professionnelle, données socio-démographiques, habitudes de vie, etc.
  • Données de connexion : adresse IP, logos, tracteurs de navigation en ligne (cookies, numéro SDK), etc.
  • Données de localisation : point ou zone de localisation, horaire, etc.
  • Données des accès : vidéos surveillance, historique de badgeage, etc.

Les données sensibles

= catégorie particulière de données personnelles

Le RGPD interdit de recueillir ou utiliser ces données, sauf dans des cas précis et justifiés.

Exemples de données personnelles sensibles :

  • Données révélant l’origine raciale : ethnie, couleur de peau etc.
  • Données de santé : nature de maladie, type d’handicap, état mental, groupe sanguin, addiction, etc.
  • Données révélant les opinions politiques et/ou l’appartenance syndicale
  • Données concernant la vie sexuelle ou l’orientation sexuelle
  • Données concernant les antécédents judiciaires
  • Données biométriques
  • Données se rapportant à des mineurs

Le traitement des données personnelles

= opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, communication, transmission, etc. Ce n'est nécessairement informatisé.

Le traitement de données doit avoir un OBJECTIF.

Finalités du traitement = objectif principal de l'utilisation des données personnelles. Les données sont collectées pour un but bien déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cette finalité. Exemple : gestion des utilisateurs, accompagnement d'un bénéficiaire dans le cadre d'un hébergement social, etc.

Pour rappel, le traitement de données sensibles est par principe interdit car elles méritent une protection spécifique compte tenu des risques. Il est exceptionnellement autorisé, dans certaines conditions comme (liste non exhaustive) : personne a expressément consenti au traitement, traitement justifié par l'intérêt public, les données traitées ont été rendues publiques par la personne elle-même, etc.

La responsabilité du traitement des données

Le responsable d’un traitement de données à caractère personnel est, sauf cas particulier, l'organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. En pratique, il s’agit de la personne morale incarnée par son représentant légal (Vincent et président ou directeur de la structure sociale). 

Le sous-traitant est la personne (ou l'organisme) qui traite les données personnelles pour le compte du responsable de traitement. --> il doit présenter des garanties de sécurité et confidentialité.