Le traitement des données personnelles est un processus. En cela, il a les caractéristiques suivantes :
- Des activités (étapes d’une séquence ou activités en parallèle)
- Des acteurs (responsabilités)
- Des données d’entrée et de sortie
- Des règles de fonctionnement
Nous allons devoir décrire nos traitements de données personnelles et les distinguer les uns des autres en fonction de leur finalité. En effet, la réglementation va nous imposer de contrôler le traitement par rapport cette finalité.
Identification
- Pour éviter toute ambigüité, il est pertinent d’identifier le traitement de manière unique par une référence ou un nom reconnu par les acteurs (on préfèrera une codification si les traitements sont nombreux)
- En tant que processus, le traitement doit avoir un propriétaire. Dans le vocabulaire du RGPD, il s’agit du responsable de traitement
- Une description du traitement sera la bienvenue, elle présentera notamment :
- La finalité du traitement
- Les enjeux (ce qu’apporte le traitement)
- Le contexte d’utilisation
|
Finalité du traitement
Le traitement de données personnelles doit avoir une finalité déterminée avant la collecte des données :
- La finalité est déterminée de manière précise, c’est elle qui doit motivier et conditionner le traitement.
- En effet, cette finalité devra être communiquée aux personnes concernées de manière explicite et les données collectées ne pourront pas être utilisées à d’autres fins sans le consentement des personnes concernées
- La finalité du traitement doit être légitime, cela signifie qu’il correspond à au moins un des cas suivant:
- Il y a consentement des personnes concernées pour une finalité spécifique
- Le traitement est relatif à un contrat ou précontrat signé par les personnes concernées
- Le traitement est nécessaire pour satisfaire à une obligation légale
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux des personnes concernées
- Le traitement ne doit pas être contraire aux restrictions de la CNIL
Pour en savoir plus, voir l’article 6 du texte de loi.
Les interdictions
Le traitement de données personnelles doit avoir une finalité et le traitement des données pour une finalité non prévue est prohibé à l’exception des finalités d’archivage d’intérêt public ou de recherches scientifiques ou historiques.
Le traitement des données liées à des catégories particulières de personnes est interdit sauf avec le consentement spécifique et hors interdiction nationale.
Il est également interdit de traiter des données pénales (sauf sous l’autorité publique)
Les acteurs du traitement
Les acteurs du traitement sont déterminés et l’identifiés de manière à ce que les personnes et l’autorité de contrôle puissent adresser leurs demandes. Il s’agit :
- Du délégué aux données personnelles
- Du responsable de traitement
- Du sous-traitant éventuel
- Des co-responsables
Les données personnelles
Toutes les données personnelles doivent être inventoriées et qualifiées avec les informations suivantes :
- Durée de concervation : elle doit être limitée à la finalité en tant que donnée personnelle, la donnée peut être archivée si elle est anonymisée
- Quel est le destinataire de la donnée (qui la reçoit ?)
- Qui a accès à la donnée ?
- Dans quelle mesure la donnée est nécessaire au traitement ?
- La donnée est elle susceptible de changer ? (Est-elle exacte et mise à jour ?)
Parmis les principes du RGPD, il y a celui de la minimisation des données qui veut que les données personelles collectées soient réduites aux données nécessaires au traitement.
Le cycle de vie du traitement
Le cycle de vie du traitement se décrit en termes de processus et en termes de supports. A chaque étape du cycle, quel support est utilisé pour la donnée ? De celui-ci pourra dépendre les moyens à mettre en oeuvre pour sécuriser la donnée.
En termes de processus on pourra caractériser :
- La collecte
- La modification
- La mise à jour
- Le stockage
- La suppression
Le traitement et la protection des droits
Après avoir défini en détail les caractéristiques du traitement, nous allons devoir nous assurer qu’il respecte la protection des droits des personnes concernées. Ici figure une des nouveautés apportées par cette réglementation.