Le traitement des données personnelles est un processus. En cela, il a les caractéristiques suivantes :

• Pour éviter toute ambigüité, il est pertinent d’identifier le traitement de manière unique par une référence ou un nom reconnu par les acteurs (on préfèrera une codification si les traitements sont nombreux)
• En tant que processus, le traitement doit avoir un propriétaire. Dans le vocabulaire du RGPD, il s’agit du responsable de traitement
• Une description du traitement sera la bienvenue, elle présentera notamment :
• La finalité du traitement
• Les enjeux (ce qu’apporte le traitement)
• Le contexte d’utilisation

Les référentiels : Applicables A respecter Utiles Certifications

Le traitement de données personnelles doit avoir une finalité déterminée avant la collecte des données :

• La finalité est déterminée de manière précise, c’est elle qui doit motivier et conditionner le traitement.
• En effet, cette finalité devra être communiquée aux personnes concernées de manière explicite et les données collectées ne pourront pas être utilisées à d’autres fins sans le consentement des personnes concernées
• La finalité du traitement doit être légitime, cela signifie qu’il correspond à au moins un des cas suivant:
  • Il y a consentement des personnes concernées pour une finalité spécifique
  • Le traitement est relatif à un contrat ou précontrat signé par les personnes concernées
  • Le traitement est nécessaire pour satisfaire à une obligation légale
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux des personnes concernées
• Le traitement ne doit pas être contraire aux restrictions de la CNIL

Pour en savoir plus, voir l’article 6 du texte de loi.

Le traitement de données personnelles doit avoir une finalité et le traitement des données pour une finalité non prévue est prohibé à l’exception des finalités d’archivage d’intérêt public ou de recherches scientifiques ou historiques.

Le traitement des données liées à des catégories particulières de personnes est interdit sauf avec le consentement spécifique et hors interdiction nationale.

Il est également interdit de traiter des données pénales (sauf sous l’autorité publique)

Les acteurs du traitement sont déterminés et l’identifiés de manière à ce que les personnes et l’autorité de contrôle puissent adresser leurs demandes. Il s’agit :

• Du délégué aux données personnelles
• Du responsable de traitement
• Du sous-traitant éventuel
• Des co-responsables

Toutes les données personnelles doivent être inventoriées et qualifiées avec les informations suivantes :

• Durée de concervation : elle doit être limitée à la finalité en tant que donnée personnelle, la donnée peut être archivée si elle est anonymisée
• Quel est le destinataire de la donnée (qui la reçoit ?)
• Qui a accès à la donnée ?
• Dans quelle mesure la donnée est nécessaire au traitement ?
• La donnée est elle susceptible de changer ? (Est-elle exacte et mise à jour ?)

Parmis les principes du RGPD, il y a celui de la minimisation des données qui veut que les données personelles collectées soient réduites aux données nécessaires au traitement.

Le cycle de vie du traitement se décrit en termes de processus et en termes de supports. A chaque étape du cycle, quel support est utilisé pour la donnée ? De celui-ci pourra dépendre les moyens à mettre en oeuvre pour sécuriser la donnée.

En termes de processus on pourra caractériser :

• La collecte
• La modification
• La mise à jour
• Le stockage
• La suppression

Après avoir défini en détail les caractéristiques du traitement, nous allons devoir nous assurer qu’il respecte la protection des droits des personnes concernées. Ici figure une des nouveautés apportées par cette réglementation.