Le RGPD, à quel point les données personnelles <br>sont-elles sensibles?

Le RGPD, à quel point les données personnelles
sont-elles sensibles?

juillet 14, 2017 / by Trueson / GDPR

Bonjour à tous. Le sujet de cette semaine porte sur la nature des données personnelles. Lorsque votre entreprise commence à travailler en conformité avec le RGPD, vous devez commencer par définir votre domaine de données.
Quel type de données personnelles votre entreprise possède-t-elle? Quelle est la sensibilité de ces données? Et pour quel motif la traitez-vous? Pour répondre à ces questions, vous devez savoir comment les données personnelles sont définies dans le RGPD.

Comment les «données personnelles» sont-elles définies dans le RGPD?
La définition exacte du RGPD des données personnelles se trouve à l’article 4(1):

Les «Données personnelles» correspondent à toute information relative à une personne physique identifiée ou identifiable («personne concernée»);
Une personne physique identifiable est celle qui peut être identifiée, directement ou indirectement, en particulier par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques comme les facteurs physique, physiologique, génétique, mentale, économique, culturel ou social de cette personne physique

Ce qui est nouveau à propos de cette définition, c’est que trois nouveaux identifiants y sont ajoutés: noms, données de localisation (données avec une position géographique associée) et identifiants en ligne (adresses IP, identifiants d’appareils mobiles, etc.). Beaucoup d’entreprises ont déjà traité ces types de données comme des données personnelles, mais dans le cadre du RGPD, ces types de données font officiellement partie de la définition des données personnelles.

Quand les données personnelles sont-elles jugées sensibles dans le GDPR?
À l’article 9 (1), le RGPD mentionne quelques types de données personnelles qui devraient être interdites, à moins que des conditions spécifiques ne soient remplies:

L’origine raciale ou ethnique
Les opinions politiques
Les croyances religieuses ou philosophiques
L’appartenance syndicale
Les données génétiques ou biométriques
La santé ou la vie sexuelle

Ces types de données personnelles ne peuvent être traités que si des conditions spécifiques ont été remplies et doivent être traitées avec des précautions supplémentaires et des mesures de sécurité. Quoi de neuf sur cette définition, c’est que le RGPD comprend des données génétiques et biométriques (séquences génétiques, empreintes digitales, reconnaissance faciale, etc.).

Sur quel motif les données personnelles (sensibles) peuvent-elles être traitées? Pour traiter les données personnelles, un contrôleur de données doit satisfaire au moins une des conditions énoncées à l’article 6 du RGPD:

a) La personne concernée a donné son consentement au traitement de ses données personnelles pour un ou plusieurs objectifs spécifiques;

b) Le traitement est nécessaire pour l’exécution d’un contrat auquel la personne concernée fait partie ou pour prendre des mesures à la demande de la personne concernée avant de conclure d’un contrat;

c) Le traitement est nécessaire pour le respect d’une obligation légale à laquelle le contrôleur est soumis;

d) Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique;

e) Le traitement est nécessaire pour l’exécution d’une tâche effectuée dans l’intérêt public ou dans l’exercice de l’autorité publique confiée au contrôleur;

f) Le traitement est nécessaire aux fins des intérêts légitimes et libertés fondamentaux de la personne concernée qui exigent la protection des données à caractère personnel, en particulier lorsque la personne concernée est un enfant.

A, b et f sont les conditions que la plupart des entreprises utilisent pour traiter les données personnelles. Le traitement des données personnelles sensibles, ou ce que le RGPD appelle «catégories spéciales de données personnelles» de l’article 9, est interdit, à moins que des conditions plus spécifiques ne soient remplies. Ces conditions spécifiques peuvent être trouvées dans l’article 9 (2). Dans une publication ultérieure sur le blog, nous aborderons davantage les conditions de traitement des données personnelles et des données personnelles sensibles.

Merci d’avoir lu cette publication, car il s’agissait d’une lecture un peu dure. Mais c’est un aspect important du RGPD qui vous aidera à mettre en perspective nos prochains posts sur le blog. Des blogs plus nombreux (et amusants à lire) suivront!



If you have any questions or comments, please fill out the form below.





Tags
Étiquettes : ,
Share