Tin tức

RGPD : à quel point les données personnelles sont sensibles

Categories: Uncategorized

Bonjour à tous. Le thème de cette semaine porte sur la nature des données personnelles. Lorsque votre entreprise commence à travailler à la mise en conformité avec le RGPD, vous devez commencer par dresser la carte de votre patrimoine de données. Quel type de données personnelles votre entreprise possède-t-elle ? Quel est le degré de sensibilité de ces données ? Et pour quels motifs les traitez-vous ? Pour répondre à ces questions, vous devez savoir comment les données à caractère personnel sont définies dans le RGPD.

Comment les “données à caractère personnel” sont-elles définies dans le RGPD ?

La définition exacte des données à caractère personnel dans le RGPD se trouve à l’article 4, paragraphe 1 :

Par “données à caractère personnel”, on entend toute information concernant une personne physique identifiée ou identifiable (“personne concernée”) ;

Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

La nouveauté de cette définition est que trois nouveaux identificateurs y sont ajoutés : les noms, les données de localisation (données auxquelles est attachée une position géographique) et les identificateurs en ligne (adresses IP, ID d’appareils mobiles, etc.). De nombreuses entreprises ont déjà traité ces types de données comme des données personnelles, mais dans le cadre du RGPD, ces types de données font officiellement partie de la définition des données personnelles.

Quand les données personnelles sont-elles considérées comme sensibles dans le cadre du RGPD ? À l’article 9, paragraphe 1, le RGPD mentionne quelques types de données à caractère personnel dont le traitement devrait être interdit, à moins que des conditions spécifiques n’aient été remplies :

  • L’origine raciale ou ethnique
  • Opinions politiques
  • Croyances religieuses ou philosophiques
  • L’appartenance syndicale
  • Données génétiques ou biométriques
  • Santé ou vie sexuelle

Ces types de données personnelles ne peuvent être traitées que si des conditions spécifiques ont été remplies, et doivent être traitées avec des précautions et des mesures de sécurité supplémentaires. La nouveauté de cette définition est que le RGPD inclut des données génétiques et biométriques (séquences de gènes, empreintes digitales, reconnaissance faciale, etc.)

Pour quels motifs les données personnelles peuvent-elles être traitées ?

Pour traiter des données à caractère personnel, un responsable du traitement doit remplir au moins une des conditions énoncées à l’article 6 du RGPD :

a) La personne concernée a donné son consentement au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures prises à la demande de celle-ci avant la conclusion d’un contrat ;

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

e) le traitement est nécessaire à l’exécution d’une mission effectuée dans l’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

f) le traitement est nécessaire à la réalisation des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que des intérêts ou des libertés et droits fondamentaux de la personne concernée, qui nécessitent la protection des données à caractère personnel, ne s’y opposent, notamment lorsque la personne concernée est un enfant.

a, b et f sont les conditions que la plupart des entreprises utilisent pour traiter les données à caractère personnel. Le traitement de données personnelles sensibles, ou ce que le RGPD appelle des “catégories spéciales de données personnelles” dans l’article 9, est interdit à moins que des conditions plus spécifiques n’aient été remplies. Ces conditions spécifiques figurent à l’article 9, paragraphe 2. Dans un prochain billet de blog, nous développerons les conditions de traitement des données à caractère personnel et des données personnelles sensibles.

Nous vous remercions d’avoir lu ce billet dans son intégralité, car il a été un peu ardu. Mais c’est un aspect important du RGPD qui vous aidera à mettre en perspective nos prochains articles. D’autres articles (et amusants à lire) suivront !

Implémentation réussie d’Activity Management dans toutes les filiales européennes de Takeda
Un autre sujet brûlant du RGPD : le consentement
Menu