GLOSSAIRE RGPD

quelques notions fondamentales de la réglementation « informatique et libertés »

«Donnée à caractère personnel»

Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable.

Sera considérée comme  identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

Par exemple : le numéro de téléphone peut permettre, notamment via l’annuaire inversé mais également par d’autres moyens, d’identifier une personne physique.

Dès lors qu’elle se rapportent à une personne identifiée ou identifiable, toute information (voix, image, situation familiale, habitudes de vie,…) entre dans le champ de la protection offerte par le RGPD.

« Données sensibles»

Cette catégorie regroupe les données visées aux articles 9 du RGPD à savoir celles qui :

– révèlent l’origine raciale ou ethnique,

– les opinions politiques,

– les convictions religieuses ou philosophiques ou l’appartenance syndicale,

– les données génétiques, des données biométriques (empreintes digitales, données de reconnaissance faciale), des données concernant la santé

– les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Le traitement des données sensibles fait l’objet d’une interdiction de principe par le RGPD, des exceptions étant néanmoins prévues.

«Donnée de santé»

Ce sont les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne;

Les données de santé font l’objet d’une protection particulière. Leur traitement est en principe interdit par le RGPD, des exceptions étant toutefois prévues.

Par exemple : une société de e-commerce ne pourra collecter des données relatives à la santé de ses clients afin de leur faire parvenir des offres ciblées (par exemple des verres de contact ou des prothèses auditives).

Les données de santé font l’objet de très nombreux traitements, par le personnel médical et les autorités sanitaires, mais également dans le cadre d’applications installées sur les téléphones portables (application de running qui mesure la fréquence cardiaque,…)

«Traitement» de données personnelles,

Pour être concernées par les dispositions du RGPD, les données personnelles doivent faire l’objet d’un traitement.

Cette notion est comprise très largement  et englobe toute opération telle que:

la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, L’effacement ou la destruction de données personnelles.

«Responsable du traitement»

la personne, physique ou morale, qui détermine les finalités et les moyens du traitement

«Sous-traitant»

la personne, physique ou morale, qui traite des données à caractère personnel pour le compte du responsable du traitement.

« Registre des traitements de données »

Sous réserve de se trouver dans une situation (rare) de dispense, toute responsable de traitement doit tenir un registre, qui comporte les activités de traitement effectuées sous sa responsabilité.

Ce registre comprend les mentions suivantes :

– le nom et les coordonnées du responsable du traitement et du délégué à la protection des données;

 – les finalités (objectifs) du traitement;

– une description des catégories de personnes concernées ;

– une description des catégories de données à caractère personnel traitées;

– les catégories de destinataires (au nombre desquelles figurent les sous-traitants) à qui ces données à caractère personnel ont été ou seront communiquées;

– l’existence de transfert de données hors du territoire de l’Union Européenne ;

– les durées de conservation des différentes catégories de données;

– une description générale des mesures mise en place pour assurer la sécurité des données.

Vous êtes dispensés de l’obligation de tenir un registre si votre organisme (exigences cumulatives) :

– comporte un effectif de moins de 250 salariés ;

– ne traite des données personnelles que de manière occasionnelle;

– ne traite pas des données dans un contexte qui présenterait un risque pour les droits et libertés des personnes;

– ne traite pas des données sensibles ou des données relatives à des condamnations pénales ou à des infractions.