Comprendre le RGPD : les notions clés
Qu'est-ce qu'une donnée personnelle ?
Le RGPD définit la donnée personnelle comme toute information se rapportant à une personne physique identifiée ou identifiable.
Une personne est identifiable dès lors que l’on peut la reconnaître directement (nom, photo, numéro de téléphone, etc.) ou indirectement (plaque d’immatriculation, identifiant en ligne, données de localisation, etc.).
Informations d’identité : nom, prénom, date de naissanc
Coordonnées : adresse email, numéro de téléphone, adresse postale
Données économiques : relevés bancaires, historique d’achats
Données de navigation : cookies, identifiants en ligne, adresse IP
Notre accompagnement à la mise en conformité : une solution globale et modulaire
Gestion et suivi opérationnel de votre conformité
Outils d’amélioration continue pour maximiser le ROI du projet de conformité
Structuration et mise-à-jour des documents de conformité
Accompagnement dans la contractualisation RGPD
Intégrer la gouvernance et la conformité RGPD dès la conception des projets
Qu’est-ce qu’une donnée dite « sensible » ?
Certaines informations sont considérées comme des catégories particulières de données (article 9 RGPD), aussi appelées données sensibles, car leur traitement peut entraîner des risques élevés pour la vie privée et les libertés fondamentales des individus.
Principe de base : le traitement de ces données est interdit, sauf dans des situations strictement encadrées par le RGPD (consentement explicite, intérêt public majeur, obligation légale, défense de droits en justice, etc.). Il implique le déploiement de mesures renforcées (pseudonymisation, chiffrement, contrôle d’accès strict, documentation rigoureuse, etc.).
Origine raciale ou ethnique
Opinions politiques
Convictions religieuses ou philosophiques
Appartenance syndicale
Données génétiques
Données biométriques
Données concernant la santé
Données relatives à la vie sexuelle ou à l’orientation sexuelle
Qui est le responsable de traitement ?
Le responsable de traitement est l’entité (entreprise, association, administration, etc.) qui détermine les finalités (pourquoi les données personnelles sont traitées) et les moyens du traitement (comment elles sont traitées).
Dans certains cas, plusieurs acteurs définissent ensemble les finalités et moyens : on parle alors de responsables conjoints du traitement. Ils doivent formaliser leur coopération par un accord clair, informer les personnes concernées et partager la responsabilité en cas de manquement.
À l’inverse, des organisations peuvent traiter des données de manière totalement indépendante : elles sont alors responsables autonomes et chacune reste responsable de sa propre conformité.
En résumé, qu’il soit seul, conjoint ou autonome, le responsable du traitement reste au cœur des obligations RGPD.
Assurer la conformité des traitements avec le RGPD
Tenir une documentation concernant la conformité de son organisation
Garantir l’information transparente et loyale des personnes concernées
Sécuriser les traitements et les données personnelles
Coopérer avec les autorités de contrôle compétentes
Et le sous-traitant dans tout ça ?
Attention
Les contrats entre responsables et sous-traitants doivent obligatoirement contenir des clauses RGPD spécifiques
Le sous-traitant (au sens de l’article 28 RGPD) désigne toute personne physique ou morale qui traite des données personnelles pour le compte du responsable de traitement (exemple : un prestataire cloud, une agence marketing, etc.).
Le sous-traitant doit agir uniquement sur instruction documentée du responsable de traitement et doit respecter des obligations de sécurité et de confidentialité.
Un cabinet comptable
Une agence marketing
Un prestataire informatique
Un hébergeur cloud
Pourquoi est-il crucial de bien comprendre ces notions ?
Attention
Le fait de ne pas distinguer clairement ces notions est l’une des principales causes de non-conformité au RGPD.
Comprendre ces concepts est fondamental pour toute organisation afin de pouvoir :
- Identifier les rôles et responsabilités (qui décide ? qui exécute ?)
- Sécuriser la gestion des données et réduire les risques de non-conformité
- Mettre en place les bons contrats, registres et documents
- Prendre les bonnes décisions concernant les outils, fournisseurs et méthodes de traitement