Sous-traitant (RGPD)

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Source : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4

Le sous-traitant agit sur demande du responsable du traitement. Ce n’est pas lui qui prend l’initiative de collecter des données personnelles, qui en définit les finalités ni les moyens alloués à la collecte.

Le sous-traitant n’engage pas sa responsabilité pénale à l’égard des données collectées, néanmoins, il reste soumis à certaines obligations. Il a une obligation de conseil vis-à-vis de ses clients et doit prendre des mesures pour garantir la sécurité et la confidentialité des données. Il doit aussi documenter son activité afin d’être en mesure de prouver sa conformité.

Un sous-traitant doit donc s’occuper de ses propres traitement de données personnelles (celles de ses employés, ses clients, ses propres sous-traitants), mais également des traitements qu’il effectue pour le compte de ses clients.

Sources

CNIL – Règlement européen sur la protection des données : un guide pour accompagner les sous-traitants

Le texte du RGPD sur le site de la CNIL

Consentement (pour l’utilisation de données personnelles)

Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Source : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4

Avant de collecter et de traiter des données personnelles, il faut s’assurer d’avoir le consentement, c’est-à-dire l’approbation de la personne concernée.

Ce consentement ne peut pas être par défaut : les cases ne doivent pas être pré-cochées et les formules “en cochant cette case je m’oppose à ce que mes données personnelles…” doivent être remplacée par “en cochant cette case, j’accepte que mes données…”. La personne doit faire l’action d’accepter et non pas demander à refuser le traitement de ses données.

Il faut également que cette demande du consentement soit effectuée clairement.

Sources

CNIL – Conformité RGPD : comment informer les personnes et assurer la transparence ?

CNIL – Règlement européen sur la protection des données : ce qui change pour les professionnels 

Le texte du RGPD sur le site de la CNIL

Responsable du traitement (de données personnelles)

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.

Source : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4

Le responsable du traitement est la personne qui décide de réaliser le traitement des données personnelles, de ses finalités et des moyens mis en œuvre pour exercer ce traitement.

Le responsable du traitement engage sa responsabilité pénale en cas de non conformité au RGPD.

Il doit toujours y avoir un responsable du traitement et il ne s’agit pas forcément de la personne qui le réalise (par exemple un opérateur qui collecte des données sur l’ordre de son entreprise ou un sous-traitant).

Dans le cas des personnes physiques (entreprises, organisations, associations…), il s’agit de la personne désignée comme son représentant légal.

Sources

Glossaire CNIL – Définition Responsable de traitement

Le texte du RGPD sur le site de la CNIL

Finalité (d’un traitement de données personnelles)

Objectif principal d’une application informatique de données personnelles.

Source : https://www.cnil.fr/fr/definition/finalite-dun-traitement

La finalité peut se définir comme “ce à quoi servent les données personnelles collectées et enregistrées”.

La collecte de données personnelles doit avoir un but précis et exprimé. Il n’est pas possible de collecter des données “juste comme ça, on verra un jour si on s’en servira”.

Cette finalité doit être communiquée aux personnes et elles doivent avoir donné leur consentement pour cette utilisation (et UNIQUEMENT celle-là).

La définition ci-dessus précise application informatique mais le RGPD s’applique également aux traitements papier, lesquels doivent donc avoir eux aussi une finalité.

Source

Glossaire de la CNIL – Finalité d’un traitement

Traitement (de données personnelles)

Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Source : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4

De manière générale, un traitement peut être résumé comme un outil permettant de classer et d’organiser des données personnelles. Ils sont le plus souvent informatisés, mais attention, les traitements sur des outils papiers sont aussi concernés. Par exemple, un registre papier de suivi des entrées de visiteurs qui enregistre les noms, prénoms, adresse et heure d’entrée et de sortie des individus entre également dans le champ d’action du RGPD.

A partir du moment où il y a recueil et stockage d’informations (quelle que soit la durée de conservation), il y a traitement et il faut se poser la question de savoir si celui-ci relève du RGPD ou non (et si oui, si la conformité est respectée).

Sources

CNIL – RGPD : de quoi parle-t-on ?

Glossaire CNIL – Définition Traitement de données à caractère personnel

Le texte du RGPD sur le site de la CNIL

Donnée personnelle

Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable […] ; est réputé être une “personne physique identifiable” une personne physique qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Source : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4

Seules les personnes physiques sont concernées et donc protégées. Les personnes morales (entreprises, associations…) sont exclues de la protection.

Les données qui peuvent permettre d’identifier indirectement une personne (sans forcément que son nom soit présent) sont prises en compte. Les croisements de données peuvent permettre d’identifier un individu, alors que quelques données prises isolément ne donneraient pas d’indication assez précises pour l’identifier.

Les données personnelles peuvent être de différentes natures et selon celles-ci, des actions spécifiques seront à mettre en place.

Sources

CNIL – RGPD : de quoi parle-t-on ?

Glossaire CNIL – Définition Donnée personnelle

Le texte du RGPD sur le site de la CNIL

Règlement Général sur la Protection des Donnée (RGPD)

En anglais, General Data Protection Regulation.

Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

Source : Cnil (https://www.cnil.fr/fr/reglement-europeen-protection-donnees)

Ce règlement, adopté par l’Union Européenne en avril 2016, vise à simplifier les démarches de protection des données personnelles pour les entreprises et de renforcer les droits des citoyens pour l’usage et la protection de leurs données. Il s’agit également d’harmoniser toutes les règlementations des différents pays membres et de s’adapter aux évolutions technologiques.

Par ailleurs, ce règlement s’applique à tout traitement de données personnelles dans l’Union Européenne, y compris pour toute entreprise dont les services ou produits sont accessible sur le territoire de l’Union (afin de concerner également toutes les grandes entreprises du net qui sont majoritairement américaines).

Il prévoit de lourdes amendes pour les entreprises qui ne respecteraient pas ses principes, notamment le consentement de la personne avant toute utilisation de ses données.

Ce règlement est entré en vigueur le 25 mai 2018.

Bien qu’applicable directement, ce règlement a été adapté dans la législation française par la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles.

Sources :

CNIL – RGPD : de quoi parle-t-on ?

Le texte du RGPD sur le site de la CNIL

Article Wikipedia sur le Règlement général sur la protection des données

Infobésité

Trop d’information tue l’information

Terme québécois inventé pour traduire le concept anglais d’information overload.

Signifie être submergé d’informations, recevoir tellement d’information qu’il devient impossible de la traiter, de l’assimiler, ni de faire la différence entre ce qui est pertinent ou non

On trouve aussi les termes “surcharge informationnelle”, “surinformation”.

Pour compléter :

L’article Infobésité sur le blog de Marie-Anne Chabin et l’article Wikipédia sur la surcharge informationnelle