Etes-vous concerné par les traitements de données à risques ou traitez-vous des données sensibles ?
Certaines données ou certains types de traitements nécessitent une vigilance particulière
Lorsque vous traitez certains types de données à risque, sont notamment concernées les données dites « sensibles » :
- Révélant l’origine prétendument raciale ou ethnique.
- Portant sur les opinions politiques, philosophiques ou religieuses.
- Relatives à l’appartenance syndicale.
- Concernant la santé ou l’orientation sexuelle.
- Génétiques ou biométriques.
- Condamnations pénales ou infractions
- Numéro d’identification national unique
Les données d’infraction ou de condamnation pénale font également l’objet de règles particulières. Ces données ne peuvent être utilisées que sous certaines conditions strictement encadrées par la loi Informatique et libertés et par le RGPD.
PIA (analyse d’impact)
- Lorsque votre traitement a pour objet ou pour effet :
- L’évaluation d’aspects personnels ou notation d’une personne (exemple : scoring financier).
- Une prise de décision automatisée.
- La surveillance systématique de personnes (exemple : télésurveillance).
- Le traitement de données sensibles (exemple : santé, biométrie, etc.).
- Le traitement de données concernant des personnes vulnérables (exemple : mineurs).
- Le traitement à grande échelle de données personnelles.
- Le croisement d’ensembles de données.
- Des usages innovants ou l’application de nouvelles technologies (exemple : objet connecté).
- L’exclusion du bénéfice d’un droit, d’un service ou contrat (exemple : liste noire).
Si vos traitements de données répondent à au moins 1 de ces 9 critères, vous devez, a priori, conduire une analyse d’impact sur la protection des données (PIA : Privacy Impact Assesment), avant de commencer les opérations de traitement.
Dans le cas ou vos traitements répondent à au moins 2 des 9 critères, l’analyse d’impact doit être réalisée de façon quasi systématique.
En complément de l’établissement du registre et de la description du traitement, cette analyse de l’impact sur la vie privée vous permettra d’identifier les risques associés à ces données personnelles. Il ne s’agit donc pas du même travail.
Lorsque vous transférez des données en dehors de l’Union européenne
Vérifiez si le pays hors Union européenne vers lequel vous transférez les données dispose d’une législation de protection des données et si elle est reconnue adéquate par la Commission européenne.
Une carte du monde présentant les législations de protection des données est à votre disposition sur le site de la CNIL.
Sinon, vous devrez encadrer juridiquement vos transferts pour assurer la protection des données à l’étranger.
Si votre situation correspond à l’un ou à plusieurs de ces points de vigilance, une analyse approfondie du RGPD et de la loi Informatique et Libertés est nécessaire pour déterminer les mesures à mettre en œuvre.
DPO (délégué à la protection des données)
Dans certains cas, vous pourrez être conduits à désigner un délégué à la protection des données.
Cette désignation est obligatoire pour certaines entreprises opérant des traitements à grande échelle présentant des risques particuliers.
Dans les autres cas, la désignation d’un délégué (DPO) est recommandée notamment si votre activité vous impose de mener une analyse approfondie du RGPD.
Le délégué peut être désigné en interne parmi vos collaborateurs ou en externe. Il peut aussi être mutualisé entre plusieurs organismes ou au sein d’associations ou fédérations professionnelles.
Si vos traitements de données sont susceptibles d’engendrer des risques spécifiques ou des problématiques nouvelles au regard de la protection des données, n’hésitez pas à vous informer auprès de la CNIL (modalités de contact sur la page « CONTACT » du site internet de la CNIL).
Par ailleurs, vos sous-traitants ont une obligation d’alerte et de conseil en matière de protection des données. N’hésitez-pas à les solliciter.
En résumé :
1 Ne collectez que les données vraiment nécessaires.
- Posez-vous les bonnes questions : Quel est mon objectif ?
- Quelles données sont indispensables pour atteindre cet objectif ? Ai-je le droit de collecter ces données ?
- Est-ce pertinent ? Les personnes concernées sont-elles d’accord ?
2 Soyez transparent.
Une information claire et complète constitue le socle du contrat de confiance qui vous lie avec les personnes dont vous traitez les données.
3 Pensez aux droits des personnes.
Vous devez répondre dans les meilleurs délais, aux demandes de consultation, de rectification ou de suppression des données.
4 Gardez la maîtrise de vos données.
Le partage et la circulation des données personnelles doivent être encadrées et contractualisées, afin de leur assurer une protection à tout moment.
5 Identifiez les risques.
Vous traitez énormément de données, ou bien des données sensibles ou avez des activités ayant des conséquences particulières pour les personnes, des mesures spécifiques peuvent s’appliquer.
6 Sécurisez vos données.
Les mesures de sécurité, informatique mais aussi physique, doivent être adaptées en fonction de la sensibilité des données et des risques qui pèsent sur les personnes en cas d’incident.