CNIL-Le-MOOC-de-la-CNIL-est-de-retour-dans-une-nouvelle-version-enrichie-Comunique-de-presse-27-juin-2022

Le registre permet d’identifier précisément :

• Les différentes parties qui interviennent dans le traitement de données à caractère personnel : responsable de traitement, sous-traitant avec leurs coordonnées
• Les catégories de personnes concernées : candidat, employé, prospect, client
• Les catégories de données traitées
• Les destinataires des données, y compris les sous-traitants
• La durée de conservation
• Les mesures de sécurité mises en place, ou encore,
• Les transferts hors Union européenne.

Présenté sous forme de fiches de registre pour chaque activité de traitement, le registre permet donc de documenter l’ensemble des traitements de données au sein de l’organisme.

La Règlementation n’impose pas de forme précise pour ce registre, la seule obligation étant que le registre se présente sous une forme écrite, papier ou électronique.

Le responsable de traitement doit tenir un registre des activités de traitement effectuées sous sa responsabilité.

Parallèlement, le sous-traitant doit également tenir un registre de toutes les activités de traitement effectués pour le compte du responsable de traitement.

La tenue du registre est obligatoire pour la plupart des organismes. Il existe quelques exceptions à la tenue du registre.

Au sein de l’organisme, la tâche de la tenue du registre peut être confiée à une personne. Cela peut être confié au DPO.  

La CNIL propose un modèle de registre de base permettant de répondre aux exigences principales posées par la Règlementation.

• Chaque organisme doit s’approprier le registre pour en faire un véritable outil de pilotage de la conformité à la Règlementation.

Article 30 du RGPD – Registre de traitement

Fiche sur les exceptions à la tenue d’un registre

Une analyse d’impact est un processus consistant

• à décrire le traitement de données,
• à évaluer la nécessité ainsi que la proportionnalité du traitement,
• à aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel.

Cette gestion des risques pour les personnes concernées est réalisée en

• en évaluant les risques,
• en déterminant les mesures nécessaires pour y faire face. 

Les risques à évaluer sont de trois ordres :

• la perte de confidentialité des données, c’est-à-dire un accès non autorisé ou accidentel aux données
• la perte d’intégrité des données, c’est-à-dire la modification non autorisée ou la modification accidentelle des données
• la perte de disponibilité des données, c’est-à-dire la disparition ou la destruction.

L’évaluation des risques se fait d’après leur vraisemblance et leur gravité

• la vraisemblance, c’est-à-dire la probabilité que le risque survienne,
• la gravité des risques pour les personnes concernées.

Des mesures de sécurité sont mises en place pour limiter les impacts sur la vie privée des personnes concernées et que le traitement ne présente pas de risques pour les personnes concernées.

Si le traitement présente un risque résiduel à l’issue de l’analyse d’impact, et que le responsable de traitement souhaite mettre en place le traitement, alors l’autorité compétente, la CNIL, devra être consultée.  

L’analyse d’impact est obligatoire pour certains traitements de données, notamment les traitements à grande échelle de données sensibles. Alors que d’autres traitements n’en requièrent pas.

Même si elle n’est pas obligatoire, l’analyse d’impact permet de s’assurer de la conformité du traitement à la Règlementation.

Article 35 du RGPD – Analyse d’impact relative à la protection des données

DPO est l’acronyme pour « Data Protection Officer » ou Délégué à la protection des données en français. Il est chargé de mettre en œuvre la conformité de l’organisme qui l’a désigné à la réglementation sur la protection des données. Le DPO est le « chef d’orchestre » de cette conformité.

Le DPO est l’interlocuteur privilégié pour les différents acteurs : autorité de contrôle, personnes concernées, entités économiques au sein d’un organisme…

Le DPO accompagne et conseille les responsables de traitements de données à caractère personnel dans leur démarche de conformité à la Règlementation.

Le DPO peut être une personne en interne chargée de cette fonction ou une personne externe avec un contrat de service. Le DPO peut être mutualisé entre plusieurs organismes du même groupe ou autorités selon la structure organisationnelle et taille.

Les missions du DPO sont déclinées en plusieurs tâches prévues par la Règlementation.

La désignation d’un DPO est obligatoire dans certains cas. Le DPO sera choisi en tenant compte de ses qualités professionnelles et de sa capacité à accomplir ses missions.

C’est un acteur clé de la règlementation relative aux données personnelles.

Article 37 du RGPD – Désignation du délégué à la protection des données

Article 38 du RGPD – Fonction du délégué à la protection des données

Article 39 du RPGD – Missions du délégué à la protection des données

Fiche sur les cas de désignation d’un DPO

La notion de sous-traitant est définie par la Règlementation. Il s’agit de « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement » dans le cadre d’un service ou d’une prestation.  

Par exemple sont des sous-traitants : les prestataires de services informatiques chargés de l’administration, l’hébergement ou de la maintenance, les entreprises de sécurité informatique, les agences de marketing ou de communication qui traitent des données personnelles pour leurs clients…

Les sous-traitants doivent présenter des garanties suffisantes en termes de connaissances spécialisées, de fiabilité et de ressources pour satisfaire aux obligations de la Règlementation.

Un contrat devra être établi entre le responsable de traitement et le sous-traitant afin de déterminer notamment :

• L’objet et la durée de la prestation que le sous-traitant effectue pour le compte du responsable de traitement,
• La nature et la finalité du traitement,
• Le type de données à traiter et les catégories de personnes concernées
• Les obligations et droits du responsable de traitement
• Les obligations et droits du sous-traitant

Le sous-traitant est soumis à des obligations similaires à celles du responsable de traitement : tenir un registre de traitements, désigner un DPO le cas échéant ou réaliser une analyse d’impact.

Article 28 du RGPD – Sous-traitant

La notion de responsable de traitement est définie par la Règlementation. Il s’agit de « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».  

Cette personne va ainsi devoir fixer les objectifs du traitement et allouer les moyens humains, financiers et techniques nécessaires pour mettre en œuvre le traitement. En d’autres termes, il va décider du « pourquoi » et du « comment » s’agissant du traitement de données à caractère personnel.

Le responsable de traitement est responsable civilement et pénalement en cas de violation de la Règlementation. Dans les organisations, c’est l’entité juridique qui est le responsable de traitement. Ce responsable de traitement est incarné par le représentant légal de cet organisme afin de jouir d’un certain pouvoir au sein de l’organisme pour faire respecter la Règlementation.

Il est possible que les finalités et les moyens d’un traitement de données à caractère personnel soient déterminés par plusieurs organismes. On parlera alors de responsables conjoints de traitement.

Pour autant, le fait que plusieurs acteurs soient impliqués dans un même traitement ne signifie pas qu’ils agissent nécessairement en tant que responsables conjoints. Cette qualification implique un examen au cas par cas pour chaque traitement.

Article 4 du RGPD – Définitions

Article 24 du RGPD – Responsabilité du responsable de traitement

Article 26 du RGPD – Responsables conjoints de traitement

Un traitement de données est toute opération ou tout ensemble d’opérations effectuées :

• A l’aide de procédés automatiques
• Mais aussi des opérations faites sans procédés automatiques : « à la main », sur support papier

• Appliquées sur des données ou des ensembles de données à caractère personnel.

Un traitement de données poursuit un objectif, une finalité.

Ces opérations consistent en :  

• La collecte, l’enregistrement
• L’organisation, la structuration
• La conservation, l’adaptation ou modification
• L’extraction, la consultation, l’utilisation
• La communication par transmission, la diffusion ou toute autre forme de mise à disposition
• Le rapprochement, l‘interconnexion
• La limitation, l’effacement ou la destruction.

Le fait de réaliser une ou plusieurs de ces opérations sur des données à caractère personnel constituent un traitement de données.

Les données à caractère personnel sont contenues dans un fichier.

Un fichier est un ensemble structuré de données à caractère personnel accessibles selon des critères déterminés

• Que ce soit centralisé ou décentralisé ou
• Réparti de manière fonctionnelle ou géographique.

Plusieurs fichiers peuvent constituer ou alimenter un traitement de données.

Article 4 du RGPD – Définitions

La personne concernée est une personne physique, c’est-à-dire une personne vivante, peu important sa nationalité ou son lieu de résidence dans la mesure où elle se situe dans l’Union européenne.  

Ne sont donc pas concernées par la protection des données à caractère personnel, les données relatives aux personnes morales.

La personne concernée est une personne identifiée ou identifiable.

• La personne identifiée est celle dont on connaît l’identité.
• La personne identifiable est celle qui peut être individualisée, même si ses nom et prénom ne sont pas connus. La corrélation de plusieurs informations permet d’identifier une personne précise.
  Certaines données concernent directement la personne, d’autres seront relatives à des objets détenus par la personne.
  Par exemple, le numéro d’une plaque d’immatriculation, d’un téléphone ou une adresse IP permettent de remonter à une personne unique.

Par conséquent, les données anonymisées ne permettent pas de remonter à une personne physique puisque le lien entre la donnée et la personne a été rompue. Dès lors, la Règlementation relative à la protection des données à caractère personnel ne s’appliquera pas.

Article 4 du RGPD – Définitions

Une donnée de santé est une donnée à caractère personnel relative à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèle des informations sur l’état de santé de cette personne.

Il s’agit d’une notion très large qui doit être appréciée au cas par cas.

Trois catégories de données entrent dans cette définition :

• Les données de santé par nature : antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap…

• Les données qui, du fait de leur croisement avec d’autres données, deviennent des données de santé car elles permettent alors de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort…

• Les données qui deviennent des données de santé en raison de leur destination, autrement dit de l’utilisation qui en est faite au plan médical.

La Règlementation relative à la protection des données ne s’applique pas aux données de santé utilisées uniquement par la personne elle-même. C’est le cas notamment pour les applications mobiles en santé qui permettent de collecter, d’enregistrement des données localement sur son ordinateur, son téléphone, sa tablette sous réserve qu’aucune connexion extérieure ne soit prévue et que l’utilisation de ces données soit exclusivement personnelle.

En outre, si aucune conséquence ne peut être tirée des données au regard de l’état de santé d’une personne concernée, il ne s’agira pas de données de santé.

Ainsi, un podomètre collectant le nombre de pas au cours d’une promenade ne fournit pas de données de santé tant que cette mesure n’est pas croisée avec d’autres données comme le pouls, le poids…

La donnée de santé est une donnée sensible au sens de la Règlementation et se voit appliquer un régime juridique protecteur.

Article 4 du RGPD – Définitions

La notion de données à caractère personnel est définie par la Règlementation comme « toute information se rapportant à une personne physique identifiée ou identifiable » (personne concernée).

Plusieurs conditions sont donc nécessaires :

• Une information
  • Information de tout type : nom, identifiant, code, photo, …
  • Sur tout support : papier, film de caméra, disque dur, clé USB, …
  • Révélée par la personne concernée ou par un tiers

• Une personne physique
  • Exclusion des personnes morales et des personnes décédées

• Identifiée ou identifiable
  • Directement : nom, prénom…
  • Indirectement : identifiant, numéro client, plaque d’immatriculation, numéro de téléphone, empreinte, voix, image, numéro de séjour, ID patient, …
  • A partir d’une seule donnée : ADN
  • A partir d’un croisement d’un ensemble de données : la personne opérée tel jour de telle pathologie dans tel institut

La notion de donnée à caractère personnel s’entend très largement : la seule possibilité d’établir un lien avec une personne physique suffit.

Pour déterminer si cette possibilité existe, l’ensemble des moyens raisonnablement susceptibles d’être employé par le responsable de traitement doit être pris en considération. Le RGPD précise que doit être pris en compte « l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci ».

Article 4 du RGPD – Définitions