Cartographie des données

Dans un premier temps, l’entreprise doit cartographier les processus de collecte des données à caractère personnel, concernant les employés comme les clients ou les candidats à l’embauche. Elle doit ensuite identifier les traitements qui leur sont associés et , leurs lieux et formats de stockage et consigner le tout dans un registre dédié.

CNIL (Commission Nationale de l’Informatique et des Libertés)

Autorité de contrôle chargée de veiller à la bonne application de la règlementation sur les données personnelles.

Consentement explicite

Tout individu doit donner son consentement explicite, c’est à dire via une déclaration claire écrite ou orale qui ne permet aucune mauvaise interprétation. Cette déclaration doit préciser la nature des données collectées, le type de traitement et ses impacts potentiels, le caractère obligatoire ou facultatif des réponses, ainsi que le détail des données à transférer et les risques liés à ce transfert.

Déclaration CNIL

Procédure administrative effectuée auprès de la CNIL et autorisant les traitements de données personnelles au sein d’un organisme. Cette procédure est supprimée avec l’application du GDPR/RGPD et est remplacée par un processus dit de « registre ».

Données à caractère personnel / Données personnelles

Toute information identifiant directement ou indirectement une personne physique (ex : nom, prénom, n° d’immatriculation, n° de téléphone, date de naissance, commune de résidence, empreinte digitale…).

Données sensibles

Information relative à l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes.

Délégué à la Protection des Données (DPD) ou DPO (Data Protection Officer)

Le DPO est le chef d’orchestre pour tout ce qui concerne l’exploitation, la gestion et la protection de données à caractère personnel.

Parmi ses attributions : il doit informer et conseiller les responsables des traitements et éventuellement leurs sous-traitants, mais également tous les employés de l’entreprise.

Gardien de la conformité le DPO a pour mission de recenser l’ensemble des traitements de l’entreprise mettant en jeu des données personnelles, et d’en évaluer toutes les éventuelles conséquences sur le respect de la vie privée, en collaboration avec la Direction générale.

Il doit proposer à l’entreprise les actions à mettre en œuvre pour développer les garanties à appliquer pour prévenir toute atteinte au respect de la vie privée des personnes concernées.

Le DPO coopère avec l’autorité de contrôle (CNIL) sur les questions relatives au traitement pour le compte de l’entreprise.

Droit à la limitation des traitements

Droit de limiter le traitement qu’une entité peut faire des données personnelles si le traitement n’est plus justifié.

Droit à l’oubli/ Droit à l’effacement

Droit d’obtenir du responsable du traitement l’effacement de ses données à caractère personnel.

Droit d’opposition

Droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel.

Droit à la rectification

Droit d’obtenir du responsable du traitement la rectification de ses données à caractère personnel si inexactes

Finalité

Objectif principal d’une application informatique de données personnelles. Ex : gestion des recrutements, gestion des clients, enquête de satisfaction, surveillance des locaux, etc.

Sous-traitant

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte d’une autre entité.

Traitement de données à caractère personnel

Toute opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (Ex : accès, collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …).