Comme le dispose le RGPD, le traitement de données personnelles désigne une opération réalisée sur des informations à caractère personnel, telle que la collecte et l’utilisation de données par exemple. Découvrez les opérations concernées et vos obligations pour traiter les données personnelles de manière conforme.
Quelle est la définition du traitement de données personnelles ?
Une opération portant sur une donnée personnelle
Comme le dispose l'article 4.2 du RGPD (Règlement général sur la protection des données), le traitement de données personnelles désigne « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel ».
La notion de traitement des données personnelles est donc très large, dans l'optique de soumettre au cadre du RGPD un maximum d'opérations sur les données personnelles. À titre d'exemple, est notamment considéré comme une opération de traitement :
- la collecte et l'enregistrement ;
- l'organisation, la structuration et la conservation ;
- l'adaptation et la modification ;
- l'extraction et la consultation ;
- l'utilisation ;
- la communication, la diffusion ou la mise à disposition ;
- la limitation, l'effacement et la destruction.
Exemple : la tenue d'un fichier clients, la collecte de numéros de téléphone ou encore l'actualisation d'un fichier fournisseurs sont considérées comme des opérations de traitement des données personnelles.
Une opération présentant une finalité
Pour être autorisé, le traitement de données personnelles doit présenter un objectif défini, aussi appelé finalité. Autrement dit, une entreprise ne peut donc pas collecter d'informations personnelles sans but précis, simplement dans l'hypothèse où elle pourrait en avoir l'usage un jour.
En effet, chaque opération impliquant le traitement de données personnelles doit se voir assigner un but. Ce but doit non seulement être légal, mais également présenter un intérêt pour l'activité de l'entreprise. En l'absence de but légitime, l'opération est considérée comme illégale (sauf exception).
Exemple : vous ne pouvez pas collecter le numéro de Sécurité sociale d'un client si celui-ci n'a aucun lien avec votre activité. En revanche, vous pouvez demander l'adresse e-mail si vous en avez l'utilité (contacter le client, informer de nouveautés, suivre une livraison, etc.).
Une opération pas obligatoirement informatisée
Contrairement à ce que l’on pourrait penser, le traitement de données personnelles ne concerne pas que les opérations informatisées et numériques. En effet, les opérations réalisées sur papier sont également concernées par l’application du RGPD, dès lors qu’elles concernent les informations personnelles d’une personne physique identifiable.
Exemple : la collecte d’un numéro de téléphone à l’oral et son inscription sur un formulaire papier est considérée comme une opération de traitement de données personnelles. Elle est donc soumise aux mêmes obligations que l’enregistrement de cette information dans un fichier numérique.
Qu’est-ce qu’une donnée personnelle ?
Pour mieux appréhender le traitement de données personnelles, il convient de bien définir la notion de « donnée personnelle ». Comme le rappelle la Cnil (Commission nationale de l'informatique et des libertés), il s'agit d'une information se rapportant à une personne physique identifiée ou identifiable.
Plus concrètement, les informations concernées par le cadre relatif au traitement des données doivent remplir trois critères spécifiques.
- Présenter un caractère personnel : l'information concernée doit présenter un caractère personnel, porter sur un élément incorporel, être formalisée et porteuse de sens (numéro de téléphone, nom et prénom, adresse, etc.).
- Concerner une personne physique : la donnée ne peut être personnelle que si elle porte sur une personne physique vivante. Ainsi, le traitement des données d'une personne morale (société) ou d'une personne décédée (sauf exception) n’est pas concerné par le RGPD.
- Porter sur une personne identifiable : l'information doit concerner une personne directement identifiée (prénom et nom par exemple), indirectement identifiée (identifiant client, numéro de téléphone, etc.) ou identifiable (à partir du croisement de plusieurs informations par exemple).
Exemple : la tenue d'un fichier ne contenant que des informations relatives à une société (nom, adresse, numéro de téléphone du standard, etc.), sans mention de son personnel (adresse e-mail nominative par exemple), n'est pas considérée comme un traitement de données personnelles, car les informations ne portent pas sur une personne physique.
Quelles entreprises sont concernées par le traitement des données ?
Les organisations traitant des données personnelles
Tous les organismes traitant des données personnelles sont concernés par le RGPD, à condition qu'ils remplissent au moins l'une des deux conditions suivantes :
- être domicilié au sein de l'Union européenne ;
- cibler directement des résidents de l'Union européenne.
Dès lors qu'elles réalisent des opérations de traitement des données (collecte, enregistrement, utilisation, etc.), les organisations doivent respecter le cadre du RGPD, quel que soit leur forme juridique (auto-entreprise, SARL, SAS, etc.), l'objet de leur activité (activité commerciale, organisation à but non lucratif, administration publique, etc.) ou encore la nature du traitement réalisé.
> En savoir plus sur les organisations concernées par le RGPD
Les sous-traitants de données personnelles
Le cadre du traitement des données à caractère personnel s'applique aussi aux sous-traitants réalisant des opérations de traitement pour le compte de tiers. L'European data protection board (EDPB) définit un sous-traitant comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
Les sous-traitants de données personnelles sont soumis aux mêmes obligations que les organisations traitant directement les informations personnelles et doivent, dans certains cas, respecter d'autres obligations spécifiques.
Comment traiter les données personnelles de manière conforme ?
1. Recenser les fichiers de données personnelles
Pour garantir un traitement conforme, l'organisation doit tout d'abord créer un registre listant les opérations réalisées sur les données personnelles. Placé généralement sous la responsabilité du chef d'entreprise, ce registre doit contenir une fiche précise pour chaque activité réalisant des opérations de traitement des données personnelles. Cette fiche doit notamment présenter :
- la finalité du traitement (information, fidélisation, etc.) ;
- la nature des données utilisées (nom, prénom, adresse, numéro de téléphone, etc.) ;
- les personnes ayant accès aux informations (ressources humaines, service commercial, etc.) ;
- la durée de conservation des données.
2. Trier les données personnelles
En vous appuyant sur le registre de traitement des données personnelles, vous pouvez vérifier votre conformité en vous assurant que vous respectez certaines pratiques essentielles.
- Les données traitées sont nécessaires à votre activité et vous ne réalisez pas d'opérations inutiles.
- Les données traitées ne sont pas sensibles ou, le cas échéant, vous avez le droit de les traiter.
- Seules les personnes habilitées peuvent réaliser une opération sur les informations personnelles (collecte, enregistrement, utilisation, diffusion, etc.).
- La durée de conservation des données est conforme à celle fixée dans le registre.
3. Respecter les droits des personnes
Pour être conforme au RGPD, le traitement des données doit être réalisé en accord avec les droits des personnes dont vous disposez des informations personnelles.
- Le droit à l'information : les personnes dont vous collectez des données personnelles doivent notamment être informées de la finalité de la collecte, de l'identité du responsable du fichier, du destinataire du fichier ou encore des droits dont ils disposent.
- Le consentement : chaque individu doit donner son consentement explicite, et si possible écrit, au traitement de ses données personnelles. Ce consentement est préalable à toute collecte d'informations à caractère personnel.
- Le droit d'opposition : les individus doivent avoir la possibilité de s'opposer à la réutilisation de leurs données personnelles, notamment si celle-ci est réalisée dans une visée commerciale.
- Le droit d'accès et de rectification : les personnes doivent pouvoir consulter les données les concernant, être informées de l'origine de ces données, en obtenir une copie ou encore demander à ce qu'elles soient rectifiées ou supprimées.
- Le droit à la portabilité : un individu peut demander à ce que les informations personnelles le concernant soient transmises à un autre responsable de données. C'est notamment le cas lorsqu’un consommateur passe à la concurrence par exemple.
4. Sécuriser les données personnelles
Enfin, vous devez garantir la sécurité des données afin de les traiter conformément au RGPD. En tant qu'organisation traitant des informations directement ou en tant que sous-traitant, votre rôle est de limiter le risque de pertes de données et de piratage. Dans cette optique, plusieurs actions sont envisageables :
- mettre à jour vos logiciels et antivirus ;
- changer régulièrement vos mots de passe ;
- utiliser des mots de passe complexes ;
- chiffrer les données personnelles ;
- anonymiser les données personnelles ;
- assurer la sécurité physique de vos sites.
Lire aussi : L’application du RGPD en entreprise