1. Qu’est-ce que le RGPD
Le Règlement Général sur la Protection des Données (RGPD), ou Règlement (UE) 2016/679 est le texte européen applicable en matière de protection des données à caractère personnel. Il a été adopté par le Parlement européen le 27 avril 2016. En tant que règlement, ses dispositions sont directement applicables dans l’ensemble des États membres de l’Union européenne depuis le 25 mai 2018. L’article 2 précise son champ d’application. Il s’applique au traitement automatisé ou non automatisé en tout ou en partie de données à caractère personnel contenues ou appelées à figurer dans un fichier. Mais ne s’applique pas au traitement de données à caractère personnel effectué : dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union; par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne; par une personne physique dans le cadre d’une activité strictement personnelle ou domestique; par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.
2. Qu’est-ce qu’une donnée à caractère personnel ?
Une donnée personnelle ou donnée à caractère personnel désigne toute information se rapportant à une personne physique identifiée ou identifiable, par exemple, le nom, le prénom, le numéro de téléphone, la plaque d’immatriculation, le numéro de sécurité sociale, l’adresse postale ou courriel, la voix ou l’image, les données de géolocalisation comme l’adresse IP, les données de connexions ou bien d’autres. Certaines sont plus sensibles, telles que les données qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, les données biométriques, les données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Mais, certaines données ne sont pas considérées comme des données à caractère personnelle. Il peut s’agir par exemple, de coordonnées d’entreprises à savoir l’adresse postale, le numéro de téléphone de son standard et un courriel de contact générique.
3. Qu’est-ce qu’une donnée sensible ?
Les données sensibles sont celles qui concernent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale. Elles comprennent également les données génétiques, les données biométriques, les données concernant la santé et les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
L’utilisation de ces données est, par principe, interdite sauf dans des cas limitatifs prévus par l’article 9.2. du RGPD.
4. Qu’est-ce qu’un traitement de données personnelles ?
Un traitement de données personnelles est toute manipulation ou utilisation de données personnelles, notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la communication par transmission ou diffusion ou toute autre forme de mise à disposition, le rapprochement, etc. Cette notion est donc très large : tout maniement de données, y compris une simple consultation, est un « traitement de données personnelles ». Le traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés.
5. Qu’est-ce qu’une finalité ?
Un traitement de données poursuit toujours un objectif : c’est sa « finalité ». Celle-ci doit être déterminée, explicite et légitime préalablement au recueil des données et à leur utilisation.
6. Qu’est-ce qu’un responsable de traitement ?
La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui définit les objectifs poursuivis par un traitement et ses modalités pratiques (informations collectées par exemple) est appelé responsable de traitement.
7. Qu’est-ce qu’un sous-traitant ?
Un sous-traitant est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui manipule des données pour le compte d’un responsable de traitement dans le cadre d’un service ou d’une prestation. (Article 28 du RGPD).
8. Qu’est-ce qu’un tiers autorisé ?
Un tiers autorisé est une autorité publique ou une administration autorisée par un texte (loi, décret, etc.) à recevoir les données personnelles.
9. Qu’est-ce qu’un DPO/DPD ?
Le délégué à protection des données ( DPD) ou Data Protection Officer ( DPO) en anglais est le « chef d’orchestre » de la conformité en matière de protection des données au sein d’un organisme. Il a pour missions principales d’informer et conseiller l’organisme, contrôler son respect du règlement et du droit national en matière de protection des données ; conseiller l’organisme; être l’interlocuteur des personnes concernées pour les questions relatives à la protection des données personnelles et coopérer avec la CNIL et être son point de contact. La désignation d’un DPO est obligatoire dans certains cas tel que prévu à l’article 37 du RGPD.