Lorsque vous traitez certains types de données à risque, certaines sont plus “sensibles” que d’autres, pouvant alors porter préjudice à votre entreprise si la protection des données personnelles n’est pas assurée :
- Les données révélant l’origine prétendument raciale ou ethnique.
- Portant sur les opinions politiques, philosophiques ou religieuses.
- Relatives à l’appartenance syndicale.
- Concernant la santé ou l’orientation sexuelle.
- Condamnations pénales ou infractions
- Numéro d’identification national unique
Les données d’infraction ou de condamnation pénale font l’objet de règles particulières. Ces données ne peuvent être utilisées que sous certaines conditions strictement encadrées par la loi informatique et liberté et par le RGPD.
La protection des données : Qu’est-ce que l’outil PIA et comment fonctionne-t-il ?
Le Privacy Impact Assessment (PIA) est une méthode conçue et validée par le groupe de travail Article 29 sur la protection des données et permet de réaliser des analyses d’impact requises par le règlement général sur la protection des données personnelles appliqué depuis le 25 mai 2018 dans toute l’Union européenne. Cette méthode est fortement inspirée du standard ISO 291342 définissant les études d’impacts sur les informations personnelles identifiables.
Lorsque votre traitement a pour objet ou pour effet :
- L’évaluation d’aspects personnels ou notation d’une personne (exemple : scoring financier).
- Une prise de décision automatisée.
- La surveillance systématique de personnes (exemple : télésurveillance).
- Le traitement de données sensibles (exemple : santé, biométrie, etc.).
- Le traitement de données concernant des personnes vulnérables (exemple : mineurs).
- Le traitement à grande échelle de données personnelles.
- Le croisement d’ensembles de données.
- Des usages innovants ou l’application de nouvelles technologies (exemple : objet connecté).
- L’exclusion du bénéfice d’un droit, d’un service ou contrat (exemple : liste noire)
Si vos services répondent à au moins 2 de ces 9 critères, il est impératif de conduire une analyse d’impact sur la protection des données personnelles, avant de commencer les opérations de traitement.
La protection des données : Le transfert de données en dehors de l’Union européenne
Il est important de vérifier si le pays hors Union européenne vers lequel vous transférez les données personnelles dispose d’une législation de protection des données personnelles et si elle est reconnue adéquate par la Commission européenne.
Une carte du monde présentant les législations et les lois informatiques et liberté de protection des données est à votre disposition sur le site de la CNIL.
Si ce n’est pas le cas alors, vous devrez encadrer juridiquement vos transferts pour assurer la protection des données à l’étranger.
Si votre situation correspond à l’un ou à plusieurs de ces points de vigilance, il sera obligatoire de faire une analyse approfondie de la RGPD ainsi que de la loi informatique et Liberté afin de déterminer les mesures à mettre en œuvre pour ce transfert.
La protection des données : La mise en place d’un délégué à la protection des données personnelles dans son entreprise
Dans certains cas, vous devez désigner un délégué à la protection des données. Cela est obligatoire pour les entreprises opérant des traitements à grande échelle et présentant des risques particuliers.
Dans les autres cas, la désignation d’un délégué (DPO) est recommandée notamment si votre activité vous impose de mener une analyse approfondie du RGPD. Le délégué peut être désigné en interne parmi vos collaborateurs ou en externe. Il peut aussi être mutualisé entre plusieurs organismes ou au sein d’associations ou fédérations professionnelles.
Si vos traitements de données sont susceptibles d’engendrer des risques spécifiques ou des problématiques nouvelles au regard de la protection des données, n’hésitez pas à vous informer auprès de la CNIL.
Par ailleurs, vos sous-traitants ont une obligation d’alerte et de conseil en matière de protection des données. N’hésitez pas à les solliciter.
Pour résumer, il est important de :
Collecter uniquement les données personnelles vraiment nécessaires.
- Posez-vous les bonnes questions : quel est mon objectif ?
- Quelles données sont indispensables pour atteindre cet objectif ? Ai-je le droit de collecter ces données ?
- Est-ce pertinent ?
Les personnes concernées sont-elles d’accord ?
Rester transparent
Une information claire et complète constitue le socle du contrat de confiance qui vous lie avec les personnes dont vous traitez les données.
Pensez aux droits des personnes.
Vous devez répondre dans les meilleurs délais, aux demandes de consultation, de rectification ou de suppression des données.
Identifiez les risques.
Vous traitez énormément de données, ou bien des données sensibles ou avez des activités ayant des conséquences particulières pour les personnes, des mesures spécifiques peuvent s’appliquer.
Sécurisez vos données.
Les mesures de sécurité, informatique, mais aussi physique, doivent être adaptées en fonction de la sensibilité des données personnelles et des risques qui pèsent sur les personnes en cas d’incident.
Digituse vous accompagne et conseil sur la transformation numérique et la protection des données.
