La pseudonymisation consiste à transformer des données personnelles afin qu’elles ne puissent plus être attribuées à une personne spécifique sans l’utilisation d’informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et fassent l’objet de mesures techniques et organisationnelles visant à garantir que les données ne sont pas attribuées à des personnes physiques. Dans la pratique, il peut s’agir de remplacer les données personnelles (nom, prénom, numéro personnel, numéro de téléphone, etc.) par des données d’identification indirecte (alias, numéro séquentiel, etc.) dans un ensemble de données. Les données pseudonymisées sont toujours des données personnelles et sont soumises au RGPD.

Les données anonymisées sont des données qui ont été rendues anonymes, de telle sorte que l’individu n’est pas ou plus identifiable par tout moyen raisonnablement susceptible d’être utilisé. Lorsque l’anonymisation est correctement mise en œuvre, le RGPD ne s’applique plus aux données anonymisées.

Plus d’informations :

• Sécuriser les données personnelles

Certains types de données personnelles appartiennent à des catégories particulières de données personnelles, ce qui signifie qu’elles méritent plus de protection : il s’agit des données dites sensibles. Les données sensibles comprennent des données qui révèlent des informations sur un individu 

• la santé ;
• l’orientation sexuelle ;
• l’origine raciale ou ethnique ;
• les opinions politiques, les croyances religieuses ou philosophiques ;
• l’appartenance syndicale ;
• les données biométriques et génétiques.

Le traitement des données sensibles d’une personne est généralement interdit, sauf dans des circonstances spécifiques qui justifient son traitement.
 

Plus d’informations:

• Bases de la protection des données

Les données personnelles désignent toute information relative à une personne identifiée ou identifiable. Une personne identifiable est toute personne qui peut être identifiée directement ou indirectement. Différents éléments d’information qui pourraient conduire, ensemble, à l’identification d’une personne en particulier constituent également des données personnelles.
Voici des exemples de données personnelles :

• nom et prénom ;
• une adresse postale ;
• une adresse courriel ;
• un numéro de carte d’identité ;
• les données de localisation ;
• une adresse IP ;
• un identifiant de cookie ;
• les comptes bancaires ;
• les déclarations fiscales ;
• les données biométriques (comme les empreintes digitales) ;un numéro de sécurité sociale ;
• le numéro de passeport ;
• des résultats d’évaluation ;
• les notes scolaires ;
• l’historique de navigation ;
• un photo d’identité ;
• le numéro d’immatriculation du véhicule, etc.
   

Plus d’informations:

• Les bases de la protection des données
   

Les organismes doivent, dans le cas d’une collecte directe de données personnelles auprès des personnes concernées, fournir des informations sur les opérations de traitement de manière concise et transparente, en utilisant un langage compréhensible, facile d’accès, clair et simple. Cela peut se faire par écrit (par exemple au verso d’une offre) ou par voie électronique (par exemple sur un site web). Si la personne concernée en fait la demande, vous pouvez également fournir ces informations oralement, mais vous devez être en mesure de le prouver par la suite.

Même lorsque les données ont été collectées indirectement, c’est-à-dire si vous ne collectez pas directement les données personnelles d’un individu vous-même (par exemple par l’intermédiaire d’un tiers), vous devez fournir les mêmes informations détaillées aux personnes physiques.
 

Lorsqu’il y a deux ou plusieurs responsables du traitement qui déterminent conjointement la finalité et les moyens du traitement, ils sont considérés comme des responsables conjoints du traitement. Ils décident ensemble de traiter les données personnelles à des fins communes. Cette responsabilité conjointe peut prendre de nombreuses formes et la participation des différents responsables de traitement peut être inégale. Les responsables conjoints du traitement doivent donc déterminer leurs responsabilités respectives en ce qui concerne le respect du RGPD.

Il est important de noter qu’être responsable de traitement conjoint implique la responsabilité partagée d’une activité de traitement.

• Exemple de responsabilité de traitement conjointe : Les entreprises A et B ont lancé un produit en collaboration et souhaitent organiser un évènement pour promouvoir ce produit. À cette fin, ils décident de partager les données de leurs bases de données client et prospects respectifs et décident de la liste des invités à l’événement sur cette base. Ils s’accordent également sur les modalités d’envoi des invitations à l’événement, sur la manière de recueillir des commentaires lors de l’événement et sur les actions marketing de suivi. Les entreprises A et B peuvent être considérées comme des responsables conjoints du traitement des données personnelles liées à l’organisation de l’événement promotionnel, car elles décident ensemble de la finalité définie conjointement et des moyens essentiels du traitement des données dans ce contexte.
   

Plus d’informations :

• Responsable du traitement des données ou sous-traitant
   

Une analyse d’impact sur la protection des données ou AIPD est une évaluation écrite que votre organisme devrait effectuer pour évaluer l’impact d’une opération de traitement planifiée. Il vous aide à identifier les mesures appropriées pour faire face aux risques et à démontrer votre conformité.

S’il est toujours préférable d’anticiper l’impact des opérations de traitement planifiées de votre organisme en effectuant une AIPD, il est obligatoire d’effectuer une AIPD lorsque le traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des individus.

En particulier, c’est le cas lorsque le traitement envisagé implique :

• le traitement – à grande échelle – de données personnelles sensibles ou de données relatives à des condamnations pénales ; 
• l’évaluation systématique et approfondie des aspects personnels d’une personne fondée sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées les décisions qui produisent des effets juridiques à l’égard de l’individu en question ou qui affectent les individus de manière significative ;
• la surveillance systématique d’une zone accessible au public à grande échelle.

Le CEPD a élaboré des lignes directrices qui énumèrent les critères à prendre en compte pour évaluer si une AIPD est obligatoire ou non. Les autorités chargées de la protection des données ont également publié des listes d’opérations de traitement qui font l’objet d’une AIPD. De plus, plusieurs autorités ont développé des guides, des logiciels ou des outils d’autoévaluation pour vous aider dans votre évaluation (par exemple la CNIL en France).

Plus d’informations :

• Se mettre en conformité

Le RGPD donne aux particuliers le contrôle du traitement de leurs données personnelles. La transparence est donc essentielle. Cela signifie que vous devez informer les personnes dont vous traitez les données concernant sur vos opérations de traitement et les finalités poursuivies. En d’autres termes, vous devez expliquer qui traite leurs données, mais aussi comment et pourquoi. Ce n’est que si l’utilisation des données personnelles est « transparente » pour les personnes concernées qu’elles peuvent évaluer les risques éventuels et prendre des décisions concernant leurs données personnelles.
En vertu du RGPD, vous êtes tenu de partager les informations suivantes avec des particuliers :

• l’identité et les coordonnées du responsable du traitement ;
• les finalités du traitement ;
• la base légale du traitement (si l’intérêt légitime, les informations spécifiques sur quels intérêts légitimes se rapportent au traitement spécifique et sur l’entité qui poursuit chaque intérêt légitime).
• les coordonnées du responsable du traitement ;
• les coordonnées du DPD (s’il existe) ;
• les destinataires ou catégories de destinataires des données ;
• les informations sur les transferts de données personnelles en dehors de l’Espace économique européen (EEE) (dans ce cas : l’existence ou non d’une décision d’adéquation ou d’une référence aux garanties appropriées et la manière dont ces informations peuvent être mises à la disposition des personnes concernées ;
• les catégories de données personnelles traitées, lorsque les données ne sont pas obtenues de la personne concernée.

En outre, le RGPD exige que votre organisme fournisse les informations suivantes pour assurer un traitement équitable et transparent :

• la durée de conservation ou, lorsque cela n’est pas possible, les critères utilisés pour déterminer cette durée ;
• le droit de demander l’accès, l’effacement, la rectification, la restriction, l’opposition et la portabilité des données personnelles;
• le droit d’introduire une réclamation auprès d’une autorité de protection des données ;
• si la base légale du traitement est le consentement : le droit de retirer son consentement à tout moment ;
• dans le cas d’une prise de décision automatisée, des informations pertinentes sur la logique sous-jacente et les conséquences prévues du traitement pour la personne concernée ;
• la source des données personnelles (si vous ne les recevez pas directement de la part de la personne concernée) ;
• si la personne est tenue de fournir les données personnelles (par la loi ou pour former ou exécuter un contrat), ainsi que les conséquences du refus de fournir les données.

Plus d’informations :

• Respecter les droits des individus

Un traitement de données personnelles désigne tout type d’activité (opération de traitement) effectuée sur, ou avec, les données personnelles des personnes physiques. Cela inclut la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction de données personnelles.

Les DPD peuvent remplir d’autres missions au sein de l’organisation, mais cela ne peut pas entraîner un conflit d’intérêts. Cela implique que le DPD ne peut pas avoir une position dans laquelle il détermine les finalités et les moyens des activités de traitement. Les fonctions contradictoires comprennent principalement des postes de direction (chef de la direction, chef des opérations, chef des finances, chef des ressources humaines, chef de l’informatique, directeur général), mais peuvent également concerner d’autres fonctions si elles conduisent à la détermination des finalités et des moyens de traitement.
Le DPD doit être en mesure d’exercer ses fonctions et missions de manière indépendante. Cela signifie que votre organisme :

• ne peut pas donner d’instructions au DPD en ce qui concerne l’exercice de ses fonctions ;
• ne peut sanctionner ou licencier le DPD pour l’accomplissement de ses missions.

Plus d’informations :

• Le délégué à la protection des données

Un contrat valide entre le responsable du traitement et le sous-traitant est obligatoire en vertu du RGPD. Une infraction peut faire l’objet d’une amende administrative pouvant aller jusqu’à 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires annuel total d’une entreprise, le montant le plus élevé étant retenu.

Pour vous guider lors de la mise en place d’un accord responsable du traitement des données, les autorités danoises et slovènes chargées de la protection des données, ainsi que la Commission européenne, ont élaboré des modèles de contrat.

Plus d’informations :

• Responsable du traitement des données ou sous-traitant