Dès lors que vous notez un nom, un prénom sur une feuille de papier, que vous rangez cette feuille dans votre armoire dans des dossiers suspendus identifiés, cela devient un traitement de données. Show C’est donc une notion très vaste qui concerne même l’action la plus simple, qui peut être faite sur des données à caractère personnel Voici quelques exemples de traitement de données :
Les traitements de données sont toutes les actions, qu’elles soient de grande envergure ou non, sur des données à caractère personnel de citoyen européen. Tous ces traitements doivent être analysés, étudiés et répertoriés dans le registre des traitements qui peut être obligatoire selon la taille de votre entreprise ainsi que le type de traitements que vous effectuez. Ce registre doit pouvoir être présenté sans délai à la CNIL en cas de contrôle. Le traitement des données est il exclusivement électronique ?Et bien NON, le traitement des données est considéré dès lors qu’il y a traitement de données et pas forcément par le biais d’un moyen électronique. Toutes les données personnelles, y compris celles contenues dans des dossiers papiers, sont des traitements soumis au règlement européen sur la protection des données. Selon le RGPD : Le traitement de données n’est pas exclusivement électronique Voici un exemple simple :Tout au long de votre vie professionnelle vous récupérez des cartes de visite d’autres professionnels que vous croisez. Ces cartes de visites contiennent des données à caractère personnel. Si vous jetez en vrac ces cartes de visite dans une boîte à chaussures, cela ne constitue pas un fichier de données à caractère personnel. Par contre si vous les rangez dans un porte cartes de manière structurée par ordre alphabétique qui permet de retrouver facilement un individu et toutes ses données, cela constitue un fichier de données à caractère personnel. Il n’y a pas de limite à la vie privée, les données professionnelles sont aussi des données à caractère personnel. Sachez enfin que le contexte n’est pas déterminant, cela veut dire que même dans un contexte Business to Business (B2B) les traitements de données sont soumis au règlement européen. Dans la pratique : Quels sont les traitements typiques ?Quels sont les traitements les plus courants ? Voici une liste non exhaustive des traitements les plus courants utilisés dans les entreprises. Vous trouverez certainement dans cette liste des traitements que vous effectuez. Par exemple :Un simple formulaire de contact sur votre site est un traitement des donnéesLa gestion de votre site internet :Si vous récoltez des données à caractère personnel sur votre site internet, pour générer une fiche client par exemple, ou simplement pour un formulaire de contact dans lequel l’utilisateur y insère, ne serait-ce qu’une adresse email pour une inscription à votre newsletter, cela constitue un traitement de données à caractère personnel. Il faudra, pour ce traitement, définir les modalités de collecte, de stockage, de sécurisation, de durée de conservation et d’utilisation afin de sécuriser les données personnelles de votre client. De plus, commercialement, c’est un gage de qualité vis à vis de vos client de pouvoir afficher un label de sécurisation des données personnelles, et peut-être un plus, face à vos concurrents. Votre système de vidéosurveillance :La vidéosurveillance est un traitement de donnéesLe système de vidéosurveillance que vous avez installé dans votre entreprise pour contrôler les accès constitue un traitement de données à caractère personnel. Une image est une donnée à caractère personnel. Vous êtes dans l’obligation de définir les modalités de stockage, de vérification, de durée de conservation pour ces données. Cette liste ne représente qu’une petite partie de tous les traitements qui sont soumis au RGPD. La liste est longue et est propre à chaque entreprise. Il faut donc bien étudier toutes les données personnelles que vous collectez dans le cadre de votre activité pour bien définir tous les traitements de données à caractère personnel et vérifier les méthodes que vous appliquez à ces données personelles. Suis-je responsable si je sous-traite mes traitements ?Sous-traiter vos traitements de données à caractère personnel ne vous enlève pas vos responsabilitésDevant une telle complexité, une telle diversité de traitements de données à caractère personnel, vous êtes en droit de me dire : oui, mais moi je sous-traite tous mes traitements, le responsable est donc mon fournisseur…EH bien non !!! Même si vous sous-traitez vos traitements de données à caractère personnel, vous restez le seul responsable des traitements face à la loi. Vous êtes dans l’obligation de vous assurer que votre prestataire effectue les traitements correctement et en apporter la preuve, en cas de contrôle de la CNIL ou des autorités. A voir aussi : |