La protection des données : Nouvelles obligations pour les collectivités territoriales en mai 2018

La protection des données : Nouvelles obligations pour les collectivités territoriales en mai 2018

- - Imprimer cette page

Le Règlement Général relatif à la Protection des Données Personnelles (RGPD) entrera en vigueur le 25 mai 2018.

Le RGPD ne constitue pas une révolution en matière de protection des données. En effet, les principes directeurs demeurent ceux de la loi informatique et libertés du 6 janvier 1978 modifiée en 2004 : finalité, proportionnalité, légitimité du traitement, droits des personnes et sécurité des données.

Cependant, la communication autour du RGPD amène aujourd’hui nombre d’organismes à "découvrir" des règles de protection des données qui existaient déjà et à devoir mettre en œuvre les obligations associées.

Le RGPD se caractérise par :

  • Une responsabilisation des organismes (publics et privés) en passant d’un système de formalités préalables à un système de conformité ;
  • Un renforcement du droit des personnes ;
  • Un renforcement des sanctions.

Les personnes publiques devront par conséquent s'obliger à une discipline en matière de collecte des données, apprendre à réguler la gestion de celles-ci, et désormais être en mesure de démontrer la conformité de leur traitement des données personnelles.

Définitions 

« Données à caractère personnel » (ou « DCP »)

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement.

Une personne est identifiée lorsque par exemple son nom apparaît dans un fichier.

Une personne est identifiable lorsqu’un fichier comporte des informations permettant indirectement son identification (ex. : adresse IP, nom, prénom, adresse postale, adresse mail, d’immatriculation, n de téléphone, photographie, vidéos, éléments biométriques tels que l’empreinte digitale, ADN, un matricule interne, identifiant de connexion informatique, carte de paiement, des images de vidéosurveillance, …).

Ainsi, des données que l’on pourrait a priori considérer comme anonymes peuvent constituer des « données à caractère personnel » si elles permettent d’identifier une personne précise indirectement ou par recoupement d’informations (ex. : empreinte digitale, ADN, date de naissance associée à une commune de résidence …).

Une anonymisation (à différencier de la pseudonymisation) permet cependant de conserver la donnée. L’anonymisation doit permettre de rendre impossible toute identification de la personne concernée : noms masqués, visages floutés, etc. Ainsi, s'il est encore possible par recoupement d’informations (âge, sexe, ville, diplôme, etc.) ou par l'utilisation de moyens techniques divers, d'identifier une personne, les données sont toujours considérées comme personnelles.

« Traitement »

La notion de « traitement » couvre tout un ensemble d'opérations effectuées sur les données : enregistrement, conservation, modification, communication par transmission.

Le traitement désigné également le moyen à l'appui duquel les données sont traitées (ex. : base de données, système de géolocalisation, fichier Excel, etc.).

NB : Le traitement de données personnelles peut être automatisé ou non. Ainsi, un dossier professionnel sous format papier constitue un...

Veuillez vous identifier pour consulter la totalité de l'article.

S'identifier

Vous n’avez pas de compte Premium ?
Abonnez-vous pour seulement 150€ TTC par an !

Télécharger le bulletin


Retour aux articles