Dès lors que vous notez un nom, un prénom sur une feuille de papier, que vous rangez cette feuille dans votre armoire dans des dossiers suspendus identifiés, cela devient un traitement de données.

C’est donc une notion très vaste qui concerne même l’action la plus simple, qui peut être faite sur des données à caractère personnel

Voici quelques exemples de traitement de données :

La collecte, c’est-à-dire la récupération des données personnelles. Elle doit être faite exclusivement auprès de la personne concernée. Les données ne peuvent pas être récupérées auprès des partenaires sans le consentement explicite de la personne concernée.
Elle peut être effectuée par le biais d’une fiche de renseignements, d’un bordereau d’inscription, d’un formulaire sur un site internet par exemple.
L’enregistrement : une fois les données collectées, l’action de les enregistrer dans une base de données, électronique ou non, est un traitement de données.

Notez bien que la notion de traitement électronique n’est pas exclusive : les traitements sous forme papier sont aussi concernés par le RGPD. Si vous stockez des fiches de renseignements de vos clients dans une armoire, rangées par ordre alphabétique,cela constitue un traitement de données.
La conservation : Dès la collecte d’une donnée personnelle il est nécessaire de définir la durée de conservation.
La définition de cette durée de conservation pour chaque donnée que vous traitez est imposée par le RGPD et doit être respectée.
En effet il n’est pas nécessaire de garder les données personnelles en dehors de la durée de leurs traitements. Garder des données personnelles plus longtemps que le traitement ne le nécessite, représente un risque de perte ou de violation de données.
Cette durée de conservation est à définir par vos soins en fonction de vos obligations légales et des nécessités des traitements appliqués aux données à caractère personnel dont vous êtes responsable.
Elle doit être respectée. Toute donnée dont le délai de conservation défini est dépassé doit être supprimée définitivement.
Avoir un indicent grave sur des données qui ne devraient plus être présentes dans vos bases est un facteur aggravant au yeux de la CNIL.
La communication, le transfert et l’interconnexion :
L’exportation de données personnelles est soumise au règlement général de la protection des données. Il n’est pas autorisé de transférer les données sans autorisation explicite des personnes concernées à moins que ce transfert ne soit une question de sécurité nationale. Pour les transferts au sein d’un même groupe dans des pays différents : la consultation de la CNIL est nécessaire car pour certains pays il est rigoureusement interdit de transférer des données à caractères personnel de citoyens européens.

Retenez bien :

Les traitements de données sont toutes les actions, qu’elles soient de grande envergure ou non, sur des données à caractère personnel de citoyen européen.

Tous ces traitements doivent être analysés, étudiés et répertoriés dans le registre des traitements qui peut être obligatoire selon la taille de votre entreprise ainsi que le type de traitements que vous effectuez.

Ce registre doit pouvoir être présenté sans délai à la CNIL en cas de contrôle.

Le traitement des données est il exclusivement électronique ?

Et bien NON, le traitement des données est considéré dès lors qu’il y a traitement de données et pas forcément par le biais d’un moyen électronique.

Toutes les données personnelles, y compris celles contenues dans des dossiers papiers, sont des traitements soumis au règlement européen sur la protection des données.

Selon le RGPD :

“tout ensemble structuré de données accessibles selon des critères déterminés constituent un fichier de données à caractère personnel.”

traitement de données : données personnelles non electronique — Le traitement de données n’est pas exclusivement électronique

Voici un exemple simple :

Tout au long de votre vie professionnelle vous récupérez des cartes de visite d’autres professionnels que vous croisez. Ces cartes de visites contiennent des données à caractère personnel.

Si vous jetez en vrac ces cartes de visite dans une boîte à chaussures, cela ne constitue pas un fichier de données à caractère personnel.

Par contre si vous les rangez dans un porte cartes de manière structurée par ordre alphabétique qui permet de retrouver facilement un individu et toutes ses données, cela constitue un fichier de données à caractère personnel.

Il n’y a pas de limite à la vie privée, les données professionnelles sont aussi des données à caractère personnel.
Toutes les informations que vous récoltez et que vous structurez correctement, constituent un fichier de données à caractère personnel.

Sachez enfin que le contexte n’est pas déterminant, cela veut dire que même dans un contexte Business to Business (B2B) les traitements de données sont soumis au règlement européen.
Car même si le nom d’une entreprise n’est pas une données à caractère personnel, ce nom d’entreprise est toujours, dans votre répertoire téléphonique ou dans le système de fichiers de votre entreprise, rattaché au nom d’un agent commercial, d’un directeur ou autre.

Dans la pratique : Quels sont les traitements typiques ?

Quels sont les traitements les plus courants ?

Voici une liste non exhaustive des traitements les plus courants utilisés dans les entreprises. Vous trouverez certainement dans cette liste des traitements que vous effectuez.

Par exemple :

traitement de données : Formulaire de contact — Un simple formulaire de contact sur votre site est un traitement des données

La gestion de votre site internet :

Si vous récoltez des données à caractère personnel sur votre site internet, pour générer une fiche client par exemple, ou simplement pour un formulaire de contact dans lequel l’utilisateur y insère, ne serait-ce qu’une adresse email pour une inscription à votre newsletter, cela constitue un traitement de données à caractère personnel.

Il faudra, pour ce traitement, définir les modalités de collecte, de stockage, de sécurisation, de durée de conservation et d’utilisation afin de sécuriser les données personnelles de votre client.

De plus, commercialement, c’est un gage de qualité vis à vis de vos client de pouvoir afficher un label de sécurisation des données personnelles, et peut-être un plus, face à vos concurrents.

Votre système de vidéosurveillance :

traitement de données : videosurveillance — La vidéosurveillance est un traitement de données

Le système de vidéosurveillance que vous avez installé dans votre entreprise pour contrôler les accès constitue un traitement de données à caractère personnel.

Une image est une donnée à caractère personnel. Vous êtes dans l’obligation de définir les modalités de stockage, de vérification, de durée de conservation pour ces données.

Cette liste ne représente qu’une petite partie de tous les traitements qui sont soumis au RGPD.

La liste est longue et est propre à chaque entreprise.

Il faut donc bien étudier toutes les données personnelles que vous collectez dans le cadre de votre activité pour bien définir tous les traitements de données à caractère personnel et vérifier les méthodes que vous appliquez à ces données personelles.

Suis-je responsable si je sous-traite mes traitements ?

sous traiter les traitement de données à caractère personnel — Sous-traiter vos traitements de données à caractère personnel ne vous enlève pas vos responsabilités

Devant une telle complexité, une telle diversité de traitements de données à caractère personnel, vous êtes en droit de me dire : oui, mais moi je sous-traite tous mes traitements, le responsable est donc mon fournisseur…EH bien non !!!

Même si vous sous-traitez vos traitements de données à caractère personnel, vous restez le seul responsable des traitements face à la loi.

Vous êtes dans l’obligation de vous assurer que votre prestataire effectue les traitements correctement et en apporter la preuve, en cas de contrôle de la CNIL ou des autorités.

A voir aussi :