• GUIDE : LE RGPD EXPLIQUÉ
  • LE BLOG
  • CONTACT
www.audit-dpo.com
  • Accueil
  • Audit à blanc RGPD
  • Respecter le RGPD
  • Pourquoi s’inscrire ?
  • Demander un audit
RGPD : Article 4 – Définitions

Accueil » RGPD : Article 4 – Définitions

RGPD : Article 4 – Définitions

par Audit Pia | 5/Mar/2018 | Le RGPD article par article |

L’article 4 du RGPD

Nous vous conseillons de faire un lien, ou un bookmark (pardon un signet) de cette page car elle pose les fondements des concepts du reste du RGPD. 

“Article 4 – Définitions

Aux fins du présent règlement, on entend par : “

La locution aux fins de signifie « pour les besoins de », « pour », donc dans le cadre du RGPD tout ce qui suit est utile.

“«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;“

Nous avons réalisé un article sur cette notion “données à caractère personnel”, mais les informaticiens apprécierons  “numéro d’identification” et oui vos identifiants interne dans vos SI.
Mais aussi l’autre mot clé important  “indirectement”  c’est pas parce que vous avez des identifiants clairsemés qu’il ne peuvent pas être rattachés les uns aux autres…

“«traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;”

Il est de temps en temps important de rappeler le sens des mots, selon le Larousse “opération” :
Ensemble organisé des processus qui concourent à l’effet, à l’action d’une fonction…
Démarche de l’esprit consistant à combiner des raisonnement
Action concrète faite selon une méthode, par la combinaison d’un ensemble de moyens et pour obtenir un résultat précis

Rien à dire de plus que “tout ce que vous faites” tous les jours est un traitement.

“«limitation du traitement», le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur;”

Exemple concret vaut sans doute mieux que de grand discours, vous marquez vos clients inactifs au bout d’un an car ils n’utilisent plus votre service, et ce pour ne plus leur envoyer d’email commerciaux. Bravo, vous avez mis en place une limitation de traitement.

“«profilage», toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;”

Le profiling est pour le marketing l’action de collecter des informations relatives aux profils des personnes. Le profiling peut être nominatif ou anonyme. Dans ce dernier cas, les données de profils ne sont pas reliées à un nom mais uniquement à un cookie. Ce qui veut dire en terme de RGPD que le profiling n’est pas anonyme puisque le cookie est une données personnelle.

“«pseudonymisation», le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;”

Voici un terme qui ne fait pas parti des dictionnaires de la langues françaises. En d’autres mots, vous avez le droit de garder certaines informations dans un coffre fort pour pouvoir reconnaître des données que vous auriez «pseudonymisé». C’est à dire personnes dont toutes les données personnelles ont été remplacées de façon irréversible.

«fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

Que ce soit sur votre bureau sous forme de papier électronique, avec une ou 1000 personnes dessus… Donc même mes blocs notes des centres d’appels peuvent constituer un fichier.

«responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre;

Toutes sociétés qui gèrent des données personnelles qui concernent des personnes ayant un moment ou un autre une relation avec un état membre Europe.

Soit toutes sociétés Européennes, et toutes celles qui ont une activité en Europe récupérant des données personnelles. mais le responsable du traitement (vous) n’est pas la personne concernée par le traitement, n’est pas le destinataire du traitement, n’est pas un sous-traitant,  n’est pas le CIL de l’organisme.

«sous-traitant», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

Dans le cadre du RGPD, votre société de nettoyage ne sera pas considérée comme un sous-traitant. Pour rappel, lorsqu’un traitement est sous-traité à un prestataire externe à l’organisme, le prestataire ne devient pas le responsable du traitement.

«destinataire», la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement;

Cette notion est très importante car vous devez indiquer aux personnes concernées par un fichier les « destinataires ou catégories de destinataires des données ».  Vous êtes un pourvoyeur de leads, vous devez l’indiquer lors de la collecte.

Les employés et les sous-traitants habilités d’un responsable de traitement ne sont pas des destinataires au sens de la loi « Informatique et Libertés».

«tiers», une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel;

La définition produit dans l’article 4 est amendé un peu partout de “autorisés” et cette nuance est très importante.

«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

Un certain nombres de traitements particulier comme le profilages, demandent à ce que le consentement soit explicite. Pas une case à cocher qui est pré-cochée par exemple.

«violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données;

“Allez en prison et ne passez pas par la case Départ”

«données génétiques», les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question;

«données biométriques», les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques;

«données concernant la santé», les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne;

«établissement principal»,

a) en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l’établissement ayant pris de telles décisions est considéré comme l’établissement principal;

b) en ce qui concerne un sous-traitant établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union ou, si ce sous-traitant ne dispose pas d’une administration centrale dans l’Union, l’établissement du sous-traitant dans l’Union où se déroule l’essentiel des activités de traitement effectuées dans le cadre des activités d’un établissement du sous-traitant, dans la mesure où le sous-traitant est soumis à des obligations spécifiques en vertu du présent règlement;

Dans 99% des cas les sièges où sont prises les décisions.

«représentant», une personne physique ou morale établie dans l’Union, désignée par le responsable du traitement ou le sous-traitant par écrit, en vertu de l’article 27, qui les représente en ce qui concerne leurs obligations respectives en vertu du présent règlement;

Dans les entreprises, il est de coutume de dire “celui qui va en prison”. Dans 99% des cas, le dirigeant.

«entreprise», une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique;

«groupe d’entreprises», une entreprise qui exerce le contrôle et les entreprises qu’elle contrôle;

«règles d’entreprise contraignantes», les règles internes relatives à la protection des données à caractère personnel qu’applique un responsable du traitement ou un sous-traitant établi sur le territoire d’un État membre pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe;

Parce qu’il faut tout définir…

«autorité de contrôle», une autorité publique indépendante qui est instituée par un État membre en vertu de l’article 51;

En France, l’autorité de contrôle est la CNIL, mais il y a un représentant par pays.

«autorité de contrôle concernée», une autorité de contrôle qui est concernée par le traitement de données à caractère personnel parce que:

a) le responsable du traitement ou le sous-traitant est établi sur le territoire de l’État membre dont cette autorité de contrôle relève;

b) des personnes concernées résidant dans l’État membre de cette autorité de contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l’être; ou

c) une réclamation a été introduite auprès de cette autorité de contrôle;

Idem, En France la CNIL, mais il y a un représentant par pays.

«traitement transfrontalier»,

a) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou

b) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres;

«objection pertinente et motivée», une objection à un projet de décision quant à savoir s’il y a ou non violation du présent règlement ou si l’action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant respecte le présent règlement, qui démontre clairement l’importance des risques que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, le libre flux des données à caractère personnel au sein de l’Union;

«service de la société de l’information», un service au sens de l’article 1er, paragraphe 1, point b) , de la directive (UE)  2015/1535 du Parlement européen et du Conseil (19) ;

Tout service de la société de l’information, c’est-à-dire tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services.

Aux fins de la présente définition, on entend par:

i)«à distance», un service fourni sans que les parties soient simultanément présentes;

ii)«par voie électronique», un service envoyé à l’origine et reçu à destination au moyen d’équipements électroniques de traitement (y compris la compression numérique) et de stockage de données, et qui est entièrement transmis, acheminé et reçu par fils, par radio, par moyens optiques ou par d’autres moyens électromagnétiques;

iii)«à la demande individuelle d’un destinataire de services», un service fourni par transmission de données sur demande individuelle.

Une liste indicative des services non visés par cette définition figure à l’annexe I ici

«organisation internationale», une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d’un tel accord.

  • LinkedIn
  • Twitter
  • Google+
  • Facebook

Demander une étude personnalisée

Vous souhaitez une mise en conformité de votre entreprise au RGPD applicable le 25 mai 2018 ?
  • Usages des données / finalités de traitements : les données collectées seront utilisées pour vous envoyer un e-mail à l'ouverture du service ou pour la création d'un devis dans le cadre d'une demande de prestation.
  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Catégories

  • Actu
  • DPO
  • Etats des lieux
  • La protection des données
  • Le RGPD
  • Le RGPD article par article
  • tweets du jour

Articles récents

  • Checklist des éléments à vérifier en 2021 pour l’audit de sa compliance RGPD
  • Article 100 – Les obligations des contractants définies
  • Etat des lieux de la mise en place un PCA et PRA dans le cadre du RGPD
  • Article 97 – Rapports de la commission
  • Etat des lieux de la gestion de la sous-traitance dans le cadre du RGPD
2018 © Audit-Pia.com | Tous droits réservés |Plan du site | Données personnelles
Posting....
Share This
  • LinkedIn
  • Twitter
  • Google+
  • Facebook