Internet

Parmi ces tableaux lesquels contiennent des données personnelles

Par Jean , le 10 janvier 2023 — 7 minutes de lecture
rgpd

Aujourd’hui, de nombreuses actions sont mises en places dans les organismes publics, et privés pour être en conformité avec le règlement général sur la protection des données (RGPD),  avec l’évolution où les pratiques sont amenées à évoluer afin de correspondre aux nouvelles exigences réglementaires qui régissent la protection des données personnelles.

Avant toute chose, il est important de comprendre chaque composante de ce sujet et de s’intéresser aux conditions de licéité des bases de données personnelles et ensuite voir quels sont les usages de ces derniers par les tiers.

Qu’est-ce qu’une donnée personnelle ?

Une base de données peut être définie par les informations concernant une personne physique identifiée ou identifiable. La collecte de donnée peut se faire directement via le nom, le prénom, et les informations de base qui permettent d’identifier une personne, on peut aussi identifier une personne avec des informations indirectes qu’il faudra ensuite recouper pour identifier la personne en question. On peut par exemple citer le numéro de téléphone, des données biométriques ou encore une voix ou une image. C’est ce qu’on appelle une identification directe et indirecte.

En quoi consiste le traitement des données personnelles ?

Collecter des données ne sert à rien s’il n’y a pas de traitement derrière, lors de la collecte, il est primordial de déjà connaitre l’usage final de ces données. L’usage en question doit néanmoins être juridique, et légitime par rapport à votre activité personnelle. Cela sous-entend que ces données doivent vous être utiles dans votre travail, on peut donc prendre l’exemple d’une entreprise d’assurance qui collecte des données sur ces clients pour leur rappeler l’échéance de leurs assurances ou encore leurs dédommagements quand ils sont victimes d’un accident de la route. Dans ce cas de figure, les données personnelles sont collectées pour réussir la gestion de leurs clientèles. Le traitement de données consiste donc en une, ou plusieurs opérations concernant des données personnelles, le rapprochement, la conservation, l’adaptation, etc. Il ne faut pas confondre une base de donnée personnelle avec une simple base de données comme une liste de prospection d’entreprise pour un produit quelconque. Les conditions de protection des données personnelles doivent s’appliquer à tous les supports où, sont inscrits ces derniers, que ce soit du papier ou un enregistrement numérique. Ces bases de données personnelles doivent respecter la réglementation en vigueur en matière de données personnelles, pour avoir plus d’informations à ce sujet, lire ici.

Comment définir le RGPD ?

Le RGPD est un sigle qui signifie <Règlement général sur la protection des données> ce règlement est en vigueur sur le territoire de l’Union européenne, et encadre le traitement des données personnel, ce règlement unifie les règles en Europe, et offre aux professionnels un cadre juridique sur lequel peut se reposer les entreprises et ainsi leur donner l’opportunité de se développer numériquement en donnant confiance aux utilisateurs. Le RGPD est applicable à toute organisation, qu’elle soit publique ou privée, sans distinction de taille ni de lieux d’implantation, dès lors qu’elle procède à un traitement de données personnelles, et qu’elle exerce sur le territoire de l’Union européenne ou qu’elle cible des résidents européens. Le RGPD est aussi applicable aux sous-traitants qui traitent des données personnelles pour le compte d’autre institution, ils ont l’obligation de garantir la protection des données qui leur est confiée

Quelles sont les règles à suivre pour protéger et constituer une base de données ?

Une donnée personnelle est du ressort du droit fondamental que les personnes physiques ont par rapport au respect de leurs vies privées, ces données ne peuvent donc pas faire l’objet d’un droit réel et ne sont ni aliénables ni appropriables.

  • les producteurs d’une base de données personnelles peuvent avoir des droits de propriété intellectuelle. Un droit particulier <sui generis> protège le contenu d’une base de données donnée au producteur de la base à condition que son traitement fasse preuve d’un investissement financier et matériel. Ce droit particulier concernera plus le fichier contenant la base de données en elle-même. Par conséquent, une cession concernera le fichier organisé en base de données plutôt que les données personnelles en eux même, l’exploitation de ces bases de données à des fins de licence ou de vente devra donc se soumettre aux exigences imposées par la réglementation applicable en matière de données personnelles. L’illicéité du traitement de données personnelles est quelque chose d’inaliénable ;
  • les fichiers de base de données qui ne respectent pas les requis de la réglementation en vigueur en matière de donnée personnelle deviennent donc illicites, et prive le producteur des droits afférant à la base de donnée en question. L’illicéité des bases de données à plusieurs conséquences, surtout pour les contrats de cession qui peuvent être déclarés nuls et non avenus ou autrement dit considérés comme n’ayant jamais existé ;
  • pour être sûr du contrat de cession qu’on est prêt à signer, il est possible de demander aux producteurs, des audits, et des opérations de due diligence afin de vérifier que les données collectées correspondent aux usages finaux préalablement définis, la véracité des données ainsi que des mises à jour de la base de données, et les mesures de sécurité prises pour protéger la base de données sont adéquats. Il est important que toutes les personnes concernées puissent jouir de leurs droits et puissent s’opposer à ce traitement de constitution ainsi que de retirer leurs consentements.

Le respect des durées de conservation maximale des données ainsi que la suppression immédiate des données en cas de dépassement de la durée maximale de conservation sont aussi utiles. Il y a cependant des éléments non pertinents qui ne méritent pas d’être pris en compte. On peut par exemple citer le fait qu’un contact régulier entre le producteur de la base donnée ainsi que le la Commission nationale de l’informatique et des libertés (CNIL) ne signifie pas que la base de données est en conformité avec les exigences réglementaires.

Les données personnelles sont souvent à l’ère du numérique une ressource précieuse, elle est collectée dans un but précis, pour être légitime, elle doit être en rapport avec les activités de l’entreprise, elles doivent ensuite être traité pour être exploitable, pour la protection des données personnelles, il existe le RGPD qui est applicable à toutes les organisations exerçant dans l’Union européenne ou qui ont comme cible des clients résidant sur le territoire européen. Les bases de données quant à eux ne sont ni aliénables ni appropriables, mais les producteurs de bases de données personnelles peuvent avoir des droits de propriété intellectuelle.