<aside> 💡
Souvent les professionnels pensent que la règlementation sur la protection des données personnelles ne concerne que les données « sensibles ». Et ils ont du mal à déterminer quel est le champ d’application.
Quelles données sont concernées ? (Toutes les données identifiantes ou indirectement identifiantes et celles qui renseignent sur la vie personnelle d’une personne identifiable)
-Est-ce que j’ai « le droit » de traiter ces données ? J’en ai besoin pour travailler !
Oui, à priori c’est possible ! Mais seules les données nécessaires pour l’objectif de l’activité ne doivent être collectées !
C’est le principe de minimisation et de limitation. On limite la collecte et le stockage des données aux seules directement nécessaires pour réaliser la mission.
</aside>
Les données sensibles forment une catégorie particulière des données personnelles :
- Les opinions politiques.
- Les convictions religieuses ou philosophiques ou l'appartenance syndicale.
- Le traitement des données génétiques.
- Des données biométriques aux fins d'identifier une personne physique de manière unique.
- Des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
Conditions autorisées pour le traitement des données sensibles :
- Si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée).
- Si les informations sont manifestement rendues publiques par la personne concernée.
- Si elles sont nécessaires à la sauvegarde de la vie humaine.
- Si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.
- Si leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL.
Conditions de traitement des données sensibles :
- Justifier de la raison qui motive ce traitement de données.
- Renforcer les mesures de sécurité : limiter les accès aux données aux seules personnes habilitées, limiter la durée de conservation de ces données au strict nécessaire, verrouiller les stockage, utiliser des méthodes de chiffrement, etc.
Les données personnelles peuvent être plus ou moins « confidentielles » ou « ressenties comme sensibles » sans qu’elles ne soient pour autant décrites dans la loi comme « sensibles » : les données bancaires, etc. Les mesures de sécurité et les usages doivent donc être adaptés à la « sensibilité » ou à la confidentialité.
Le volume de données est à prendre en compte. Un fichier avec des emails d’adhérents qui contiendrait 100000 enregistrements présente plus de « risque » qu’un fichier en contenant 4 ou 5 !
La quantité de données renseignant sur la même personne a aussi plus d’impact sur sa vie privée.
Exemple : une fiche d’adhérent avec juste le nom et le prénom et le nr d’adhérents, la date d’adhésion aura moins d’impact sur la vie privée que si la fiche contient des informations sur les membres de la famille, les habitudes alimentaires, les allergies et les préférences de voyages ainsi que les habitudes sportives… donc le cloisonnement des informations en fonction des usages/objectifs est aussi un bon moyen de limiter l’impact en cas de divulgation à des personnes non autorisées.
https://www.canva.com/design/DAGoExfKBgA/5mGdAo1qJKCUI4BCV4qxnQ/watch?utm_content=DAGoExfKBgA&utm_campaign=designshare&utm_medium=link2&utm_source=uniquelinks&utlId=h8258df8435