Articles

 

Définitions

 

Données à caractère personnel (DCP)

« Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». (6)

 

Personne physique

« Au sens du droit français, une personne physique est un être humain doté, en tant que tel, de la personnalité juridique. Pour jouir directement et pleinement de sa capacité (ou personnalité) juridique, une personne physique doit être majeure (sauf en cas d'émancipation avant l'âge de la majorité) et ne pas être en incapacité partielle ou totale (mise en tutelle ou curatelle) ; sinon cette capacité est exercée en son nom par un représentant légal. » (7)

 

Droits des personnes concernées

Toute personne a un droit de regard sur ses propres données ; par conséquent, quiconque met en œuvre un fichier ou un traitement de données personnelles est obligé d’informer les personnes fichées de son identité, de l’objectif de la collecte d’informations et de son caractère obligatoire ou facultatif, des destinataires des informations, des droits reconnus à la personne, des éventuels transferts de données vers un pays hors de l’Union Européenne. (8)

Base légale

Le RGPD impose que le traitement des DCP repose sur une base légale avant toute mise en œuvre. Elles sont au nombre de six à savoir le consentement, le contrat, l’obligation légale, l’intérêt public ou la mission de service public, la sauvegarde des intérêts vitaux ou l’intérêt légitime. Dans le cadre d’une obligation légale ou d’une mission de service public, la base légale est prévue par un texte législatif ou réglementaire. (9)

Consentement de la personne concernée

« Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Le consentement est recueilli par écrit soit dans une version papier, soit numériquement. La preuve du consentement est conservée et tracée jusqu’à révocation du consentement. (6)

 

Contrat ou avant contrat

Le contrat est un accord de volontés entre deux ou plusieurs personnes, destiné à créer, modifier, transmettre ou éteindre des obligations. L’avant-contrat est un contrat préparatoire qui a pour objet de définir les points essentiels d'une opération et les moyens pour parvenir à sa réalisation. (10)

Obligation légale

Un texte législatif français ou européen définit et impose le cadre du traitement et sa mise en œuvre. (11)

 

Sauvegarde des intérêts vitaux

La nécessité du traitement est de sauvegarder la vie de la personne concernée ou d’un tiers. Cette base légale est utilisée uniquement si aucune base légale n’est possible. (12)

Mission de service public/intérêt public

La mission de service public est une « activité menée par une personne publique ou sous son contrôle en vue de satisfaire un besoin d'intérêt général », selon des dispositions légales ou réglementaires, qui ne requiert pas le consentement de la personne concernée mais nécessite une information préalable ou concomitante. (13)

L’intérêt public « désigne la finalité d'actions ou d'institutions censées intéresser et servir une population considérée dans son ensemble ».

Intérêt légitime

Le responsable de traitement met en œuvre un traitement de données à caractère personnel (DCP), répondant à des objectifs précis, limités et nécessaires, tel que la surveillance des accès par vidéosurveillance. Même si la base légale est l’intérêt légitime, un cadre légal peut être défini imposant les modalités ou conditions de mise en œuvre du dispositif. (14)

Finalité

Le traitement de DCP mis en œuvre correspond a des objectifs définis préalablement et légalement selon les principes du RGPD. (15)

Traitement de données à caractère personnel

Le traitement de DCP correspond à une opération automatisée ou non relative à des données personnelles telle que la collecte, la consultation, l’exploitation, la transmission, le stockage. La collecte de départ est directe ou indirecte jusqu’au transfert éventuel vers un destinataire. (16)

Données sensibles

Les données sensibles forment une catégorie particulière des données personnelles. Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. 

Destinataire

Le destinataire est la personne physique ou morale qui reçoit des données à caractère personnel en étant partie prenante au traitement. (16)

Tiers autorisé

Le tiers autorisé est la personne physique, la personne morale ou les autorités publiques habilitées à traiter les DCP sans avoir la qualité de destinataire, telles que la Chambre Régionale des Comptes. Elles peuvent accéder ou recevoir des DCP mais sans intervenir dans le traitement. (16)

Sous-traitant

Ce sont les personnes ou les organismes extérieurs qui agissent pour le compte ou sur instruction du SDIS sans avoir la qualité de coresponsable de traitement. (17)

Responsable de traitement (RT)

Le responsable de traitement est la personne morale (entreprise, commune, …) ou physique qui détermine les finalités et les moyens d’un traitement, c’est-à-dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal. (18)

 

Violation de données

Une violation de données survient lorsque les données, dont l’établissement public administratif est responsable, subissent un incident de sécurité qui entraîne une violation de la confidentialité, de la disponibilité ou de l’intégrité. Ce sont la destruction, la perte, l’altération, la divulgation non autorisée, l’accès non autorisé aux DCP volontairement ou accidentellement. (19)

 

_______________________________________________________________________________________________________

(6) article 4 al 1 et 11 - RGPD

(7) https://www.insee.fr/fr/metadonnees/definition/c1558 (extrait)

(8) Définition CNIL https://www.cnil.fr/fr/definition/droit-linformation

(9) RGPD définition des bases légales article 6

(10) article 1101 code civil et définition notariale de l’avant-contrat

(11) https://www.cnil.fr/fr/les-bases-legales/obligation-legale

(12) RGPD considérant 46 (situations qui menacent la vie)

(13) https://www.wikiterritorial.cnfpt.fr/xwiki/bin/view/vitrine/La%20notion%20de%20service%20public

(14) https://www.cnil.fr/fr/les-bases-legales/interet-legitime

(15) RGPD article 5 Principes relatifs aux traitements

(16) définitions RGPD article 4 alinéa 2, 9 et 10

(17) https://www.cnil.fr/fr/definition/sous-traitant

(18) https://www.cnil.fr/fr/cnil-direct/question/le-responsable-de-traitement-cest-qui

(19) Définition CEPD