Maitriser son traitement de bout-en-bout
La loi sur la protection des données protège la personne concernée lorsqu'un traitement est effectué sur des données personnelles qui la concernent. La loi protège donc la personne, sa vie privée et sa personnalité. La sécurisation de ces données n'est qu'un aspect de la protection exigée par la loi.
L'organisation qui traite des données personnelles en porte la responsabilité, de la collecte à la destruction ou l'anonymisation des données. Il faut maitriser le traitement de bout en bout. Les informations ci-dessous décrivent tous les aspects qu'il est nécessaire de maitriser pour qu'un traitement de données personnelles soit conforme à la loi.
Le Registre des Activités de Traitement, une forme de registre "comptable" des traitements effectués dans une organisation, rassemble toutes les informations nécessaires à la maitrise du traitement. Requis par la loi, le Registre constitue la pierre angulaire du maintien de la conformité du traitement des données personnelles dans le temps.
La Fiche de Registre des Activités de Traitement (FRAT)
1. Délimiter l'activité de traitement de données personnelles
Délimiter une activité de traitement
Une activité de traitement de données personnelles doit être appréciée de bout-en-bout, de la collecte des données personnelles à leur destruction ou leur anonymisation.
Lorsque la délimitation d'une activité de traitement est problématique, les questions attiraient aux bases légales, à la responsabilité et au but du traitement peuvent aider à se déterminer.
Dans un objectif de lisibilité, une activité de traitement principale peut avoir des sous-activités de traitements, même si ce terme n’est pas explicitement mentionné dans la loi.
La notion de traitement dans la loi
Un traitement de données personnelles se définit comme toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données personnelles, notamment (Article 4 LPrD) :
- la collecte,
- l'enregistrement,
- l'organisation,
- la conservation,
- l'adaptation ou la modification,
- l'extraction,
- la consultation,
- l'utilisation,
- la communication,
- la diffusion ou toute autre forme de mise à disposition,
- le rapprochement ou l'interconnexion, ainsi que
- le verrouillage,
- l'effacement ou la destruction.
L'activité de traitement n'est pas définie dans la loi.
2. Identifier le responsable de traitement
Deux responsabilités distinctes
La loi reconnait deux types de responsabilités pour un traitement de donnée : le responsable de traitement et le sous-traitant.
Une personne est responsable de traitement lorsqu’elle définit les buts et les moyens du traitement. À l’UNIL, la direction est le responsable de traitement pour les traitements de données effectué par l’institution.
Une personne est un sous-traitant lorsqu’elle traite les données selon les instructions du responsable de traitement. Elle est responsable de la bonne exécution du traitement selon ces instructions.
Lorsque deux entités définissent conjointement les buts et moyens du traitement, elles sont conjointement responsables du traitement.
La notion de résponsable de traitement et de sous-traitant dans la loi
Responsable du traitement, personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine le contenu, ainsi que les finalités du fichier (Art. 4 al. 1 ch. 8 LPrD).
Sous-traitant, personne physique ou morale, autorité publique ou tout autre organisme qui traite des données personnelles pour le compte du responsable du traitement (Art. 4 al. 1 ch. 9 LPrD).
Pour aller plus loin
- La ligne directrice 7/2020 de l'EDPB (European Data Protection Board) de l'Union européenne est une référence incontournable et un bon point de départ pour comprendre la définition plus en détail.
- Lorsque la distinction entre « responsable de traitement », « sous-traitant » et « responsable conjoint » est difficile à faire, essayez la liste à cocher de l’autorité anglaise de protection des données ICO (Information Commissioner’s Office)
3. Décrire le but d'un traitement de données
Un but clair et précis
Avoir un but clair et précis pour le traitement des données est non seulement un principe fondateur de la protection des données, il sert également à l’exercice de pesée de la proportionnalité. La description du but du traitement des données personnelles joue un rôle central dans le respect de la loi.
Pour la recherche, veuillez consulter le point dédié au privilège de la recherche.
4. Trouver une base légale pour le traitement des données
Un traitement autorisé
Un traitement de données personnelles doit respecter le principe de légalité, il doit donc être autorisé par la loi.
Dans le secteur public, il est possible de traiter des données personnelles dans deux cas (art. 5 LPrD) :
- Le traitement est autorisé par la loi ;
- Il sert à l'accomplissement d'une tâche publique (voir les missions de l'Université).
Dans certains cas, lorsque la personne concernée peut exercer son choix librement et agit de manière informée, il est possible de recourir au consentement.
Cette règle diffère sensiblement de celle qui s'applique dans le secteur privé.
Il est généralement conseillé de se référer à un·e répondant·e à la protection des données ou au DPO pour être certain de choisir la bonne base légale.
5. Les personnes dont vous traitez les données
La personne concernée ou "fichée"
La personne dite "concernée" est la personne qui est identifiée ou identifiable par les données traitées.
Depuis l'entrée en vigueur de la nouvelle loi fédérale sur la protection des données (nLPD), les personnes morales (e.g. entreprise, organisation) ne sont plus des personnes concernées.
La loi
Personne concernée, toute personne physique ou morale au sujet de laquelle les données sont traitées (Art. 4 al. 1 ch. 4 LPrD)
6. Catégoriser ses données, personnelles ou sensibles ?
Donnée personnelle
Une définition large
Toute information qui se rapporte à personne identifiée ou identifiable est une donnée personnelle.
La loi
On entend par donnée personnelle, toute information qui se rapporte à une personne identifiée ou identifiable (Art. 4 al. 1 ch. 1 LPrD)
Pour aller plus loi
Une personne physique peut être identifiée :
- directement (exemple : nom et prénom) ;
- indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image).
L’identification d’une personne physique peut être réalisée :
- à partir d’une seule donnée (exemple : nom) ;
- à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour et membre dans telle association).
Par contre, des coordonnées d’entreprises (par exemple, l’entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un courriel de contact générique « compagnie1[@]email.fr ») ne sont pas, en principe, des données personnelles.
Le document du groupe de travail Article29 de l'Union Européenne discute en détail des questions liées à la définition d’une donnée personnelle.
Donnée sensible
Une catégorie particulière de données personnelles
Les données sensibles sont une catégorie particulière de données personnelles qui requière une protection particulière. La liste de données sensibles est fixée par la loi. Toutes les données dites "sensibles" ne sont donc pas sensibles au sens de la loi.
La loi
Donnée sensible, toute donnée personnelle se rapportant (Art. 4 al. 1 ch. 2 LPrD) :
- aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, ainsi qu'à une origine ethnique ;
- à la sphère intime de la personne, en particulier à son état psychique, mental ou physique ;
- aux mesures et aides individuelles découlant des législations sociales ;
- aux poursuites ou sanctions pénales et administratives.
La révision de la LPrD devrait introduire deux catégories supplémentaires :
- Les données génétiques ;
- Les données biométriques identifiant une personne physique de manière univoque.
7. Définir les ordres de grandeurs de son traitement
Un ordre de grandeur
Connaitre le nombre de personnes concernées par le traitement de données permet de mieux gérer le risque d'un traitement de données personnelles.
Un ordre de grandeur est suffisant (10aine, 100aine, 1000ier etc). Il peut également être nécessaire de mentionner de combien cet ordre de grandeur varie chaque année (e.g. 5300 étudiant·e·s, 150 de plus par année)
8. Supprimer les données personnelles
Les conserver pour une durée limitée
Les données personnelles peuvent être conservées dans le temps seulement avec un motif justificatif. Le principe de proportionnalité serait violé si les données étaient conservées au-delà de la durée pour laquelle elles sont nécessaires pour poursuivre le but pour lequel elles ont été collectées.
La durée de conservation peut être exprimée :
- par une durée précise - 100 jours par exemple, ou
- par un critère — quand la personne n'a plus été active sur la plateforme depuis deux ans.
Les supprimer convenablement
Il y a deux moyens reconnus légalement pour supprimer des données personnelles :
- la suppression définitive au moyen de méthodes informatiques adéquates, ou
- l'anonymisation.
L'anonymisation définitive est de plus en plus difficile à atteindre du fait notamment de la multiplication des données disponibles en ligne.
9. Transférer des données
Communiquer et transférer les données personnelles