Images  éco‑responsable

La compression des images réduit le poids des pages et leur chargement.

En savoir plus

Rechercher dans

Maitriser son traitement

Sommaire

Maitriser son traitement de bout-en-bout
La Fiche de Registre des Activités de Traitement (FRAT)


 

Maitriser son traitement de bout-en-bout

La loi sur la protection des données protège la personne concernée lorsqu'un traitement est effectué sur des données personnelles qui la concernent. La loi protège donc la personne, sa vie privée et sa personnalité. La sécurisation de ces données n'est qu'un aspect de la protection exigée par la loi.

L'organisation qui traite des données personnelles en porte la responsabilité, de la collecte à la destruction ou l'anonymisation des données. Il faut maitriser le traitement de bout en bout. Les informations ci-dessous décrivent tous les aspects qu'il est nécessaire de maitriser pour qu'un traitement de données personnelles soit conforme à la loi.

Le Registre des Activités de Traitement, une forme de registre "comptable" des traitements effectués dans une organisation, rassemble toutes les informations nécessaires à la maitrise du traitement. Requis par la loi, le Registre constitue la pierre angulaire du maintien de la conformité du traitement des données personnelles dans le temps.

La Fiche de Registre des Activités de Traitement (FRAT)

Délimiter une activité de traitement

Une activité de traitement de données personnelles doit être appréciée de bout-en-bout, de la collecte des données personnelles à leur destruction ou leur anonymisation.

Lorsque la délimitation d'une activité de traitement est problématique, les questions attiraient aux bases légales, à la responsabilité et au but du traitement peuvent aider à se déterminer.

Dans un objectif de lisibilité, une activité de traitement principale peut avoir des sous-activités de traitements, même si ce terme n’est pas explicitement mentionné dans la loi. 

La notion de traitement dans la loi

Un traitement de données personnelles se définit comme toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données personnelles, notamment (Article 4 LPrD) :

  • la collecte,
  • l'enregistrement,
  • l'organisation,
  • la conservation,
  • l'adaptation ou la modification,
  • l'extraction,
  • la consultation,
  • l'utilisation,
  • la communication,
  • la diffusion ou toute autre forme de mise à disposition,
  • le rapprochement ou l'interconnexion, ainsi que
  • le verrouillage,
  • l'effacement ou la destruction.

L'activité de traitement n'est pas définie dans la loi.

Deux responsabilités distinctes

La loi reconnait deux types de responsabilités pour un traitement de donnée : le responsable de traitement et le sous-traitant.

Une personne est responsable de traitement lorsqu’elle définit les buts et les moyens du traitement. À l’UNIL, la direction est le responsable de traitement pour les traitements de données effectué par l’institution.

Une personne est un sous-traitant lorsqu’elle traite les données selon les instructions du responsable de traitement. Elle est responsable de la bonne exécution du traitement selon ces instructions.  

Lorsque deux entités définissent conjointement les buts et moyens du traitement, elles sont conjointement responsables du traitement

La notion de résponsable de traitement et de sous-traitant dans la loi

Responsable du traitement, personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine le contenu, ainsi que les finalités du fichier (Art. 4 al. 1 ch. 8 LPrD).

Sous-traitant, personne physique ou morale, autorité publique ou tout autre organisme qui traite des données personnelles pour le compte du responsable du traitement (Art. 4 al. 1 ch. 9 LPrD). 

Pour aller plus loin

  • La ligne directrice 7/2020 de l'EDPB  (European Data Protection Board) de l'Union européenne est une référence incontournable et un bon point de départ pour comprendre la définition plus en détail.
  • Lorsque la distinction entre « responsable de traitement », « sous-traitant » et « responsable conjoint » est difficile à faire, essayez la liste à cocher de l’autorité anglaise de protection des données ICO (Information Commissioner’s Office)

Un but clair et précis

Avoir un but clair et précis pour le traitement des données est non seulement un principe fondateur de la protection des données, il sert également à l’exercice de pesée de la proportionnalité. La description du but du traitement des données personnelles joue un rôle central dans le respect de la loi.

Pour la recherche, veuillez consulter le point dédié au privilège de la recherche.

Un traitement autorisé

Un traitement de données personnelles doit respecter le principe de légalité, il doit donc être autorisé par la loi.

Dans le secteur public, il est possible de traiter des données personnelles dans deux cas (art. 5 LPrD) :

  • Le traitement est autorisé par la loi ;
  • Il sert à l'accomplissement d'une tâche publique (voir les missions de l'Université).

Dans certains cas, lorsque la personne concernée peut exercer son choix librement et agit de manière informée, il est possible de recourir au consentement.

Cette règle diffère sensiblement de celle qui s'applique dans le secteur privé.

Il est généralement conseillé de se référer à une répondante ou un répondant à la protection des données ou au DPO pour être certain de choisir la bonne base légale.

La personne concernée ou "fichée"

La personne dite "concernée" est la personne qui est identifiée ou identifiable par les données traitées.

Depuis l'entrée en vigueur de la nouvelle loi fédérale sur la protection des données (nLPD)les personnes morales (e.g. entreprise, organisation) ne sont plus des personnes concernées. 

La loi

Personne concernée, toute personne physique ou morale au sujet de laquelle les données sont traitées (Art. 4 al. 1 ch. 4 LPrD)

Donnée personnelle

Une définition large

Toute information qui se rapporte à personne identifiée ou identifiable est une donnée personnelle.

La loi

On entend par donnée personnelle, toute information qui se rapporte à une personne identifiée ou identifiable (Art. 4 al. 1 ch. 1 LPrD)

Pour aller plus loi

Une personne physique peut être identifiée :

  • directement (exemple : nom et prénom) ;
  • indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

  • à partir d’une seule donnée (exemple : nom) ;
  • à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour et membre dans telle association).

Par contre, des coordonnées d’entreprises (par exemple, l’entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un courriel de contact générique « compagnie1[@]email.fr ») ne sont pas, en principe, des données personnelles.
Le document du groupe de travail Article29 de l'Union Européenne discute en détail des questions liées à la définition d’une donnée personnelle

Donnée sensible

Une catégorie particulière de données personnelles

Les données sensibles sont une catégorie particulière de données personnelles qui requière une protection particulière. La liste de données sensibles est fixée par la loi. Toutes les données dites "sensibles" ne sont donc pas sensibles au sens de la loi.

La loi

Donnée sensible, toute donnée personnelle se rapportant (Art. 4 al. 1 ch. 2 LPrD) :

  • aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, ainsi qu'à une origine ethnique ;
  • à la sphère intime de la personne, en particulier à son état psychique, mental ou physique ;
  • aux mesures et aides individuelles découlant des législations sociales ;
  • aux poursuites ou sanctions pénales et administratives.

La révision de la LPrD devrait introduire deux catégories supplémentaires :

  • Les données génétiques ;
  • Les données biométriques identifiant une personne physique de manière univoque.

Un ordre de grandeur

Connaitre le nombre de personnes concernées par le traitement de données permet de mieux gérer le risque d'un traitement de données personnelles.

Un ordre de grandeur est suffisant (10aine, 100aine, 1000ier etc). Il peut également être nécessaire de mentionner de combien cet ordre de grandeur varie chaque année (e.g. 5300 étudiant·e·s, 150 de plus par année)

Les conserver pour une durée limitée

Les données personnelles peuvent être conservées dans le temps seulement avec un motif justificatif. Le principe de proportionnalité serait violé si les données étaient conservées au-delà de la durée pour laquelle elles sont nécessaires pour poursuivre le but pour lequel elles ont été collectées.

La durée de conservation peut être exprimée :

  • par une durée précise - 100 jours par exemple, ou
  • par un critère — quand la personne n'a plus été active sur la plateforme depuis deux ans.

Les supprimer convenablement

Il y a deux moyens reconnus légalement pour supprimer des données personnelles :

  • la suppression définitive au moyen de méthodes informatiques adéquates, ou
  • l'anonymisation.

L'anonymisation définitive est de plus en plus difficile à atteindre du fait notamment de la multiplication des données disponibles en ligne.

Pour aller plus loin

Avis de groupe de travail Article29 de l'UE sur les techniques d'anonymisation.

Communiquer et transférer les données personnelles

Consulter la page transférer des données.