Qu’est-ce qu’une donnée personnelle ?
une donnée personnelle est définie par toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »).Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement.
Comment les entreprises doivent-elles traiter les données personnelles ?
Toute entreprise détenant des données à caractère personnel doit :
- s’assurer que les données sont sécurisées (les données personnelles collectées doivent être pseudonymisées et/ou cryptées),
- réduire la quantité de données conservées,
- collecter seulement les données nécessaires afin d’accomplir ses activités de traitement
- et ne conserver les données qu’aussi longtemps que nécessaire.
La pseudonymisation et le cryptage de données, c’est quoi ?
La pseudonymisation masque les données en remplaçant les informations identifiantes par des identifiants artificiels.
Bien qu’il soit essentiel de protéger les données – ceci est mentionné à 15 reprises dans le RGPD – et que cela puisse aider à protéger la confidentialité et la sécurité des données personnelles, la pseudonymisation a ses limites, c’est pourquoi le RGPD mentionne également le cryptage.
Le cryptage masque également les informations en remplaçant les identifiants. Mais, là où la pseudonymisation permet à toute personne y ayant accès de visualiser une partie des données, le cryptage ne permet qu’aux utilisateurs autorisés d’accéder à l’ensemble des données.
La pseudonymisation et le cryptage peuvent être utilisés simultanément ou séparément.
Comment mon consentement devrait-il être demandé ?
Une demande de consentement doit être présentée de manièreclaire et concise, en utilisant des termes faciles à comprendre, et se distinguer clairement des autres informations telles que les conditions. La demande doit préciser l’usage qui sera fait de vos données à caractère personnel et comprendre les coordonnées de l’entreprise/organisation qui traite les données.Le consentement doit être donné de manière libre, spécifique, éclairée et univoque. «Éclairée» signifie que vous devez recevoir des informations sur le traitement de vos données à caractère personnel reprenant au moins :
- le nom de l’organisation qui traite les données,
- les finalités pour lesquelles les données sont traitées,
- le type de données qui seront traitées,
- la possibilité de retirer le consentement (par exemple en envoyant un courrier électronique),
- le cas échéant, le fait que les données seront utilisées pour la prise de décisions fondée exclusivement sur un traitement automatisé, y compris le profilage,
- des informations indiquant si le consentement concerne le transfert international de vos données, les risques éventuels liés aux transferts de données vers des pays situés en dehors de l’UE si ces pays ne sont pas soumis à une décision d’adéquation de la Commission et qu'il n'y a pas de garanties appropriées.
Les données à caractère personnel des enfants peuvent-elles être collectées ?
Une protection spécifique est prévue pour ce type de données à caractère personnel, car les enfants sont moins conscients des risques et des conséquences du partage de données ainsi que de leurs droits. Toute information qui s’adresse spécifiquement à un enfant devrait être adaptée pour être facilement accessible et rédigée en des termes clairs et simples.
Pour la plupart des services en ligne, le consentement du parent ou du tuteur est requis pour traiter les données à caractère personnel d’un enfant au motif du consentement jusqu’à un certain âge. C’est le cas des sites de socialisation et des plateformes de téléchargement de musique et d’achat de jeux en ligne.
Ce consentement des parents est requis jusqu’à ce que l’enfant atteigne l’âge fixé dans les différents États membres de l’UE, à savoir entre 13 et 16 ans selon les pays (15 ans en France).
Les entreprises doivent fournir des efforts raisonnables, en tenant compte des technologies disponibles, pour vérifier que le consentement donné est véritablement conforme à la législation. Il peut s’agir de la mise en œuvre de mesures de vérification de l’âge (par exemple, grâce à une question à laquelle un enfant moyen ne pourrait pas répondre ou en demandant à l’enfant de fournir l’adresse électronique de l’un de ses parents ou de son tuteur pour obtenir un consentement écrit).
Note : Les services de prévention ou de conseil proposés directement aux enfants ne requièrent pas de consentement parental, car ils visent à protéger au mieux les intérêts de l’enfant.
Quels sont mes droits concernant mes données personnelles ?
Vous avez le droit :
- derecevoir des informations sur le traitement de vos données à caractère personnel,
- d’obtenir l’accès aux données à caractère personnel détenues à votre sujet,
- de demander que les données à caractère personnel incorrectes, inexactes ou incomplètes soientcorrigées,
- de demander que lesdonnées à caractère personnel soient effacées lorsqu’elles ne sont plus nécessaires ou si leur traitement est illicite,
- de vousopposerau traitement de vos données à caractère personnel à des fins de prospection ou pour des raisons liées à votre situation particulière,
- de demander lalimitation du traitement de vos données à caractère personnel dans des cas précis,
de recevoir vos données à caractère personnel dans un format lisible par machine et de les envoyer à un autre responsable du traitement («portabilité des données»), - de demander que les décisions fondées sur untraitement automatisé qui vous concernent ou vous affectent de manière significative et fondées sur vos données à caractère personnel soient prises par des personnes physiques et non uniquement par des ordinateurs. Dans ce cas, vous avez également le droit d’exprimer votre avis et de contester lesdites décisions.
Comment exercer mes droits ?
Pour exercer vos droits, vous devez contacter l’entreprise ou l’organisation qui traite vos données à caractère personnel (appelée aussi le « responsable du traitement »).Si l’entreprise /organisation dispose d’un Délégué à la Protection des Données (DPD, ou DPO pour Data Protection Officer), vous pouvez lui adresser votre demande.L’entreprise /organisation doit répondre à votre demande dans les meilleurs délais et au plus tard dans un délai d’un mois. Si l'entreprise /organisation n’a pas l’intention de donner suite à votre demande, elle doit en indiquer le motif. Vous devrez fournir des informations pour confirmer votre identité (par exemple, en cliquant sur un lien de vérification et en saisissant un nom d’utilisateur ou un mot de passe) afin d’exercer vos droits.
Ces droits s’appliquent dans l’ensemble de l’UE, indépendamment de l’endroit où les données sont traitées et de l’endroit où l’entreprise/organisation est établie. Ces droits s’appliquent également lorsque vous achetez des biens et des services auprès d’entreprises qui ne sont pas établies dans l’UE mais qui y opèrent.Avec Update Zecible, vous pouvez consulter les données vous concernant, et exercer vos droits relatifs à ces données. Vous pouvez également nous contacter :
- Par courrier : ZECIBLE © – Service Protection des Données – Boite Postale 90004 – 31370 RIEUMES
- Par Email : confidentialite[@]zecible.fr
- Par Téléphone : +335 61 91 30 40
Avec la réglement RGPD, que devient la loi Informatique et libertés ?
Une nouvelle loi Informatique et Libertés a été publiée au Journal Officiel le 21 juin 2018 pour régler diverses situations :
- la transposition de la directive européenne dite police justice ;
- l'organisation et le fonctionnement de la CNIL, tout particulièrement s'agissant des éléments de procédure au niveau national,
- les spécificités nationales permises par le Règlement européen en matière de données sensibles (données de santé, données biométriques), de traitements répondant à des missions d'intérêt public (par exemple pour la protection sociale ou la santé publique, pour la recherche publique ou les archives publiques) ou encore pour les situations particulières de traitement (sort des données après la mort, âge de consentement pour un mineur pour l'offre directe de services de la société de l'information, numéro de sécurité sociale, données relatives aux condamnations pénales et aux infractions).
Textes officiels