GDPR (2) Catégories particulières de données à caractère personnel

20 juillet 2017

Le GDPR repose essentiellement sur l’équilibre entre vos propres intentions liées à la collecte et à l’utilisation de données à caractère personnel et le droit de chaque individu à la protection de sa vie privée. La nature et la quantité des données traitées doivent toujours être proportionnées à l’objectif poursuivi.

Il y a de grandes différences dans l’ensemble des données à caractère personnel. Certaines sont publiques ou si largement diffusées et aisément accessibles que leur divulgation ne pose pratiquement pas de problème et ne peut pas véritablement être considérée comme une violation de la vie privée. D’autres sont à ce point confidentielles que le GDPR les classe dans des « catégories particulières », auxquelles s’appliquent des règles supplémentaires. Il est donc essentiel d’identifier immédiatement les données à caractère personnel appartenant à ces catégories.

C’est pourquoi elles sont explicitement énumérées dans le GDPR :

  • Informations relatives à l’origine raciale ou ethnique,
  • Données concernant les convictions religieuses ou philosophiques,
  • Informations relatives aux opinions politiques ou à l’appartenance syndicale,
  • Données concernant la vie sexuelle ou l’orientation sexuelle,
  • Informations médicales,
  • Données d’identification biométriques et ADN,
  • Informations relatives à des infractions ou à des condamnations pénales.

Le principe général veut que de telles informations ne devraient être ni collectées, ni traitées. Si cela s’avère toutefois nécessaire, il conviendra de préciser clairement l’objectif et la base légale, conformément aux règles spécifiques prévues à cet effet. Des normes plus strictes s’appliquent en outre aux différents stades du processus de traitement : sécurisation de l’information, transfert de telles données en dehors de l’Europe et, en particulier, gestion d’une éventuelle fuite de données. Nous y reviendrons à d’autres occasions dans ce blog.

Au delà de ces catégories particulières, une distinction peut toujours être faite entre les données présentant un faible risque de violation de la vie privée et les informations plus sensibles. Des informations financières, par exemple, sont plus sensibles qu’une adresse. De même, le traitement de données concernant des enfants requiert toujours la plus grande prudence.

Si vous collectez et utilisez des données à caractère personnel, vous devez donc systématiquement évaluer leur réelle nécessité pour l’objectif visé, ainsi que le niveau de risque d’encourir une violation de la vie privée. Plus le nombre de personnes et la quantité de données les concernant sont importants, plus le risque est élevé. Une telle évaluation est l’essence d’une étude d’impact sur la vie privée (privacy impact assessment – PIA). Selon les circonstances, il peut s’agir d’un projet à part entière ou d’une simple évaluation (qui doit cependant être enregistrée).

Certaines mesures permettent également de rendre les données à caractère personnel moins sensibles.

  • La meilleure solution est de travailler avec des données anonymes. Si les données ont été correctement anonymisées (c’est-à-dire qu’elles ne peuvent plus être reliées à des individus), elles ne revêtent plus un caractère personnel et ne sont plus soumises au GDPR. Ce procédé est appliqué, dans la mesure du possible, à des données pour la recherche scientifique et s’avère également indiqué pour des traitements à grande échelle à des fins de marketing. L’une des méthodes utilisées consiste à grouper les données. Il doit alors s’agir d’un nombre suffisant de données, de sorte que les groupes ne soient jamais constitués de seulement quelques individus (50 est généralement considéré comme un minimum). Vous devez être conscient que plus le nombre de données différentes collectées est important, plus le risque d’identification d’une personne par leur combinaison est élevé.
  • Autre méthode très utilisée : la pseudonymisation. Elle consiste à supprimer, dans un ensemble de données, tous les éléments permettant d’identifier une personne et à les remplacer par une clé anonyme. Le fichier de cryptage est sauvegardé séparément. De telles données sont toujours considérées comme présentant un caractère personnel car elles concernent une personne identifiable. Néanmoins, le risque d’impact pour la personne concernée est considérablement réduit. La pseudonymisation constitue donc une bonne mesure de sécurisation pour des données sensibles nécessitant, par exemple, un transfert.

Les définitions relatives aux données à caractère personnel et, parmi celles-ci, aux données sensibles ou appartenant à des catégories particulières, ne sont pas fondamentalement différentes dans le GDPR de celles visées par l’ancienne législation en matière de protection de la vie privée ; mais elles doivent bien entendu servir de base à toute considération sur la signification du règlement. Le prochain article portera sur le traitement des données à caractère personnel et sur les différents rôles définis dans la loi. Il y a là des différences fondamentales entre le GDPR et l’ancienne réglementation.

 

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est certifié CIPM (Certified Information Security Manager – ISACA) et CIPP/E (Certified Information Privacy Professional/Europe), une certification de l’IAPP (International Association of Privacy Professionals), la plus grande association internationale des professionnels de la protection de la vie privée.

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse gdpr@groupjoos.com.

LOADING