Définitions

Au fin du présent règlement, on entend par:

Données à caractère personnel

Les données à caractère personnel comprennent tous les types de données utilisables pour identifier directement ou indirectement un individu (la personne concernée). Exemples : nom, photo, numéro de téléphone, adresse (qui permettent une identification directe) ; adresse IP, nom d’utilisateur (qui permettent une identification indirecte). La collecte, le traitement et le stockage de données à caractère personnel sont strictement encadrés par le RGPD. Il vous faut également documenter votre utilisation des données à caractère personnel, et en informer clairement vos utilisateurs finaux.

Vous trouverez la définition officielle de « données à caractère personnel » selon le RGPD dans l’article 4.1 du RGPD.

Données à caractère personnel

Est désignée sous le terme de « personne concernée » toute personne qui peut être identifiée, directement ou indirectement, par le biais d’un identifiant (par exemple, un nom, un numéro d’identification ou des données de localisation) ou d’un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. En d’autres termes, une personne concernée est un utilisateur final dont les données à caractère personnel peuvent être recueillies. Vous trouverez la définition officielle de « personne concernée » selon le RGPD dans l’article 4.1 du RGPD.

Traitement 

Toute opération effectuée à l’aide d’un procédé automatisé  ou non et appliquée à des données ou des ensemble de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction,  la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mises à disposition, le rapprochement, la limitation, l’effacement ou la destruction;

Responsable du traitement

Le responsable du traitement (RT) de données à caractère personnel est un organisme ou le service d’une personne morale, incarné par son représentant légal, qui détermine les finalités et les moyens mis en œuvre afin de traiter les données personnelles en conformité avec le règlement général sur la protection des données (RGPD).

Le responsable du traitement est donc « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre » (article 4,7 du RGPD).

Sous-traitant 

Dans le cadre de l’application du, est considéré comme sous-traitant toute structure “traitant des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement.” Lorsqu’une entreprise gère, conserve, traite la totalité ou une partie de certaines données personnelles pour le compte d’un ou plusieurs clients, elle est donc considérée comme étant un sous-traitant. Rappelons que dans le cadre du traitement de données personnelles, le sous-traitant et le responsable de traitement sont deux entités bien distinctes. Le RGPD définissant le responsable de traitement comme étant “la personne physique ou morale, une autorité publique, une agence ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel”. Le sous-traitant étant défini comme la personne physique ou morale en charge de traiter ce flux de données à la demande et pour le compte de la structure responsable du traitement. Selon les données traitées, il est donc probable qu’une société se retrouve à la fois sous-traitante et responsable de traitement.