Terminologie
Une analyse d'impact relative à la protection des données est un processus visant à déterminer l'impact et les risques d'opérations de traitement du point de vue des droits des personnes concernées et à définir des mesures d'atténuation appropriées.
L'anonymisation est un processus irréversible par lequel sont enlevées les données susceptibles d'être utilisées pour identifier, soit directement soit indirectement, une personne, de façon à rendre la personne concernée non identifiable par la personne responsable ou par des tiers.
Lorsque les données sont anonymisée et les individus ne sont plus identifiables, les données ne sont plus considérées comme données à caractère personnel et l'CO 11 ne s'appliquera donc plus.
Un avis de confidentialité est une document publié à l'attention des personnes concernées qui explique les raisons pour lesquelles un service responsable traite ses données, détaille les opérations de traitement et informe les personnes concernées de leurs droits.
La confidentialité des données est le droit des personnes de contrôler comment leurs données personnelles sont collectées et utilisées.
Il définit les pratiques pour assurer que les données divulguées par des personnes sont utilisées exclusivement pour les finalités prévues.
Dans la plupart des pays, la confidentialité des données est un concept légal et pas une technologie ; la protection de la confidentialité des données est considérée comme un droit fondamental dans l’Union Européenne.
Le CERN reconnait dans son Code de conduite son respect pour la vie privée et la confidentialité des données.
Une demande d'exercise de droits est une demande de la part d'une personne concernée à un service responsable d'exercer un ou plusieurs de ses huits droits de la personne concerée comme définis dans la CO 11.
Selon la CO 11, “Les données à caractère personnel sont toute information, quelle que soit sa forme et quel que soit son support, relative à une personne identifiée ou identifiable. Sont incluses les données telles que le nom, les informations figurant sur le passeport ou dans des systèmes d’enregistrement nationaux, le numéro d'identification CERN, les informations bancaires, les dossiers du personnel, les images et les vidéos enregistrées par les systèmes de vidéosurveillance, les identifiants en ligne et les identifiants d'appareils électroniques, l'adresse et le numéro de téléphone, ainsi que les données sensibles.”
Cela signifie que les données personnelles doivent être des informations qui se rapportent à une personne et que cette personne doit être identifiée ou identifiable.
Toute personne qui peut être distinguée des autres est considérée comme identifiable.
Une personne est directement identifiable si vous pouvez l'identifier en utilisant uniquement les informations dont vous disposez.
L'identification indirecte signifie que vous ne pouvez pas identifier une personne à partir des seules informations que vous traitez, mais que vous pouvez le faire en utilisant d'autres informations que vous détenez ou des informations auxquelles vous pouvez accéder à partir d'une autre source. Une tierce partie utilisant vos données et les combinant avec des informations auxquelles elle peut accéder pour identifier une personne est une autre forme d'identification indirecte.
Le numéro de plaque d'immatriculation d'une personne est un exemple simple d'information pouvant être utilisée pour identifier indirectement une personne. La police (un tiers) peut rapidement faire correspondre un nom à un numéro de plaque d'immatriculation. Par conséquent, le numéro de plaque d'immatriculation est une donnée personnelles.
Les données sensibles sont les données à caractère personnel relatives :
- à la santé physique ou mentale ;
- aux données génétiques ou biométriques ;
- à l'origine raciale ou ethnique ;
- à l'orientation sexuelle ;
- aux opinions politiques, aux positions philosophiques et aux croyances religieuses.
où:
les données génétiques sont les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne, donnant des informations spécifiques sur sa physiologie ou sa santé, et obtenues, en particulier, à partir de l'analyse d'un prélèvement biologique, et
les données biométriques sont les données à caractère personnel résultant d'un traitement technique spécifique et ayant trait aux caractéristiques physiques, physiologiques ou comportementales d'une personne, qui permettent ou confirment son identification unique.
L'un des objectifs du cadre juridique pour la protection des données au CERN (Circulaire opérationnelle no. 11, CO 11) est de favoriser l’autonomisation des individus et de leur donner le contrôle sur leurs données à caractère personnel.
La CO 11 définit huit droits des personnes concernées, comme suit :
- Droit à l'information
- Droit d'accès
- Droit d'opposition
- Droit de rectification
- Droit de demander la suspension provisoire du traitement
- Droit à l'effacement
- Droit à la portabilité
- Droits relatifs à la prise de décision automatisée
Une entité extérieure est toute personne morale extérieure au CERN.
Au sens juridique du terme, un personne correspond à un sujet qui a sa propre personalité juridique. On peut distinguer d'une part la personne physique qui est un individu à part entière et, d'autre part la personne morale qui désigne une entité juridique qui peut être une organisation privée (p.ex. une entreprise ou une organisation non gouvernementale) ou publique (pe.x. le gouvernement).
Typiquement, les personnes morales peuvent posséder des biens, conclure des contrats et d'ester en justice.
Exemple: Les clubs du CERN et les autorités des états hôtes sont des entités extérieures, comme les missions des états membres du CERN, les entreprises privées ou les firmes contractantes du CERN.
Par contre, les membres du personnel du CERN, leurs membres de la famille, les membres du clubs du CERN ne sont pas des personnes morales mais des personnes physiques.
La personne concernée est toute personne - vivante ou décédée - dont les données à caractère personnel font l'objet d'un traitement.
Le profilage est toute forme de traitement automatisé de données à caractère personnel visant à évaluer certains aspects relatifs à une personne concernée, en particulier, mais non exclusivement, sa performance au travail ou son comportement.
La protection des données dès la conception est un principe basé sur l'intégration proactive de la confidentialité dans la conception et l'exploitation des systèmes informatiques, de l'infrastructure en réseau, des politiques, des procédures et des pratiques administratives et commerciales.
Le développement et l'intégration de solutions de confidentialité dans les premières phases d'un projet permet d’identifier des problèmes potentiels à un stade précoce afin de les éviter à long terme.
La pseudonymisation est une technique visant à protéger les données personnelles des personnes en les remplaçant par exemple par un faux nom ou par un faux numéro d’identification comme un pseudonyme.
Ce processus rend plus difficile l’identification directe de la personne mais pas impossible ! En effet, malgré l’utilisation de cette technique il est toujours possible que les personnes puissent etre identifiés ou identifiables notamment si d’autres données personnelles additionnelles sont collectées et croisées.
C’est pour cette raison (c'est-à-dire parce que les données pseudonymisées sont des données à caractère personnel), la CO 11 reste pleinement applicable aux données pseudonymisées.
Le traitement de données personnelles peut entraîner des dommages physiques, matériels ou un préjudice moral pour les personnes concernées, en particulier:
- lorsque le traitement peut donner lieu
- à une discrimination,
- à un vol ou une usurpation d'identité,
- à une perte financière,
- à une atteinte à la réputation,
- à une perte de confidentialité de données protégées par le secret professionnel,
- à un renversement non autorisé du processus de pseudonymisation
- ou à tout autre dommage économique ou social important;
- lorsque les personnes concernées pourraient être privées de leurs droits généraux ou empêchées d'exercer le contrôle sur leurs données personnelles.
Le degré de probabilité et de gravité des risques pour les droits généraux des individus peuvent varier en fonction de facteurs comme:
- lorsque le traitement concerne des données sensibles;
- lorsque les aspects liés aux personnes concernées sont évalués pour créer ou utiliser des profils individuels;
- lorsque le traitement porte sur des données personnelles relatives à des personnes âgées de moins de 16 ans;
- ou lorsque le traitement porte sur un volume important de données personnelles et touche un nombre important de personnes concernées.
La sécurité des données est l’ensemble des mesures organisationnelles, matérielles et techniques mises en place afin de préserver l'intégrité des données à caractère personnel et d'empêcher les actions non autorisées telles que l'accès aux données, leur modification, leur communication ou leur destruction.
Il est de la responsabilité du service contrôleur d'assurer la sécurité des données qu'il traite.
Un service, au sens du cadre général sur la protection des données, désigne une ou plusieurs activités supposant le traitement régulier de données à caractère personnel.
La notion de service ne correspond pas nécessairement à une unité organique ou à un domaine d'activité.
Un service est un
-
service responsable s'il détermine les finalités et les moyens du traitement auquel il procède, ou un
-
service de traitement s'il procède au traitement des données à caractère personnel exclusivement pour le compte du service responsable.
La personne responsable d'un service (« Service Owner ») est responsable du traitement par ce service des données à caractère personnel et assume donc la responsabilité des activités effectuées par ce service.
Un service est un service de traitement s'il procède au traitement des données à caractère personnel exclusivement pour le compte du service responsable.
Le service de traitement exécute l'opération de traitement demandée par le service responsable sans déterminer ni changer les finalités ou les moyens de l'opération de traitement.
Le service de traitement d'une activité donnée peut devenir service responsable des données à caractère personnel correspondantes s'il décide de traiter les données différemment des instructions données par le service responsable originel.
Un service qui est à la fois service responsable et service de traitement peut être service responsable pour certaines opérations de traitement, et service de traitement pour d'autres.
Un service est un service responsable s'il détermine pour son propre compte les finalités et les moyens du traitement des données à caractère personnel auquel il procède.
Lorsque plusieurs services définissent des finalités ou des moyens différents pour une opération de traitement donnée, chaque service sera considéré comme un service responsable de l'opération de traitement pour laquelle il a défini des finalités ou des moyens.
Lorsque les finalités et les moyens sont déterminés conjointement par plusieurs services, ces services seront conjointement considérés comme services responsables de l'opération de traitement.
Pour être bref:
Traitement = Collecte + Utilisation + Destruction
Une définition plus détaillée:
Le traitement des données est toute opération, automatisée ou manuelle, appliquée aux données à caractère personnel, ou à des ensembles de ces données, telle que:
- la collecte,
- l'enregistrement,
- l'organisation,
- la structuration,
- le stockage,
- l'adaptation ou modification,
- l'extraction,
- la consultation,
- l'utilisation,
- la divulgation par transfert,
- la diffusion ou toute autre forme de mise à disposition,
- le rapprochement ou l'interconnexion,
- la restriction,
- la destruction.
Donc, en principe, tout ce que l'on peut faire avec des données est traitement!
Exemples:
-
la gestion du personnel et de paie;
-
accès à une base de données avec des données personnelles, ou consulation de ces données;
-
envoi des courriels promotionnels;
-
détruire des documents contenant des renseignements personnels;
-
publier la photo d'un individu sur un site web;
-
stocker des addresses IP ou MAC;
-
enregistrement de vidéos (CCTV).
Un traitement non conforme veut dire que des données personnelles ne sont pas traité conformément à la CO 11, le cadre juridique de la protection du données du CERN.
Une violation de la sécurité des données est un cas spécifique d'un traitement non conforme qui impacte la sécurité des données personnelles.
Exemples:
- Un service traite des données sans base légale.
- Les données personnelles sont utilisées pour autres finalités que celles énoncées dans l'avis de confidentialité.
- A la fin de la période de conservation, les données ne sont ni éffacées ni anonymisées.
- Mesures de sécurité insuffisantes pour protéger les données.
- Trop de données personnelles sont exposées - des données qui ne sont pas nécessaires à la finalité du traitement.
- Le service responsable n'a pas donné suite à une demande de la personne concernée dans le délai légal de 90 jours et n'a pas fourni de réponse ou de justification.
Une violation de la sécurité des données est un manquement à la sécurité conduisant, de façon accidentelle ou illicite, à la destruction, la perte, l'altération ou la communication non autorisée des données à caractère personnel transmises, stockées ou faisant l'objet d'un autre traitement, ou à un accès non autorisé à celles-ci.
Une violation de la sécurité des données personnelles est donc une sorte d'incident de sécurité, et il y en a trois differents types qui peuvent survenir:
- violation de la confidentialité – une communication accidentelle ou non autorisée de données personnelles ou un tel accès à celles-ci.
- violation de la disponibilité – une perte ou une destruction accidentelle ou non autorisée de données personnelles.
- violation de l'intégrité – une modification accidentelle ou non autorisée de données personnelles.
Une violation peut concerner confidentialité, disponibilité et intégrité au même temps, ou bien une combinaison de ces éléments.
Exemples de violations de la sécurité des données personnelles:
- données personnelles communiquées à une personne non authorisée, comme un courriel avec des données personnelles envoyé à un faux destinataire.
- une personne non authorisée ayant accès à des données personnelles, comme un dossier personnel qui est consulté de façon inappropriée par un autre employé à cause d'une carence de contrôles internes.
- la perte temporaire ou permanente d'accès aux données personnelles, comme l'indisponibilité des données d'un client pendant une certaine periode à cause d'un arrêt du système ou une panne matérielle, logicielle ou d'électricité; ou l'effacement de données personnelles suite à une erreur humaine ou par une personne non authorisée; ou la perte de la clé de déchiffrement pour les données cryptées.