Identification des données personnelles : repérer les données sensibles
Tout organisme touché par le Règlement Général de Protection des Données doit faire face à l'identification des données personnelles. Chacun doit bien comprendre ce qu'est une information considérée comme personnelle. C’est-à-dire un renseignement en rapport avec une personne physique et permettant de l'identifier, comme par exemple une photographie, une empreinte digitale, le sexe d’une personne, etc. Ces données sont particulièrement visées par le RGPD puisqu'il interdit l'exploitation de données dites sensibles. Celles-ci concernent, une foisl'identification des données personnelles établie, des informations telles que la religion, les opinions politiques, l’orientation sexuelle, etc. Les organismes doivent donc rassembler toute leur attention sur ce type de données afin de les repérer car, sauf exception, leur traitement est alors formellement interdit.
Identification des données personnelles : repenser son organisation avec le RGPD
Pour bien appliquer le Règlement Européen de Protection des Données, les organismes doivent se pencher sur leur système leur permettant de stocker les renseignements de leur clientèle et permettre une meilleure identification des données personnelles, en particulier en ce qui concerne les données sensibles.
Dans le cas où un organisme passe par une autre structure pour le traitement de ces informations, ce premier sera donc tenu responsable de veiller à ce que le collaborateur soit bien conforme au Règlement Général de Protection des Données et que celui-ci effectue correctement l'identification des données personnelles. En plus de ces vérifications, ce prestataire doit conserver les informations avec les mesures de sécurité nécessaires.
Identification des données personnelles : et après ?
Les structures ayant passé l'étape de l'identification des données et souhaitant les archiver par la suite, doivent encore une fois bien se référer au Règlement Européen de Protection des Données. Selon celui-ci, elles doivent de sélectionner minutieusement les informations afin de ne garder que l'essentiel et de ne pas archiver des données sans rapport direct avec l'activité de la firme. Une fois celles-ci conservées, l'organisme en question doit fixer une durée maximale durant laquelle il est possible de garder les informations en rapport avec le but de la collecte. Une fois ce dernier atteint, les données collectées se doivent d'êtreéliminées.
En effet, après avoir mis en place l'identification des données personnelles, celles-ci sont conservées avec une durée limitée dans le temps. Le temps de conservation dépendant du caractère de ces informations. Par exemple, si vous récoltez des informations sur la carte bancaire d'un individu dans le cadre d'un achat via un site internet, alors ces données doivent être effacées une fois le paiement effectué.
Ainsi, lorsqu'une collecte est organisée, il ne faut pas se limiter à l'identification des données personnelles mais voir sur le long terme et prendre le temps de penser à la manière de gérer les informations que vous comptez stocker, pendant combien de temps vous comptez les garder dans votre système, et si vous les conservez légalement.
Pour une définition plus poussée des données personnelles et sensibles, il est possible de visiter le site donnees-rgpd.fr ainsi que celui de la CNIL qui fournissent des explications à ce propos.