Maitriser son traitement

Une activité de traitement de données personnelles doit être appréciée de bout-en-bout, de la collecte des données personnelles à leur destruction ou leur anonymisation.

Lorsque la délimitation d'une activité de traitement est problématique, les questions attiraient aux bases légales, à la responsabilité et au but du traitement peuvent aider à se déterminer.

Dans un objectif de lisibilité, une activité de traitement principale peut avoir des sous-activités de traitements, même si ce terme n’est pas explicitement mentionné dans la loi.

Un traitement de données personnelles se définit comme toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données personnelles, notamment (Article 4 LPrD) :

• la collecte,
• l'enregistrement,
• l'organisation,
• la conservation,
• l'adaptation ou la modification,
• l'extraction,
• la consultation,
• l'utilisation,
• la communication,
• la diffusion ou toute autre forme de mise à disposition,
• le rapprochement ou l'interconnexion, ainsi que
• le verrouillage,
• l'effacement ou la destruction.

L'activité de traitement n'est pas définie dans la loi.

La loi reconnait deux types de responsabilités pour un traitement de donnée : le responsable de traitement et le sous-traitant.

Une personne est responsable de traitement lorsqu’elle définit les buts et les moyens du traitement. À l’UNIL, la direction est le responsable de traitement pour les traitements de données effectué par l’institution.

Une personne est un sous-traitant lorsqu’elle traite les données selon les instructions du responsable de traitement. Elle est responsable de la bonne exécution du traitement selon ces instructions.  

Lorsque deux entités définissent conjointement les buts et moyens du traitement, elles sont conjointement responsables du traitement.

Responsable du traitement, personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine le contenu, ainsi que les finalités du fichier (Art. 4 al. 1 ch. 8 LPrD).

Sous-traitant, personne physique ou morale, autorité publique ou tout autre organisme qui traite des données personnelles pour le compte du responsable du traitement (Art. 4 al. 1 ch. 9 LPrD).

• La ligne directrice 7/2020 de l'EDPB (European Data Protection Board) de l'Union européenne est une référence incontournable et un bon point de départ pour comprendre la définition plus en détail.
• Lorsque la distinction entre « responsable de traitement », « sous-traitant » et « responsable conjoint » est difficile à faire, essayez la liste à cocher de l’autorité anglaise de protection des données ICO (Information Commissioner’s Office)

Avoir un but clair et précis pour le traitement des données est non seulement un principe fondateur de la protection des données, il sert également à l’exercice de pesée de la proportionnalité. La description du but du traitement des données personnelles joue un rôle central dans le respect de la loi.

Pour la recherche, veuillez consulter le point dédié au privilège de la recherche.

Un traitement de données personnelles doit respecter le principe de légalité, il doit donc être autorisé par la loi.

Dans le secteur public, il est possible de traiter des données personnelles dans deux cas (art. 5 LPrD) :

• Le traitement est autorisé par la loi ;
• Il sert à l'accomplissement d'une tâche publique (voir les missions de l'Université).

Dans certains cas, lorsque la personne concernée peut exercer son choix librement et agit de manière informée, il est possible de recourir au consentement.

Cette règle diffère sensiblement de celle qui s'applique dans le secteur privé.

Il est généralement conseillé de se référer à un·e répondant·e à la protection des données ou au DPO pour être certain de choisir la bonne base légale.

La personne dite "concernée" est la personne qui est identifiée ou identifiable par les données traitées.

Depuis l'entrée en vigueur de la nouvelle loi fédérale sur la protection des données (nLPD), les personnes morales (e.g. entreprise, organisation) ne sont plus des personnes concernées.

Personne concernée, toute personne physique ou morale au sujet de laquelle les données sont traitées (Art. 4 al. 1 ch. 4 LPrD)

Une définition large
Toute information qui se rapporte à personne identifiée ou identifiable est une donnée personnelle.

La loi
On entend par donnée personnelle, toute information qui se rapporte à une personne identifiée ou identifiable (Art. 4 al. 1 ch. 1 LPrD)

Pour aller plus loi
Une personne physique peut être identifiée :

• directement (exemple : nom et prénom) ;
• indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

• à partir d’une seule donnée (exemple : nom) ;
• à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour et membre dans telle association).

Par contre, des coordonnées d’entreprises (par exemple, l’entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un courriel de contact générique « compagnie1[@]email.fr ») ne sont pas, en principe, des données personnelles.
Le document du groupe de travail Article29 de l'Union Européenne discute en détail des questions liées à la définition d’une donnée personnelle.

Une catégorie particulière de données personnelles
Les données sensibles sont une catégorie particulière de données personnelles qui requière une protection particulière. La liste de données sensibles est fixée par la loi. Toutes les données dites "sensibles" ne sont donc pas sensibles au sens de la loi.

La loi
Donnée sensible, toute donnée personnelle se rapportant (Art. 4 al. 1 ch. 2 LPrD) :

• aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, ainsi qu'à une origine ethnique ;
• à la sphère intime de la personne, en particulier à son état psychique, mental ou physique ;
• aux mesures et aides individuelles découlant des législations sociales ;
• aux poursuites ou sanctions pénales et administratives.

La révision de la LPrD devrait introduire deux catégories supplémentaires :

• Les données génétiques ;
• Les données biométriques identifiant une personne physique de manière univoque.

Connaitre le nombre de personnes concernées par le traitement de données permet de mieux gérer le risque d'un traitement de données personnelles.

Un ordre de grandeur est suffisant (10aine, 100aine, 1000ier etc). Il peut également être nécessaire de mentionner de combien cet ordre de grandeur varie chaque année (e.g. 5300 étudiant·e·s, 150 de plus par année)

Les données personnelles peuvent être conservées dans le temps seulement avec un motif justificatif. Le principe de proportionnalité serait violé si les données étaient conservées au-delà de la durée pour laquelle elles sont nécessaires pour poursuivre le but pour lequel elles ont été collectées.

La durée de conservation peut être exprimée :

• par une durée précise - 100 jours par exemple, ou
• par un critère — quand la personne n'a plus été active sur la plateforme depuis deux ans.

Il y a deux moyens reconnus légalement pour supprimer des données personnelles :

• la suppression définitive au moyen de méthodes informatiques adéquates, ou
• l'anonymisation.

L'anonymisation définitive est de plus en plus difficile à atteindre du fait notamment de la multiplication des données disponibles en ligne.

Avis de groupe de travail Article29 de l'UE sur les techniques d'anonymisation.

Consulter la page transférer des données.