French

Le champ d’application de la GDPR

En consacrant le droit des personnes, la GDPR octroie au consommateur/citoyen un droit de regard, de contrôle et d’opposition quant à l’usage de ses données personnelles par les entreprises privées et publiques. Dans ce contexte, il est important pour le consommateur/citoyen, et pour les entreprises, de bien comprendre les principes sous-jacents (voir à ce sujet la première partie de cet article), la mise en œuvre et les outils.

Afin de clarifier ces concepts, prenons l’exemple d’un formulaire de déclaration fiscale :

  • Le « traitement » définit l’objectif, à savoir « le calcul de l’impôt » ;
  • Les « applications » sont les différents cadres du formulaire, chacun d’eux correspondant à un composant du calcul ;
  • Pour les données, le « type » est le libellé des cases à remplir ;
  • Les « valeurs » sont les réponses du contribuable ;
  • Les « localisations » sont les emplacements physiques sur le formulaire, une même « donnée » pouvant se répéter en plusieurs « lieux » sur le formulaire.

image tax form calculator

Les droits des personnes

Comme on le constate, l’exercice du droit des personnes impose de fait aux entreprises d’avoir la connaissance des différentes localisations des données : en effet, comment s’assurer autrement qu’une donnée à rectifier est bien changée de manière identique dans l’ensemble des applications concernées ? De même, la connaissance des applications est indispensable dans la mesure où elles seules permettent d’effectuer les modifications ou suppressions sans risques.

Le tableau ci-dessous synthétise les éléments de connaissance minimum et indispensable pour répondre adéquatement aux droits des personnes prévus à l’article 12 du Règlement Général sur la Protection des Données.

tableau droits des personnes

Afin d’être en conformité avec la GDPR pour les droits des personnes concernées, les entreprises doivent :

  • Identifier les données à caractère personnel dans la montagne de données qu’elles ont accumulées ;
  • Classer les données identifiées dans les différentes catégories prévues par la GDPR (données sensibles, données réservées aux pouvoirs publics…) ;
  • Localiser les multiples instances des données identifiées sur la totalité du périmètre d’utilisation ;
  • Relier chacune des différentes localisations des données identifiées aux applications d’une part, et aux traitements d’autre part.

Lire la première partie de cet article - La partie suivante

Mots clés: 

Auteur(s): 

Dominique Orban de Xivry