Contenu
Retrouvez sur cette page les réponses aux questions fréquemment posées concernant la sécurité numérique
-
Une donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable. Une personne peut être identifiée :
- directement (ex. : nom, prénom, ou adresse mail nominative) ;
- indirectement (ex. : identifiant, adresse ip, numéro de téléphone, donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).
L’identification d’une personne physique peut être réalisée :
à partir d’une seule donnée (ex : nom et prénom ou une adresse mail personnelle) ; à partir du croisement d’un ensemble de données (ex : un élève, né à telle date qui lors d’un examen ayant lieu tel et tel jour, a obtenu la meilleure moyenne).
Voir l’article 4 du RGPD concernant les définitions des différentes notions.
-
Il sert à renforcer le droit des personnes dont vous traitez les données.
Il s’agit essentiellement des droits suivants :
- le droit à l’information : être informer des données collectées sur moi
- le droit d’accès : l’accès à ses données et d’en recevoir une copie
- le droit de rectification : la rectification des données inexactes
- le droit à l’effacement (=droit à l’oubli) : effacer les données pour différents motifs par le responsable de traitement (ex. : si une personne retire son consentement sur lequel est fondé le traitement). Néanmoins, il ne s’agit pas d’un droit absolu. Par exemple, si la conservation des données est nécessaire pour respecter une obligation légale, le droit à l’oubli n’est pas applicable
- le droit d’opposition : demander qu’il soit mis un terme au traitement de ses données personnelles pour des raisons tenant à sa situation particulière, sauf si le responsable démontre l’existence de motifs légitimes et impérieux prévalant ou si le traitement est prévu par la loi.
Les droits pour maîtriser vos données personnelles – https://www.cnil.fr/fr/les-droits-pour-maitriser-vos-donnees…
Le droit d’accès – https://www.cnil.fr/fr/le-droit-dacces-connaitre-les-donnees-quun-organisme-detient-sur-vous
Le droit d’accès, c’est quoi ? – https://www.cnil.fr/cnil-direct/question/le-droit-dacces-cest-quoi
Droit d’accès direct – https://www.cnil.fr/cnil-direct/question/le-droit-dacces-direct-comment-ca-marche
Droit d’accès indirect – https://www.cnil.fr/cnil-direct/question/le-droit-dacces-indirect-comment-ca-marche
Droit de rectification – https://www.cnil.fr/fr/le-droit-de-rectification
Droit d’effacement – https://www.cnil.fr/fr/le-droit-leffacement-supprimer-vos-donnees-en-ligne
Droit d’opposition – https://www.cnil.fr/fr/le-droit-dopposition
Droit de limitation – https://www.cnil.fr/fr/le-droit-la-limitation-du-traitement-geler-lutilisation-de-vos-donnees
Droit à la portabilité – https://www.cnil.fr/fr/le-droit-la-portabilite-obtenir-et-reutiliser-une-copie-de-vos-donnees
Demander une intervention humaine – https://www.cnil.fr/fr/vos-droits-lintervention-humaine…
Voir les articles 13 à 21 du RGPD concernant les droits des personnes concernées.
-
Si on est en présence de données anonymisées ou pseudonymisées (des informations rendues anonymes ou qu’il s’agit de pseudonymes - un nombre important de données caractérisant une personne sont changées - de telle manière que la personne concernée ne soit pas ou plus identifiable, ni par le responsable du traitement, ni par un tiers), le RGPD ne s’applique pas.
-
Le consentement est une des bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données personnelles.
Il assure aux personnes concernées un contrôle fort sur les données en leur permettant :
- de comprendre le traitement qui sera fait de leurs données
- de choisir sans contrainte d’accepter ou non ce traitement
- de changer d’avis librement
Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque. Les conditions applicables au consentement sont définies aux articles 4 et 7 du RGPD.
https://www.cnil.fr/fr/conformite-rgpd-comment-recueillir-le-consentement-des-personnes.
-
C’est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé. Le RGPD nomme toute une série de différents types de traitement comme la collecte, l’enregistrement, la modification, la diffusion ou toute autre forme de mise à disposition, ou encore l’effacement et la destruction.
Un traitement de données personnelles n’est pas nécessairement informatisé : les dossiers papier (pour autant qu’ils soient structurés comme par exemple par un classement alphabétique / chronologique) sont également concernés et doivent être protégés dans les mêmes conditions.
En plus, le RGPD ne s’applique pas aux données à caractère personnel des personnes décédées, comme par exemple lors de la publication d’une notice nécrologique d’un ancien membre dans le journal d’une association, mais sous condition de respecter la dignité et la vie privée des proches du défunt.
-
Les finalités sont les raisons explicites et légitimes pour lesquelles les données sont collectées et traitées. Elles sont déterminées, avant la collecte, par le responsable du traitement, seul ou conjointement avec d’autres ou bien déterminées par le droit de l’Union européenne ou d’un État membre (RGPD article 4). Les finalités conditionnent la licéité de la collecte, notamment par l’adéquation, la pertinence et le caractère strictement nécessaire des données à l’accomplissement de ces finalités.
-
L’autorité responsable des traitements de données à caractère personnel mis en œuvre dans les établissements publics d’enseignement scolaire met à la disposition du public le registre comportant la liste de ces traitements, établi conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE comportant la liste de ces traitements.
code de l’éducation Art. L. 121-4-2.
Il existe 3 registres : le registre des traitements, le registre des sous-traitants et le registre des violations de données.
-
En vertu du principe de la transparence, vous devez informer de manière appropriée toutes les personnes desquelles vous collectez et traitez des données (membres, licenciés, clients, fournisseurs, etc.), indépendamment du critère de légitimité tel qu’expliqué précédemment.
Vérifiez que l’information comporte notamment les éléments suivants :
- votre identité et vos coordonnées
- pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer la liste de vos élèves)
- ce qui vous autorise à traiter ces données (le « fondement juridique » : un des six critères de légitimité)
- qui sont les destinataires des données (par exemple le service concerné)
- si vous transférez des données hors de l’Union européenne (précisez le pays et assurez-vous que des garanties appropriées encadrent ces transferts, par exemple lorsque vous utilisez une plateforme cloud hébergée aux Etats-Unis d’Amérique)
- combien de temps vous conservez les données (p. ex. : aussi longtemps qu’une personne est membre d’une association)
- les droits des personnes concernées (voir Droits des personnes concernées)
- le droit d’introduire une réclamation auprès de la CNIL
Voir les articles 12 à 14 du RGPD concernant l’information des personnes concernées.
-
La licéité est la conformité au droit, lequel puise ses sources non seulement dans la loi, mais aussi dans la constitution, les règlements, la coutume, la doctrine, la jurisprudence et les principes généraux du droit, entre autres. L’article 6 du RGPD et le chapitre II de la loi Informatique et libertés fixent un ensemble de conditions à respecter pour que le traitement soit licite.
-
Le sous-traitant est la personne physique ou morale qui traite des données personnelles pour le compte et sur instruction du responsable du traitement dans le cadre d’un service ou d’une prestation.
Il peut s’agir, par exemple, d’un éditeur qui agit à la demande du responsable de traitement pour mettre en oeuvre une application ou un service numérique en ligne.
-
C’est le moment à partir duquel un jeune peut donner son accord pour le traitement de ses données personnelles, sans avoir besoin de passer par ses parents ou la personne qui exerce l’autorité parentale, et elle a été fixée à 15 ans.
Le RGPD, dans sa rédaction, permet aux États membres de prévoir deux possibilités : « soit que le consentement doit être donné pour le mineur par le titulaire de l’autorité parentale, soit que le mineur est autorisé à consentir par le titulaire de l’autorité parentale, ce qui suppose alors le double consentement ».
-
Lorsque les données à caractère personnel sont collectées auprès d'un mineur de moins de quinze ans, le responsable de traitement transmet au mineur les informations mentionnées au I du présent article dans un langage clair et facilement accessible.
-
Une instruction de tri et de conservation pour les archives reçues et produites par les services et établissements concourant à l’éducation nationale a été publiée dans le BO n° 24 du 16 juin 2005.
http://www.education.gouv.fr/bo/2005/24/MENA0501142J.htm
Des tableaux de tri et d’archivage sont joints au format PDF
http://www.education.gouv.fr/bo/BoAnnexes/2005/24/tableaux_encart24.pdf
-
Puis-je archiver des données à mon gré ? Il existe trois types d’archives : courantes, intermédiaires et définitives
La base active (ou archives courantes), comprend les données venant de faire l’objet d’un traitement ou susceptible d’en faire l’objet d’un dans un avenir proche
Les archives intermédiaires sont une étape intermédiaire nécessitant un accès restreint avant leur suppression,
Les archives définitives sont réservées aux données qui perdureront au fil des ans et éventuellement des siècles. Cette catégorie ne peut donc bénéficier qu’à certaines catégories de données présentant un intérêt historique, scientifique ou statistique justifiant qu’elles ne fassent l’objet d’aucune destruction.
Archiver et sauvegarder est-ce la même chose ? https://siafdroit.hypotheses.org/792#more-792
-
Dans un arrêt du 20 décembre 2017, la Cour de justice de l’Union européenne (CJUE) a jugé que les copies d’examen d’un candidat et les éventuelles annotations de l’examinateur constituent des données à caractère personnel. De ce fait, le candidat dispose d’un droit d’accès à ses réponses et aux annotations de l’examinateur.
Sources :
https://www.service-public.fr/particuliers/actualites/A12368
https://curia.europa.eu/jcms/upload/docs/application/pdf/2017-12/cp170140fr.pdf