Données personnelles
Les données personnelles sont toutes les informations relatives à une personne physique identifiée ou identifiable.
La forme que prennent les données personnelles n’est pas très importante : il peut s’agir d’un signe, d’un écrit, d’une image, d’un son ou d’une combinaison de ces éléments.
- Exemples de données personnelles directement identifiantes
- ○ le prénom et le nom de famille;
○ adresse;
○ photo;
○ voix. - Exemples de données personnelles indirectement identifiantes
- ○ numéro de téléphone ;
○ numéro SCIPER;
○ numéro AVS;
○ données de localisation ;
○ l’adresse du protocole Internet (IP).
Données personnelles sensibles
Il s’agit d’une sous-catégorie de données personnelles qui nécessite des mesures de protection adéquates. Elle comprend des données sur:
-
les opinions ou activités religieuses, idéologiques, politiques ou syndicales;
-
la santé, la sphère intime ou l’origine raciale ;
-
données génétiques ;
-
les données biométriques qui identifient sans équivoque une personne physique ;
-
les données relatives aux procédures et sanctions administratives ou pénales ;
-
les mesures de sécurité sociale.
- Exemples de données personnelles sensibles
- ○ empreintes digitales;
○ les images médicales;
○ les dossiers hospitaliers;
○ les caractéristiques biologiques et génétiques;
○ l’appartenance à un parti politique l’information ou un groupe religieux;
○ l’orientation sexuelle;
○ les casiers judiciaires.
Personnes concernées
Il s’agit des personnes physiques (individus) dont les données sont traitées.
- Exemples de personnes concernées
- ○ Étudiant·e s ou employé·es de l’EPFL;
○ Les participants humains qui prennent part au projet de recherche.
Responsable du traitement et sous-traitant
Responsable du traitement: la personne privée ou l’organe fédéral qui, seul ou conjointement avec d’autres, décide du traitement des données.
La “finalité” se rapporte à l’objectif du traitement :
-
pourquoi la collecte de données est-elle nécessaire?
Le terme “moyens” désigne les caractéristiques essentielles de la conception du traitement :
-
quel type de données personnelles doit être collecté?
-
Pendant combien de temps les données seront-elles conservées?
-
À qui les données seront-elles communiquées?
Une institution/organisation peut également être un responsable conjoint du traitement lorsqu’elle détermine conjointement avec une ou plusieurs organisations pourquoi et comment les données personnelles doivent être traitées.
- Exemple
- En tant qu’entité juridique, l’EPFL est responsable du traitement des données personnelles qu’elle traite. S’il fallait choisir la personne qui incarne le mieux ce rôle, ce serait clairement le président de l’EPFL.
La présidente ou le président de l’EPFL peut déléguer cette responsabilité à d’autres personnes dans un cercle donné. Par exemple, pour le traitement des données du personnel, c’est la directrice ou directeur des ressources humaines qui représente la présidente ou le président de l’EPFL en tant que responsable du traitement.
Dans le cadre d’un projet de recherche, le responsable délégué du traitement des données est la chercheuse ou le chercheur principal.
Un sous-traitant traite les données pour le compte du responsable du traitement. Le sous-traitant est une entité externe, le plus souvent un prestataire de services. Le sous-traitant n’est pas en mesure de modifier la finalité et les moyens d’utilisation des données, il est lié par les instructions qu’il a reçues du responsable du traitement. Il ne peut pas utiliser les données à ses propres fins.
- Exemple
- Un laboratoire de recherche est chargé d’effectuer une analyse sur des données fournies par une autre institution (le responsable du traitement). Il renvoie ensuite les données (et les résultats) à cette institution.
Les obligations du sous-traitant à l’égard du responsable du traitement doivent être précisées dans un contrat ou un accord écrit.
Un autre exemple est celui d’un fournisseur de services informatiques.
Traitement des données
Le traitement couvre un large éventail d’opérations effectuées sur des données à caractère personnel. En termes juridiques, il s’agit de “toute opération portant sur des données à caractère personnel, quels que soient les moyens utilisés et la procédure, telle que la collecte, le stockage, l’utilisation, la révision, la communication, l’archivage ou la destruction de données”.
- Exemple de traitement
- ○ la collecte automatique de données personnelles sur le web,
○ la gestion d’une base de données,
○ le partage des données avec un tiers,
○ l’enregistrement vidéo de participants humains à un projet de recherche,
○ stocker des adresses IP ou des adresses MAC,
○ la création d’une liste de diffusion des participants,
○ l’anonymisation des données, etc.
Des explications plus spécifiques sur le traitement des données dans le cadre de la recherche sont disponibles sur la page Vie privée dans la recherche dans la section “En pratique”.
Généralités
L’important lors du traitement des données personnelles est de garder à l’esprit les principes fondamentaux de la loi.
Le droit d’accès est l’un des droits fondamentaux prévus par les lois sur la protection des données (RGPD et GDPR).