Responsable du traitement
Le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement, qui décide donc « pourquoi » et « comment » des données personnelles sont collectées et traitées.
Pour une association, ses différents services, ses groupements locaux, ses dirigeants, ainsi que ses collaborateurs, pour autant qu’ils soient actifs dans le cadre de l’exécution des tâches de l’association, constituent un seul responsable du traitement. Par contre, ses membres, tout comme ses organes faîtiers sont en principe à considérer comme tiers par rapport à l’association.
Sous-traitant
Le sous-traitant est la personne physique ou morale qui traite des données personnelles pour le compte et sur instruction du responsable du traitement dans le cadre d’un service ou d’une prestation.
Donnée à caractère personnel
Une donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable. Une personne peut être identifiée :
- directement (p. ex. par son nom, prénom, ou une adresse mail nominative) ;
- indirectement (p. ex. par un identifiant (n° membre), un numéro (de téléphone), une donnée biométrique (ses empreintes digitales), plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).
L’identification d’une personne physique peut être réalisée :
- à partir d’une seule donnée (p. ex. le nom et prénom ou une adresse mail personnelle) ;
- à partir du croisement d’un ensemble de données, même sans indiquer le prénom et le nom de la personne concernée (exemple : un sportif, né à telle date qui lors d’une compétition spécifique ayant lieu tel et tel jour, qui a atteint un record national pour la discipline des 100 mètres).
Si on est en présence de données anonymes ou anonymisées (des informations rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable, ni par le responsable du traitement, ni par un tiers), le RGPD ne s’applique pas. Or, comme l’illustre l’exemple ci-dessus du sportif ayant atteint un record national, de temps à autre la simple suppression du nom, prénom et adresse ne suffit pas pour anonymiser tout un set de différentes données. Dans ce cas, on parle de données pseudonymisées qui tombent dans le champ d’application du RGPD.
Traitement de données personnelles
Un traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé. Le RGPD nomme toute une série de différents types de traitement comme la collecte, l’enregistrement, la modification, la diffusion ou toute autre forme de mise à disposition, ou encore l’effacement et la destruction.
Un traitement de données personnelles n’est pas nécessairement informatisé : les dossiers papier (pour autant qu’ils soient structurés comme p.ex par un classement alphabétique / chronologique) sont également concernés et doivent être protégés dans les mêmes conditions.
En plus, le RGPD ne s'applique pas aux données à caractère personnel des personnes décédées, comme par exemple lors de la publication d’une notice nécrologique d’un ancien membre dans le journal d’une association, mais sous condition de respecter la dignité et la vie privée des proches du défunt.
Exemple
Pour résumer, voici un exemple illustrant les différentes notions : Un club de sport, représenté par son Président et les autres membres du comité (organe décisionnel), est à considérer dans son ensemble comme responsable du traitement en définissant pourquoi et comment des données sont collectées et traitées. Le club décide notamment de créer un tableau Excel, contenant la liste de ses membres actifs et non-actifs. Cette liste comprend les informations suivantes : noms, prénoms, adresses postales et adresses mail. Ce fichier sert à envoyer des newsletters et comme moyen de convocation aux assemblées générales. Le club de sport a engagé une société WWW pour lui créer un site internet via lequel les personnes peuvent adhérer ou recevoir des informations.
Les données recueillies sont des données à caractère personnel, car elles permettent d’identifier clairement les membres. Les données sont recueillies pour des finalités précises : la gestion administrative des membres, l’envoi de newsletters et la convocation aux assemblées générales. Les différentes opérations comme la collecte et l’envoi des informations sont des traitements distincts. Finalement, la société WWW est à considérer comme sous-traitant du club de sport en agissant uniquement pour le compte et sur instruction de ce dernier.