Iubenda logo
Générer dès maintenant

Documentation

Sommaire

Un regard plus attentif sur les catégories spéciales de données à caractère personnel

Les lois sur la protection de la vie privée dans le monde, comme le GPDR en Europe, ont établi un cadre indispensable pour la collecte, l’utilisation et le stockage des données personnelles. En tant qu’entreprise, vous ne pouvez pas traiter les données comme bon vous semble. C’est encore plus vrai pour les catégories spéciales de données à caractère personnel qui, en raison de leur nature, font l’objet d’une attention particulière.

👀 Dans cet article, nous examinons la définition GDPR des catégories spéciales et la manière dont vous devez traiter ce type de données.

catégories particulières de données à caractère personnel

Catégories particulières de données à caractère personnel : Article 9

Que sont les catégories spéciales du GDPR ?

L’expression “catégories particulières de données à caractère personnel” est la façon dont le GDPR fait référence aux données sensibles. Elles sont définies dans l’article 9 du GDPR comme des données qui sont de :

  • Origine raciale ou ethnique
  • les opinions politiques ;
  • Croyances religieuses ou philosophiques
  • Appartenance syndicale
  • les données génétiques ;
  • les données biométriques (empreintes digitales, reconnaissance faciale, ADN, etc 😉
  • les données relatives à la santé ;
  • les données relatives à la vie sexuelle ou à l’orientation sexuelle d’une personne physique.

🔍 Lisez notre article pour avoir un aperçu de ce qui est considéré comme des informations personnelles sensibles dans le monde.

  • Un prestataire de soins de santé qui recueille et stocke les antécédents médicaux et les données de santé d’un patient (c’est-à-dire les maladies et les handicaps) ;
  • Un employeur qui collecte des informations sur l’appartenance syndicale et les opinions politiques d’un employé ;
  • Plate-forme de médias sociaux recueillant des informations sur les croyances religieuses et l’orientation sexuelle des utilisateurs afin d’afficher des publicités ciblées ;
  • Une institution financière qui collecte et stocke des informations sur les condamnations pénales d’un client.

Personal Data Données personnelles sensibles

Comme le montre la description ci-dessus, les données personnelles sensibles peuvent être considérées comme plus “invasives” ou “risquées” que les données personnelles ordinaires.

Les informations sensibles, en particulier, pourraient donner lieu à des discriminations à l’encontre de certaines personnes. C’est pourquoi vous devez être encore plus vigilant afin d’éviter toute exposition de données sensibles.

💡 Vous ne savez pas si le GDPR s’applique à vous ?

🚀 F aites ce quiz gratuit d’une minute pour le savoir !

Ce que vous devez faire lorsque vous traitez des catégories particulières de données à caractère personnel

En vertu du GDPR, pour collecter ou traiter tout type de données à caractère personnel, vous devez obtenir un consentement explicite et informé des personnes, et fournir les informations nécessaires par le biais d’une politique de confidentialité.

Si ces exigences s’appliquent aux données à caractère personnel en général, certaines exigences du GDPR s’appliquent spécifiquement à des catégories particulières de données à caractère personnel. Voici trois cas de figure.

💡 Saviez-vous que les informations personnelles sensibles font l’objet d’une attention particulière dans les lois américaines sur la protection de la vie privée ?

🇺🇸 Il va sans dire que le traitement des données sensibles exige des règles plus strictes en dehors de l’Europe également !

👉 Consultez notre aperçu des lois sur la protection de la vie privée dans les États américains

Désigner un délégué à la protection des données (DPD)

Un délégué à la protection des données (DPD) est généralement désigné par une entreprise pour veiller à ce que les données à caractère personnel soient traitées conformément aux règles applicables en matière de protection des données.

En vertu de l’article 37 du GDPR, vous êtes légalement tenu de désigner un DPD si vous effectuez certains types d’activités de traitement, y compris lorsque vos activités de base consistent en un traitement à grande échelle de données sensibles.

💡 Cela signifie que si le GDPR s’applique à vous et si vous traitez des catégories particulières de données à caractère personnel à grande échelle, vous devez désigner un DPO.

Réaliser une analyse d’impact sur la protection des données (DPIA)

À l’instar de l’exigence précédente relative au DPD, le GDPR exige en particulier que vous réalisiez une DPIA lorsque vous traitez des catégories spéciales de données à caractère personnel à grande échelle.

Une analyse d’impact de la protection des données vous permet d’analyser et de minimiser les risques associés au traitement des données personnelles.

🔍 Voici un modèle gratuit sur le DPIA. Cliquez ici pour le consulter!

Conserver des traces des activités de traitement

Toujours en vertu du GDPR, les responsables du traitement des données et les sous-traitants sont expressément tenus de tenir des registres “complets et étendus” et à jour des activités de traitement des données de l’entreprise lorsqu’il s’agit de traiter des catégories spéciales de données.

Cela peut s’avérer assez difficile à mettre en œuvre !

C’est pourquoi nous recommandons l’utilisation d’un outil dédié tel que notre Gestion interne de la confidentialité. Il vous permet d’ajouter des activités de traitement à partir de plus de 1 700 options prédéfinies, de les diviser par domaine, d’attribuer des rôles aux responsables du traitement et aux autres membres, et de documenter les bases juridiques et les autres enregistrements requis par le GDPR.

Traitez-vous des catégories particulières de données à caractère personnel ?

Gardez facilement la trace de vos activités de traitement pour vous conformer au GDPR.