Les données à caractère personnel désignent toute information se rapportant à une personne identifiée ou identifiable (à savoir la personne concernée). Le terme « identifiable » désigne les personnes qui peuvent être identifiées, directement ou indirectement, notamment par référence à un identifiant spécifique.
Vous êtes la personne concernée (à savoir, la personne physique auxquelles les données à caractère personnel se rapportent). Une personne concernée désigne toute personne qui peut être identifiée, directement ou indirectement, par le biais d’un identifiant tel qu’un nom, un numéro d’identification, des données de localisation ou des éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
La loi sur la santé et l’assurance maladie (Health Insurance Portability and Accountability Act, HIPAA) est une loi fédérale des États-Unis conçue pour fournir des normes en matière de confidentialité destinées à protéger les dossiers médicaux des patients et les autres informations de santé communiquées aux chirurgiens, régimes d’assurance maladie/mutuelles, sous-traitants et autres professionnels de santé.
Dans le cadre de la loi HIPAA, les informations de santé protégées (ISP) désignent les informations de santé sous toutes leurs formes, y compris les dossiers papier, les dossiers électroniques ou les informations verbales concernant l’état de santé d’une personne, les prestations de soins ou le règlement des soins, qui sont créées ou collectées par l’assurance maladie, une mutuelle, un professionnel de santé (« entité couverte »), pouvant être rattachées à une personne en particulier. 18 identifiants HIPAA composent les informations de santé protégées.
Le Règlement général sur la protection des données (RGPD) est un règlement en droit européen relatif à la protection et à la confidentialité des données au sein de l’Union européenne et de l’Espace économique européen. Le RGPD règlemente la manière dont les entreprises protègent les données à caractère personnel des ressortissants de l’UE.
Les catégories particulières de données à caractère personnel au titre du RGPD comprennent les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Les données de santé désignent les données à caractère personnel en lien avec la santé physique ou psychique d’une personne physique, y compris la prestation de services de santé, qui révèlent des informations sur son état de santé.
Le traitement désigne toute action effectuée ou non à l’aide de procédés automatisés et appliquée à des données ou des ensembles de données à caractère personnel. Parmi les exemples de traitement, citons la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. En d’autres termes, tout ce vous pouvez imaginer avoir jamais voulu faire avec des données à caractère personnel est considéré comme un traitement.
Le traitement des données à caractère personnel est licite sous réserve qu’une personne ait donné son consentement éclairé ou en cas de nécessité, par exemple, pour l’exécution d’un contrat, la mise en conformité au droit européen, la protection de la vie d’autrui, l’accomplissement d’une mission d’intérêt public ou dans le cadre de fonctions officielles ou pour la promotion d’intérêts légitimes.
L’anonymisation vise à rendre les données à caractère personnel anonymes de sorte que la personne concernée ne soit plus identifiable. Cela suppose que tous les identifiants, utilisés par un responsable du traitement ou toute autre personne, susceptibles d’identifier raisonnablement une personne, soient supprimés. Les informations qui sont véritablement anonymes ne sont pas abordées dans le RGPD.
La pseudonymisation désigne le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être rattachées à une personne concernée précise sans avoir recours à des informations supplémentaires. Les informations supplémentaires sont conservées séparément et soumises à des mesures techniques et organisationnelles visant à garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable. Les informations dont les identifiants ont été supprimés ou remplacés afin de pseudonomyser les données sont toujours considérées comme des données à caractère personnel au titre du RGPD.
Le profilage désigne toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels, notamment pour analyser ou prédire des éléments concernant les préférences personnelles ou les intérêts, la fiabilité ou le comportement, la localisation ou les déplacements d’une personne.
Le consentement désigne, par un acte positif clair, toute manifestation de volonté libre, spécifique, éclairée et univoque, indiquant qu’une personne concernée accepte que ses données à caractère personnel fassent l’objet d’un traitement.
Si le traitement des données à caractère personnel nécessite le consentement, ce dernier doit être obtenu séparément. La mise à disposition d’une politique de confidentialité ne saurait remplacer l’obtention du consentement.
Le responsable du traitement des données désigne l’entité qui, seule ou conjointement avec d’autres, définit les finalités et les moyens de traitement des données à caractère personnel. Les responsables du traitement exercent un contrôle sur les finalités et les moyens de traitement des données à caractère personnel. Les responsables du traitement sont tenus de démontrer la conformité à tous les principes de protection des données ainsi qu’aux autres exigences du RGPD et de les respecter. Ils sont également responsables de la mise en conformité de leur(s) sous-traitant(s). Si deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement des mêmes données à caractère personnel, ils sont les responsable conjoints du traitement des données. Toutefois, le terme de responsables conjoints du traitement ne sera pas employé s’ils traitent les mêmes données à des fins différentes.
Les sous-traitants des données désignent les entités qui traitent les données à caractère personnel pour le compte du responsable du traitement des données. En l’absence d’une finalité désignée pour le traitement des données et si vous agissez uniquement sur les instructions du client, il est probable que vous soyez un sous-traitant, même si vous prenez des décisions techniques sur les modalités de traitement des données. Lors du traitement pour le compte d’un responsable du traitement, le responsable du traitement doit faire appel uniquement à des sous-traitants offrant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles adéquates de telle façon que le traitement réponde aux exigences du RGPD, y compris en matière de sécurité du traitement et de protection des droits de la personne concernée.
Les sous-traitants des données peuvent recruter un autre sous-traitant, désigné sous le nom de « sous-traitant ultérieur », pour effectuer des activités de traitement spécifiques pour le compte du responsable du traitement. Dans ce cas, les mêmes obligations en matière de protection des données que celles énoncées dans le contrat entre le responsable du traitement et le sous-traitant sont imposées au sous-traitant ultérieur (p. ex. mesures techniques et organisationnelles adéquates).
Lorsque le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable vis-à-vis du responsable du traitement de l’exécution de ses obligations. Le recrutement du sous-traitant ultérieur est soumis à l’autorisation écrite antérieure spécifique ou générale du responsable du traitement. En présence d’une autorisation générale écrite, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement de sous-traitants ultérieurs, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre desdits changements.
Toute personne qui n’est pas une personne concernée, un responsable du traitement ou un sous-traitant est désigné sous le nom de tiers. À titre d’exemple, un tiers peut être une société de nettoyage employée pour le nettoyage des bureaux ou une société d’entretien des équipements. Bien qu’elles puissent trouver à l’occasion des données à caractère personnel lorsqu’elles interviennent dans les bureaux ou sur les équipements, elles peuvent effectuer leurs tâches sans avoir accès aux données. En outre, les tiers se voient notifier dans leur contrat l’interdiction de traiter les données à caractère personnel conservées par une société en sa qualité de responsable du traitement ou d’y accéder.
Le destinataire des données désigne toute autre entité à laquelle nous pouvons divulguer des données à caractère personnel, indépendamment du fait qu’il s’agisse ou non d’un tiers.
Un accord de traitement des données (ATD) est un contrat juridiquement contraignant qui régit les droits et les obligations de chaque partie concernant la protection des données à caractère personnel.
Afin de mettre en œuvre des mesures efficaces et applicables visant à garantir les transferts internationaux de données à caractère personnel, le Comité européen de la protection des données (CEPD) a adopté des recommandations relatives à la protection des transferts internationaux de données à caractère personnel le 18 juin 2021. Ces recommandations s’appuient sur l’arrêt « Schrems II » rendu par la Cour de justice de l’Union européenne, qui a imposé l’obligation pour les responsables du traitement qui transfèrent des données à caractère personnel vers des pays en dehors de l’UE de prendre des mesures supplémentaires destinées à sécuriser le transfert des données.
Les clauses contractuelles types (CCT) contiennent des obligations contractuelles entre l’exportateur de données et l’importateur de données et des droits pour les personnes dont les données à caractère personnel sont transférées.
Les lignes directrices européennes en matière de traitement des données insistent sur le concept fondamental dénommé « Connaître les transferts », qui se rattache au pays dans lequel les données à caractère personnel sont transférées en vue de leur traitement. En vertu de l’arrêt « Schrems II » rendu par la Cour de justice de l’Union européenne, un responsable du traitement qui transfère des données à caractère personnel vers un pays en dehors de l’UE est dans l’obligation de prendre des mesures supplémentaires destinées à sécuriser le transfert des données.
Le terme « pays tiers » n’est pas défini dans le RGPD ; il est issu des principaux traités de l’UE et désigne les pays qui ne sont pas partie auxdits traités. Il s’agit d’un terme courant en droit européen qui est habituellement utilisé pour désigner un pays qui ne fait pas partie d’une organisation à laquelle le droit en question s’applique. Dans la mesure où le RGPD a force de loi dans l’UE et l’EEE, les « pays tiers » désignent les pays qui ne sont pas des États membres de l’UE ou de l’EEE.
La « décision d’adéquation » rendue par la Commission européenne confirme qu’un autre pays, territoire ou secteur en dehors de l’UE offre un niveau équivalent de protection pour les données à caractère personnel similaire à celui de l’UE. Une liste des pays bénéficiant de décisions d’adéquation peut être consulée à l’adresse (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en).
Un contrat de sous-traitance est un accord écrit qui précise chacune des parties. Responsabilités dans le cadre du traitement des informations de santé protégées. Les assurances satisfaisantes entre une entité couverte et un sous-traitant doivent être mises par écrit. Tous les contrats de sous-traitance doivent être examinés et signés par le service chargé des questions de confidentialité.
Le concept de protection des données dès la conception suppose que la protection de la confidentialité et des données soit intégrée tout au long du cycle de vie d’un projet, de la phase initiale de la conception en passant par le déploiement, l’utilisation et la mise au rebut. Les principales fonctions de la protection des données dès la conception comportent une démarche proactive, la mise en œuvre de contrôles en matière de protection de la confidentialité et la capacité à démontrer le respect de la protection des personnes concernées. L’idée est que l’équipe chargée des questions de confidentialité soit impliquée dès les premières phases d’un projet de sorte que les contrôles en matière de protection de la confidentialité soient pris en compte.
Au titre de la loi HIPAA, une violation des informations de santé protégées désigne l’acquisition, l’accès, l’utilisation ou la divulgation de données de santé protégées non sécurisées selon des modalités non autorisées dans le cadre de l’HIPAA, qui pose un risque significatif d’atteinte à la réputation, de préjudice financier ou autre pour une personne. La règle de notification d’une violation HIPAA impose aux entités couvertes et aux sous-traitants de notifier aux personnes concernées, aux professionnels de santé et, dans certains cas, aux médias, la violation de données de santé protégées non sécurisées.
Au titre du RGPD, une violation de données à caractère personnel désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.