Politique de confidentialité

La protection des données personnelles et de la vie privée est un droit fondamental strictement encadré par la réglementation. Elle est une condition importante de la confiance des membres et donc de la réputation du POG. Une donnée personnelle est une donnée se rapportant à une personne physique. Cette personne peut être :　

• un membre, ou　
• un intervenant

Chaque fois que des personnes peuvent être identifiées, la loi sur la protection des données personnelles s'applique. On considère qu'une personne est identifiable :

• par son nom, ou　
• par sa photo,
• généralement au moyen de tout numéro, identifiant ou référence qui permettrait au POG, ses membres ou n’importe quel tiers (y inclus des autorités) de retracer et d’identifier cette personne.

Le concept de "traitement de données personnelles" est très large. D’une manière générale, tout ce que l’on peut faire à partir de données est un acte de traitement, que des systèmes informatiques soient utilisés ou non (le traitement papier est aussi visé), y inclus la collecte, l’enregistrement, le simple stockage, la consultation, l’utilisation, la communication, l’archivage ou la destruction.

Les grands principes GDPR sont :

Licéité et loyauté

Loyauté : Ce qui est traité doit correspondre à ce qui a été décrit à la personne concernée. Cette information claire lui permet de donner son consentement.

Licéité : le traitement doit satisfaire à au moins une des conditions de l’article 6 du RGPD, voir ci-dessous :

1. la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
2. le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;
3. le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;
4. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;
5. le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;
6. le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant

Transparence

Les personnes concernées sont en droit d’obtenir les informations nécessaires pour assurer un traitement loyal (notamment les informations sur les finalités du traitement). Il convient de bien identifier le responsable du traitement.

Limitation des finalités

Les données personnelles ne peuvent être obtenues que pour des « finalités déterminées, explicites et légitimes » (article 5.1.b). Les données ne peuvent être utilisées qu’à des fins de traitement spécifiques dont le sujet a été informé et aucune autre, sans autre consentement.

Minimisation des données

Les données recueillies sur un sujet doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées  » (article 5.1.c). En d’autres termes, la quantité minimale de données doit être recueillie et conservée pour un traitement spécifique.

Exactitude (qualité des données)

Les données doivent être « exactes et, si nécessaire, tenues à jour » (article 5.1.d). Il incombe aux détenteurs de données de créer des processus de rectification et suppression dans les bases de données des données des sujets. Ce qui rejoint le principe du droit d’accès et ses composantes.

Droits d’accès, de rectification, de suppression et d’objection

Par le droit d’accès, les personnes concernées sont en droit d’obtenir la communication des informations personnelles les concernant, sauf si les demandes sont manifestement abusives du fait de leur fréquence déraisonnable, de leur nombre ou de leur nature répétitive ou systématique.

Les sources des données à caractère personnel peuvent ne pas être identifiées lorsque cela n’est pas possible au prix d’efforts raisonnables ou lorsque les droits de personnes autres que celle concernée seraient violés.

Les personnes concernées ont le droit de faire rectifier, modifier ou supprimer les données à caractère personnel les concernant lorsqu’elles sont inexactes ou font l’objet d’un traitement contraire aux présents principes. En cas de doute sérieux quant à la légitimité de la demande, l’organisation peut demander d’autres justifications avant de procéder à la rectification, à la modification ou à la suppression. La notification de toute rectification, modification ou suppression aux tiers à qui les données ont été divulguées peut être omise lorsque cela implique un effort disproportionné. Les personnes concernées doivent également être en mesure de s’opposer au traitement des données les concernant pour des raisons impérieuses et légitimes relatives à leur situation personnelle.

Limitation de la conservation

Le régulateur s’attend à ce que les données personnelles soient « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5.1.e). En d’autres mots, les données qui ne sont plus requises doivent être supprimées.

Intégrité et confidentialité

Le responsable du traitement des données personnelles doit en garantir la sécurité, « y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle »  (article 5.1.f).

Le responsable du traitement doit prendre des mesures de sécurité, sur le plan technique et au niveau de l’organisation, qui sont appropriées au regard des risques présentés par le traitement, notamment la destruction fortuite ou illicite, la perte fortuite, l’altération, la divulgation ou l’accès non autorisé.

Toute personne agissant sous l’autorité du responsable du traitement, y compris ses propres sous-traitants, ne doit traiter les données que sur ses instructions.

C’est un sujet large, particulièrement sensible et technique.

Responsabilité (accountability)

Le responsable du traitement des données doit être capable de démontrer sa conformité avec la totalité des autres principes. (article 5.2). Cela passe notamment par la tenue de registres de traitement et les éventuelles études d’impact sur la vie privée (Privacy Impact Assessments)