Donnée à Caractère Personnel (DCP) : constitue une DCP toute information relative à une personne physique identifiée ou identifiable (nom, numéro, localisation, identifiant en ligne, élément spécifique propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale).
DCP ‘sensible’ : constitue une DCP Sensible, toute information révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ou les données génétiques, biométriques, médicales (santé), financières, la vie ou l’orientation sexuelle (Article 9 §1 du Règlement général pour la protection des données (Règlement 2016/679, le « RGPD »).
Les données des fournisseurs peuvent être des DCP. Par ex. vous détenez un numéro de gsm privé, une adresse mail privée ou professionnelle (mentionnant le nom, prénom du destinataire) etc.
Les offres devront inclure une sélection qualitative relative au RGPD. Idem pour les critères d’attribution.
En ce qui concerne la destruction des mails, ceux qui ont 5 ans et plus doivent - conformément à la réglementation sur la protection de la vie privée - être supprimés de votre banque de données sauf exception légale. L’accès aux données, et leur destruction, doivent être au cœur de votre politique de gouvernance de l’information.
Le consentement doit être libre, éclairé, explicite. Ce qui signifie qu’une information complète sur le traitement des DCP doit être transmise à la personne concernée afin qu’il y ait consentement. Le RGPD propose (éventuellement ou à défaut) une simple case à cocher lors de la consultation d’un site internet. Cependant, se pose la question de savoir comment pouvez-vous avec certitude établir que la personne concernée a bien reçu toutes les informations relatives à ses droits, à la conservation de ses données, etc.
En conclusion, une case à cocher est loin d’être suffisant. L’action de cocher peut être posée par n’importe qui (pas forcément par la personne concernée). Par ailleurs, comment la case à cocher apporterait-elle la preuve d’un consentement éclairé ?
Nous préconisons par conséquent un formulaire à remplir avec un descriptif détaillé du traitement.
L’adresse IP est une DCP étant entendu que l’on peut identifier et remonter à la personne détentrice.
Normalement, seuls les officiers de police judiciaire ont le droit de demander la carte d’identité. Cependant, une simple présentation peut être demandée si la personne concernée marque son accord pour la vérification (ex. agent de gardiennage, réceptionniste hôtel). La conservation temporaire du document d’identité en échange d’un badge (en l’occurrence ici un bracelet d’accès) peut être admis pour autant qu’aucune copie de la C.I. ne soit faite.
Lorsque vous restituez la carte, le contrat signé doit être détruit.
La demande d’accord de conservation des données doit préciser le temps de conservation nécessaire au traitement.
Par ailleurs, vous ne devez récolter que les informations qui vous sont nécessaires et exploiter ces données dans le cadre d’une communication transparente. S’il s’agit de statistiques, il faudra en informer le client.
Une adresse électronique à caractère professionnel doit être considérée comme une donnée à caractère personnel si elle permet d’identifier la personne titulaire de cette messagerie. C’est en général le cas quand l’adresse d’une personne permet de l’identifier parmi le personnel dans la mesure où elle comporte ses nom et prénom et un domaine identifiant l’entreprise ou l’organisme (prénom.nom@nomdedomaine.be). Une liste d’e-mails comportant ce type d’information est donc un traitement de données personnelles.