Boîte à outils gestion responsable de données

2.3 Questions - Réponses

13-Sept-2022

28 mins

Dans cette section, vous trouverez des réponses aux questions les plus courantes qui se posent lorsqu’il est question de “protection des données” et de “données responsables”.

Bien qu’il ne soit pas possible d’être exhaustif ici, plusieurs réponses renverront à des sections spécifiques de cette boîte à outils qui fourniront plus de détails et d’explications. Les éléments proviennent de diverses sources : notre propre expérience de praticiens et des documents de référence essentiels comme ceux du Centre of Humanitarian Data, du CICR, de la IFRC, de The Engine Room, de diverses autorités et agences nationales en charge de la protection des données ou de la sécurité des données et des systèmes comme la CNIL, l’ANSSI ou l’OIC.

Le sujet étant en pleine évolution et largement débattu dans le secteur, il se peut que vous trouviez d’autres ressources légèrement différentes dans leurs présentations et leurs messages. Ne vous laissez pas décourager par ce qui pourrait sembler contradictoire au premier abord, le sujet est complexe et peut être abordé sous des angles variés.

TABLE DES MATIÈRES

1. Définitions clés
2. Normes et responsabilités des ONG
3. En ce qui concerne le RGPD…
4. Risques et conséquences
5. Processus de données responsables
6. Je ne suis pas sûr que…
7. Et, aussi …

1. Définitions clés

1.1 Y a-t-il une différence entre “protection des données” et “gestion responsable des données” ?

La gestion responsable des données est le “traitement responsable des données conformément aux normes et principes éthiques dans le contexte humanitaire, en tenant compte des conséquences potentielles et en prenant des mesures pour éviter de mettre en danger les individus ou les communautés” (source 510 Global - une initiative de la Croix-Rouge néerlandaise).

Plus de définitions sur les termes clés dans la section 2.1 Glossaire et définitions clés.

La protection des données est donc une composante de la gestion responsable des données. Elle peut également être interprétée très différemment dans d’autres pays où les autorités considéreront les données de leurs citoyens comme un moyen de surveiller et de contrôler leur population.

Plus d’informations à ce sujet dans la section 2.2 Enjeux et risques.

1.2 La protection des données concerne-t-elle uniquement les données numériques ou également les données papier ?

La protection des données concerne tous les types de données ; il n’y a pas de différence de traitement entre les données numériques et les données papier. Par exemple, les données comprenant les notes manuscrites d’un entretien avec une jeune fille non accompagnée, la photo numérique d’un garçon sur votre appareil photo ou une carte imprimée qui indique les communautés où une ONG prévoit de construire des latrines.

1.3 Quelle est la différence entre la “sécurité des données” et la “protection des données” ?

Les données considérées comme sûres sont-elles protégées ?

La “protection des données” correspond à tous les processus, pratiques et systèmes utilisés pour protéger les informations contre la perte, la corruption ou l’accès par des parties non autorisées. La “sécurité des données” est la mise en œuvre technique de ce qu’exige la protection des données, avec la prévention de l’accès non souhaité/non autorisé aux données.

Par conséquent, des données sécurisées ne sont pas nécessairement protégées. Par exemple, elles peuvent être stockées dans un environnement très sécurisé, mais avec une personne ayant écrit le mot de passe sur un post-it visible par toute personne du bureau.

2. Normes et responsabilités des ONG

2.1 Existe-t-il des standards dans le secteur de l’humanitaire et du développement en protection des données ?

Il n’existe pas de standards, mais ils peuvent être définis dans une certaine mesure conformément au premier principe de la Norme humanitaire fondamentale de Sphère, qui constituent une référence clé pour le secteur.

La Harvard Humanitarian Initiative dispose également du Signal Program, qui “s’efforce de faire progresser l’utilisation sûre, éthique et efficace des technologies de l’information par les communautés de pratique dans les situations d’urgence humanitaire et de droits de l’homme”.

Les ressources produites par le Center of Humanitarian Data et le CICR sont des éléments essentiels que toute personne intéressée par le sujet devrait connaître et examiner.

Plus d’informations à ce sujet dans la section 2.5 Responsabilité des données dans les actions humanitaires.

2.2 En tant qu’ONG, quelles sont mes responsabilités en matière de protection des données ?

Lorsqu’une ONG collecte des données, elle prend le rôle de “responsable de traitement”, devenant ainsi pleinement redevable de l’utilisation des données. Lorsque les données sont personnelles et/ou sensibles, cela signifie qu’elles appartiennent aux “personnes concernées” ; des exemples incluent les bénéficiaires et/ou les employés, mais pas uniquement. En vertu du RGPD européen, les personnes concernées ont des droits d’utilisateur à l’égard de leurs données, et l’ONG sera donc responsable à leur égard.

En tant que responsable du traitement des données, l’ONG peut faire l’objet de demandes et d’enquêtes de la part de diverses parties prenantes telles que les autorités locales et/ou les donateurs. Il est donc essentiel d’avoir une vision claire et une bonne compréhension de ce qu’il advient des données au sein de l’organisation.

Votre responsabilité personnelle dépendra de votre rôle spécifique, ainsi que du type et de la quantité de données que vous traitez, des contrôles que vous exercez sur elles, etc.

Plus d’informations sur les rôles et responsabilités dans la section 4. Le pilier humain et le personnel.

2.3 La protection des données est-elle l’affaire de tous ?

Plus précisément, la protection des données relève-t-elle uniquement de la responsabilité de l’informatique, ou bien est-elle l’affaire de tous ?

Pour être très clair : la protection des données est la responsabilité de tous.

Alors qu’aujourd’hui, nous avons tendance à nous référer aux données principalement sous la forme numérique, il est essentiel de garder à l’esprit que la protection des données et les droits de confidentialité des données englobent les données quelle que soit leur forme, numérique et/ou papier. D’un point de vue juridique, la conformité au RGPD ne peut être atteinte que si l’ensemble de l’organisation s’implique réellement. Ainsi, la responsabilité de la protection des données ne peut pas se limiter aux seuls techniciens informatiques, et est partagée à tout moment par tout le monde, vous compris.

La Responsabilité des données en tant que principe éthique va encore plus loin car elle ne se limite pas aux exigences réglementaires et/techniques. Ceci peut être une véritable opportunité pour rassembler des parties de votre organisation qui auraient parfois pu travailler séparément, pour s’unir et mettre en œuvre des relations légales et éthiques avec les données.

Par exemple, les équipes programmes pourraient bénéficier d’un contact avec leurs collègues de l’informatique, en leur demandant quelles sont les meilleures façons de sécuriser les données qu’elles collectent et d’utiliser les outils informatiques fournis par l’organisation. Ou encore, le chef de mission, le coordinateur administratif et le spécialiste des données de l’équipe peuvent discuter de leur responsabilité commune et s’informer mutuellement des dernières données sensibles collectées, d’une nouvelle réglementation nationale, etc.

Plus d’informations à ce sujet dans la section 6. Application concrète de la gestion responsable des données.

2.4 La protection des données relève-t-elle uniquement de la responsabilité des avocats et des équipes juridiques ?

Pour être très clair, la protection des données est la responsabilité de tous.

Si les composantes juridiques et contractuelles du sujet occupent une place importante dans les discussions et doivent être soigneusement prises en compte lors de l’établissement de contrats avec toute partie prenante (gouvernements, donateurs, employés, consultants, etc.), elles ne sont pas suffisantes. La responsabilité d’adhérer et de traiter les données conformément aux règles et aux cadres définis dans ces contrats est partagée à tout moment par tous.

D’un point de vue juridique, la conformité au RGPD ne peut être atteinte que si l’ensemble de l’organisation s’implique réellement. Ainsi, la responsabilité de la protection des données ne peut pas se limiter aux seuls juristes, et est partagée à tout moment par tout le monde, vous compris.

Plus d’informations à ce sujet dans la section 3. Le pilier juridique et contractuel.

2.5 Quelles sont les règles de protection des données des bailleurs de fonds ?

Que devons-nous suivre pour être en conformité ?

Les règles de protection des données des bailleurs de fonds seront définies dans le contrat que vous avez signé avec eux. Par conséquent, elles doivent être discutées et rédigées avec soin afin de vous assurer que vous pouvez les respecter sans compromettre vos valeurs éthiques ainsi que votre propre conformité au RGPD.

Pour des raisons de responsabilité, les bailleurs de fonds ont tendance à demander l’accès à beaucoup plus de données que ce dont ils ont réellement besoin. Vous pouvez consulter cette étude (en anglais).

Pour être en conformité, vous ne devez partager avec les bailleurs de fonds/partenaires que les données qu’ils sont légalement et éthiquement censés avoir. Vérifiez les détails de votre contrat et commencez par partager les résultats de votre analyse (pas vos ensembles de données détaillées). La plupart du temps, cela devrait être satisfaisant. C’est aussi un excellent moyen d’engager votre bailleur de fond/partenaire dans une discussion saine sur ses besoins concrets en matière de données et sur les limites et les risques du partage de données personnelles ou sensibles.

Du point de vue de la gestion responsable des données, le partage de données personnelles telles que les listes de bénéficiaires est problématique et est en fait assez compliqué à mettre en œuvre de manière responsable. En fait, une telle démarche implique les conditions préalables suivantes :

consentement éclairé, sans ambiguïté et explicite demandé à la personne spécifiquement sur le fait que ses données seront partagées avec le bailleur de fonds,
une demande claire et justifiée avant la collecte des données par le bailleur de fonds (sur la base du “besoin de savoir”) ; et,
des cadres adéquats, tels qu’un accord de partage des données, un droit d’accès de la personne, des politiques de modification et d’oubli, et des limites de stockage.

2.6 Comment pouvons-nous fonctionner et travailler avec des réglementations aussi strictes ?

Il est vrai que les règles de protection des données sont déconcertantes et semblent difficiles à mettre en œuvre et à suivre. Cependant, vous pouvez prendre du recul et ancrer vos réflexions et décisions sur les principes humanitaires bien connus et respectés dans tout le secteur.

Pour simplifier, les règles de protection des données peuvent être des outils puissants pour promouvoir et appliquer les principes humanitaires, en particulier le principe de “ne pas nuire” présent dans tous les programmes humanitaires et de développement.
Les règles de protection des données peuvent également servir à instaurer la confiance entre vous et les populations touchées que vous souhaitez aider.

Et surtout, commencez quelque part et par petites étapes. Vous serez surpris des progrès que l’on peut réaliser avec un peu de temps !

2.7 Quand devons-nous avoir un DPD ou DPO ou un point focal pour la protection des données ?

Bien qu’il ne s’agisse pas d’une obligation, toute organisation qui s’occupe de populations affectées dans des contextes fragiles ou des conflits traite très probablement des données personnelles ou sensibles. Si elle est basée en Europe et/ou reçoit un quelconque financement européen, l’organisation est soumise au RGPD.

Par conséquent, la désignation d’un DPO ou d’un point focal pour la protection des données est une bonne pratique. Cette personne aidera à cartographier vos processus de données et à identifier les lacunes/faiblesses, conditions préalables à l’investissement dans des mesures d’atténuation potentielles. En fonction de votre taille et de vos ressources, ce rôle peut être une autre “casquette” attribuée à une fonction existante, telle que MEAL, IT, RH ou juridique.

Plus d’informations à ce sujet dans la section 4. Le pilier humain et le personnel.

2.8 Nous n’avons pas de spécialiste juridique/informatique. Puis-je trouver des réponses dans cette boîte à outils ?

Nous l’espérons ! Bien que chaque organisation et chaque situation soient uniques, vous trouverez des ressources et des documents qui devraient vous aider à avoir au moins une meilleure compréhension de vos propres circonstances spécifiques.

3. En ce qui concerne le RGPD…

3.1 Quelles sont les mesures clés du RGPD auxquelles je dois me conformer en tant qu’ONG ?

En tant qu’ONG, vous avez les mêmes obligations d’adhérer au RGPD que toute entreprise.

Si cela peut paraître compliqué, en résumé, il s’agit pour les organisations de prendre du recul, d’identifier dans quels programmes et activités elles traitent des données personnelles ou sensibles, puis, idéalement, de pouvoir expliquer pour chaque “flux de données” qui fait quoi exactement.

Cet exercice de “cartographie des données” prend du temps, mais constitue un excellent moyen d’inciter les membres de votre équipe à relever ensemble ce défi. Il mettra très certainement en évidence les bonnes pratiques que vous mettez déjà en œuvre ; par exemple, vous vous appuyez déjà sur une infrastructure informatique solide qui garantit un bon niveau de sécurité de vos données. Elle mettra également en évidence les lacunes qui nécessitent une réflexion et éclairent les décisions ; par exemple, vous pourriez vous rendre compte qu’il n’est pas clair qui est chargé de classer et d’archiver vos données.

Il est difficile d’être totalement conforme au RGPD, mais le plus important est de commencer quelque part. Beaucoup de choses peuvent être réalisées sans investissement supplémentaire autre que le bon sens. L’objectif primordial est de protéger et de respecter l’intégrité des personnes que vous souhaitez servir et soutenir, ainsi que de vos employés.

Cette boîte à outils vous donnera, nous l’espérons, quelques idées, des points de départ et des conseils pour aller de l’avant. Prenez un peu de temps et choisissez une section.

3.2 Les règles du RGPD s’appliquent-elles uniquement aux données collectées à partir de mai 2018 ?

Plus précisément, les règles du RGP s’appliquent-elles également aux données précédemment collectées et stockées par l’organisation ?

Légalement, les règles du RGPD ne s’appliquent qu’aux données collectées après mai 2018. Cependant, conserver les données pour toujours n’est pas conforme au RGPD.

D’un point de vue éthique, vous devez appliquer les principes de gestion responsable à toutes vos données, plus particulièrement la “minimisation des données”. En outre, toutes les données doivent avoir une “date de fin” et être détruites à un moment prédéfini. On a tendance à conserver (et à oublier) les données pour toujours, une tendance amplifiée dans les secteurs de l’humanitaire et du développement en raison de la forte rotation du personnel. En tant que telle, cette tendance peut entraîner des erreurs et une désinformation lorsque, accidentellement ou non, des données obsolètes sont utilisées.

Plus d’informations sur le concept d’“Info Sobriété” avec un webinaire de CartONG en français.

3.3 Quelles autres lois sur la protection des données existent dans le monde en dehors de l’UE/RGPD ?

Le RGPD est certainement la loi de protection des données la plus “forte” au monde, visant à protéger les données personnelles et la vie privée de ses citoyens. La plupart des pays du monde ont maintenant suivi et ont mis en place des lois sur la protection des données qui doivent être examinées attentivement car elles diffèrent parfois du RGPD européen et sont contradictoires.

Naviguer dans les différentes couches de règlementations et d’obligations légales et contractuelles est une tâche complexe et fastidieuse (mais nécessaire) pour les ONG, sans réponse simple.

En effet, l’existence de lois sur la protection des données n’implique pas nécessairement le respect des droits humains ou des principes humanitaires.

Il existe des exemples frappants et connus où les lois vont favoriser ou encourager la surveillance de la population comme outil puissant de lutte contre l’insécurité ou le terrorisme.

Plus d’informations à ce sujet dans la section 3. Le pilier juridique et contractuel.

Il existe plusieurs outils permettant d’afficher et de comparer les lois sur la protection des données :

4. Risques et conséquences

4.1 Quel pourrait être le risque d’une mauvaise protection des données pour les bénéficiaires/le personnel des ONG ?

Les risques décrivent la probabilité et l’impact de la survenue d’un événement nuisible.

Le risque d’une violation des données pour un bénéficiaire (mais aussi pour des groupes de personnes, des communautés, etc :

un préjudice tangible (y compris les dommages corporels, la perte de liberté ou de liberté de mouvement, les dommages aux personnes ou aux biens, ou tout autre préjudice tangible),
préjudice psychologique (y compris gêne/anxiété, (re)traumatisme ou autre préjudice psychologique).
préjudice social (y compris discrimination/stigmatisation, perte de confiance, persécution ou autres préjudices sociaux), ou
un préjudice économique, qui peut inclure : perte financière, perte d’opportunités économiques, autre préjudice économique.

Pour le personnel d’une ONG, certains de ces risques existent également, car un problème de protection des données pourrait faire d’eux la cible d’un groupe de personnes, entraînant ainsi des préjudices tangibles, psychologiques, sociaux ou économiques.

4.2 Quels sont les plus grands risques en termes de protection des données au niveau de l’organisation ?

Sont-ils uniquement financiers et liés à la réputation ?

Les types de risques organisationnels liés à la protection des données auxquels il faut se préparer sont les suivants :

réputation : en cas de fuite de données, la confiance des bénéficiaires et des partenaires pourrait être érodée, que cela ait des conséquences directes ou non,
financières : amendes, rançongiciels, fermeture de projets ou perte de nouveaux projets,
opérationnel : efficacité réduite, opportunités manquées et restriction de l’accès humanitaire en raison de la perte ou du vol de données, et/ou positionnement éthique.

4.3 Qu’entendez-vous par “violation de données” ?

Une violation des données signifie une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données, de manière accidentelle ou illégale. Cela inclut les violations qui résultent de causes accidentelles et délibérées. Cela signifie également qu’une violation ne se limite pas à la perte de données personnelles.

Le degré de gravité et les conséquences de toute violation de données dépendront de la nature et de l’utilisation des données, allant de l’inconséquence à la mise en danger de la vie des personnes concernées.

Voici quelques exemples de violations de données personnelles et sensibles :

les données auxquelles un intervenant non autorisé a accès (ex : un ancien employé a toujours accès aux bases de données de l’organisation, ou des serveurs sont piratés dans le but de copier les listes de bénéficiaires),
actions (ou inactions) délibérées ou accidentelles d’une partie prenante (ex : des documents confidentiels sont oubliés dans l’imprimante),
envoyer des données personnelles à un destinataire incorrect par courrier électronique (ex : en cliquant sur “répondre à tous”),
la perte ou le vol de périphériques informatiques contenant des données personnelles (ex : les fichiers personnels copiés sur une clé USB sont perdus),
modification des données personnelles sans autorisation (ex : par erreur, un membre du personnel supprime le contenu d’un fichier sensible, qui n’était pas protégé par un mot de passe), et/ou
la perte d’accès ou de disponibilité des données.

Une violation de données à caractère personnel peut être définie de manière générale comme un incident de sécurité ayant affecté la confidentialité, l’intégrité ou la disponibilité des données à caractère personnel. En résumé, il y a violation des données à caractère personnel lorsque des données à caractère personnel sont : accidentellement perdues, détruites, corrompues ou divulguées, consultées sans autorisation appropriée, ou rendues indisponibles, cette indisponibilité ayant un effet négatif sur les personnes concernées.

5. Processus de données responsables

5.1 En tant qu’ONG, pouvons-nous travailler sans données personnelles et sensibles ?

Ce serait compliqué mais pas impossible.

Moins vous avez de données personnelles et sensibles à traiter, moins vous avez d’obligations juridiques et techniques à respecter et à mettre en œuvre. La rationalisation de vos besoins en matière de données conformément aux principes de “minimisation” et de “proportionnalité” peut grandement contribuer à simplifier vos pratiques, processus et procédures en la matière.

Il peut certes être difficile d’éliminer toutes les données personnelles et sensibles ; par exemple, une organisation médicale aura du mal à fonctionner sans les dossiers et les données des patients. Cependant, il existe des mesures de base que vous devriez prendre pour équilibrer les besoins de votre opération avec les dilemmes et risques éthiques potentiels, qui dépendent fortement du contexte.

Tout d’abord, vous devez reconnaître que, par le passé, vous avez et continuez à collecter, conserver et utiliser un grand nombre de données, parfois personnelles et sensibles.
Ensuite, vous devez inventorier tous les types de données personnelles et sensibles que vous collectez, stockez, manipulez et analysez : dans quel but (pourquoi ?), avec quels outils (comment ?), qui fait quoi, et qui est responsable ?

Ce n’est qu’alors que vous pourrez prendre des décisions éclairées sur la gestion de vos données. Dans le jargon de la protection des données, cela s’appelle une analyse d’impact sur la protection des données (AIPD).

5.2 Le consentement est déjà recueilli lors de la collecte de données, est-ce le même ?

C’est en effet déroutant.

Le “consentement”, selon le RGPD, est l’une des bases juridiques justifiant un traitement licite. Il est strictement défini et entraîne l’application des droits des personnes concernées, qui comprennent le droit d’accès, le droit de rectification, le droit à l’effacement, le droit à la limitation du traitement, le droit à la portabilité des données, le droit d’opposition et le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé.

En pratique, cela peut s’avérer extrêmement difficile (ou tout simplement impossible) à mettre en œuvre dans les pays d’intervention pour les acteurs de l’humanitaire et du développement. Réfléchissez à quel point il est réaliste d’informer les bénéficiaires qu’ils peuvent avoir accès à leurs données et les examiner.

C’est pourquoi, pour tout traitement de données personnelles ou sensibles, l’organisation doit définir sa finalité et l’associer à la base juridique appropriée.

Plus d’informations à ce sujet dans la section 2.1 Définitions clés et dans la section 2.7 Concepts clés à maîtriser.

5.3 Quels outils puis-je utiliser en toute sécurité ? Lesquels de ces outils sont conformes au RGPD ?

Aucun outil n’est parfait !
La conformité dépendra principalement des données pour lesquelles vous l’utilisez et de la manière dont vous l’utilisez.

Vous devrez consacrer du temps ou faire en sorte qu’un membre de votre équipe sache comment “ lire et comprendre” les aspects techniques, les limites et les paramètres de l’outil choisi en fonction de l’usage que vous souhaitez en faire (ce qui vous permettra d’identifier les risques et les inconvénients potentiels).

CartONG a par exemple produit une étude comparative sur les outils de collecte de données mobiles (MDC), qui met en évidence leur fonctionnalité par rapport aux principes de protection des données.

En outre, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dispose de listes de partenaires de confiance et de technologies qualifiées qui sont garantis de respecter les règles et protocoles nationaux visant à sécuriser et à protéger les données.

5.4 Si toutes les données sont envoyées au siège (ou au bureau régional ou de la capitale), est-ce plus sûr ?

Une centralisation des données n’implique pas nécessairement une meilleure protection. Cela dépendra du degré de sécurité du lieu de stockage associé, des personnes qui auront accès aux données, ainsi que des procédures et outils mis en place pour collecter/envoyer les données vers le lieu de stockage centralisé. Si ces trois aspects sont toutefois bien pensés en termes de protection des données, cela peut entraîner une meilleure protection globale des données. Ce faisant, on limite le risque de multiplier les solutions de stockage locales et non sécurisées.

5.5 La consultation ou l’accès à des données est-elle considérée comme un traitement de données ?

Oui. Selon l’article 4 du RGPD, un “traitement” est défini comme “toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction”.

5.6 Comment réagir lorsque je reçois des fichiers avec des données personnelles/sensibles que je n’étais pas censé voir ?

Que dois-je faire pour partager des données en toute sécurité ?

Tout d’abord, il faut se méfier de l’ouverture de tout document non sollicité joint à un courriel : il peut s’agir de spams, de logiciels malveillants ou de virus, qui peuvent déclencher des problèmes et des conséquences bien plus ennuyeux une fois ouverts.

Techniquement, cela serait considéré comme une violation de données, mais la réponse adéquate dépendrait aussi fortement du contenu.

La plupart du temps, de telles situations résultent d’une simple erreur de l’utilisateur. Dans ce cas, il est préférable d’entrer en contact avec l’expéditeur (sans lui répondre avec le fichier joint) et de soulever le problème avec lui. Une fois que vous aurez conclu qu’il s’agit d’une erreur, vous pourrez supprimer le fichier de votre côté. C’est aussi l’occasion de sensibiliser les gens à ce sujet.

Si l’intention était de vous envoyer les données, vous pourriez réfléchir au degré de sécurité des transferts par e-mail. Peut-être que quelque chose de simple comme le partage d’un lien vers un dossier protégé aurait été plus approprié. La plupart des services Cloud proposent gratuitement le partage sécurisé de documents.

Si vous trouvez des fichiers non protégés contenant des données personnelles ou sensibles sur un ordinateur/disque dur/clé USB, n’agissez pas de votre propre chef et décidez de conserver ou de supprimer les données. Signalez-le à votre point focal pour la protection des données, au service informatique ou juridique, ou à votre supérieur hiérarchique. Encore une fois, il peut s’agir d’une simple erreur ou d’une faille dans votre système qui pourrait conduire à un enregistrement plus formel de violation de données.
… Et surtout “si vous voyez quelque chose, dites-le” !

6. Je ne suis pas sûr que…

Je ne suis pas sûr que les données soient sensibles. Je ne suis pas sûr que cet outil soit sécurisé. Je ne suis pas sûr que je doive avoir accès à ces données. Je ne suis pas sûr que je doive transférer ces données.

… En cas de doute, et pour éviter tout préjudice, adoptez une approche conservatrice et n’agissez pas avant d’avoir demandé ou vérifié auprès de votre responsable, du point focal de la protection des données et/ou du spécialiste informatique.
Mieux vaut prévenir que guérir !

7. Et, aussi …

Devrions-nous gérer différemment les données dépersonnalisées ou pseudonymisées, par rapport à un ensemble de données contenant des IIP ?
Qu’est-ce qu’un VPN ? A quoi sert-il ? Quand dois-je l’utiliser ?
Le fait de consulter ou d’avoir accès à des données est-il considéré comme un traitement de données ?
Mots de passe : à quelle fréquence dois-je les changer ? Quelle est l’utilité d’un gestionnaire de mots de passe ?
Disques durs / clés USB : peut-on y stocker tout type de données, y compris des informations sensibles ? Est-il plus sûr de le faire ?
Anonymisation, pseudonymisation : quelle est la différence et comment puis-je anonymiser un ensemble de données ?

Ces questions spécifiques trouveront une réponse dans la section 6 - Applications concrètes de la gestion responsable des données.