Traiter des données personnelles

Quelles sont les mesures de protection à appliquer ?

Est-ce que ma recherche implique des risques, des enjeux importants pour les personnes concernées ?

Le recueil du consentement est-il réalisable ?

Les données concernent-elles une personne vivante ?

Les données sont-elles nécessaires à la recherche ?

De quel type de donnée s'agit-il ?

6 questions à se poser lorsqu'on traite des données personnelles

de quel type de donnée s'agit-il ?

Données directement identifiantes

combinaison de données

autres données

Données dérivées

Données sensibles

Données indirectement identifiantes

Pas de réutilisation

Réutilisation des données brutes ou protégées possible avec consentement

non

oui

Les données sont-elles nécessaires à la recherche ?

Réutilisation possible sans consentement

Réutilisation des données brutes ou protégées possible avec consentement

non

oui

Les données concernent-elles une personne vivante ?

Réutilisation possible avec anonymisation stricte

oui en déployant des mesures disproportionnées

Pas de réutilisation

Réutilisation des données brutes ou protégées possible avec consentement

non

oui

Le recueil du consentement est-il réalisable ?

Anonymisation

Logique de classement

Modalités d'accès

Supports & outils

Chiffrement

Anonymisation stricte

Réutilisation des données brutes

pour le stockage & l'archivage

Pseudonymisation

pour la diffusion

Quelles sont les mesures de protection à appliquer ?

Contacter le DPO

Réutilisation des données brutes ou protégées possible avec consentement

non

oui

Est-ce que ma recherche implique des risques, des enjeux importants pour les personnes concernées ?

La réutilisation des données sensibles est uniquement possible dans les cas suivants :

• si la personne concernée a donné son consentement exprès, c'est-à-dire qu'il doit être libre, spécifique et explicite (de manière écrite) ;
• si les informations sont manifestement rendues publiques par la personne concernée ;
• si elles sont nécessaires à la sauvegarde de la vie humaine ;
• si leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL ;
• si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

ATTENTION

Il s'agit de données qui permettent d'identifier une personne de manière univoque :

Données directement identifiantes

• Nom
• Prénom
• Voix
• Visage
• Mail nominatif...

La réutilisation des données sensibles est uniquement possible dans les cas suivants :

• si la personne concernée a donné son consentement exprès, c'est-à-dire qu'il doit être libre, spécifique et explicite (de manière écrite) ;
• si les informations sont manifestement rendues publiques par la personne concernée ;
• si elles sont nécessaires à la sauvegarde de la vie humaine ;
• si leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL ;
• si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

ATTENTION

Le processus d’anonymisation vise à éliminer toute possibilité de ré-identification, l'exploitation future des données est ainsi limitée à certains types d’utilisation. Deux procédés permettent d'anonymiser des données :

• La randomisation consiste à modifier les attributs dans un jeu de données de telle sorte qu'elles soient moins précises, tout en conservant la répartition globale. Cette technique permet de protéger le jeu de données du risque d’inférence.
• La généralisation consiste à modifier l’échelle des attributs des jeux de données, ou leur ordre de grandeur, afin de s’assurer qu’ils soient communs à un ensemble de personnes. Cette technique permet d’éviter l’individualisation d’un jeu de données. Elle limite également les possibles corrélations du jeu de données avec d’autres.

ANONYMISER

La réutilisation des données sensibles est uniquement possible dans les cas suivants :

• si la personne concernée a donné son consentement exprès, c'est-à-dire qu'il doit être libre, spécifique et explicite (de manière écrite) ;
• si les informations sont manifestement rendues publiques par la personne concernée ;
• si elles sont nécessaires à la sauvegarde de la vie humaine ;
• si leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL ;
• si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

ATTENTION

La réutilisation des données sensibles est uniquement possible dans les cas suivants :

• si la personne concernée a donné son consentement exprès, c'est-à-dire qu'il doit être libre, spécifique et explicite (de manière écrite) ;
• si les informations sont manifestement rendues publiques par la personne concernée ;
• si elles sont nécessaires à la sauvegarde de la vie humaine ;
• si leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL ;
• si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

ATTENTION

CHIFFRER

Le chiffrement permet à la fois d'assurer la confidentialité et l'intégrité des données.

• Le chiffrement symétrique permet de chiffrer et de déchiffrer un contenu avec la même clé, appelée alors la « clé secrète ».
• Le chiffrement asymétrique suppose que le (futur) destinataire est muni d’une paire de clés (clé privée, clé publique) et qu’il a fait en sorte que les émetteurs potentiels aient accès à sa clé publique. Dans ce cas, l’émetteur utilise la clé publique du destinataire pour chiffrer le message tandis que le destinataire utilise sa clé privée pour le déchiffrer.
• Le chiffrement hybride implique qu'une clé secrète soit déterminée par une des deux parties et qu'elle soit envoyée chiffrée par un chiffrement asymétrique. Une fois connue des deux parties, celles-ci communiquent en chiffrant symétriquement leurs échanges.

Pour assurer l'intégrité des données, il est également possible d'utiliser une fonction de hachage simple ou à clé. Une « fonction de hachage » permet d’associer à un message, à un fichier ou à un répertoire, une empreinte unique calculable et vérifiable par tous. Cette empreinte est souvent matérialisée par une longue suite de chiffres et de lettres précédées du nom de l’algorithme utilisé, par exemple « SHA2» ou « SHA256 ». Dans le cas d'une fonction de hachage à clé, le calcul de l'empreinte s'effectue à l'aide d'une clé secrète.

La réutilisation des données sensibles est uniquement possible dans les cas suivants :

• si la personne concernée a donné son consentement exprès, c'est-à-dire qu'il doit être libre, spécifique et explicite (de manière écrite) ;
• si les informations sont manifestement rendues publiques par la personne concernée ;
• si elles sont nécessaires à la sauvegarde de la vie humaine ;
• si leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL ;
• si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

ATTENTION

SUPPORTS & OUTILS

Le choix du support va influencer le choix du ou des outils de stockage, ainsi que les modalités d'accès. L'idéal est de privilégier des outils souverains (hébergés en France) ou de confiance, de répartir les données dans différents espaces de stockage et d'utiliser des tables de correspondance.

Où trouver des formulaires de consentement ?

Retrouvez des formulaires modèles dans les annexes du guide juridique

La réutilisation des données sensibles est uniquement possible dans les cas suivants :

• si la personne concernée a donné son consentement exprès, c'est-à-dire qu'il doit être libre, spécifique et explicite (de manière écrite) ;
• si les informations sont manifestement rendues publiques par la personne concernée ;
• si elles sont nécessaires à la sauvegarde de la vie humaine ;
• si leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL ;
• si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

ATTENTION

Qu'est-ce qu'une anonymisation stricte ?

Une anonymisation stricte est une anonymisation pleine et entière de toutes les données, c'est-à-dire qu'il doit être totalement impossible d'identifier ou de réidentifier par recoupement des sources la ou les personnes concerné·es.

PSEUDONYMISER

L'objectif est de faire en sorte qu'il ne soit plus possible d'attribuer les données relatives à une personne physique sans information supplémentaire. Concrètement la pseudonymisation consiste à remplacer les données directement identifiantes (nom, prénom, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro séquentiel, etc.). Même si elle limite les risques, l’opération de pseudonymisation est réversible et il est bien souvent possible de retrouver l’identité des personnes grâce à des données tierces.

Le processus d’anonymisation vise à éliminer toute possibilité de ré-identification, l'exploitation future des données est ainsi limitée à certains types d’utilisation. Deux procédés permettent d'anonymiser des données :

• La randomisation consiste à modifier les attributs dans un jeu de données de telle sorte qu'elles soient moins précises, tout en conservant la répartition globale. Cette technique permet de protéger le jeu de données du risque d’inférence.
• La généralisation consiste à modifier l’échelle des attributs des jeux de données, ou leur ordre de grandeur, afin de s’assurer qu’ils soient communs à un ensemble de personnes. Cette technique permet d’éviter l’individualisation d’un jeu de données. Elle limite également les possibles corrélations du jeu de données avec d’autres.

ANONYMISER

ATTENTION

Dans le cadre du RGPD, les droits individuels sur la protection des données à caractère personnel ne sont plus maintenus après le décès de la personne concernée. Cependant, si des directives ont été définies par la·le défunt·e, la réutilisation des données doit se réaliser conformément au RGPD et à la loi Informatique et liberté du 6 janvier 1978, modifiée en 2004. Les proches et ayant droits peuvent en effet saisir les tribunaux s’ils s’estiment lésés par le traitement des données du·e la·e défunt·e ou lorsque l’utilisation des données portant atteinte à sa mémoire, sa réputation, son honneur ou cause tout autre type de préjudice aux ayant droits.

Combinaison de données indirectement identifiantes, dérivées et/ou sensibles qui permet d'identifier une personne par recoupement de sources d'informations

Combinaison de données

• Pseudonyme + Employeur + Intitulé de poste​
• N° étudiant + Titre du mémoire
• Date de naissance + Genre + Géolocalisation

ATTENTION

La réutilisation des données brutes est uniquement possible si vous avez l'autorisation de la personne concernée. L'autorisation doit être libre, spécifique et explicite. S'il s'agit de données sensibles, assurez-vous que l'un des cas suivants s'applique :

• la personne concernée a donné son consentement exprès, c'est-à-dire qu'il doit être libre, spécifique et explicite (de manière écrite) ;
• les informations sont manifestement rendues publiques par la personne concernée ;
• les données sont nécessaires à la sauvegarde de la vie humaine ;
• l'utilisation est justifiée par l'intérêt public et autorisé par la CNIL ;
• les données concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

La réutilisation des données sensibles est uniquement possible dans les cas suivants :

• si la personne concernée a donné son consentement exprès, c'est-à-dire qu'il doit être libre, spécifique et explicite (de manière écrite) ;
• si les informations sont manifestement rendues publiques par la personne concernée ;
• si elles sont nécessaires à la sauvegarde de la vie humaine ;
• si leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL ;
• si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

ATTENTION

La réutilisation des données sensibles est uniquement possible dans les cas suivants :

• si la personne concernée a donné son consentement exprès, c'est-à-dire qu'il doit être libre, spécifique et explicite (de manière écrite) ;
• si les informations sont manifestement rendues publiques par la personne concernée ;
• si elles sont nécessaires à la sauvegarde de la vie humaine ;
• si leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL ;
• si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

ATTENTION

Les enjeux économiques et stratégiques de certaines entreprises ou organismes peuvent attribuer un caractère sensible à des informations, qui dans un autre contexte ne le seraient pas. Assuez-vous d'avoir l'autorisation de l'entreprise pour exploiter et diffuser les informations qui vous intéressent.

Autres données

• Données bancaires, financières
• Données commerciales
• Données industrielles
• Données stratégiques
• Données judiciaires...

La réutilisation des données sensibles est uniquement possible dans les cas suivants :

• si la personne concernée a donné son consentement exprès, c'est-à-dire qu'il doit être libre, spécifique et explicite (de manière écrite) ;
• si les informations sont manifestement rendues publiques par la personne concernée ;
• si elles sont nécessaires à la sauvegarde de la vie humaine ;
• si leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL ;
• si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

ATTENTION

Il s'agit de données qui permettent de d'identifier une personne par le biais d'une source d'information tierce :

Données indirectement identifiantes

• Pseudonyme
• Numéro étudiant
• Numéro de sécurité sociale
• Adresse IP...

Il s'agit de données qui caractérisent une personne et dont l'exposition peut porter préjudice​ :

Données sensibles

Le règlement européen interdit de recueillir ou d’utiliser ces données, sauf dans les cas suivants :

• si la personne concernée a donné son consentement exprès, c'est-à-dire libre, spécifique et explicite (de préférence de manière écrite) ;

• si les informations sont manifestement rendues publiques par la personne concernée ;
• si elles sont nécessaires à la sauvegarde de la vie humaine ;
• si leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL ;
• si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

• Origines raciales ou ethniques prétendues ;
• Opinions politiques, religieuses ou philosophiques ;
• Appartenance syndicale ;
• Informations génétiques et biométriques ;
• Informations de santé ;
• Vie et orientation sexuelle.

Qu'est-ce qu'une anonymisation stricte ?

Une anonymisation stricte est une anonymisation pleine et entière de toutes les données, c'est-à-dire qu'il doit être totalement impossible d'identifier ou de réidentifier par recoupement des sources la ou les personnes concerné·es.

Ces données sont à manipuler avec autant de précaution que les données personnelles, car elles permettent souvent, par recoupement des sources, de réidentifier la personne.

Données qui deviennent personnelles uniquement lorsqu'elles sont rattachées à un individu :

Données dérivées

• loisirs
• lieu de travail
• employeur
• intitulé de poste
• date de naissance
• adresse postale
• genre...

CLASSEMENT

Le classement doit être logique et pratique et faciliter le travail de recherche en cas de demande. Il peut s'agir d'un classement par date, par type de données, par ordre alphabétique de nom...

ACCES

L'accès doit impérativement être sécurisé. Le niveau de sécurité est à définir en fonction des risques et enjeux évalués au préalable. Il peut s'agir d'un mot de passe, d'une mise sous scellée, d'un accès restreint, d'un chiffrement...

CNIL, « L’anonymisation de données personnelles », CNIL, 19 mai 2020, consulté le 28 février 2024, URL : https://www.cnil.fr/fr/lanonymisation-de-donnees-personnelles.

Qu'est-ce que l'anonymisation ?

"L’anonymisation est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible." Deux procédés d'anonymisation sont possibles :

• La randomisation, qui "consiste à modifier les attributs dans un jeu de données de telle sorte qu'elles soient moins précises, tout en conservant la répartition globale."
• La généralisation, qui "consiste à modifier l’échelle des attributs des jeux de données, ou leur ordre de grandeur, afin de s’assurer qu’ils soient communs à un ensemble de personnes."

La réutilisation des données sensibles est uniquement possible dans les cas suivants :

• si la personne concernée a donné son consentement exprès, c'est-à-dire qu'il doit être libre, spécifique et explicite (de manière écrite) ;
• si les informations sont manifestement rendues publiques par la personne concernée ;
• si elles sont nécessaires à la sauvegarde de la vie humaine ;
• si leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL ;
• si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

ATTENTION