Les règles d’or du RGPD – un gage de confiance

Le RGPD est un gage de confiance, de transparence et de responsabilité pour l’usage de données personnelles de vos usagers, clients, salariés ou administrés

1 – Licéité du traitement

Le traitement doit être conforme au droit général.

Il devra donc soit être expressément permis soit ne pas être interdit !

Il ne peut êtres mis en œuvre que s’il respecte : la finalité du traitement, que les données du traitement sont minimisées et la personne doit pouvoir à tout moment retirer son consentement.

Pour être permis, il doit respecter au moins l’une des 6 conditions suivantes :

La personne concernée a consenti au traitement de ses données personnelles, pour une ou plusieurs finalités spécifiques.

LE RGPD définit le consentement par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fasse l’objet d’un traitement;

Le consentement doit être Libre, spécifique, éclairé et univoque :

Libre : La personne doit pouvoir refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat sans subir aucune conséquence négative en cas de refus.

Spécifique : chaque finalité nécessite un consentement. Ex.: le consentement des CGV est nécessaire à l’exécution du contrat, mais la transmission des données à des fins de prospection ne l’est pas. Il doit donc y avoir une seconde demande de consentement qui peut être refusé par la personne.

Éclairé : La personne doit connaitre la finalité du traitement lorsqu’elle donne sont consentement, quelles données sont collectées, comment se rétracter et qui est le responsable du traitement

Exemple de carte de fidélité qui respecte le consentement des personnes
Capture d’écran du MOOC ‘l’atelier RGPD’ de la CNIL CC BY-ND-NC 3.0 FR 

Univoque : Le consentement ne pas peut venir de l’inaction de la personne ni d’une acceptation globale d’un contrat ou d’une case pré cochée.

Exemple : l’inscription d’un nouvel utilisateur à un service ne peut servir de consentement pour l’envoi de lettres d’informations.

Condition particulière pour les mineurs de moins de 15 ans

Les mineurs de moins de 15 ans ne peuvent pas consentir eux-mêmes aux traitements de leurs données.

La preuve de consentement

Le responsable du traitement des données personnelles doit à tout moment être en mesure de fournir la preuve qu’il a reçu le consentement avec la mise en place de mécanisme de consentement non contraint , séparé par finalité, éclairant pour la personne et univoque.

Un consentement recueilli avec le RGPD (2018) doit être mis à jour pour servir de preuve de consentement.

Le traitement est nécessaire à l’exécution du contrat ou du service demandé par la personne concernée

Par exemple, pour livrer un colis, le vendeur a besoin de coordonnées postales.

Le traitement est nécessaire au respect d’une obligation légale

Par exemple un employeur doit mettre en place un traitement de données en vue d’obligations déclaratives, sociales ou fiscales.

Le traitement des données est nécessaire pour l’intégrité vitale d’une personne physique

Ce fondement n’est possible que s’il est impossible de recourir à un autre fondement, lorsque par exemple elle est en incapacité physique d’exprimer son consentement.

Par exemple : épidémie, catastrophe, rapatriement d’urgence…

Le traitement est d’intérêt public

Par exemple : la gestion des inscriptions scolaires

Le traitement est nécessaire et légitime à la finalité du traitement

La personne concernée peut elle raisonnablement s’attendre à ce que ces données fassent l’objet d’un traitement çà des fins spécifiques .

Une association aura un intérêt légitime à communiquer auprès de ces membres.

2 – Finalité du traitement

La finalité délimite le périmètre d’exploitation des données

Les données personnelles ne peuvent être collectées qu’avec une finalité définie et légitime.

C’est le principe clef qui définit tous les autres principes du RGPD.
Pendant combien de temps vont servir ces données , A quoi vont-elles servir ? Qui pourra y accéder ?
Il n’est pas possible de collecter des données « au cas où elle pourrait , un jour, servir à quelque chose ».

La collecte des données doit être légitime. Il n’est pas possible de collecter des données justes parce que les moyens techniques existent.

Par exemple l’objectif : « Analyser la navigation » n’est pas suffisamment déterminée : il faut préciser l’exploitation prévue des résultats d’analyse.
De même, géolocaliser l’usager d’une application mobile de discussion n’est pas légitime.

Délimité l’usage des données à pour objectifs d’empêcher les détournements d’usages.

Exemple d’objectifs de récole de données et de détournement des usages.

Objectif de collecte : Suivi de l’expédition d’un colis
Détournement : Transmission d’adresse mail à un tiers dans un but de prospection commerciale,

Objectif de collecte : Fichier des inscriptions scolaire
Détournement : un élu utilise ces données pour faire de la communication politique

Le détournement de finalité peut s’élever au pénal à 300 000 € d’amande et 5 ans de prison et une sanction administrative de 4% du chiffre d’affaire annuelle.

Faire évoluer les objectifs du traitement des données

Il reste possible de déterminé une nouvelle finalité compatible avec la finalité initiale. Par principe, le traitement des données à des fins, archiviste et d’intérêt public, de recherche scientifique ou historique et statistique sont compatible avec l’évolution d’objectif de traitement des données.

D’autres finalités pour être considéré comme compatible s’il existe un lien entre les deux finalités. Que les personnes concernées sont informées de la nature du changement, donnent leur consentement et que les données restent protégées.

3 – Minimisation des données

Seules les données strictement nécessaires pour atteindre la finalité du traitement peuvent être collectées et traitées.

Les données doivent être adéquates, pertinentes et limiter à ce qui est nécessaire pour réaliste l’objectif de finalité défini.

Certaines données peuvent être collectées e manière facultative si la personne en est informée et quelle pet choisir de les communiquer ou non.

Exemple : Pour une carte de fidélité, la collecte facultative de la date de naissance peut octroyer des avantages supplémentaires (offre d’anniversaire).

Pour vérifier que vous respectez bien le principe de minification, posez-vous ces questions :

Les données récoltées doivent être tenues à jour et rester exactes, toutes données inexactes doivent être retirées sans tarder !

Pertinence de la collecte

La date de naissance est elle strictement nécessaire ?

Exemple :

  • Pour une lettre d’information, les seules données pertinentes sont le nom de prénom et l’adresse email.
  • Pour mieux connaitre son lectorat, les besoins peuvent êtes satisfait en collectant une tranche d’âge.

Un Exemple de bonne pratique

L’ajout d’un formulaire de contact sur un site internet.

Quelle est la finalité de ce formulaire : « Répondre à la personne qui me contacte »

Ce formulaire doit recueillir uniquement l’adresse email ou le numéro de téléphone de la personne qui me contacte. Il sera possible de demander plus d’informations dans un second temps si cela s’avère pertinent.

4 – Protection particulière des données sensibles

Les données sensibles ne peuvent être collectées que sous certaines conditions

Ce sont des données qui touchent à l’intimité de l’individu, voir à l’identité humaine et dont un mauvais usage représente un risque élevé pour les personnes !

Ces données sensibles sont :

Les données dites « sensibles »

Leur récolte est interdite par principe par le RGPD.

Elle concerne :

  • L’origine raciale ou ethnique,
  • les opinions politiques,
  • les convictions philosophiques ou religieuses,
  • l’appartenance syndicale,
  • la santé physique ou mentale,
  • la vie et l’orientation sexuelle,
  • les données génétiques,
  • les données biométriques d’identification à caractère unique.
  • Les données personnelles relatives aux condamnations pénales, des infractions et aux mesures de suretés. (Ces données ne peuvent être traitées que par les juridictions, autorités publiques, personnes et organismes de défenses)

La liste des données dites « sensibles » est limitative et ne concerne pas les données présentant une sensibilité ou un enjeu fort tel que les données bancaires.

Exceptions :

  • Fourni avec consentement explicite par la personne (en plus de devoir être libre, spécifique, éclairé, univoque et facilement révocable) par exemple en ajoutant une case de recueil de consentement non précoché spécifiquement dédié au traitement des données sensibles.
  • nécessaire aux obligations en droit du travail et sociales
  • nécessaire à la sauvegarde des intérêts de la personne
  • traitée pour la gestion des membres d’un organisme à but non lucratif
  • manifestement rendu public par la personne concernée
  • nécessaire à des motifs d’intérêt public, de justice, médicale

Pour mettre en œuvre un traitement de données sensible, le responsable du traitement devra donc justifier la base légale et l’exception la plus pertinente

Le numéro de sécurité sociale

Le numéro de sécurité social est un moyen d’identification unique et un moyen d’identifier avec certitude. Sa collecte est encadrée de manière très stricte aux regards des risques qu’il présente.

5 – Conservation limitée des données

Dès que la finalité est atteinte, les données collectées doivent être supprimées, archivées ou anonymisées

Les données doivent être traitées pendant une durée cohérente avec l’objectif poursuivi, soit :

  • Une durée fixe de conservation
  • Une durée déterminée par un critère objectif

Une fois le délai passé, les données doivent être effacées, anonymisées ou archivées sous conditions.

Ce principe de durée limitée de conservation des données participe au droit à l’oubli des personnes concernées par le traitement de données.

Cette durée de conservation doit être définie pour chaque traitement de données.

Les questions à se poser

  • Jusqu’à quand ai-je besoin des données pour atteindre l’objectif fixé ?
  • Suis-je soumis à une obligation légale de conservation des données ? Quel est son périmètre exact ?
  • Une fois l’objectif atteint, devrais-je conserver les données pour satisfaire d’autres impératifs ? Par exemple pour me défendre en cas de contentieux.

Dans certains cas la loi définit la durée de conservation des données :

  • Conservation du double du butin de paye : 5 ans
  • Dossier médical : 10 ans à compter de la consolidation
  • Informations de gestion du personnel : Jusqu’à liquidation des droits de retraite
  • Vidéo surveillance : 1 mois de conservation
  • Prospect (non-client ) : 3 ans à partir du dernier contact

Cycle de vie des données

  1. Conservation en base active (Consultation instantanée, modifications, extractions, suppressions)
  2. Archivage (seules les données nécessaires à l’archivage doivent être conservées, l’accès à ces données doit être restrictif sans possibilité de modification avec une traçabilité des accès. Les donnes sont ensuite supprimées dès que le motif ayant justifié le délai supplémentaire ne pourra plus être invoqué.
    Exemple : pour un paiement e-commerce. Les coordonnées bancaires peuvent être archivées pendants 13 mois après la transaction dans la perspective d’une éventuelle contestation de transaction
  3. Archivage définitif (essentiellement pour les objectifs d’intérêt public) se référer l’administration des archives.

6 – Obligation de sécurité

Des mesures de sécurité doivent être mises en œuvre pour protéger les données. Ces mesures doivent être adaptées aux risques. Par exemple, des données médicales nécessitent davantage de sécurité qu’un fichier de membre d’un club de loisir.

La sécurité est un processus continu !

Les mesures doivent être revues régulièrement pour être ajustées en fonction de l’évolution des risques. En préservant l’intégrité et la confidentialité des données traitées, ces mesures protègent à la fois les personnes et la réputation de l’organisme qui traite ces données. cf. RGPD article 32-1

Les 3 principes de la sécurité

Confidentialité : Les données ne doivent être accessibles qu’aux personnes autorisées.

Intégrité : Les données ne doivent pas être altérées ou modifiées.

Disponible : Les données doivent être en permanence disponible par les personnes autorisées.

La source des risques peut être interne ou externe, accidentelle ou délibérée.

Quelques exemples de protection :

  • Chiffrer afin que seules les personnes autorisées possèdent la clef de déchiffrement.
  • pseudomiser les données afin que seules les personnes autorisées puissent réidentifier les personnes en combinant le pseudonyme avec d’autres informations

Les mesures physiques : Alarme, Contrôle de zones, protection contre les catastrophes, serrure

Les mesures logiques :

  • Identifiant unique, mot de passe robuste, blocage après plusieurs échecs.
  • Poste de travail sécurisé et déconnexion automatique
  • Traçage des acteurs
  • Pare-feu, antivirus
  • Sauvegarde et chiffrage systématique des supports nomades

Les mesures organisationnelles :

  • Procédure définie, revue des droits des utilisateurs et contrôle du bien-fondé des demandes de tiers.
  • Chartre informatique à faire signer aux usages, sensibilisation aux risques…
  • Définir une procédure et des réfèrent à saisir en d’incident

7 – Transparence

Les personnes doivent être informées de l’usage de leurs données et de la manière d’exercer leurs droits

Le RGPD pose un principe de loyauté et de transparence envers les personnes concernées par le traitement. le concerné doit :

  • connaitre ce qui justifie la collecte
  • comprendre les conditions de traitement
  • garder la maitrise de ces données (accès, rectification, effacement)

Que ce soit en cas de collecte directe ou indirecte et en cas de changement de finalité.

Les informations doivent être communiquées d’une façon concise, transparente, compréhensible, et aisément accessible. RGPD Article 12-1

Les informations suivantes doivent être indiquées en cas de récolte de données :

  • L’identité et les coordonnées de l’organisme responsable du traitement
  • La finalité et la base juridique du traitement
  • Le caractère obligatoire ou non de la collecte et la conséquence d’une non-fourniture
  • les destinataires des données
  • sur la durée de conservation
  • et les droits des personnes sur les données traitées.
  • les droits de faire une réclamation auprès d’une autorité de contrôle

Plus selon le cas :

  • Les coordonnées du délégué à la protection des données
  • les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (si la base juridique du traitement est d’intérêt légitime)
  • l’existence du droit de retirer son consentement si la base légale du traitement est le corsetèrent
  • l’existence d’un transfert hors de l’Union européenne et le moyen d’accéder aux documents autorisant (ex ± clauses contractuelles types de la Commission européenne)
  • l’existence d’une prise de décision automatisée, y compris un profilage, et des informations utiles concernant a logique sous-jacente, importance du traitement et ces conséquences pour a personne
  • toute information pertinente concernant les projets et les traitements ultérieurs pour une finalité différente.
  • la ou les catégories de données traitées
  • la provenance des données

Des dérogations son possible, si elle est possible de prouvé que la personne est déjà informée ou que la fourniture de telle information se révèle impossible ou disproportionnée

L’information doit être compréhensible, lisible, accessible et donner une vision globale sur le traitement de données

8 – Droits des personnes

Les personnes bénéficient de droits leur permettant de garder la maitrise de leurs données

Le droit d’accès

Sur simple demande auprès du responsable de traitements, les personnes doivent disposer d’un droit d’accès à leurs données de manière compréhensible et pouvoir les rectifier en cas d’erreurs. Les fichiers sensibles comme ceux soumis à la sureté doivent être demandés de manière indirecte en en passant par l’intermédiaire de la CNIL.

Lorsqu’une personne exerce son droit d’accès, le responsable de traitement doit lui fournir une copie des données la concernant ainsi que les informations suivantes :

  • Les finalités du traitement
  • des catégories de données concernées
  • par la durée de conservation des données,
  • l’existence du droit de rectification, d’effacement, de limitation ou d’opposition au traitement des données.
  • L’origine des données quand elles n’ont pas été collectées auprès de la personne concernée
  • l’existence éventuelle d’une prise de décision automatisée, y compris un profilage.
  • Le droit d’introduire une réclamation auprès d’une autorité de contrôle
  • les destinataires auxquels les données ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers

Le droit de rectification

Le droit de rectification permet de corriger les données inexactes ou de compléter des données en lien avec la finalité de traitement.

Le droit d’opposition

Les personnes doivent à tout moment pouvoir s’opposer au traitement de leurs données.

Pour la prospection la personne n’a besoin de fournir aucune justification. Dans les autres cas, l’organisme pourra justifier son refus dans les circonstances suivantes :

  • il existe des motifs légitimes et l’impérieux à traiter ces données où que
    celles-ci soient nécessaires à la constatation l’exercice où à la défense
    de doits en justice
  • la personne a consenti (elle doit alors retirer son consentement)
  • un contrat lie a personne avec l’organisme (la personne peut mettre fin au contrat)
  • une obligation légale impose à ‘organisme de traité les données
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique

Le droit à l’effacement « droit à l’oubli »

La personne peut demander à l’organisme l’effacement de ces données dans les cas suivants :

  • Les données ne sont plus nécessaires au regard de la finalité pour lesquelles elles sont
    collectées ou traitées
  • la personne retire son consentirent au traitèrent des données
  • la personne s’oppose au traitement et il n’existe pas de motif légitime impérieux
  • le traitement est illicite (ex. : le traitement s’effectue en violation d’une disposition du code de la santé publique)
  • les données doivent être effacées pour respecter une obligation légale
  • les données ont été collectées auprès de mineurs dans le cadre de l’offre de services de la société de l’information.

En revanche, le droit à l’effacement ne peut pas s’appliquer contre :

  • la liberté d’expression et d’information
  • le respect d’une obligation légale
  • un motif d’intérêt public dans le domaine de la santé publique
  • des fins archivistiques dans l’intérêt public, des fins statistiques, de recherche scientifique ou historique
  • la constatation, de l’exercice ou de la défense de droits en justice

Le droit à la portabilité

L’objectif de ce droit est de permettre aux personnes d’utiliser leurs données pour leur besoin propre et pour facilité la migration des données entre prestataires de services dès que la personne souhaite changer de responsable de traitement. Dans cet objectif les responsables de traitements doivent travailler ensemble pour rendre le format de données interopérable.

Ce droit est applicable seulement si ces deux conditions cumulatives sont réunies :

  • Le traitement est fondé sur le consentement de la personne ou sur un contrat. (Sont donc exclus les traitements fondés sur l’intérêt public, obligation légale et intérêt légitime du gestionnaire de traitement)
  • Le traitement est effectué avec des procédures automatisées

Les données concernées sont :

  • Ce sont les données déclarées, comme nom, âge, adresses…
  • les données générées par son activité (Localisations, itinéraires, historiques…)

En revanche ce droit ne porte pas sur :

  • les données anonymes
  • les données déduites ou dérivées

Le droit à la limitation de traitement

Lors d’une opposition ou rectification de données, la personne peut demander à ce que ces données ne soient plus utilisées en attendant la réponse de l’organisme de traitement – 1 mois maximum. À l’inverse il peut aussi empêcher la suppression de données que l’organisme souhaiterait effacer.

Ce droit n’est valable que dans les situations suivantes :

  • Lorsque la personne a fait valoir son droit de rectification. Le droit à la limitation s’applique le temps que le responsable de traitement vérifie l’exactitude des données personnelles concernées
  • lorsque la personne a fait valoir son droit d’opposition. Le droit à la limitation s’applique le temps de déterminer si les intérêts légitimes du responsable de traitement prévalent sur ceux de la personne concernée
  • lorsque des données sont sur le point d’être effacées alors qu’elles sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ou lorsque le traitement est illicite, mais que la personne concernée préfère la limitation plutôt que l’effacement des données.

Le responsable de traitement doit informer la personne concernée s’il a obtenu la limitation
du traitement avant la levée d’une telle limitation

Le gel du traitement des données est effectif, sauf si la personne donne son consentement à une autre forme de traitement ou il est nécessaire à l’exercice de la justice ou pour un motif d’intérêt public.

Les décisions individuelles automatisées

Toutes personnes a le droit de refuser un traitement de données entièrement automatisé basé sur le profilage. Lorsque c’est le cas, elle doit en être informée et doit pouvoir connaitre la logique et les critères employés pour les prises de décision automatiques. Elle doit aussi pouvoir contester et demander l’intervention d’un humain.

Possibilité de ne pas donner suite à une demande

  • Lorsqu’il existe des motifs légitimes et impérieux qui prévale sur les droits et libertés de la personne concernée
  • s’ils peuvent démontrer qu’ils ne sont pas en mesure d’identifier la personne concernée
  • lorsqu’il porte atteinte à la liberté d’expression, des droits en justices ou s’oppose à des motifs d’intérêt public
  • lorsque les demandes sont excessives, notamment en raison de leurs caractères répétitifs

Dans chaque cas le responsable de traitent doit informé la personne concernée de cette décision sans tarder.

Notification de l’exercice de ces droits

Lorsqu’une personne exerce ces droits, le responsable de traitement doit impérativement en informer tous les organismes à qui il a transmis les données en question.

mickael@houet.dev