Le RGPD est un gage de confiance, de transparence et de responsabilité pour l’usage de données personnelles de vos usagers, clients, salariés ou administrés
Le traitement doit être conforme au droit général.
Il devra donc soit être expressément permis soit ne pas être interdit !
Il ne peut êtres mis en œuvre que s’il respecte : la finalité du traitement, que les données du traitement sont minimisées et la personne doit pouvoir à tout moment retirer son consentement.
LE RGPD définit le consentement par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fasse l’objet d’un traitement;
Le consentement doit être Libre, spécifique, éclairé et univoque :
Libre : La personne doit pouvoir refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat sans subir aucune conséquence négative en cas de refus.
Spécifique : chaque finalité nécessite un consentement. Ex.: le consentement des CGV est nécessaire à l’exécution du contrat, mais la transmission des données à des fins de prospection ne l’est pas. Il doit donc y avoir une seconde demande de consentement qui peut être refusé par la personne.
Éclairé : La personne doit connaitre la finalité du traitement lorsqu’elle donne sont consentement, quelles données sont collectées, comment se rétracter et qui est le responsable du traitement
Univoque : Le consentement ne pas peut venir de l’inaction de la personne ni d’une acceptation globale d’un contrat ou d’une case pré cochée.
Exemple : l’inscription d’un nouvel utilisateur à un service ne peut servir de consentement pour l’envoi de lettres d’informations.
Les mineurs de moins de 15 ans ne peuvent pas consentir eux-mêmes aux traitements de leurs données.
Le responsable du traitement des données personnelles doit à tout moment être en mesure de fournir la preuve qu’il a reçu le consentement avec la mise en place de mécanisme de consentement non contraint , séparé par finalité, éclairant pour la personne et univoque.
Un consentement recueilli avec le RGPD (2018) doit être mis à jour pour servir de preuve de consentement.
Par exemple, pour livrer un colis, le vendeur a besoin de coordonnées postales.
Par exemple un employeur doit mettre en place un traitement de données en vue d’obligations déclaratives, sociales ou fiscales.
Ce fondement n’est possible que s’il est impossible de recourir à un autre fondement, lorsque par exemple elle est en incapacité physique d’exprimer son consentement.
Par exemple : épidémie, catastrophe, rapatriement d’urgence…
Par exemple : la gestion des inscriptions scolaires
La personne concernée peut elle raisonnablement s’attendre à ce que ces données fassent l’objet d’un traitement çà des fins spécifiques .
Une association aura un intérêt légitime à communiquer auprès de ces membres.
La finalité délimite le périmètre d’exploitation des données
Les données personnelles ne peuvent être collectées qu’avec une finalité définie et légitime.
C’est le principe clef qui définit tous les autres principes du RGPD.
Pendant combien de temps vont servir ces données , A quoi vont-elles servir ? Qui pourra y accéder ?
Il n’est pas possible de collecter des données « au cas où elle pourrait , un jour, servir à quelque chose ».
La collecte des données doit être légitime. Il n’est pas possible de collecter des données justes parce que les moyens techniques existent.
Par exemple l’objectif : « Analyser la navigation » n’est pas suffisamment déterminée : il faut préciser l’exploitation prévue des résultats d’analyse.
De même, géolocaliser l’usager d’une application mobile de discussion n’est pas légitime.
Exemple d’objectifs de récole de données et de détournement des usages.
Objectif de collecte : Suivi de l’expédition d’un colis
Détournement : Transmission d’adresse mail à un tiers dans un but de prospection commerciale,
Objectif de collecte : Fichier des inscriptions scolaire
Détournement : un élu utilise ces données pour faire de la communication politique
Le détournement de finalité peut s’élever au pénal à 300 000 € d’amande et 5 ans de prison et une sanction administrative de 4% du chiffre d’affaire annuelle.
Il reste possible de déterminé une nouvelle finalité compatible avec la finalité initiale. Par principe, le traitement des données à des fins, archiviste et d’intérêt public, de recherche scientifique ou historique et statistique sont compatible avec l’évolution d’objectif de traitement des données.
D’autres finalités pour être considéré comme compatible s’il existe un lien entre les deux finalités. Que les personnes concernées sont informées de la nature du changement, donnent leur consentement et que les données restent protégées.
Seules les données strictement nécessaires pour atteindre la finalité du traitement peuvent être collectées et traitées.
Les données doivent être adéquates, pertinentes et limiter à ce qui est nécessaire pour réaliste l’objectif de finalité défini.
Certaines données peuvent être collectées e manière facultative si la personne en est informée et quelle pet choisir de les communiquer ou non.
Exemple : Pour une carte de fidélité, la collecte facultative de la date de naissance peut octroyer des avantages supplémentaires (offre d’anniversaire).
Pour vérifier que vous respectez bien le principe de minification, posez-vous ces questions :
Les données récoltées doivent être tenues à jour et rester exactes, toutes données inexactes doivent être retirées sans tarder !
La date de naissance est elle strictement nécessaire ?
Exemple :
L’ajout d’un formulaire de contact sur un site internet.
Quelle est la finalité de ce formulaire : « Répondre à la personne qui me contacte »
Ce formulaire doit recueillir uniquement l’adresse email ou le numéro de téléphone de la personne qui me contacte. Il sera possible de demander plus d’informations dans un second temps si cela s’avère pertinent.
Les données sensibles ne peuvent être collectées que sous certaines conditions
Ce sont des données qui touchent à l’intimité de l’individu, voir à l’identité humaine et dont un mauvais usage représente un risque élevé pour les personnes !
Ces données sensibles sont :
Leur récolte est interdite par principe par le RGPD.
Elle concerne :
La liste des données dites « sensibles » est limitative et ne concerne pas les données présentant une sensibilité ou un enjeu fort tel que les données bancaires.
Pour mettre en œuvre un traitement de données sensible, le responsable du traitement devra donc justifier la base légale et l’exception la plus pertinente
Le numéro de sécurité social est un moyen d’identification unique et un moyen d’identifier avec certitude. Sa collecte est encadrée de manière très stricte aux regards des risques qu’il présente.
Dès que la finalité est atteinte, les données collectées doivent être supprimées, archivées ou anonymisées
Les données doivent être traitées pendant une durée cohérente avec l’objectif poursuivi, soit :
Une fois le délai passé, les données doivent être effacées, anonymisées ou archivées sous conditions.
Ce principe de durée limitée de conservation des données participe au droit à l’oubli des personnes concernées par le traitement de données.
Cette durée de conservation doit être définie pour chaque traitement de données.
Dans certains cas la loi définit la durée de conservation des données :
Des mesures de sécurité doivent être mises en œuvre pour protéger les données. Ces mesures doivent être adaptées aux risques. Par exemple, des données médicales nécessitent davantage de sécurité qu’un fichier de membre d’un club de loisir.
La sécurité est un processus continu !
Les mesures doivent être revues régulièrement pour être ajustées en fonction de l’évolution des risques. En préservant l’intégrité et la confidentialité des données traitées, ces mesures protègent à la fois les personnes et la réputation de l’organisme qui traite ces données. cf. RGPD article 32-1
Confidentialité : Les données ne doivent être accessibles qu’aux personnes autorisées.
Intégrité : Les données ne doivent pas être altérées ou modifiées.
Disponible : Les données doivent être en permanence disponible par les personnes autorisées.
Quelques exemples de protection :
Les mesures physiques : Alarme, Contrôle de zones, protection contre les catastrophes, serrure
Les mesures logiques :
Les mesures organisationnelles :
Les personnes doivent être informées de l’usage de leurs données et de la manière d’exercer leurs droits
Le RGPD pose un principe de loyauté et de transparence envers les personnes concernées par le traitement. le concerné doit :
Que ce soit en cas de collecte directe ou indirecte et en cas de changement de finalité.
Les informations doivent être communiquées d’une façon concise, transparente, compréhensible, et aisément accessible. RGPD Article 12-1
Plus selon le cas :
Des dérogations son possible, si elle est possible de prouvé que la personne est déjà informée ou que la fourniture de telle information se révèle impossible ou disproportionnée
L’information doit être compréhensible, lisible, accessible et donner une vision globale sur le traitement de données
Les personnes bénéficient de droits leur permettant de garder la maitrise de leurs données
Sur simple demande auprès du responsable de traitements, les personnes doivent disposer d’un droit d’accès à leurs données de manière compréhensible et pouvoir les rectifier en cas d’erreurs. Les fichiers sensibles comme ceux soumis à la sureté doivent être demandés de manière indirecte en en passant par l’intermédiaire de la CNIL.
Lorsqu’une personne exerce son droit d’accès, le responsable de traitement doit lui fournir une copie des données la concernant ainsi que les informations suivantes :
Le droit de rectification permet de corriger les données inexactes ou de compléter des données en lien avec la finalité de traitement.
Les personnes doivent à tout moment pouvoir s’opposer au traitement de leurs données.
Pour la prospection la personne n’a besoin de fournir aucune justification. Dans les autres cas, l’organisme pourra justifier son refus dans les circonstances suivantes :
La personne peut demander à l’organisme l’effacement de ces données dans les cas suivants :
En revanche, le droit à l’effacement ne peut pas s’appliquer contre :
L’objectif de ce droit est de permettre aux personnes d’utiliser leurs données pour leur besoin propre et pour facilité la migration des données entre prestataires de services dès que la personne souhaite changer de responsable de traitement. Dans cet objectif les responsables de traitements doivent travailler ensemble pour rendre le format de données interopérable.
Lors d’une opposition ou rectification de données, la personne peut demander à ce que ces données ne soient plus utilisées en attendant la réponse de l’organisme de traitement – 1 mois maximum. À l’inverse il peut aussi empêcher la suppression de données que l’organisme souhaiterait effacer.
Ce droit n’est valable que dans les situations suivantes :
Le responsable de traitement doit informer la personne concernée s’il a obtenu la limitation
du traitement avant la levée d’une telle limitation
Le gel du traitement des données est effectif, sauf si la personne donne son consentement à une autre forme de traitement ou il est nécessaire à l’exercice de la justice ou pour un motif d’intérêt public.
Toutes personnes a le droit de refuser un traitement de données entièrement automatisé basé sur le profilage. Lorsque c’est le cas, elle doit en être informée et doit pouvoir connaitre la logique et les critères employés pour les prises de décision automatiques. Elle doit aussi pouvoir contester et demander l’intervention d’un humain.
Dans chaque cas le responsable de traitent doit informé la personne concernée de cette décision sans tarder.
Lorsqu’une personne exerce ces droits, le responsable de traitement doit impérativement en informer tous les organismes à qui il a transmis les données en question.