Foire aux questions

FAQ PRIVACY PERFORMANCE

Les réponses aux questions les plus courantes posées à propos de la réglementation en matière de Protection des données personnelles suite à l’entrée en vigueur du RGPD sont regroupées dans cette foire aux questions (FAQ).
Cette FAQ sera alimentée au fur et à mesure par des questions susceptibles d’intéresser l’ensemble des entreprises qui traitent des données.

Le RGPD
Qu’est-ce que le RGPD ?

Entré en application le 25 mai 2018, le Règlement Général sur la Protection des Données Personnelles (RGPD) s’inscrit dans la continuité de la loi française « Informatique et Libertés » de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.

Il renforce les droits des personnes et responsabilise davantage les organismes publics et privés qui traitent leurs données.

Contrairement à une directive, le RGPD est directement applicable dans tous les États membres. Il instaure un cadre commun de protection des données à l’échelle européenne et harmonise les règles à travers un cadre juridique unique pour les professionnels. Il leur permet ainsi de développer leurs activités numériques au sein de l’Union européenne en se fondant sur la confiance des utilisateurs.

Objectifs

  • Renforcer les droits des individus :
    • Information claire, intelligible et aisément accessible sur le traitement des données ;
    • Nécessité de donner un consentement ou de pouvoir s’opposer au traitement de ses données personnelles ;
    • Charge de la preuve du consentement reposant sur le responsable du traitement ;
    • Droit à la portabilité et à la limitation des données personnelles ;
    • Possibilité de recours collectifs, droit à réparation des dommages matériel ou moral ;
  • Responsabiliser les entreprises en contrepartie d’un allégement des formalités préalables (déclarations et autorisations) ;
  • Renforcer les obligations de tous les intervenants dans le traitement de données :
    • Fin de l’impunité des sous-traitants et nouvelles obligations à leur charge ;
    • Principe d’accountability introduisant un nouveau paradigme où chacun doit être en mesure de justifier du respect de ses obligations ;
    • Mise en place de nouveaux outils de la conformité et de moyens de gestion des données, tels que :
      • la tenue d’un registre des traitements dans certains cas,
      • la notification des failles de sécurité,
        la désignation d’un délégué à la protection des données (DPO),
      • des études d’impact sur la vie privée.
Suis-je concerné par le RGPD ?

Où s’applique le RGPD ?

Le RGPD s’applique à toute organisation, publique ou privée, qui traite des données personnelles pour son compte ou pour celui d’un autre organisme :

  • Si le responsable du traitement des données personnelles (RT) ou le sous-traitant (ST) est établi sur le territoire de l’Union européenne (UE) ; ou
  • Si bien qu’établis hors de l’UE, le RT ou le ST mettent en œuvre des traitements de données visant à fournir des biens et des services aux résidents européens ou à les « cibler ».
  • Exemples :
    Une société établie en France doit respecter le RGPD, peu importe qu’elle exporte l’ensemble de ses produits au Maroc pour ses clients Moyen-Orientaux.
  • Une société établie en Inde doit respecter le RGPD dès lors qu’elle cible les résidents français via un site de e-commerce en français livrant des produits en France.
La « méthode du faisceau d’indices »
La « méthode du faisceau d’indices » permet de déterminer si l’activité concernée cible les résidents européens, en déterminer si les produits ou services proposés leurs sont destinés. Plusieurs indices peuvent ainsi concourir à apprécier la destination des produits et services notamment lorsqu’ils sont proposés en ligne, tels que la langue utilisée, la devise acceptée en paiement de la prestation ou du bien, la zone de livraison pour les commandes effectuées, etc.

Mon activité est-elle concernée par le RGPD ?

Le RGPD s’applique :

  • Aux traitements, en tout ou en partie automatisés, de données à caractère personnel, ainsi qu’aux traitements non automatisés dès lors que le fichier est constitué d’un ensemble structuré de données personnelles accessibles selon des critères déterminés.
  • Dès lors que les données personnelles sont traitées par un organisme (grande entreprise, PME, TPE, association, organisation professionnelle, syndicat…) dans un fichier structuré (automatisé ou non) et dans le cadre d’une activité professionnelle, le RGPD s’applique.

/! Exclusion
Le RGPD ne s’applique pas aux traitements effectués par des particuliers dans le cadre d’une activité strictement personnelle ou domestique.

Le cas des activités en B2B
Le fait que les activités de l’organisme envisagé soient orientées B2B (business to business) n’exclut pas l’application du RGPD. Il ne s’appliquera toutefois pas aux fichiers qui ne concernent que des données d’entreprise. Par exemple, entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone du standard et un email de contact générique (compagnieA@email.fr) n’est pas un traitement de données personnelles.

Les TPE/PME sont-elles concernées par le RGPD

L’application des règles relatives à la protection des données à caractère personnel ne dépend pas de la taille de l’entreprise.

Les dispositions du RGPD s’appliquent à toute entreprise qui met en œuvre un traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

Les entreprises sont presque toutes concernées dans la mesure où l’entreprise traite des données personnelles de ses salariés dans le cadre de la gestion des ressources humaines ou de ses clients dans le cadre de la gestion des clients/prospects.

Qu’est-ce qu’une donnée à caractère personnel et une donnée sensible ?

Une donnée à caractère personnel est :

  • Toute information se rapportant à une personne physique identifiée ou identifiable ;
  • Réputée être une « personne physique identifiable », une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (ex. nom, numéro de carte d’identité, passeport, permis de conduire, empreintes digitales, etc.).

Traitement de données à caractère personnel

Toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, l’alimentation, l'effacement ou la destruction

Exemples : Tenue d’un fichier clients, collecte de coordonnées de prospects via un questionnaire, mise à jour d’un fichier fournisseurs, etc.

Exclusion : Un fichier ne contenant que des coordonnées d’entreprises n’est pas un traitement de données personnelles (cf. supra).

À noter : Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

****

L’article 9 du RGPD définit les données sensibles et dispose : « Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits. »

Traitement des données sensibles

Il est interdit par principe. Le second paragraphe de l’article 9 vient compléter la définition des données sensibles en décrivant les différents cas dans lesquels l’interdiction de traitement ne s’applique pas.
On y trouve ainsi une liste limitative des exceptions au principe d’interdiction du traitement des données sensibles. Un tel traitement est ainsi possible si :

  • la personne concernée a donné son consentement explicite au traitement de ces données ;
  • le traitement est nécessaire aux fins de l’exécution des obligations et des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ;
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ;
  • le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées ;
  • le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;
  • le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ;
  • le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi ;
  • le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail ;
  • le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique ;
  • le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

Données sensibles : un encadrement renforcé

En principe, le traitement des données sensibles est formellement interdit par le RGPD. Néanmoins, le texte précise les différents cas dans lesquels l’utilisation de ces informations peut être autorisé.

Avant de pouvoir traiter des données sensibles, il est donc indispensable de s’assurer que l’on se trouve bien dans l’un des cas d’exception prévus par ce texte. Cette vérification préalable est primordiale et la CNIL est très stricte concernant le traitement de ces données. Il est ainsi nécessaire que votre traitement de ce type d’informations soit parfaitement documenté (conformément à l’article 24 du RGPD).

Il est également fondamental de vérifier si l’on respecte les autres obligations imposées par le RGPD dont notamment :

  • Objectif du traitement des données et minimisationdes données traitées : « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » ;
  • Transparence du traitement: « traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ». Si un tel traitement ne repose pas toujours sur le consentement de la personne concernée, celle-ci devra dans tous les cas être convenablement informée.
  • Sécurité: l’importance de la mise en place de mesures de sécurité renforcées pour le traitement de ces données.

Par leur nature, les données sensibles sont des informations qui peuvent avoir des incidences particulièrement critiques sur la vie privée des personnes concernées si elles étaient révélées. Afin de mieux les gérer, il est d’abord nécessaire de les distinguer des autres données collectées et autorisées par le RGPD. Elles doivent faire l’objet d’une gestion différente et encore plus sécurisée que les autres traitements.

Gestion des données sensibles et contrôle de la collecte

Les données sensibles sont très souvent collectées via les zones de textes libres. Afin d’éviter la saisie de ces informations (santé, vie sexuelle, n° de carte bancaire, n° de sécurité sociale…), il est essentiel d’utiliser des outils de sécurité adaptés. Certains logiciels proposent un contrôle efficace des zones de textes libres en détectant les données sensibles en temps réel ou différé.

Quel que soit le mode de contrôle choisi, l’installation d’un tel logiciel peut permettre d’analyser les champs de textes de toutes les formulaires et veiller ainsi à la protection des données sensibles collectées.

Données sur les condamnations et infractions

Ce type d’informations ne fait pas partie des données dites sensibles, mais bénéficie également d’une protection particulière. La limitation du traitement de ces données à certaines autorités évite ainsi d’éventuels excès quant à l’utilisation des informations personnelles relatives aux condamnations et infractions.

L’article 10 du RGPD dispose ainsi : « Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique ».

Définitions

Responsable de traitement (RT) : La personne, morale (entreprise, commune, etc.) ou physique, qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.

Sous-traitant (ST) : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement (RT) :

  • Le ST ne traite ces données que sur instructions du RT, à moins que cela ne soit requis par la législation de l’Union ou des États membres ;
  • Il n’utilise pas les données pour son propre compte.

Le ST doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. L’article 28 RGPD encadre les obligations réciproques du RT et du ST.

Responsables conjoints du traitement (RTC) : Deux ou plusieurs entités qui déterminent ensemble les finalités et moyens du traitement. L’article 26 RGPD leur fait alors obligation d’organiser ensemble, de manière « transparente », les obligations que chacun prend respectivement en charge pour assurer la conformité RGPD du traitement.

Destinataire de données à caractère personnel : Toute personne habilitée à recevoir communication de ces données, autres que la personne concernée et le responsable du traitement ou les personnes habilitées au sein de son organisme. Les autorités publiques peuvent être qualifiées de destinataire à la condition que la communication des données personnelles ne se fasse pas exceptionnellement et de manière ponctuelle pour les besoins d’une enquête spécifique qui nécessiterait une telle communication.

Tiers autorisé : un organisme qui peut accéder à certaines données contenues dans des fichiers publics ou privés parce qu'une loi l'y autorise expressément. Ces « tiers autorisés » sont des autorités publiques ou des auxiliaires de justice, par exemple :

  • L'administration fiscale ;
  • Les organismes de sécurité sociale, dans le cadre de la lutte contre la fraude, et les organismes en charge de l'instruction, du versement et du contrôle du RSA ;
  • Les administrations de la justice, de la police et de la gendarmerie ;
  • Les huissiers de justice.

Pour qu'un « tiers autorisés » puisse obtenir des informations contenues dans un fichier :

  • Sa demande doit être écrite et préciser le texte législatif justifiant la demande ;
  • Sa demande doit viser des personnes nommément identifiées ou identifiables (le tiers autorisé ne peut pas avoir accès à l'intégralité d'un fichier) ;
  • Sa demande doit être ponctuelle ;
  • Sa demande doit préciser les catégories de données auxquelles il souhaite accéder.

Autorité de Contrôle : Autorité publique indépendante instituée par un État membre en vertu de l'article 51 du RGPD, chargée de surveiller l'application du RGPD, afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l'Union européenne. En France, la Commission nationale de l’informatique et des libertés (CNIL) est une autorité de contrôle.

Évolutions de la règlementation en matière de protection des données à caractère personnel

Évolution de la règlementation en matière de protection des DCP

  • Loi n°78-17 du 6 janvier 1978
  • Directive 95/46/CE du 24 oct. 1995
  • Loi modificative du 06 août 2004, qui réoriente la loi vers les pratiques commerciales des entreprises
  • RGPD n°2016-679 du 27 avril 2016

Réglementation actuelle 

  • RGPD n°2016-679 entré en vigueur le 25 mai 2018
  • Loi française « LIL3 » n°2018-493 du 20 juin 2018 actualise la loi de 1978
  • Guidelines Comité européen de la protection des données (CEPD)
  • Préconisations de la Commission nationale Informatique & Libertés (CNIL)
Les principes fondamentaux de la protection des données
Limitation des finalités

La finalité est l’objectif poursuivi par le responsable du traitement. Une même collecte de données peut poursuivre plusieurs finalités et répondre à plusieurs objectifs distincts.
Les finalités doivent être :

  • Déterminées préalablement, ce qui exclut toute collecte de données au hasard ou à des fins préventives ;
  • Explicites, c'est-à-dire communiquées à la personne concernée ; et
  • Légitimespar rapport à l'activité de l'organisme mettant en œuvre le traitement.

Un traitement ultérieur pour une autre finalité est possible sous certaines conditions. Ainsi, une réutilisation des données « à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques » effectuée conformément à l'article 89 du RGPD, sera présumée compatible avec les finalités initiales.

En cas de réutilisation des données pour une autre finalité sans précaution, l'organisme risque de voir sa responsabilité engagée pour détournement de finalité.

Licéité, loyauté, transparence

Les données doivent être « traitées de manière licite, loyale et transparente au regard de la personne concernée ».

Pour être licite un traitement de données doit reposer sur un fondement énoncé à l'article 7 du RGPD :

  • Le consentement ;
  • L'exécution des mesures contractuelles ou précontractuelles ;
  • Le respect d'une obligation légale ;
  • La sauvegarde de la vie de la personne concernée ou d'une autre personne ;
  • L'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
  • Les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts où les libertés et droits fondamentaux de la personne concernée.

L'exigence de loyauté et de transparence renvoie à l'information des personnes concernées et vise à éviter les traitements occultes ou cachés. Un traitement déloyal expose l'auteur à un risque de sanction.

Minimisation des données ou principe de proportionnalité

Les données doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Conformément au principe de proportionnalité, l'ensemble des données collectées doit être strictement nécessaire par rapport à l'objectif poursuivi. Est ainsi exclue toute collecte réalisée si les données se révèlent utiles a posteriori.

La CNIL a déjà sanctionné des organismes pour collecte excessive de données notamment dans le cadre de zone de texte libre.

Exactitude des données

Les données doivent être exactes et tenues à jour. Concrètement, le responsable du traitement (RT) doit :

  • Prendre toutes les mesures raisonnables pour effacer les données à caractère personnel inexactes ;
  • S'assurer que les données dont il dispose sont exactes et le cas échéant supprimer les données obsolètes.
  • Dans certains cas, mettre en place des mesures permettant de s'assurer que les données sont toujours d'actualité.

Par exemple, le RT doit :

  • Demander régulièrement à ses clients si leurs données sont à jour,
  • Mettre en place une procédure d'actualisation de l'adresse en cas de retour de courrier avec la mention n'habite pas à l'adresse indiquée, etc.

 

Limitation de la conservation

Les données permettant l'identification des personnes concernées sont « conservées sous une forme pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Elles ne peuvent pas être stockées indéfiniment, mais uniquement pour une durée déterminée permettant de répondre à la finalité du traitement.

En termes de conservation, on distingue généralement :

  • La conservation des données en base active, lorsqu'elles sont nécessaires à la réalisation d'une tâche, au fonctionnement d'un process ;
  • L'archivage intermédiaire, lorsque les données ne sont plus nécessaires au quotidien mais qu'elles doivent être conservées au cas de contentieux ;
  • L'archivage définitif, généralement à des fins d'archives ou historique.

L'anonymisation des données est un moyen permettant de conserver une partie des informations au-delà de la durée conservation initialement prévue. Elle doit cependant être irréversible.

Intégrité et confidentialité

Les données doivent « être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou des dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées ».

Le RGPD érige l'intégrité et la confidentialité des données en principes fondamentaux afin de renforcer leur importance, mais ces notions figuraient déjà dans la directive et la loi « Informatique et Libertés ».

Le traitement des données dites sensibles

Les traitements comportant certaines données font l'objet de mesures particulières en raison de leur impact potentiel pour la vie privée et les droits des libertés des personnes concernées.
Le traitement des données dites sensibles est interdit par l’article 9 du RGPD, qui porte sur des catégories particulières de données :

  • Origine raciale,
  • Opinions politiques,
  • Convictions religieuses ou philosophiques,
  • Appartenance syndicale,
  • Données génétiques,
  • Données biométriques aux fins d’identifier une personne physique de manière unique,

Données concernant la santé, la vie ou l'orientation sexuelle d'une personne physique.
Il convient en outre d’y ajouter les données de condamnations pénales et d'infractions visées à l'article 10.

Le consentement et l’intérêt légitime
Quels sont les fondements légaux d’un traitement de données à caractère personnel ?

Pour être licite, un traitement de données doit reposer sur l’un des fondements énoncés par le RGPD (art. 7) :

  • Le consentement,
  • L'exécution des mesures contractuelles ou précontractuelles,
  • Le respect d'une obligation légale,
  • La sauvegarde de la vie de la personne concernée ou d'une autre personne,
  • L'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement,
  • Les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts où les libertés et droits fondamentaux de la personne concernée.

Les traitements de données sensibles sont en principe interdits, mais ils peuvent être autorisés à certaines conditions :

  • La personne concernée a donné son consentement explicite pour une (ou plusieurs) finalité spécifique ;
  • Le traitement est nécessaire aux fins de l’exécution des obligations et l’exécution des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union ou le droit de l’État membre ou par une convention collective ;
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.

La base légale doit être déterminée et documentée dans le registre de traitement :

  • Si c’est le contrat : s’assurer et justifier de la capacité à conclure le contrat (mineur incapable) ;
  • Si c’est l’intérêt légitime : être capable de le démontrer (évaluation de l’intérêt légitime en question au regard de l’activité de la société concernée, attente légitime des personnes concernées, test de proportionnalité).
Qu’est-ce que le consentement ?

Est-il toujours obligatoire ?

Un traitement doit être licite et doit donc reposer sur une des bases légales limitativement énumérées par l’article 7 du RGPD.

Le consentement de la personne dont des données sont enregistrées dans un fichier n'est pas nécessaire lorsque ces données sont collectées pour répondre au besoin de l’un des autres fondements énumérés.

En dehors de ces cas, le consentement de la personne concernée est obligatoire. C'est le consentement qui confère alors au fichier projeté son caractère licite.

Dans de nombreux cas, le consentement de la personne concernée peut également justifier l’application d’une exception à un principe d’interdiction, tel que l’interdiction du traitement des données sensibles ou du profilage associé à une prise de décision automatisée par exemple.

Le consentement de la personne est systématiquement requis pour certains traitements, encadrés par des dispositions légales spécifiques : par exemple, pour réaliser de la prospection commerciale par courriel ou pour l’utilisation des cookies et autres traceurs.

Le recueil du consentement ne dispense en aucun cas le responsable du traitement de satisfaire à son obligation d’information, qui doit même être renforcée lorsque le traitement repose sur le consentement de personnes vulnérables comme les mineurs de moins de 15 ans.

Quelles caractéristiques doit-il avoir pour être valable ?

Pour être valable, le consentement doit toujours être :

  • Libre et inconditionné, et
  • Univoque, et
  • Spécifique, et
  • Eclairé, et
  • Prouvé et tracé.

Dans certains cas (données sensibles, mineurs…), il doit également être :

  •  Explicite.

Consentement « libre »

Pour que le consentement soit libre, il ne doit être ni contraint, ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus (telle que l’impossibilité de poursuivre la navigation en cas de refus des cookies).

Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service.

Consentement « spécifique »

Pour être spécifique, un consentement doit correspondre à un seul traitement et n’être donné que pour une finalité déterminée. Ainsi, lorsqu’un traitement comporte plusieurs finalités, les personnes doivent pouvoir consentir – ou pas – finalité par finalité et doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

Consentement « univoque»

Pour être considéré comme univoque, le consentement doit être donné par une déclaration ou tout autre acte positif clair. Aucune ambiguïté quant à l’expression du consentement ne doit demeurer.

Ne peuvent pas être considérés comme univoques :

  • les cases pré-cochées ou pré-activées ;
  • les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts) ;
  • l’inaction (par exemple, l’absence de réponse à un courriel sollicitant le consentement).

Consentement « éclairé »

La mention doit indiquer :

  • Les modalités pour exprimer son consentement actif et clair (cocher une case, cliquer sur un bouton) ;
  • L’identité du responsable de traitement (RT) ou des responsables conjoints du traitement ou de RT ultérieurs souhaitant effectuer des traitements sur la base du consentement initial ;
  • La ou les finalité(s) en cause ;
  • Les catégories de données collectées et utilisées ;
  • Les destinataires des données collectées ;
  • Le dispositif de prise de décision automatisée (dont profilage) ;
  • Les risques liés aux éventuels transferts de données vers des pays tiers en l’absence de garanties appropriées (clauses contractuelles types, BCR…) ;
  • Le rappel du droit à la révocation du consentement à tout moment par des moyens simples

Quelles preuves et traces du consentement ?

Le responsable du traitement (RT) doit être en mesure de démontrer à tout moment que la personne a bien consenti, dans des conditions valides.

Les RT doivent ainsi documenter les conditions de recueil du consentement afin de démontrer :

  • La mise en place de mécanismes permettant de ne pas lier le recueil du consentement, notamment à la réalisation d’un contrat : consentement « libre » ;
  • La séparation claire et intelligible des différentes finalités de traitement : consentement « spécifique » ou « granularité du consentement » ;
  • La bonne information des personnes : consentement « éclairé » ;
  • Le caractère positif de l’expression du choix de la personne : consentement « univoque ».

Les RT peuvent notamment tenir un registre des consentements, qui peut s’insérer dans la documentation plus générale de l’organisme.

Le RT doit conserver la trace du consentement valablement exprimé, en corrélation précise avec :

  • la finalité à laquelle la personne a consenti,
  • la liste limitative des données pour lesquelles le consentement a été donné,
  • le destinataire des données, et
  • la date à laquelle ce consentement a été recueilli : c’est à cette date que le traitement devient licite et c’est elle qui détermine la durée de conservation des données pour cette finalité.
Délais de conservation des consentements
Dans le cas où le traitement repose sur le consentement, celui-ci peut être retiré à tout moment, dans ce cas le retrait doit être répercuté aux sous-traitants éventuels qui mettraient en œuvre le traitement.Le RGPD ne mentionne aucune durée de validité du consentement, mais le G29 recommande de renouveler le consentement à intervalle régulier.

Pour certains traitements, comme la prospection commerciale ou les cookies, des recommandations sur les délais raisonnables de conservation sont faites par la CNIL.

Consentement « explicite »

Dans certains cas, le consentement doit être explicite. Cette caractéristique fait référence à la modalité d’expression du consentement : il est nécessaire de disposer d’une déclaration expresse de la part de la personne concernée, ce qui suppose une attention particulière et la mise en place de mécanismes ad hoc par le responsable du traitement.

Il s’agit des cas où il existe un risque sérieux sur la protection des données et qui nécessitent un plus haut degré de contrôle de l’individu : il est par exemple exigé pour le traitement des données sensibles ou pour permettre la prise de décision entièrement automatisée.

Pour s’assurer d’un consentement explicite, le responsable du traitement peut par exemple :

  • Prévoir une case de recueil du consentement spécifiquement dédiée au traitement des données sensibles ;
  • Demander une déclaration écrite et signée par la personne concernée ou l’envoi d’un courriel indiquant que la personne accepte expressément le traitement de certaines catégories de données ;
  • Recueillir le consentement en deux étapes, par exemple en adressant un courriel à la personne concernée qui doit ensuite confirmer sa première action de consentement.
Consentement des mineurs

Pour les services d’information (réseaux sociaux, plateformes, newsletters, etc.), le traitement des données personnelles d’un enfant fondé sur le consentement n’est licite, par principe, que si l’enfant est âgé d’au moins 16 ans. Sinon, le traitement n’est licite que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. Le RGPD permet aux États membres de faire varier cet âge, en dessous duquel le consentement doit être donné par les parents, entre 13 et 16 ans.

En France, l’âge retenu est de 15 ans. Les enfants de plus 15 ans peuvent consentir eux-mêmes au traitement de leurs données fondé sur le consentement dans le cadre des services d’une société d’information. Sinon, la loi « Informatique et Libertés » impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale.

 

Qu’est-ce que l’intérêt légitime ?

Dans quelles conditions l’intérêt légitime peut-il constituer la base légale d’un traitement ?

Pour fonder un traitement sur ses intérêts légitimes, l’organisme traitant les données doit respecter certaines exigences. Il doit opérer une pondération entre son intérêt et les « intérêts ou libertés et droits fondamentaux des personnes » et doit également intégrer les « attentes raisonnables » de ces personnes. Cette mise en balance des droits et intérêts en cause doit être réalisée pour chaque traitement fondé sur l’intérêt légitime, au regard des conditions concrètes de sa mise en œuvre.

L’intérêt légitime ne peut donc être considéré comme une base légale par défaut : il requiert au contraire un examen attentif de la part de l’organisme et le suivi d’une méthodologie rigoureuse.

En pratique, le recours à l’intérêt légitime pour fonder légalement un traitement est soumis à 3 conditions :

  • L’intérêt poursuivi par l’organisme doit être légitime ;
  • L’intérêt légitime ne peut être retenu que si le traitement satisfait à la condition de nécessité ;
  • Le traitement ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables.

L’intérêt poursuivi par l’organisme doit être légitime.

L’organisme doit justifier du caractère « légitime » de l’intérêt poursuivi et réaliser une évaluation en répondant à quelques questions.

  • Quelle est la finalité du traitement ?

La première étape consiste à identifier un intérêt légitime.

  • Quel est le but du traitement des données personnelles ?
  • Le traitement est-il nécessaire pour atteindre un ou plusieurs objectifs organisationnels spécifiques ?
    Bien que vous n'ayez peut-être besoin d'identifier qu'un seul intérêt légitime, il peut être utile d'énumérer tous les intérêts apparents dans le traitement, ceux d'entre eux vous concernant en tant que responsable de traitement, ainsi que ceux des tiers qui sont susceptibles de posséder un intérêt légitime.
  • Le RGPD identifie-t-il spécifiquement l'activité de traitement comme étant une activité légitime sous réserve de la réalisation d'un test de mise en balance et de résultat positif ?

Cette base légale peut par exemple être envisagée pour les traitements de données :

  • visant à garantir la sécurité du réseau et des informations,
  • mis en œuvre à des fins de prévention de la fraude,
  • nécessaires aux opérations de prospection commerciale auprès de clients d’une société,
  • portant sur des clients ou des employés au sein d’un groupe d’entreprises à des fins de gestion administrative interne ;

Au-delà de ces exemples, le caractère « légitime » de l’intérêt poursuivi par un organisme peut être présumé si les 3 conditions suivantes sont remplies :

  • l’intérêt est manifestement licite au regard du droit ;
  • il est déterminé de façon suffisamment claire et précise ;
  • il est réel et présent pour l’organisme concerné, et non fictif.

L’intérêt légitime ne peut être retenu que si le traitement satisfait à la condition de « nécessité »

L’organisme doit vérifier que le traitement de données qu’il envisage permet effectivement d’atteindre l’objectif poursuivi, et non, en réalité, d’autres objectifs.

Il doit également s’assurer qu’il n’existe pas de moyen moins intrusif pour la vie privé d’atteindre cet objectif que de mettre en œuvre le traitement envisagé (par exemple un dispositif ne traitant pas de données personnelles, ou un traitement différent plus protecteur de la vie privée).

Existe-t-il un autre moyen d'atteindre l'objectif ?

  • S'il n'y en a pas alors il est clair que le traitement est nécessaire.
  • S'il existe un autre moyen mais qu'il exigerait un effort disproportionné alors le traitement est toujours nécessaire.
  • S'il existe de multiples façons d'atteindre l'objectif, alors une évaluation des facteurs relatifs à la vie privée aurait pu identifier le moyen le moins intrusif de traiter les données qui serait nécessaire.
  • Si mon traitement n'est finalement pas nécessaire alors les intérêts légitime ne peuvent être invoqué comme fondement légale pour cette activité de traitement.

Le responsable de traitement doit être en mesure de démontrer la validité du recours à cette base légale.

Tout changement important des conditions de mise en œuvre du traitement (finalité, données, durées de conservation, etc.) est susceptible d’avoir une incidence sur la validité de la base légale retenue : la démarche d’évaluation de cette validité doit donc, dans ce cas, être réitérée.

Le traitement ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables

Selon le RGPD, le traitement ne peut être mis en œuvre si « les intérêts ou les droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel » prévalent sur les intérêts de l’organisme.

L’organisme doit donc opérer une mise en balance, une pondération entre les droits et intérêts en cause, et vérifier dans ce cadre que les intérêts (commerciaux, de sécurité des biens, de lutte contre la fraude, etc.) qu’il poursuit ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées.

Concrètement, l’organisme doit tout d’abord identifier les conséquences de toutes sortes que son traitement peut avoir sur les personnes concernées : sur leur vie privée mais aussi, plus largement, sur l’ensemble des droits et intérêts couverts par la protection des données personnelles. Il s’agit ainsi d’évaluer le degré d’intrusion du traitement envisagé dans la sphère individuelle, en mesurant ses incidences sur la vie privée des personnes (traitement de données sensibles, traitement portant sur des personnes vulnérables, profilage, etc.) et sur leurs autres droits fondamentaux (liberté d’expression, liberté d’information, liberté de conscience, etc.) ainsi que les autres impacts concrets du traitement sur leur situation (suivi ou surveillance de leurs activités ou déplacements, exclusion de l’accès à des services, etc.). Ces incidences doivent être mesurées afin de déterminer, au cas par cas, l’ampleur de l’intrusion causée par le traitement dans la vie des personnes.

L’organisme doit ensuite tenir compte, dans la pondération entre son intérêt légitime et les droits et intérêts des personnes, de leurs « attentes raisonnables ». Cette prise en compte est essentielle s’agissant de traitements qui peuvent être mis en œuvre sans le consentement préalable des personnes : en l’absence d’un acte positif et explicite de leur part, l’intérêt légitime requiert de ne pas surprendre les personnes dans les modalités de mise en œuvre comme dans les conséquences du traitement. Un bon test, lorsqu’un organisme envisage de fonder son traitement sur l’intérêt légitime, consiste donc à vérifier que le traitement s’inscrit dans le cadre de ces attentes : la démonstration d’un intérêt légitime sera plus aisée pour un dispositif qui peut être raisonnablement anticipé, dans un contexte donné (par exemple, la réalisation d’actions de fidélisation de personnes déjà clientes de la société), que pour un traitement divergeant des attentes des personnes (par exemple, l’utilisation d’un réseau social implique la mise en relation d’individus, mais le profilage de leurs actions en vue de leur adresser de la publicité ciblée peut dépasser leurs attentes raisonnables).

Enfin, l’organisme peut prévoir des mesures compensatoires ou additionnelles à mettre en place en vue de limiter les impacts du traitement sur les personnes concernées et d’atteindre ainsi un équilibre entre les droits et intérêts en cause. Par exemple, il peut être prévu, pour un traitement de ciblage fin des comportements d’achats en ligne des individus, susceptible de révéler de nombreuses préférences et habitudes touchant à leur intimité, un droit d’opposition inconditionnel des personnes, afin de leur permettre de faire cesser le profilage intrusif dont ils font l’objet.

Quelles sont les conséquences du choix de cette base légale ?

La base légale « intérêt légitime » a plusieurs conséquences importantes pour l’organisme qui traite les données et pour les personnes concernées par le traitement.

  • Pour les organismes traitant les données : compte tenu de la complexité de la méthodologie à suivre pour s’assurer de la validité de cette base légale, la CNIL recommande, à titre de bonne pratique, que cette méthodologie fasse l’objet d’une documentation par le responsable du traitement, qui pourra notamment lui servir en cas de contrôle de la licéité du traitement. En tout état de cause, cet organisme doit avoir la capacité de démontrer la validité du recours à l’intérêt légitime comme base légale du traitement.

En pratique, pour les traitements les plus courants, cette méthodologie peut être prise en charge par la CNIL, en illustrant, dans les référentiels qu’elle publie progressivement sur les principales catégories de traitements, les cas et les circonstances dans lesquels le recours à l’intérêt légitime constitue un fondement valide pour les responsables du traitement.

  • Pour les personnes : le droit à la portabilité ne peut pas s’exercer à l’égard des traitements fondés sur l’intérêt légitime. En revanche, une obligation de transparence renforcée est prévue pour ces traitements : la nature de l’intérêt légitime poursuivi par le responsable du traitement doit figurer dans les informations portées à la connaissance des personnes.

Exemples : en cas de prospection commerciale sur des produits analogues à ceux commandés par les clients d’une entreprise, l’organisme peut indiquer que l’intérêt légitime poursuivi est la promotion de ses produits auprès de ses clients ; en cas de dispositif de vidéosurveillance sur le lieu de travail d’un organisme, l’intérêt légitime mis en avant dans les mentions d’informations peut être d’assurer la sécurité de son personnel et de ses biens.

Les droits des personnes concernées
Le droit à l’information renforcé

Pour être loyale et transparente, la collecte de données personnelles doit s’accompagner d’une information claire et précise des personnes concernées.

Une bonne information permet de savoir comment les données vont être traitées et comment les personnes concernées peuvent exercer leur droits. Elle leur permet donc de décider de confier ou non leurs données à un organisme.

Le RGPD prévoit l’amélioration de l’information des personnes. Il ne donne pas de forme précise à la communication de l’information relative au droit à l’information, mais il impose qu’elle soit :

  • Communiquée au moment précis de la collecte des données,
  • Facilement accessible et compréhensible, et
  • Formulée dans des termes clairs.

Des mentions d’informations noyées dans des conditions générales en petits caractères, rédigées de façon excessivement juridique ne sont pas conformes à cette exigence de clarté et de pédagogie.

Le mot d’ordre de ce droit est la clarté. Il faut que l’utilisateur, quelle que soit sa maturité juridique puisse prendre des décisions en toute connaissance de cause.

Facilement compréhensible

L’information doit être concise et lisible et facilement accessible.

Elle doit être rédigée de la manière la plus claire, précise et simple possible ! Concrètement, un utilisateur n’a pas besoin d’être un expert pour prendre connaissance de la charte de confidentialité. De la même manière, si un organisme cible des enfants ou des personnes vulnérables, celui-ci devra proposer une information adaptée.

Avant de collecter vos données, un organisme doit donc faire preuve de transparence et permettre aux personnes concernées de savoir :

  • Pourquoi l’organisme collecte leurs données ;
  • Comment il sera amené à les utiliser ;
  • Comment maîtriser leurs données et exercer leurs droits.

Détaillée et exhaustive

Un organisme doit mettre à disposition une notice d’information sur la protection des données qui doit être facilement accessible (ex. depuis la page d’accueil de son site web), sous un intitulé clair (ex. politique de confidentialité, page vie privée ou données personnelles).

Le support de cette information varie en fonction des caractéristiques du fichier (ex. panneau d’information pour une vidéosurveillance, mention d’information sur un formulaire, lecture de cette information en cas de recueil de données par téléphone, etc.).

Quelles informations sont communiquées aux personnes concernées ?

Dans le cas où il s’agit d’une collecte d’informations directement auprès de l’intéressé, le responsable de traitement (RT) doit fournir les informations suivantes :

  • L’identité et les coordonnées du RT et le cas échéant, du représentant du RT ;
  • Le cas échéant, les coordonnées du Délégué à la Protection des données(DPD, DPO) ;
  • L’utilisation qui sera faite des données ;
  • Ce qui autorise l’organisme à traiter ces données ;
  • Les tiers qui auront accès aux données ;
  • La durée de conservation des données ;
  • Les modalités d’exercice des droits des personnes concernées et la possibilité d’introduire une réclamation à la CNIL ;
  • L’utilisation des données hors de l’UE ;
  • La base juridique du traitement de données (c’est-à-dire ce qui autorise légalement le traitement : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, etc.).

Ainsi que, selon le cas :

  • L’existence d’uneprise de décision automatisée ou d’un profilage, les informations utiles à la compréhension de l’algorithme et de sa logique, ainsi que les conséquences pour la personne concernée ;
  • Le fait que les données sont requises par la réglementation, par un contrat ou en vue de la conclusion d’un contrat ;
  • Les intérêts légitimes poursuivis par le RT ou par un tiers (ex. prévention de la fraude) ;
  • Le droit au retrait du consentement à tout moment ;
  • La faculté d’accéder aux documents autorisant le transfert de données hors de l’Union européenne (ex. clauses contractuelles types de la Commission européenne) ;

Dans le cas d’une collecte d’informations indirecte, le RT doit fournir les catégories de données personnelles concernées par le traitement. De plus, pour la fourniture d’informations complémentaires, il doit fournir « la source d’où proviennent les données à caractère personnel et le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ».

À quel moment ces informations doivent être fournies ?

  • Collecte directe: les informations doivent être fournies au moment où les données en question ont été obtenues ;
  • Collecte indirecte: le responsable de traitement doit fournir à la personne concernée les informations dans un délai raisonnable ne dépassant pas 1 mois, en prenant en compte les circonstances particulières dans lesquelles les données sont traitées.
  • Cas où le RT utilise les données d’une personne concernée dans le but de communiquer avec elle : les informations doivent être fournies lors de la première communication.
Le droit d’accès

Le droit d'accès permet à la personne concernée de savoir si des données la concernant sont traitées par un organisme et le cas échéant, d'en obtenir la communication dans un format compréhensible afin d'en vérifier le contenu et l'exactitude.

La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données personnelles la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données ainsi qu’à un certain nombre d’informations.

Contenu de la réponse

L’organisme auprès duquel la personne concernée demande « droit d’accès » devra être en mesure de lui faire parvenir une copie des données qu’il détient sur elle et de la renseigner sur :

  • Les finalités d’utilisation de ses données,
  • Les catégories de données collectées,
  • Les destinataires ou catégories de destinataires qui ont pu accéder à ces données,
  • La durée de conservation des données ou les critères qui déterminent cette durée,
  • L’existence des autres droits (droit de rectification, d’effacement, de limitation, d’opposition),
  • La possibilité de saisir la CNIL,
  • Toute information relative à la source des données collectées si celles-ci n’ont pas directement été récoltées auprès de vous,
  • L'existence d'une prise de décision automatisée, y compris en cas de profilage, et la logique sous-jacente, l’importance et les conséquences pour vous d’une telle décision,
  • L’éventuel transfert de vos données vers un pays tiers (non-membre de l’UE) ou vers une organisation internationale.

Modalités d’exercice

Le droit d’accès peut être exercé par divers moyens :

  • par voie électronique (formulaire, adresse mail, bouton de téléchargement etc.),
  • par courrier,
  • sur place.

Par principe le formalisme de la réponse est identique à celui de la demande. Ainsi, si la demande est formulée par voie électronique, le responsable de traitement répondra par voie électronique, à moins que la personne concernée n’ait précisé qu’elle souhaite obtenir une réponse par un autre moyen.

Si et seulement si, l’organisme a des doutes raisonnables sur l’identité du demandeur ou ne dispose pas de moyen d’identification, il peut lui demander de joindre tout document permettant de prouver son identité, par exemple pour éviter les usurpations d’identité.

En revanche, il ne peut pas demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à la demande.

L’accès à ce droit est en principe gratuit. Dans certains cas, des frais raisonnables liés au traitement du dossier et de la demande pourront vous être demandés, par exemple en cas de demande d’une copie supplémentaire.

La CNIL met à disposition un modèle de courrier utilisable par les personnes concernées pour demander au RT de leur faire parvenir une copie – en langage clair – de l'ensemble des données qu'il possède sur elles.

Défaut ou refus de réponse

L’organisme doit répondre dans les meilleurs délais et au plus tard dans un délai d’un mois, qui peut être porté à trois mois compte tenu de la complexité de la demande ou du nombre de demandes que l’organisme a reçu. Dans ce dernier cas, l’organisme doit informer la personne concernée des raisons de cette prolongation dans le délai d’un mois. Si l’organisme ne répond pas dans le délai d’un mois après la demande d’accès ou n’informe pas la personne concernée d’une prolongation de délai, elle peut adresser une plainte auprès de la CNIL avec les éléments attestant de sa démarche préalable.

En cas de réponse incomplète

Si la réponse apportée par l’organisme à la demande d’accès lui paraît incomplète, la personne concernée peut adresser une plainte à la CNIL afin qu’elle intervienne à l’appui de sa demande.

Toutefois, il est recommandé à la personne concernée, avant de saisir la CNIL, de demander préalablement à l’organisme de compléter sa réponse avec les données qu’elle considère comme manquante. En cas d’absence de réponse ou de réponse insatisfaisante, elle peut adresser une plainte auprès de la CNIL en joignant les justificatifs de ses démarches préalables.

Limites au droit d’accès

Certains fichiers sont particulièrement encadrés : la loi n’autorise pas un particulier à accéder directement aux informations que contiennent certains fichiers de police ou intéressant la sûreté de l'État. Il pourra cependant y accéder de manière indirecte par l’intermédiaire de la CNIL.

Si l’organisme estime que la demande est infondée ou excessive, il peut ne pas y donner suite à condition d’être en mesure d’apporter la preuve de ce caractère « infondé » ou « excessif ».

Les droits ou libertés d’autrui sont également des limites ; l’exercice du droit d’accès ne doit donc pas porter atteinte :

  • au droit des tiers : seules les données de la personne concernée peuvent lui être communiquées au titre du droit d’accès,
  • à la propriété intellectuelle : par exemple le droit d’auteur, lorsqu’il protège le logiciel,
  • au secret des affaires,
  • etc.
Le droit de rectification

Le droit de rectification permet à la personne concernée de demander au responsable de traitement de rectifier, compléter, actualiser les informations la concernant lorsque celles-ci sont erronées ou inexactes.

Contenu de la réponse

Le droit de rectification permet de corriger des données inexactes vous concernant (âge ou adresse erronés) ou de compléter des données (adresse sans le numéro de l’appartement) en lien avec la finalité du traitement.

Le responsable du fichier doit également communiquer aux autres destinataires des données les rectifications apportées – par exemple aux partenaires commerciaux – sauf si une telle communication exigerait des efforts disproportionnés.

Exercice du droit de rectification

  • Possibilité d’exercer gratuitement la demande de droit de rectification par divers moyens : par voie électronique (formulaire, adresse mail, bouton de téléchargement etc.) ou par courrier.
  • Si et seulement si, l’organisme à des doutes raisonnables sur l’identité du demandeur, il peut lui demander de joindre tout document permettant de prouver son identité, par exemple pour éviter les usurpations d’identité. En revanche, il ne peut pas vous demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à votre demande.

Défaut ou refus de réponse

L’organisme doit répondre dans les meilleurs délais et au plus tard dans un délai d’un mois, qui peut être porté à trois mois compte tenu de la complexité de la demande ou du nombre de demandes que l’organisme a reçu. Dans ce dernier cas, l’organisme doit informer la personne concernée des raisons de cette prolongation dans le délai d’un mois. Pendant ce délai, elle peut demander « la limitation du traitement » c’est-à-dire le « gel » de l’utilisation de ces données.

Si l’organisme ne répond pas dans le délai d’un mois après la demande de rectification ou n’informe pas la personne concernée d’une prolongation de délai, elle peut adresser une plainte auprès de la CNIL avec les éléments attestant de sa démarche préalable.

Concernant la rectification de données de personnes décédées, les héritiers peuvent exiger de l’organisme de prendre en considération le décès ou de procéder aux mises à jour nécessaires. Retrouvez notre fiche pratique sur la mort numérique.

Limites

Le droit de rectification ne s'applique pas aux traitements littéraires, artistiques et journalistiques.

Il est exercé différemment pour les fichiers de police, de gendarmerie, de renseignement, FICOBA (fichier national des comptes bancaires et assimilés) : pour ce qui concerne ces fichiers – soumis au droit d’accès indirect via la CNIL – il n’est pas possible de solliciter la rectification auprès des services concernés. Un magistrat de la CNIL est chargé de procéder aux rectifications nécessaires vous concernant.

Droit d’opposition

Dans les cas limitativement énumérés par le RGPD (art. 21), la personne concernée a le droit de s'opposer au traitement de ses données personnelles.

  • Droit de s’opposer à tout moment aux traitements réalisés à des fins de prospection et/ou profilage.
  • Droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, aux traitements nécessaires à l'exécution d'une mission d'intérêt public, aux fins d’intérêts légitimes du responsable du traitement ou du tiers.

En pratique, si vos données personnelles apparaissent dans un fichier non obligatoire et si vous ne souhaitez plus qu'elles y figurent, le droit d’opposition vous permet de vous opposer à ce que vos données soient utilisées par un organisme pour un objectif précis.

Vous devez mettre en avant « des raisons tenant à votre situation particulière », sauf en cas de prospection commerciale, à laquelle vous pouvez vous opposer sans motif.

Exercice du droit d’opposition

Dans votre demande, expliquez quelles données vous souhaitez voir supprimer et pour quelles raisons « tenant à votre situation particulière ».

Vous pouvez exercer votre demande de droit d’opposition par divers moyens et sans apporter de justificatifs : par voie électronique (formulaire, adresse mail, compte en ligne etc.), par courrier.

Défaut ou refus de réponse

L’organisme doit prouver que des motifs légitimes et impérieux lui imposent de continuer à traiter vos données malgré la demande d’opposition ou justifier que les données sont nécessaires pour la constatation, l’exercice ou la défense de droits en justice.

Si une personne exerce son droit d’opposition :

  • Pour ne plus recevoir de prospection commerciale: l’organisme doit procéder à l’effacement de son adresse email de sa base de prospection dans les meilleurs délais.
  • Pour voir une information personnelle supprimée d’une base de données: l’organisme dispose d’un délai d’un mois pour vous répondre.

En cas de réponse insatisfaisante ou d’absence de réponse sous un mois, la personne concernée peut saisir la CNIL.

Le droit à l’effacement ou droit à l’oubli

Le droit à l'effacement permet à la personne concernée de demander la suppression de ses données au responsable de traitement dans certains cas spécifiques listés à l'article 17 du RGPD (ex : retrait du consentement de la personne concernée, données utilisées à des fins de prospection, traitement illicite des données etc.). L'exercice de ce droit permet le déréférencement sur internet.

L’effacement peut être demandé dans l’un des cas suivant :

  • Les données sont utilisées à des fins de prospection ;
  • Les données ne sont pas ou plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées ou traitées ;
  • Les données font l’objet d’un traitement illicite (ex : publication de données piratées) ;
  • Les données ont été collectées lorsque la personne était mineure dans le cadre de la société de l’information (blog, forum, réseau social, site web…) ;
  • Les données doivent être effacées pour respecter une obligation légale ;
  • Retrait du consentement à l’utilisation des données ;
  • Opposition au traitement des données et le responsable du fichier n’a pas de motif légitime ou impérieux de ne pas donner suite à cette demande.

Exercice du droit d’effacement

Une demande de droit d’effacement peut être exercée par divers moyens : par voie électronique (formulaire, adresse mail, bouton de téléchargement etc.) ou par courrier, par exemple.

Il est très important d’indiquer précisément quelles sont les données dont l’effacement est sollicité. En effet, l’exercice de ce droit n’entraîne pas la suppression simple et définitive de toutes les données concernant la personne qui sont détenues par l’organisme. Par exemple, une demande d’effacement d’une photo sur un site n’aboutira pas à la suppression du compte de cette personne. De même, une demande de suppression de compte n’entrainera pas la suppression des factures et autres documents comptables relatifs aux achats de la personne, pour lesquels une obligation légale de conservation existe.

Si et seulement si, l’organisme à des doutes raisonnables sur l’identité de la personne à l’origine de la demande, il peut lui demander de joindre tout document permettant de prouver son identité, par exemple pour éviter les usurpations d’identité. En revanche, il ne peut pas lui demander des pièces justificatives qui seraient abusives, non pertinente et disproportionnées par rapport à sa demande.

Défaut ou refus de réponse

Le responsable du fichier droit procéder à l’effacement dans les meilleurs délais et au plus tard dans un délai d’un mois, qui peut être porté à trois compte tenu de la complexité de la demande. Dans ce dernier cas, l’organisme doit vous informer des raisons de cette prolongation. En cas de réponse insatisfaisante ou d’absence de réponse sous un mois, vous pouvez saisir la CNIL.

Limites

Le droit à l’effacement est écarté dans un nombre de cas limité. Il ne doit pas aller à l’encontre de :

  • L’exercice du droit à la liberté d’expression et d’information ;
  • Le respect d’une obligation légale (ex. délai de conservation d’une facture = 10 ans) ;
  • L’utilisation de vos données si elles concernent un intérêt public dans le domaine de la santé ;
  • Leur utilisation à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
  • La constatation, de l’exercice ou de la défense de droits en justice.
Le droit à la limitation

Le droit à la limitation du traitement est le droit pour la personne concernée de demander au responsable de traitement à ce que l'utilisation de ses données soient gelées pendant un certain temps, notamment pour permettre l'exercice des autres droits prévus par le RGPD.

 En pratique, le droit à la limitation des données est un droit qui complète les autres droits (rectification, opposition…). Si une personne conteste l’exactitude des données utilisées par l’organisme ou qu’elle s’oppose à ce que ses données soient traitées, la loi autorise l’organisme à procéder à une vérification ou à examen de la demande pendant un certain délai. Pendant ce délai, la personne concernée a la possibilité de demander à l’organisme de geler l’utilisation de ses données. Concrètement, il ne devra plus utiliser les données mais devra les conserver.

Inversement, une personne peut demander directement la limitation de certaines données dans le cas où l’organisme souhaite lui-même les effacer. Cela lui permettra de conserver les données par exemple afin d’exercer un droit.

Exercice du droit de limitation

  1. Exercez d’abord vos droits auprès de l’organisme : Le droit à la limitation de vos données vient compléter l’exercice de vos autres droits. L’organisme dispose d’un mois pour répondre à votre demande de rectification ou d’opposition et peut prolonger ce délai si la demande est complexe ou nécessite une étude complémentaire. C’est dans cette période de prolongation que l’organisme doit geler les données concernées et ne plus les utiliser.
  2. Si l’accès à vos droits nécessite un délai supplémentaire pour l’organisme, demandez votre droit à la limitation du traitement de vos données. Grâce à l’exercice parallèle du droit à la limitation du traitement de vos données :
    • Suite à votre demande de suppression d’une image sur un réseau social, l’organisme devra dépublier le contenu le temps de rechercher d’éventuel motifs lui permettant de refuser votre demande;
    • Suite à votre demande de rectification, le site de commerce en ligne ne devra plus utiliser les données erronées que vous avez signalées, le temps de procéder à la vérification de votre identité.

Limites

L’organisme doit informer la personne à l’initiative de la demande, que la limitation de l’utilisation de ses données est bien effective.

Dès lors que l’utilisation des données a été « gelée », celles-ci ne peuvent être utilisées que dans les cas suivants :

  • La personne a donné son accord ;
  • pour la constatation, l'exercice ou la défense de droits en justice,
  • pour la protection des droits d'une autre personne physique ou morale,
  • ou encore pour des motifs importants d'intérêt public de l'Union ou d'un État membre.
Le droit à la portabilité

Le droit à la portabilité permet à la personne concernée de récupérer les données personnelles la concernant afin d'en faire un usage personnel ou de les transférer à un autre organisme de son choix. Ce droit vise à renforcer la maîtrise par les personnes de leurs données personnelles et à leur permettre de tirer elles aussi partie de leur pouvoir.

Nouveau droit consacré par le RGPD, la demande de portabilité permet aux personnes concernées d’avoir la possibilité de récupérer leurs données personnelles dans un format structuré, couramment utilisé et lisible par une machine, de sorte à ce qu’elles puissent procéder à un transfert des données vers un nouveau responsable de traitements.

Le responsable de traitement doit informer les personnes concernées de l’existence de ce nouveau droit de façon « concise, transparente, compréhensible et aisément accessible, en des termes claires et simples », notamment au sein des mentions légales du site internet de l’entreprise.

Les personnes concernées doivent prendre connaissance de ce droit avant toute clôture de compte afin qu’elles puissent transmettre leurs données personnelles vers un autre responsable de traitement et démarrer un nouveau traitement de données.

En pratique, trois conditions cumulatives doivent être réunies pour exercer ce droit :

  • Le droit à la portabilité est limité aux données fournies par la personne concernée (à la fois les données déclarées mais aussi les données générées par ex. les achats enregistrés grâce à une carte de fidélité) ; il concerne par exemple des informations déclarées (ex. coordonnées, like,…), mais également des données tirées de l’activité de la personne concernée (historique d’achat, données enregistrées par une montre connectée …).
  • Les données doivent être traitées de manière automatisée sur la base du consentement de la personne concernée ou sur l’exécution d’un contrat ; les fichiers papier sont exclus.
  • L’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés des tiers.

Quelles données ? 

Seules les données recueillies avec l’accord de la personne ou dans le cadre d’un contrat sont concernées. Le droit à la portabilité concerne par exemple des informations déclarées (ex. coordonnées, like, …) mais également des données tirées de l’activité (historique d’achat, données enregistrées par une montre connectée …).

Inversement, les images de vidéosurveillance, la déclaration d’impôt, les données de badgeuse ne sont pas concernées par le droit à la portabilité. Il en va de même pour les données dérivées, calculées ou inférées à partir des informations fournies. Par exemple la note obtenue sur un site de vente en ligne par d’autres utilisateurs, la catégorisation dans des segments marketing de la personne, la simulation de prêt ou le résultat d’analyse de risque de crédit.

Dans quel format ? 

Ces données doivent être fournies dans un format « structuré, couramment utilisé et lisible par une machine ». Cela veut dire que l’organisme doit proposer des formats de données adaptés au type de données concernées, en privilégiant des formats ouverts, interopérables.

À titre d’exemple, les données de contacts ou carnets d’adresses peuvent être fournies en format « vCard » (ou VCF), ou les données de localisation en format .JSON. De manière plus générique, des formats ouverts comme le CSV ou le JSON seront dans de nombreux cas adaptés à la portabilité. En revanche, des données fournies dans un format difficile à traiter (par exemple une image ou un PDF) ou un format propriétaire dont l’utilisation implique l’acquisition d’un logiciel ou d’une licence payante ne seront a priori pas des formats adaptés.

Exercice du droit à la portabilité

La personne concernée doit s’adresser au responsable de traitement (RT), qui est le principal débiteur pour satisfaire cette demande. Par ailleurs, le RT doit s’assurer de l’identité de la personne qui en fait la demande.

Enfin, aucun frais ne peut être réclamé au demandeur sauf si le responsable de traitement prouve que les demandes sont infondées ou excessives, « notamment en raison de leur caractère répétitif » (art. 12 du RGPD).

Défaut ou refus de réponse

En cas de refus ou d’absence de réponse satisfaisante, vous pouvez saisir la CNIL d’une réclamation en n’oubliant pas de joindre les preuves de votre démarche auprès de l’organisme (copie d’écran, e-mail de réponse …).

Limites

Le droit à la portabilité est limité lorsqu’il ne trouve pas fondement sur le consentement ou l’exécution d’un contrat.

Le RT peut refuser de satisfaire ce droit en raison d’un intérêt légitime ou d’une obligation légale.

Possibilité de demander à un organisme A de directement transmettre vos données à un organisme B sans que vous ayez à intervenir, à condition que ce transfert soit techniquement possible. Si l’organisme qui traite vos données refuse de réaliser cette transmission, il doit vous expliquer en quoi ce transfert direct est techniquement impossible.

Le droit à l’intervention humaine face au profilage ou à une décision automatisée

La collecte et l’analyse de l’activité des personnes permettent de construire des profils pour mieux cerner leur personnalité, leurs habitudes d'achat ou leurs comportements. Parfois, des décisions sont prises automatiquement à partir de ce profilage, sans l’intervention d’un humain.

Le droit à l’intervention humaine dans une décision automatisée est défini à l’article 22 du RGPD.

Qu’est-ce que le profilage ?

Le profilage consiste à utiliser les données personnelles d’un individu en vue d’analyser et de prédire son comportement, comme par exemple déterminer ses performances au travail, sa situation financière, sa santé, ses préférences, ses habitudes de vie, etc. Un traitement de profilage repose sur l’établissement d’un profil individualisé relatif à une personne : il vise à évaluer certains de ses aspects personnels, en vue d’émettre un jugement ou de tirer des conclusions sur elle.

Le profilage est fréquemment utilisé, par exemple pour permettre :

  • à un employeur de déterminer les performances de l’un de ses salariés au travail,
  • à une banque de définir la situation financière d’un client avant l’octroi d’un prêt,
  • à une compagnie d’assurance de définir le coût d’une assurance voiture,
  • à une régie publicitaire d’identifier des points d’intérêt pour adresser une publicité ciblée à un internaute

Un organisme peut en outre se baser sur votre profilage pour prendre une décision au sujet d’une personne. Certaines de ces décisions sont entièrement automatisées, c’est-à-dire qu’elles ont été prises par le biais d’algorithmes appliqués aux données personnelles, sans qu’aucun être humain n’intervienne dans le processus.

Souvent difficiles à comprendre ou à percevoir, les décisions produites de manière automatique peuvent pourtant avoir des effets significatifs sur le quotidien, notamment si cette décision :

  • entrave l’accès à un service (ex. rejet automatique d’un crédit) ;
  • désavantage financièrement la personne (ex. absence de prime, hausse du coût d’un service, etc.;
  • ferme l’accès à un emploi à la personne (ex. refus automatique de votre candidature à un emploi déposée en ligne)
  • produit un effet juridique la concernant (ex. exclusion du bénéfice d’un contrat ou d’une prestation sociale).

Quels droits concernant une décision automatisée ?

Par principe, une personne a le droit de ne pas faire l’objet d’une décision entièrement automatisée – souvent basée sur votre profilage – qui a un effet juridique ou l’ affecte sensiblement. Un organisme peut néanmoins automatiser ce type de décision si l’une de ces conditions est remplie :

  • La personne a donné son consentement explicite,
  • La décision est nécessaire à un contrat que vous avez conclu avec l’organisme,
  • La décision automatisée est autorisée par des dispositions légales spécifiques.

Dans ces cas, la personne concernée a quand même la possibilité :

  • d’être informée qu’une décision entièrement automatisée a été prise à son encontre ;
  • de demander à connaitre la logique et les critères employés pour prendre la décision ;
  • de contester la décision et d’exprimer son point de vue ;
  • de demander l’intervention d’un être humain qui puisse réexaminer la décision.
Accountability
qu’est ce que l’accountability ?

Notion centrale du RGPD, l’accountability désigne l’obligation pour les entreprises de « rendre compte » et mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Le fait de « rendre compte » permet aux autorités de vérifier l’efficacité des mesures prises en application du RGPD. Cela implique la production d’une documentation exhaustive détaillant les mesures destinées à garantir la protection de la vie privée afin de démontrer sa conformité à tout moment.

L’accountability traduit la volonté de responsabiliser les entreprises traitant des données à caractère personnel, qui doivent à la fois :

  • Veiller à l’application des principes de protection des données ;
  • Être capable de démontrer leur conformité à tout moment.

Les notions de preuve et d’anticipation sont ainsi étroitement liées à celle d’accountability.

EN PRATIQUE

  • Démontrer le respect du principe de durée de conservation limitée des données implique la rédaction d’une politique de conservation accompagnée d’un référentiel des durées de conservation. En cas de contrôle, la CNIL s’assurera que les principes et les durées indiquées dans la politique sont effectivement appliquées dans l’entreprise.
  • La sécurisation du traitement de données pourra se prouver notamment par la production de rapports de test sécurité.
  • Prouver le respect de l’obligation de sensibiliser et former au RGPD peut impliquer par la fourniture des supports de formation utilisés ainsi que les résultats obtenus aux différents tests effectués par les collaborateurs.
  • Les organismes doivent également déterminer le fondement juridique approprié de chaque traitement parmi les 6 bases légales possibles. Documenter le fondement légal de chaque traitement permet de :
    • Vérifier si le traitement le plus pertinent a été choisi,
    • Démontrer que l’ensemble des caractéristiques sont remplies afin d’obtenir un fondement légal valable.

 

Exemples

Une entreprise doit être capable de prouver que le consentement a été récolté dans les règles de l’art, avec une information préalable appropriée, un acte positif et spécifique de la personne concernée et la possibilité de le retirer. Un registre des consentements peut être produit à cet effet.
De même avec la délicate notion d’intérêt légitime où des notes de mise en balance entre les intérêts de l’entreprise et les droits et libertés des personnes concernées peuvent être produites. Démontrer que l’intérêt légitime a été mûrement réfléchi, qu’une analyse des risques a été effectivement réalisée permet de sécuriser les traitements fondés sur cette base juridique.

 

Quels sont les acteurs concernés ?

Le responsable de traitement (RT)

Le RT est la personne, morale (entreprise, commune, etc.) ou physique, qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser.

En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.

Le RT (ou controller) est défini par la loi, ce qui signifie qu'il ne peut transférer sa responsabilité à tiers par un contrat. En revanche, plusieurs personnes peuvent être désignées responsables conjoints d’un traitement et elles doivent définir leur périmètre de responsabilité respective (article 26 du RGPD). Les personnes concernées peuvent dans ce cas exercer leurs droits indifféremment auprès de chaque responsable conjoint.

Le responsable conjoint du traitement (RTC)

Les RTC sont deux ou plusieurs entités qui déterminent ensemble les finalités et moyens du traitement. Le RGPD (art. 26) leur fait alors obligation d’organiser ensemble, de manière « transparente », les obligations que chacun prend respectivement en charge pour assurer la conformité RGPD du traitement.

Le sous-traitant (ST)

Le ST est le prestataire désigné par le RT pour exécuter les traitements sur les données (collecte, manipulation, saisie, transfert, traitement métier, etc.) pour le compte du RT. Le ST doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Le RGPD (art. 28) encadre les obligations réciproques du RT et du ST.

Les ST (ou processors) sont également soumis à certaines obligations afin d'aider le RT à contrôler la sécurité et la conformité de ses traitements. Ils ont par ailleurs des obligations propres lorsqu’ils sont amenés à traiter régulièrement et à grande échelle des données personnelles (par exemple : tenue d’un registre de traitements, désignation d’un DPO).

Les relations entre le RT et le ST

Le ST doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.

Le ST est coresponsable de la légalité des traitements au sens du RGPD.

Lorsque qu’un RT confie la gestion de ses données à caractère personnel à un ST :

  • Le ST ne peut recruter d’autres ST qu’après autorisation écrite du RT => Chaîne de sous-traitants
  • Le RT doit s’assurer que le ST présente des garanties nécessaires et suffisantes concernant la mise en œuvre de mesures techniques et organisationnelles appropriées pour :
    • Répondre aux exigences du RGPD, et
    • Garantir la protection des droits des personnes concernées.
quelles sont les obligations des différents acteurs ?

Les obligations du RT

1) Mettre en place des mesures internes pour s’assurer et démontrer la conformité des traitements :

  • Mettre en place une politique interne de protection des données personnelles ;
  • Désigner des personnes dédiées à la protection des données personnelles (DPO, juristes, informaticiens…) ;
  • Élaborer des règles ou processus internes (reporting, gestion des traitements, comité de validation...) ;
  • Adopter des codes de conduite, participer à des mécanismes de certification (labels CNIL…) ;
  • Mettre en place une politique interne de sécurité de l’information (contrôles d’accès, classification des informations, sauvegardes, antivirus et anti-malware, tests de vulnérabilité…) ;
  • Sensibiliser et former l’ensemble des collaborateurs (conseillers clients, RH, DSI…) ;
  • Fournir les informations nécessaires aux personnes concernées ;
  • Respecter et veiller au respect des droits des personnes concernées ;
  • Intégrer la protection des données personnelles dès la conception des projets, programmes ou SI (« privacy by design »).

2) Vérifier le respect des grands principes en matière de traitement de données personnelles :

  • Licéité : Le traitement doit reposer sur le consentement de la personne, un contrat, une obligation légale, une mission d’intérêt public ou encore l’intérêt légitime du responsable.
  • Transparence et loyauté : Les personnes concernées doivent être informées de l’existence et des modalités du traitement.
  • Limitation des durées de conservation : Les données doivent être conservées pour la durée strictement nécessaire.
  • Limitation des finalités : Les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être réutilisées d’une manière incompatible avec ces finalités initiales.
  • Minimisation des données : Les données personnelles collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités.
  • Exactitude : Les données personnelles doivent être exactes et raisonnablement tenues à jour.

3) Vérifier les relations avec les sous-traitants :

  • Vérifier l’existence d’un contrat de sous-traitance définissant les modalités de traitement des données personnelles (objet, durée, finalité du traitement) et les obligations du sous-traitant (notamment sécurité et lieu d’exécution du contrat) ;
  • Vérifier que les sous-traitants présentent des garanties suffisantes pour le traitement de données personnelles (notamment en matière de sécurité et du lieu d’hébergement).

4) Désigner un délégué à la protection des données (Data Protection Officer, DPO) :

  • Le DPO est obligatoire lorsque les activités de base consistent en un suivi régulier et systématique à grande échelle de données ou en un traitement à grande échelle de données particulières (données biométriques, de santé, révélant l’origine raciale ou ethnique, les opinions politiques, syndicales, religieuses ou philosophiques, l’orientation sexuelle…) ;
  • Un groupe d’entreprises peut désigner un DPO unique.

5) Tenir un registre des activités de traitement sous forme écrite ou électronique :

  • Cette obligation concerne les entreprises ou organisations de plus de 250 salariés, sauf si les traitements effectués par les petites structures sont réguliers et présentent un risque pour les personnes concernées (par exemple : profilage, publicité ciblée), ou s’ils portent sur des données particulières (telles que les données biométriques, données de santé ou encore les données portant sur les origines raciales ou ethniques, les opinions politiques, syndicales ou religieuses, etc.) ;
  • Le registre doit mentionner pour chaque traitement le nom et les coordonnées du responsable de traitement (et le cas échéant du DPO désigné), les finalités du traitement, les catégories de personnes concernées (salariés, clients…), les destinataires des données, les éventuels transferts de données personnelles, les délais de conservation et les mesures de sécurité mises en place.

6) Mettre en place les mesures appropriées pour assurer la sécurité des traitements

  • Assurer la confidentialité des données personnelles (pseudonymisation, chiffrement des données ou tout autre moyen) ;
  • Assurer l’intégrité des données (contre la destruction, la perte, l’altération des données) ;
  • Assurer la disponibilité des données et mettre en place des moyens permettant un rétablissement dans des délais appropriés ;
  • Effectuer des tests, analyses et évaluations réguliers de l’efficacité des mesures mises en place ;
  • Utiliser par exemple des codes de conduite approuvés par la CNIL (référentiels, pack de conformité…) ;
  • Vérifier la mise en place de mesures de sécurité appropriées par les sous-traitants (audit).

7) Notifier les incidents de sécurité concernant des données personnelles

  • Mettre en place une procédure de notification des violations de données personnelles à la CNIL ;
  • Notifier ces incidents à la CNIL, si possible dans les 72h, lorsqu’il existe un risque pour les personnes ;
  • Alerter les personnes concernées de ces incidents lorsqu’il y a un risque élevé pour leurs droits.

8) Faire des analyses d’impact pour les traitements les plus sensibles et consulter la CNIL lorsque cette analyse révèle un risque élevé pour les personnes concernées.

Les obligations du ST

  • Tenir un registre des activités de traitement pour le compte de ses clients (RT) en plus de son propre registre ;
  • Désigner un DPO (mêmes critères que pour le RT) ;
  • Respecter les principes de « privacy by design » et « privacy by default » ;
  • Coopérer avec l’autorité de contrôle.

Les obligations du RT à l’égard du ST

  • S’assurer que le ST présente des garanties nécessaires et suffisantes concernant la mise en œuvre de mesures techniques et organisationnelles appropriées pour :
    • Répondre aux exigences du RGPD ;
    • Garantir la protection des droits des personnes concernées.
  • Permettre au ST d'assurer sa mission ;
  • Communiquer au ST des instructions licites ;
  • Définir avec le ST des process nécessaires au bon déroulement de la prestation.

Les obligations du ST à l’égard du RT

  • Assurer la sécurité et la confidentialité des données ;
  • Mettre en place les mesures appropriées pour assurer la sécurité des traitements :
    • Assurer la confidentialité des données personnelles (pseudonymisation, chiffrement des données ou tout autre moyen) ;
    • Assurer l’intégrité des données (contre la destruction, la perte, l’altération des données) ;
    • Assurer la disponibilité des données et mettre en place des moyens permettant un rétablissement dans des délais appropriés ;
    • Effectuer des tests, analyses et évaluations réguliers de l’efficacité des mesures mises en place ;
    • Utiliser par exemple des codes de conduite approuvés par la CNIL (référentiels, packs de conformité…) ;
    • Veiller au respect de la confidentialité des données par son personnel ;
    • Vérifier la mise en place de mesures de sécurité appropriées par ses propres sous-traitants ;
    • Mettre à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations de sécurité et confidentialité.
  • Obtenir une autorisation écrite du RT pour avoir recours à un ST de second rang ;
  • Notifier les incidents de sécurité concernant des données personnelles au RT :
    • Notifier toute violation de données personnelles au responsable de traitement dans les meilleurs délais ;
    • Mettre à disposition du responsable de traitement les informations nécessaires pour le reporting auprès de la CNIL.
  • Agir conformément aux instructions du RT :
    • Ne traiter les données que sur instruction du RT, y compris pour les transferts de données vers des pays hors Union européenne ;
    • Supprimer ou rendre au RT les données personnelles au terme de la prestation de services et détruire les copies existantes de ces données ;

 

  • Le conseiller si une instruction constitue une violation du RGPD.
  • Assister le RT pour garantir le respect de ses obligations (notamment droits des personnes et analyse d’impact relative à la protection des données) :
    • Aider le responsable de traitement à s’acquitter de ses obligations en matière de protection des données personnelles ;
    • Mettre à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations et pour la réalisation d’audits ou de contrôles.
Les obligations propres du Responsable de traitement :

 

1- Mettre en place des mesures internes pour s’assurer et démontrer la conformité des traitements : 

  • Mettre en place une politique interne de protection des données personnelles
  • -Désigner des personnes dédiées à la protection des données personnelles (DPO, juristes, informaticiens…)
  • - Elaborer des règles ou processus internes (reporting, gestion des traitements, comité de validation...) 
  • - Adopter des codes de conduite, participer à des mécanismes de certification (labels CNIL…)
  • -Mettre en place une politique interne de sécurité de l’information (contrôles d’accès, classification des informations, sauvegardes, antivirus et anti-malware, tests de vulnérabilité…) :PSSI
  • -Sensibiliser et former l’ensemble des collaborateurs (conseillers clients, RH, DSI…)
  • -Fournir les informations nécessaires aux personnes concernées 
  • -Respecter et veiller au respect des droits des personnes concernées 
  • -Intégrer la protection des données personnelles dès la conception des projets, programmes ou SI (« Privacy by design »)

 

2- Vérifier le respect des grands principes en matière de traitement de données personnelles :

  • Licéité : le traitement doit reposer sur le consentement de la personne, un contrat, une obligation légale, une mission d’intérêt public ou encore l’intérêt légitime du responsable 
  • Transparence et loyauté : les personnes concernées doivent être informées de l’existence et des modalités du traitement.
  • Limitation des durées de conservation : les données doivent être conservées pour la durée strictement nécessaire.
  • Limitation des finalités : les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être réutilisées d’une manière incompatible avec ces finalités initiales.
  • Minimisation des données : les données personnelles collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités.
  • Exactitude : les données personnelles doivent être exactes et raisonnablement tenues à jour.

3- Vérifier les relations avec les sous-traitants :

  • Vérifier l’existence d’un contrat de sous-traitance définissant les modalités de traitement des données personnelles (objet, durée, finalité du traitement) et les obligations du sous-traitant (notamment sécurité et lieu d’exécution du contrat)
  • Vérifier que les sous-traitants présentent des garanties suffisantes pour le traitement de données personnelles (notamment en matière de sécurité et du lieu d’hébergement)

4- Désigner un délégué à la protection des données (Data Protection Officer - DPO) interne ou extérieur à l’organisme

  • Le DPO est obligatoire lorsque les activités de base consistent en un suivi régulier et systématique à grande échelle de données ou en un traitement à grande échelle de données particulières (données biométriques, de santé, révélant l’origine raciale ou ethnique, les opinions politiques, syndicales, religieuses ou philosophiques, l’orientation sexuelle…)
  • Un groupe d’entreprises peut désigner un DPO unique

5- Tenir un registre des activités de traitement sous forme écrite ou électronique :

  • Cette obligation concerne les entreprises ou organisations de plus de 250 salariés, sauf si les traitements effectués par les petites structures sont réguliers et présentent un risque pour les personnes concernées (par exemple : profilage, publicité ciblée), ou s’ils portent sur des données particulières (telles que les données biométriques, données de santé ou encore les données portant sur les origines raciales ou ethniques, les opinions politiques, syndicales ou religieuses, etc)
  • Le registre doit mentionner pour chaque traitement le nom et les coordonnées du responsable de traitement (et le cas échéant du DPO désigné), les finalités du traitement, les catégories de personnes concernées (salariés, clients…), les destinataires des données, les éventuels transferts de données personnelles, les délais de conservation et les mesures de sécurité mises en place

6- Mettre en place les mesures appropriées pour assurer la sécurité des traitements 

  • Assurer la confidentialité des données personnelles (pseudonymisation, chiffrement des données ou tout autre moyen)
  • Assurer l’intégrité des données (contre la destruction, la perte, l’altération des données)
  • Assurer la disponibilité des données et mettre en place des moyens permettant un rétablissement dans des délais appropriés
  • Effectuer des tests, analyses et évaluations réguliers de l’efficacité des mesures mises en place
  • Utiliser par exemple des codes de conduite approuvés par la CNIL (référentiels, pack de conformité…)
  • Vérifier la mise en place de mesures de sécurité appropriées par les sous-traitants (audit)

7- Notifier les incidents de sécurité concernant des données personnelles 

  • Mettre en place une procédure de notification des violations de données personnelles à la CNIL
  • Notifier ces incidents à la CNIL, si possible dans les 72h, lorsqu’il existe un risque pour les personnes
  • Alerter les personnes concernées de ces incidents lorsqu’il y a un risque élevé pour leurs droits

8- Faire des analyses d’impact pour les traitements les plus sensibles et, lorsque cette analyse révèle un risque élevé pour les personnes concernées, consulter la CNIL

Nommer un DPO
La désignation d’un DPO est-elle obligatoire ?

La désignation d’un DPO est obligatoire pour :

  • Les autorités publiques ou organismes publics, à l’exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ;
  • Les entreprises dont « les activités de base (…) consistent en des opérations de traitement, qui du fait de leur nature, de leur portée et/ ou de leur finalité, exigent un suivi régulier et systématique des personnes à grande échelle » ;
  • Le cas où « les activités de base du responsable de traitement ou du sous traitant, consistent en un traitement à grande échelle de catégories particulières de données », c’est-à-dire des données sensibles ou données relatives à des condamnations pénales et infractions.

Les lignes directrices du G29 du 5 avril 2017 clarifient les critères posés par le RGPD, notamment les notions d’autorité ou d’organisme public, d’activités de base, de grande échelle et de suivi régulier et systématique.

Un organisme peut désigner un DPO dans tous les autres cas. La désignation est encouragée par les membres du G29 et « fortement recommandée » par la CNIL. Elle permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles.

Désigner un DPO
Le responsable de traitement peut désigner le DPO qu’il a choisi en ligne sur le site de la CNIL.
La désignation du DPO prend effet le lendemain de sa désignation en ligne.
Quel est le rôle du DPO ?

Chef d’orchestre de la conformité en matière de protection des données au sein de son organisme, Les principales missions du DPO sont :

  • Informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
  • Contrôler le respect du règlement et du droit national en matière de protection des données ;
  • Conseiller l’organisme ;
  • Coopérer avec l’autorité de contrôle et être son point de contact.
Quel est son profil ?

Avant de désigner un DPO à la CNIL, le responsable de traitement doit vérifier qu’il dispose du statut, des compétences et des moyens nécessaires à l’exercice de ses missions.

Qui peut être désigné ?

Les organismes peuvent désigner un délégué interne, membre du personnel ou externe.

Le DPO peut être mutualisé, c’est à dire désigné pour plusieurs organismes à condition qu’il soit :

  • Facilement joignable ;
  • En mesure de communiquer efficacement avec les personnes concernées ;
  • En mesure de de coopérer avec l’autorité de contrôle.

Compétences requises

  • Aptitude à communiquer efficacement ;
  • Capacité à exercer ses fonctions et missions en toute indépendance ;
  • Expertise en matière de législations et pratique en matière de protection des données, acquise notamment grâce à une formation continue ;
  • Niveau d’expertise adapté à l’activité de l’organisme et à la sensibilité des traitements mis en œuvre ;
  • Bonne connaissance des opérations de traitement, des systèmes d’information et des besoins de l’organisme en matière de protection et de sécurité des données en lien avec le secteur d’activité et de l’organisation de l’organisme ;
  • Positionnement efficace en interne, i.e. lien direct avec la direction, mais aussi rapport de proximité et de coopération avec les services impliqués dans la gestion des données à caractère personnel, afin de :
    • Reporter directement au niveau le plus élevé de l’organisme ; et
    • Animer un réseau de relais au sein des filiales d’un groupe par exemple et/ou une équipe d’experts en interne (expert informatique, juriste, expert en communication, traducteur, etc.).
Quelle indépendance ?

Absence de conflit d’intérêts

  • Le responsable de traitement doit s’assurer que le délégué n’occupe pas des fonctions, au sein de l’organisme, qui le conduise à déterminer les finalités et les moyens d’un traitement (ne pas être juge et partie).
  • Appréciation au cas par cas.

Absence de sanction dans l’exercice de ses missions

  • Toute sanction est interdite si elle est motivée par l’exercice par le délégué de sa fonction.
  • Les sanctions peuvent prendre des formes diverses et peuvent être directes ou indirectes.
  • Le délégué n’est pas un salarié protégé au sens du code du travail français.

Absence de responsabilité en cas de non-respect du RGPD

Le DPO n’est pas personnellement responsable en cas de de non-respect du RGPD. Le respect de la protection des données relève donc de la responsabilité du responsable de traitement. Il n’est pas possible de transférer au DPO, par délégation de pouvoir, la responsabilité incombant au responsable de traitement.

Le DPO est soumis au secret professionnel ou a une obligation de confidentialité.

 

 

Quels sont les moyens suffisants mis à disposition du DPO ?

Le responsable de traitement doit fournir au DPO les ressources nécessaires à ses missions. Le DPO doit donc :

  • Disposer du temps suffisant pour exercer ses missions ;
  • Bénéficier de moyens matériels et humains adéquats ;
  • Pouvoir accéder aux informations utiles ;
  • Être associé en amont des projets impliquant des données personnelles ;
  • Être facilement joignable par les personnes concernées.

 

Le responsable de traitement devra en particulier :

  • S’assurer de l’implication du DPO dans toutes les questions relatives à la protection des données, en l’y associant d’une manière appropriée et en temps utile (ex. communication interne et externe sur sa désignation) ;
  • Lui fournir les ressources nécessaires à la réalisation de ses tâches (ex. formation, temps nécessaire, ressources financières, équipe) ;
  • Lui faciliter l’accès aux données et aux opérations de traitement (ex. accès facilité aux autres services de l’organisme) ;
  • Lui permettre d’agir de manière indépendante (ex. positionnement hiérarchique adéquat, absence de sanction pour l’exercice de ses missions) ;
  • Veiller à l’absence de conflits d’intérêts.
Où doit se trouver le DPO ?

Il est recommandé que le DPO soit localisé dans un État membre de l’UE.

Le responsable de traitement doit s’assurer de désigner un DPO qui soit joignable.

Si le responsable de traitement n’a pas d’établissement dans l’UE

Il peut désigner un DPO en dehors de l’UE, car un délégué peut alors être en mesure d’exercer ses missions plus efficacement.

Quelles sont ses missions ?

En vue d’organiser la fonction de DPO, il est recommandé au responsable de traitement de confier au DPO les missions suivantes :

  • Évaluer les pratiques (audits) ;
  • Prioriser les actions et s’assurer de la sécurité informatique ;
  • Encadrer la réalisation de l’inventaire des traitements de DCP et l’établissement du registre des traitements ;
  • Mettre en place des procédures (privacy by design, notification des violations de données, gestion des réclamations et des plaintes, etc.) ;
  • Contribuer et participer à identifier les risques associés aux opérations de traitement ;
  • Établir une politique de protection des données personnelles ;
  • Sensibiliser les opérationnels et la direction sur les nouvelles obligations.

Il pourra s’appuyer sur les lignes directrices du G29 (portabilité, autorité chef de file, analyse d’impact) et de l’EDPB (en cours d’adoption).

L’inventaire des traitements et la tenue du registre
Comment évaluer ses pratiques ?

Dans le cadre de leur plan d'action pour se mettre en conformité au RGPD, les organismes doivent tenir une documentation interne complète sur leurs traitements de données personnelles et s’assurer qu'ils respectent bien les nouvelles obligations légales.

Pour pouvoir apprécier la maturité de l’organisme quant à l’intégration effective du RGPD à son activité et répondre à cette exigence, le responsable de traitement doit au préalable recenser précisément :

  • Les différents traitements de données personnelles réalisées par les différents services ;
  • Les catégories de données personnelles traitées ;
  • Les objectifs poursuivis par les opérations de traitements de données ;
  • Les acteurs (internes ou externes) qui traitent ces données, notamment les prestataires sous-traitants afin d’actualiser les clauses de confidentialité ;
  • Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’UE.

6 questions pour établir l’inventaire des traitements

Qui ?

•     Inscrivez le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données dans le registre ;

•     Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme ;

•     Établissez la liste des sous-traitants.

Quoi ?

•     Identifiez les catégories de données traitées ;

•     Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions).

Pourquoi ? •     Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données.
Où ?

•     Déterminez le lieu où les données sont hébergées ;

•     Indiquez vers quels pays les données sont éventuellement transférées.

Jusqu’à quand ? •     Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.
Comment ? •     Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées ?
Qu’est-ce que le registre ?

Le registre des activités de traitement permet de :

  • Recenser vos traitements de données ;
  • Disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles ;
  • Disposer de la documentation de la conformité.

En tant que document de recensement et d’analyse, le registre des traitements doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier pour chaque traitement :

  • Les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données ;
  • La base légale du traitement ;
  • Les catégories de données traitées ;
  • La finalité, i.e. à quoi servent ces données ;
  • Les destinataires (les transferts qui accèdent aux données et à qui elles sont communiquées) ;
  • La durée de conservation ;
  • La sécurité.

Sa création et sa mise à jour sont ainsi l’occasion d’identifier et de hiérarchiser les risques au regard du RGPD.

L’obligation de tenir un registre concerne tous les organismes, publics et privés, quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Dérogations pour les entreprises ou organisations de moins de 250 salariés
Elles doivent inscrire au registre les seuls traitements de données suivants :

  • Les traitements non occasionnels (ex : gestion de la paie, gestion des clients/prospects et des fournisseurs) ;
  • Les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (ex : systèmes de géolocalisation, de vidéosurveillance) ;
  • Les traitements qui portent sur des données sensibles ou données d’infractions.

En pratique :

  • Exception restrictive Le registre est quasi systématiquement obligatoire

Dérogation limitée à des cas très particuliers de traitements, mis en oeuvre occasionnellement et de manière non routinière tels qu’une campagne de communication à l’occasion de l’ouverture d’un nouvel établissement, sous réserve que ces traitements ne soulèvent aucun risque pour les personnes concernées

Que doit contenir le registre ?

En pratique, une fiche de registre doit être établie pour chacune des activités et contient les informations suivantes :

  • Le nom et les coordonnées de l’organisme ;
  • Le nom et les coordonnées du représentant si l’organisme n’est pas établi dans l’UE ;
  • Le nom et les coordonnées du DPO ;
  • Le nom et les coordonnées du re sponsable conjoint du traitement mis en œuvre le cas échéant ;
  • Les finalités du traitement ;
  • Les catégories de personnes concernées ;
  • Les catégories de données personnelles ;
  • Les catégories de destinataires y compris les sous-traitants ;
  • Les transferts de données à caractère personnel vers un pays tiers et garanties prévues ;
  • Les transferts de données à caractère personnel vers un pays tiers ;
  • Une description générale des mesures de sécurité techniques et organisationnelles.
Quelles mise à jour et communication du registre ?

Mise à jour

Par nature, le registre est un document interne et évolutif, qui doit avant tout aider l’organisme à piloter sa conformité. Il doit être mis à jour régulièrement et au fur et à mesure des évolutions fonctionnelles et techniques des traitements de données.

En pratique, toute modification apportée aux conditions de mise en œuvre de chaque traitement inscrit au registre doit être notifiée et consignée au registre (nouvelle donnée collectée, allongement de la durée de conservation, nouveau destinataire du traitement, etc.).

Communication du registre

Les organismes du secteur public sont tenus de communiquer le registre à toute personne qui en fait la demande, car il s’agit d’un document administratif, communicable à tous, au sens du code des relations entre le public et l’administration.

Les organismes privés (non chargés d’une mission de service public) ne sont pas tenus de communiquer le registre au public (mais possibilité de le communiquer aux personnes qui en font la demande).

Le registre doit dans tous les cas être communiqué à la CNIL lorsqu’elle le demande. Elle pourra en particulier l’utiliser dans le cadre de sa mission de contrôle des traitements de données.

Quelles sont les bonnes pratiques recommandées par la CNIL ?

La CNIL recommande de faire du registre un outil global de pilotage de la conformité au RGPD en l’enrichissant de mentions complémentaires :

  • En y ajoutant les informations nécessaires pour informer les personnes, le registre pourra servir de base à la rédaction de la politique de confidentialité et des mentions d’information (base légale du traitement, et selon le cas, fondement juridique du transfert de données vers des pays tiers, droits qui s’appliquent au traitement, existence ou non d’une décision automatisée, origine des données, etc.) ;
  • Le registre peut également servir à consigner un historique des violations de données ;
  • Il peut permettre de recenser tous les documents liés aux transferts de données hors de l’Union européenne (clauses contractuelles, BCR, etc.) et aux sous traitants auxquels vous recourez (contrats de sous-traitance) ;
  • Le registre pourra être utilisé par le DPO pour accomplir l’ensemble de ses missions, voire être consulté par tout collaborateur de l’organisme qui met en œuvre des traitements de données.
Où trouver un modèle de registre ?

La CNIL propose un modèle de registre destiné à répondre aux besoins les plus courants en matière de traitements de données des petites structures (TPE-PME, associations, petites collectivités, etc.) un nouveau modèle au format tableur est désormais disponible.

L’analyse d’impact relative à la protection des données (AIPD)
Qu’est-ce que l’analyse d’impact relative à la protection des données (AIPD) ?

Il s’agit d’un outil important pour la responsabilisation des organismes qui les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au RGPD. Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.

L'AIPD se décompose en trois parties :

  1. Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels ;
  2. L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;
  3. L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que de leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

On peut parler indifféremment d’analyse d’impact relative à la protection des données, d’AIPD, de DPIA (Data Protection Impact Assessment, terme retenu dans le RGPD), de PIA (Privacy Impact Assessment, terme plus commun utilisé dans d’autres régions du monde) ou encore d’EIVP.

Qu’est-ce qu’un risque sur la vie privée ?

Un « risque sur la vie privée » est un scénario décrivant :

  • Un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) ;
  • Toutes les menaces qui permettraient qu’il survienne.

Il est estimé en termes de gravité pour les personnes concernées (et non pour l’organisme) et de vraisemblance.

Exemple

Un salarié soudoyé par un concurrent pourrait lui envoyer le fichier des adresses email des clients par courrier électronique. Si cela se produisait, les clients pourraient ensuite être sollicités et avoir un sentiment d'atteinte à la vie privée, des ennuis personnels ou professionnels, etc. Du point de vue « informatique et libertés », ce risque pourrait être estimé comme peu grave (conséquences peu importantes) et très vraisemblable (dans la mesure où ce scénario s’est déjà produit) par l’entreprise.

Une analyse d’impact peut-elle porter sur un ou plusieurs traitements ?

Une AIPD peut concerner un seul traitement ou un ensemble de traitements similaires. À titre d’exemples :

  • Des collectivités mettant chacune en place un système de vidéosurveillance similaire pourraient effectuer une seule analyse portant sur ce système bien qu’il soit ultérieurement mis en œuvre par des responsables de traitements (RT) distincts ;
  • Un opérateur ferroviaire (responsable de traitement unique) pourrait effectuer une seule analyse d’impact sur le dispositif de la surveillance vidéo déployé dans plusieurs gares.

En tant que bonne pratique, une AIPD peut également être menée par le fournisseur d’un produit (matériel, logiciel ou service) pour évaluer son impact sur la protection des données. Les différents RT utilisant ce produit doivent mener leurs propres AIPD mais, le cas échéant, ils peuvent être alimentés par l'AIPD du fournisseur.

Quand l’analyse d’impact est-elle facultative ?

Une AIPD n'est pas nécessaire quand : 

  • Le traitement figure sur la liste des exceptions adoptée par la CNIL après consultation du CEPD (Comité européen de protection des données) ;
  • Le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées ;
  • La nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une AIPD a déjà été menée ;
  • Le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public (art. 6 du RGPD), sous réserve que les conditions suivantes soient remplies :
    • qu’il ait une base légale dans le droit de l’UE ou le droit de l’État membre ;
    • que ce droit règlemente cette opération de traitement ; et
    • qu’une AIPD ait déjà été menée lors de l’adoption de cette base légale.
Quand est-elle obligatoire ?

Une AIPD doit obligatoirement être menée quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées » :

  • Soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données ;
  • Soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 :
    • Évaluation/scoring (y compris le profilage) ;
    • Décision automatique avec effet légal ou similaire ;
    • Surveillance systématique ;
    • Collecte de données sensibles ou données à caractère hautement personnel ;
    • Collecte de données personnelles à large échelle ;
      Croisement de données ;
    • Personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
    • Usage innovant (utilisation d’une nouvelle technologie) ;
    • Exclusion du bénéfice d’un droit/contrat.

Exemple

Une entreprise met en place un traitement publicitaire visant à collecter les données de géolocalisation de plusieurs millions d’individus pour créer des profils publicitaires et leur afficher de la publicité ciblée en fonction de leurs déplacements ; ce traitement remplit le critère de la collecte à grande échelle et celui de la collecte de données sensibles (données de localisation), donc la réalisation d’une AIPD sera nécessaire.

Quand faut-il mener une analyse d‘impact ?

L'AIPD doit être menée avant la mise en œuvre du traitement, le plus tôt possible, et sera mise à jour tout au long du cycle de vie du traitement.

Il est également nécessaire de revoir une AIPD de manière régulière pour s’assurer que le niveau de risque reste acceptable tout au long de la vie du traitement, dans la mesure où l’environnement, technique notamment, sera amené à évoluer, ce qui nécessitera d’adapter les mesures mises en œuvre.

Faut-il mener une analyse d’impact pour les traitements déjà mis en œuvre au 25 mai 2018 ?

Une étude d’impact ne sera pas exigée pour les traitements:

  • Ayant fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018 ou qui étaient dispensés de formalité ;
  • Consignés au registre d’un correspondant « informatique et libertés ».

Cette dispense d’obligation de réaliser une AIPD, pour les traitements existants et régulièrement mis en œuvre, sera limitée à une période de 3 ans : à l’issue de ce délai, les responsables de traitement devront avoir effectué une telle étude si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

En revanche, l’étude d’impact devra être réalisée, sans attendre l’issue de ce délai de trois ans, dans tous les autres cas, dès lors que le traitement présente un risque élevé :

  • Pour tout nouveau traitement mis en œuvre après le 25 mai 2018 ;
  • Pour les traitements antérieurs n’ayant pas fait l’objet de formalités préalables auprès de la CNIL ;
  • Pour les traitements, antérieurs au 25 mai et qui ont été dispensés d’étude d’impact en raison de l’accomplissement d’une formalité préalable auprès de la CNIL, mais qui font l’objet d’une modification significative.

La réalisation d’une AIPD constitue, dans tous les cas, une bonne pratique facilitant la démarche de mise en conformité avec les conditions de fond prévues par le RGPD.

Qui intervient dans la réalisation d’une analyse d’impact ?

Le responsable de traitement est tenu par l’obligation de s’assurer de la conformité de son traitement au RGPD.

S’il a désigné un délégué à la protection des données, il lui demande conseil et le charge de vérifier l’exécution de l'AIPD.

Si un sous-traitant intervient dans le traitement, il doit fournir son aide et les informations nécessaires à la réalisation de l'AIPD.

Le responsable de traitement devrait également demander l’avis des personnes concernées (par le biais d’une enquête, d’un sondage, d’une question formelle aux représentants du personnel), ou le justifier sinon.

Idéalement, les métiers (maîtrise d’ouvrage), les équipes chargées de la mise en œuvre (maîtrise d’œuvre), et la personne chargée de la sécurité des systèmes d’information devraient également participer au processus de réalisation de l'AIPD et à sa validation.

Qui intervient dans la réalisation d’une analyse d’impact ?

Le responsable de traitement est tenu par l’obligation de s’assurer de la conformité de son traitement au RGPD.

S’il a désigné un délégué à la protection des données, il lui demande conseil et le charge de vérifier l’exécution de l'AIPD.

Si un sous-traitant intervient dans le traitement, il doit fournir son aide et les informations nécessaires à la réalisation de l'AIPD.

Le responsable de traitement devrait également demander l’avis des personnes concernées (par le biais d’une enquête, d’un sondage, d’une question formelle aux représentants du personnel), ou le justifier sinon.

Idéalement, les métiers (maîtrise d’ouvrage), les équipes chargées de la mise en œuvre (maîtrise d’œuvre), et la personne chargée de la sécurité des systèmes d’information devraient également participer au processus de réalisation de l'AIPD et à sa validation.

Comment réaliser son étude d’impact ?

Un AIPD contient au minimum :

  • une description systématique des opérations de traitement envisagées et les finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement ;
  • une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
  • une évaluation des risques sur les droits et libertés des personnes concernées ; et
  • es mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.

Pour ce faire, plusieurs méthodes sont utilisables. Le responsable de traitement est libre de choisir sa méthode. Mais quelle que soit la méthode, celle-ci devrait respecter les critères définis dans l’annexe 2 des lignes directrices du G29.

Les guides AIPD de la CNIL décrivent la méthode suivante :

  1. délimiter et décrire le contexte du (des) traitement(s) considéré(s) ;
  2. analyser les mesures garantissant le respect des principes fondamentaux : la proportionnalité et la nécessité du traitement, et la protection des droits des personnes concernées ;
  3. apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités ;
  4. formaliser la validation du PIA au regard des éléments précédents ou bien décider de réviser les étapes précédentes
Faut-il publier l’analyse d’impact ?

Il n’y a aucune obligation de publication. Toutefois, l'AIPD peut aboutir à la production d’un rapport ou d’un résumé, pouvant être partagé, publié, communiqué. Cette bonne pratique contribue à améliorer la confiance entre les parties prenantes.

Quand faut-il transmettre son analyse d’impact à la CNIL ?

Si votre traitement relève du RGPD, votre AIPD doit être transmise à la CNIL dans les cas suivants :

  • S’il apparait que le niveau de risque résiduel reste élevé (cas où la CNIL doit être consultée) ;
  • Quand la législation nationale d’un État membre l’exige ;

Si votre traitement relève de la directive « Police-Justice », votre AIPD doit être transmise à la CNIL dans les cas suivants :

  • Elle présente des risques résiduels élevés ;
  • En raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, le traitement présente des risques initiaux élevés.

Vous avez effectué une analyse d’impact mais vous n'êtes pas dans l'un des cas ci-dessus, vous n’avez pas à consulter la CNIL.

Si vous êtes dans un cas justifiant l’envoi de votre analyse d’impact, vous pouvez l'envoyer par internet.

La privacy by design & by default
De quoi s’agit-il ?

La notion de privacy by design est apparue aux États-Unis vers la fin des années 90, à l’initiative d’Ann Cavoukian, commissaire à l’information et à la protection de la vie privée de l’État d’Ontario.

L’idée est d’imposer que chaque nouvelle technologie destinée à traiter les données personnelles doit être conçue de manière à offrir un haut niveau de protection des données.

Il s’agit d’une réponse à l’automatisation du traitement des données personnelles et à la quantité de plus en plus importante de données manipulées par les entreprises (ne nécessitant souvent pas une intervention humaine). Le privacy by design est une mesure préventive ayant donc pour but de limiter les risques d’abus et de violation des données.

Le principe de privacy by design est prévu par l’article 25 du RGPD : « Protection des données dès la conception et protection des données par défaut ».

Ce principe implique de protéger les données personnelles dès la conception. Les entreprises ont désormais l’obligation d’intégrer le principe de protection des données à caractère personnel dès la mise en œuvre de projets impliquant un traitement de données au sein d’une structure. Cette approche permet de limiter les risques d’un éventuel non-respect des exigences du RGPD. Ainsi, au regard de la finalité recherchée par une structure dans le traitement de données personnelles, l’entreprise doit en amont prendre les mesures nécessaires, que ce soit au niveau technique comme organisationnel, de manière à traiter ces informations personnelles de manière appropriée.

Appliquer ce principe permet donc de mettre en place des mesures préventives limitant, dès la conception d’un projet, les risques éventuels de violation des données personnelles. Ces mesures mises en œuvre doivent empêcher la collecte de données personnelles sans raison légitime et impliquer la suppression de données personnelles dans une base de données, s’il n’y a pas lieu de les garder par la suite.

Définitions

Privacy by design

Le fait pour le responsable du traitement (RT) de mettre en place un ensemble de mesures de sécurité en amont de la création de son produit/service et de la réalisation de ses traitements. Le sous-traitant (ST) est tenu aux mêmes obligations que le RT. La protection des données fait l'objet d'une réflexion et de décision dès la conception d'un produit d’un service by design.

Privacy by default

Par défaut, le niveau de protection des données doit être élevé en laissant si besoin le choix aux personnes concernées de paramétrer différemment les produits ou services.

Quelle mise en œuvre ?

Fruit d'une volonté constante de garantir la protection de la vie privée des personnes, ces mesures préventives sont prises sur la base d'une concertation entre des ingénieurs informatiques et des juristes d'entreprise :

  • Les juristes mettent en œuvre les grands principes de la protection des données personnelles (minimisation, transparence, spécificité des finalités) ;
  • Les ingénieurs informaticiens mettent en place un certain nombre de mesures techniques (ou privacy enhancing technologies, PET) pour renforcer la sécurité des données.

Pour garantir la protection de la vie privée dès la conception du traitement by design, le RT met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées destinées à appliquer les principes relatifs à la protection des données, telles que la minimisation effective des données afin de répondre aux exigences du RGPD et de protéger les droits des personnes concernées (art. 25).

Le responsable du traitement doit prendre en considération les enjeux de la protection des données dès la conception du traitement et non pas à la dernière minute préoccupé par la mise en conformité.

Le considérant 78 du RGPD rappelle les mesures que le RT doit mettre en œuvre pour répondre aux exigences du privacy by design et by default notamment pour des questions de transparence ( ligne directrice du G29 WP 26029 novembre 2017).

Quels principes pour la privacy by design ?

Le privacy by design est basé sur 7 principes :

  • Conception de mesures préventives et proactives ;
  • Protection par défaut (privacy by default) ;
  • Prise en compte des règles sur la protection de la vie privée dans la conception des produits et durant leur utilisation ;
  • Protection optimale et intégrale ;
  • Assurer la sécurité tout au long de la conservation des données ;
    Visibilité et transparence ;
  • Respect de la vie privée des usagers et/ou des cibles du service.

Ces principes ont été repris dans le RGPD avec des applications plus concrètes : réduction des traitements de données à caractère personnel, pseudonymisation, transparence des traitements, limitation des risques de fuite…

La sécurité des traitements et des données à caractère personnel
Quels sont les fondements et les sources textuelles de l’obligation de sécurité ?
a) Le RGPD et obligation de sécurité

Le RGPD (article 32) exige que les organismes traitant des données personnelles doivent assurer la sécurité de ces traitements, en mettant en place des mesures (techniques et organisationnelles) appropriées aux risques identifiés pour sécuriser le traitement de ces données.
Cette obligation concerne non seulement les responsables de traitement, mais également les sous-traitants.
Ces mesures doivent être prises en considération :

  • de l’état des connaissances ;
  • des couts de mise en œuvre ;
  • de la nature, de la portée, du contexte et des finalité du traitement ;
  • des risques dont le degré de probabilité et de gravité varie.1

Les mesures techniques et organisationnelles prises par le responsable du traitement peuvent notamment consister en :

  • La pseudonymisation et le chiffrement des données à caractère personnel ;
  • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

1- RGPD,art.32,§1

b) Les objectifs poursuivis

Les données à caractère personnel doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées (considérant 39 du RGPD), y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement, ainsi que l’utilisation non autorisée de ces données et de cet équipement.

Il convient de vérifier si toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en œuvre « pour établir immédiatement si une violation des données à caractère personnel s'est produite et pour informer rapidement l'autorité de contrôle et la personne concernée. Il convient d'établir que la notification a été faite dans les meilleurs délais, compte tenu en particulier de la nature et de la gravité de la violation des données à caractère personnel et de ses conséquences et effets négatifs pour la personne concernée. Une telle notification peut amener une autorité de contrôle à intervenir conformément à ses missions et à ses pouvoirs fixés par le présent règlement » (considérant 87 du RGPD).

  • La vérification de la mise en œuvre des mesures de protection techniques et organisationnelles appropriées permet d’établir immédiatement si une violation des données à caractère personnel s’est produite, ce qui déterminera si l’obligation de notification s’applique.

L’obligation de sécurité des données vise d’une part à être en mesure de prévenir tout risque de violation ; et d’autre part, lorsqu’une telle violation se produit malgré tout, d’y réagir dans les meilleurs délais.

c) Les sources internes de l’obligation de sécurité

L’obligation de sécurité n’est pas nouvelle. En 2004, la Loi Information & Libertés indiquait que : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Cette exigence se retrouve dans la loi Informatique et Libertés, modifiée par la loi relative à la protection des données personnelles du 20 juin 2018 « LIL 3 » qui dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (article 34).

Comment sécuriser les traitements de données personnelles ?

Le RGPD évoque :

  • La pseudonymisation : une mesure de sécurité technique qui consiste à remplacer un identifiant (ou plus généralement des données à caractère personnel) par un pseudonyme. Cette technique permet toutefois la réidentification.
  • Le chiffrement : un fonction de cryptologie qui consiste à protéger les documents en les rendant inintelligibles par toute personne n’ayant pas accès à une clé dite de déchiffrement. On distingue le chiffrement symétrique (une clé secrète pour chiffrer et déchiffrer) et le chiffrement asymétrique (deux clés : une publique pour chiffrer et une privée pour déchiffrer)2

Dans son rapport d’activité, la CNIL prône le chiffrement qui assure la confidentialité des messages contenant des DCP3.

D’autres mesures sont ensuite prévues :

  • Des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ;

L’application d’un code de conduite ou d’un mécanisme de certification peut également servir à démonter le respect des obligations de sécurité.

Ni le RGPD, ni la Loi informatique et Libertés en sa rédaction issue de la transposition du RGPD, ne mentionnent de solutions techniques impératives à adopter par le responsable ou le sous-traitant éventuel pour aboutir à l’objectif de sécurité des données. Les textes leur laissent au contraire le choix quand aux moyens techniques à mettre en œuvre.

2- CNIL,communiqué « comment chiffrer ses documents et ses répertoires ? »,3Mars 2017 »

 3- CNIL,37eme rapport d’activité 2016

Comment évaluer le niveau de sécurité approprié ?

La détermination des risques est essentielle.
Le caractère approprié des mesures nécessite une évaluation afin de valider si le niveau de sécurité est suffisant et si le risque est rendu suffisamment bas pour être raisonnablement « acceptable ».
Celle-ci doit tenir compte notamment de la nature des données traitées et des finalités du traitement (autrement dit, plus la donnée est sensible dans le contexte du traitement en termes de conséquences potentielles pour les droits et libertés des personnes concernées si le risque devait se réaliser, plus le niveau doit être élevé).
Il est cependant parfois difficile, lorsque l’on n’est pas familier de ces méthodes, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été mis en œuvre.
Afin de permettre aux responsables de traitements de définir leur politique de gestion des risques, la CNIL a mis au point une méthodologie en 6 étapes qui repose sur les précautions élémentaires qui devraient être mises en œuvre de façon systématique :

  • Étape 1
    Cartographier les traitements, identifier les catégories de données traitées et les supports : Il s’agit de recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées et les supports sur lesquels elles reposent :

    • Les matériels (ex : serveurs, ordinateurs portables, disques durs) ;
    • Les logiciels (ex : système d’exploitation, logiciel métier) ;
    • Les canaux de communication (ex : fibre optique, Wi-Fi, Internet) ;
    • Les supports papier (ex : document imprimé, photocopie)
  • Étape 2
    Identifier les impacts potentiels sur les droits et libertés des personnes concernées, pour les trois évènements redoutés suivants :

    • Accès illégitime à des données, c’est à dire accès non autorisé à de telles données, de manière accidentelle ou illicite (ex : usurpations d’identités consécutives à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise) ;
    • Modification non désirée de données (ex : accusation à tort d’une personne d’une faute ou d’un délit suite à la modification de journaux d’accès) ;
    • Disparition de données (ex : non détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient).
  • Étape 3
    Identifier les sources de risques en prenant en compte :

    • Des sources humaines internes et externes (ex : administrateur informatique, utilisateur, attaquant externe, concurrent) ;
    • Des sources non humaines internes ou externes (ex : eau, matériaux dangereux, virus informatique non ciblé).
  • Étape 4
    Identifier les menaces réalisables, c’est-à-dire ce qui pourrait permettre que chaque évènement redouté survienne. Ces menaces se réalisent via les supports des données (matériels, logiciels, canaux de communication, supports papier, etc.), qui peuvent être :

    • Utilisés de manière inadaptée (ex : abus de droits, erreur de manipulation) ;
    • Modifiés (ex : piégeage logiciel ou matériel – keylogger, installation d’un logiciel malveillant) ;
    • Perdus (ex : vol d’un ordinateur portable, perte d’une clé USB) ;
    • Observés (ex : observation d’un écran dans un train, géolocalisation d’un matériel) ;
    • Détériorés (ex : vandalisme, dégradation du fait de l’usure naturelle) ;
    • Surchargés (ex : unité de stockage pleine, attaque par dénis de service).
  • Étape 5
    Déterminer les mesures existantes ou prévues qui permettent de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation).
  • Étape 6
    Estimer la gravité et la vraisemblance des risques, au regard des éléments précédents (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale). Une fois le risque déterminé, l’entreprise peut choisir au cas par cas les mesures techniques et organisationnelles adaptées.
Quelles sont les mesures de sécurité envisageables ?
Gérer les accès et les habilitations
  • Gérer les habilitations du personnel (limiter l’accès aux applications ou logiciels aux seuls utilisateurs qui en ont besoin dans le cadre de leurs missions, garder une trace des actions réalisées…)
  • Supprimer les habilitations des personnes quittant définitivement leurs fonctions
Prévoir un dispositif d’authentification
  • Installer des mots de passe individuels sur les ordinateurs conformes aux règles définies par la CNIL
  • Installer des verrouillages automatiques de sessions en cas d’inactivité
  • Changer régulièrement les mots de passe
Sensibiliser les utilisateurs
  • Sensibiliser le personnel
  • Rédiger une charte informatique
  • Prévoir une politique interne de sécurité (PSSI) en définissant par exemple des niveaux de classification des documents et mails
Gérer la sous-traitance
  • Prévoir une politique de choix des sous-traitants
  • Prévoir la sécurité des contrats de sous-traitance
  • Vérifier et documenter l’effectivité des garanties offertes par le sous traitant.
Protéger les locaux
  • Mettre en place des contrôles d’accès (vigiles, badges, biométrie…)
  • Installer un système de vidéosurveillance
  • Accompagner les visiteurs dans les locaux
  • Fermer à clé les locaux sensibles (contenant les dossiers RH par exemple ou encore les locaux des serveurs)
Sécuriser les postes de travail
  • Mettre en place des antivirus, pares-feux…
  • Veiller à la mise à jour régulière des logiciels utilisés
  • Limiter et vérifier les supports mobiles (clés USB par exemple)
a) Habilitations

Le RGPD impose également la limitation des accès aux seules personnes habilitées au sein de l’organisation.

Des niveaux d’habilitation différenciés doivent ainsi être mis en place en fonction des besoins.

Il convient à minima de définir des profils d’habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité, afin de limiter l’accès des utilisateurs aux seules données strictement nécessaires à l’accomplissement de leurs missions.

Il faut également veiller à supprimer les permissions d’accès des utilisateurs dès qu’ils ne sont plus habilités à accéder à un local ou à une ressource informatique, ainsi qu’à la fin de leur contrat.

Une revue annuelle des habilitations permettra ainsi d’identifier et de supprimer les comptes non utilisés et de réaligner les droits accordés sur les fonctions de chaque utilisateur.

Les comportements de bonne conduite et à proscrire doivent être détaillés et explicités dans un document.

Il ne faut pas, notamment :

  • Créer ou utiliser des comptes partagés par plusieurs personnes.
  • Donner des droits d’administrateurs à des utilisateurs n’en ayant pas besoin.
  • Accorder à un utilisateur plus de privilèges que nécessaires.
  • Oublier de retirer des autorisations temporaires accordées à un utilisateur (pour un remplacement, par exemple).
  • Oublier de supprimer les comptes utilisateurs des personnes ayant quitté l’organisation ou ayant changé de fonction.

Il convient ainsi d’établir, documenter et réexaminer régulièrement une politique de contrôle d’accès en rapport avec les traitements mis en œuvre par l’organisation qui doit inclure :

  • Les procédures à appliquer systématiquement à l’arrivée ainsi qu’au départ ou au changement d’affectation d’une personne ayant accès aux données à caractère personnel ;
  • Les conséquences prévues pour les personnes ayant un accès légitime aux donnés en cas de non-respect des mesures de sécurité ;
  • Les mesures permettant de restreindre et de contrôler l’attribution et l’utilisation des accès au traitement.
b) Authentification des utilisateurs

Pour pouvoir donner aux utilisateurs les habilitations nécessaires, il faut être en mesure de les reconnaître et de les identifier.

Ainsi pour assurer qu’un utilisateur accède uniquement aux données dont il a besoin, il doit être doté d’un identifiant qui lui est propre et il doit s’authentifier avant toute utilisation des moyens informatiques.

L’ANSSI incite à identifier nommément chaque personne accédant au système et à distinguer les rôles utilisateur/administrateur. Une journalisation des connexions au réseau de l’organisme pourrait ainsi être activée. Cela permettrait de garder une trace des connexions réussies ou échouées.

Les mécanismes permettant de réaliser l’authentification des personnes sont catégorisés selon qu’ils font intervenir :

  • ce que l’on sait (ex : un mot de passe) ;
  • ce que l’on a (ex : une carte à puce) ;
  • une caractéristique qui nous est propre (ex : une empreinte digitale, la manière de tracer une signature manuscrite).

Pour rappel, la loi Informatique et Libertés subordonne l’utilisation de la biométrie à l’autorisation préalable de la CNIL.

L’authentification d’un utilisateur est qualifiée de forte lorsqu’elle a recours à une combinaison d’au moins deux de ces catégories.

En la matière, certaines précautions sont élémentaires :

  • Chaque utilisateur a un identifiant unique et il convient d’interdire les comptes partagés entre plusieurs utilisateurs.
    Dans le cas où l’utilisation d’identifiants génériques ou partagés est incontournable, une validation de la hiérarchie doit être prévue et il faut mettre en œuvre des moyens pour tracer les accès.
  • Dans le cas où l’authentification des utilisateurs est basée sur des mots de passe, il faut respecter la recommandation de la CNIL6, notamment en stockant les mots de passe de façon sécurisée et en appliquant les règles de complexité suivantes pour le mot de passe :
    • Au moins 8 caractères comportant 3 des 4 types de caractères (majuscules, minuscules, chiffres, caractères spéciaux) si l’authentification prévoit une restriction de l’accès au compte (cas le plus courant) comme :
      • une temporisation d’accès au compte après plusieurs échecs ;
      • un « Captcha » ;
      • un verrouillage du compte après 10 échecs ;
    • 12 caractères minimum et 4 types de caractères si l’authentification repose uniquement sur un mot de passe ;
  • plus de 5 caractères si l’authentification comprend une information complémentaire. L’information complémentaire doit utiliser un identifiant confidentiel d’au moins 7 caractères et bloquer le compte à la 5e tentative infructueuse ;
    • le mot de passe peut ne faire que 4 caractères si l’authentification s’appuie sur un matériel détenu par la personne et si le mot de passe n’est utilisé que pour déverrouiller le dispositif matériel détenu en propre par la personne (par exemple une carte à puce ou téléphone portable) et qui celui-ci se bloque à la 3e tentative infructueuse.
  • De plus, dès sa première connexion, l’utilisateur doit être contraint à changer tout mot de passe attribué par un administrateur ou automatiquement par le système lors de la création du compte ou d’un renouvellement consécutif à un oubli.

Créer des mots de passe complexes
Des moyens mémo-techniques peuvent permettre de créer des mots de passe complexes, par exemple :

  • en ne conservant que les premières lettres des mots d’une phrase ;
  • en mettant une majuscule si le mot est un nom (ex : Chef) ;
  • en gardant des signes de ponctuation (ex : ’) ;
  • en exprimant les nombres à l’aide des chiffres de 0 à 9 (ex : Un -> 1) ;
  • en utilisant la phonétique (ex : acheté > ht).

Exemple, la phrase « un Chef d’Entreprise averti en vaut deux » peut correspondre au mot de passe 1Cd’Eaev2.

Les règles relatives à l’authentification peuvent figurer dans la politique de contrôle des accès qui précise également ce que ne doit pas faire l’utilisateur, à savoir :

  • Communiquer son mot de passe à autrui.
  • Stocker ses mots de passe dans un fichier en clair, sur un papier ou dans un lieu facilement accessible par d’autres personnes.
  • Enregistrer ses mots de passe dans son navigateur sans mot de passe maître.
  • Utiliser des mots de passe ayant un lien avec soi (nom, date de naissance, etc.).
  • Utiliser le même mot de passe pour des accès différents.
  • Conserver les mots de passe par défaut.
  • S’envoyer par e-mail ses propres mots de passe.

Pour une meilleure sécurité des authentifications il convient de :

  • Privilégier l’authentification forte, dans la mesure du possible.
    Limiter le nombre de tentatives d’accès aux comptes utilisateurs sur les postes de travail et bloquer temporairement le compte lorsque la limite est atteinte.
  • Imposer un renouvellement du mot de passe selon une périodicité pertinente et raisonnable.
  • Mettre en œuvre des moyens techniques pour faire respecter les règles relatives à l’authentification.
  • Éviter, si possible, que les identifiants (ou logins) des utilisateurs soient ceux des comptes définis par défaut par les éditeurs de logiciels et désactiver les comptes par défaut.
  • Utiliser des gestionnaires de mots de passe pour avoir des mots de passe différents pour chaque service, tout en ne retenant qu’un mot de passe maître.
  • Stocker les mots de passe de façon sécurisée au minimum hachés avec une fonction de hachage cryptographique utilisant un sel ou une clé, et au mieux transformés avec une fonction spécifiquement conçue à cette fin utilisant toujours un sel ou une clé . Une clé ne doit pas être stockée dans la même base de données que les empreintes.

On peut se référer aux règles et recommandations concernant les mécanismes d’authentification publiées par l’ANSSI dès lors que des mécanismes d’authentification forte sont mis en œuvre, notamment ses annexes7 B3 et B18 s’agissant respectivement des mécanismes d’authentification et des mécanismes cryptographiques.

6- delib.CNIL n°2017-012, 19 janv. 2017 : JO ,27 janv.

6- https://www.ssi.gouv.fr/uploads/2014/11/RGS_v-2-0_B3.pdf

6- https://www.ssi.gouv.fr/uploads/2014/11/RGS_v-2-0_B1.pdf

c) Formation et sensibilisation des utilisateurs

La sensibilisation aux risques cyber liés à l’impact sur libertés et à la vie privée

Les entreprises doivent sensibiliser les utilisateurs travaillant avec des données à caractère personnel aux risques liés aux libertés et à la vie privée, les informer des mesures prises pour traiter les risques et des conséquences potentielles en cas de manquement.

Dans ce contexte, il faudra :

  • Organiser une ou plusieurs session(s) de sensibilisation, envoyer régulièrement les mises à jour des procédures pertinentes pour les fonctions des personnes, faire des rappels par messagerie électronique, etc.
  • Documenter les procédures d’exploitation, les tenir à jour et les rendre disponibles à tous les utilisateurs concernés. Concrètement, toute action sur un traitement de données à caractère personnel, qu’il s’agisse d’opérations d’administration ou de la simple utilisation d’une application, doit être expliquée dans un langage clair et adapté à chaque catégorie d’utilisateurs, dans des documents auxquels ces derniers peuvent se référer.
  • Rédiger une charte informatique et lui donner une force contraignante (ex. annexion au règlement intérieur).

La charte informatique

Elle devrait au moins comporter les éléments suivants :

  • Le rappel des règles de protection des données et les sanctions encourues en cas de non-respect.
  • Le champ d’application de la charte, qui inclut notamment :
    • Les modalités d’intervention des équipes chargées de la gestion des ressources informatiques de l’organisme ;
    • Les moyens d’authentification utilisés par l’organisme ;
    • Les règles de sécurité auxquelles les utilisateurs doivent se conformer, ce qui doit inclure notamment de :
      • Signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement ;
      • Ne jamais confier son identifiant/mot de passe à un tiers ;
      • Ne pas installer, copier, modifier, détruire des logiciels sans autorisation ;
      • Verrouiller son ordinateur dès que l’on quitte son poste de travail ;
      • Ne pas accéder, tenter d’accéder, ou supprimer des informations si cela ne relève pas des tâches incombant à l’utilisateur ;
      • Respecter les procédures préalablement définies par l’organisme afin d’encadrer les opérations de copie de données sur des supports amovibles, notamment en obtenant l’accord préalable du supérieur hiérarchique et en respectant les règles de sécurité.
  • Les modalités d’utilisation des moyens informatiques et de télécommunications mis à disposition comme :
    • le poste de travail ;
    • les équipements nomades (notamment dans le cadre du télétravail) ;
    • les espaces de stockage individuel ;
    • les réseaux locaux ;
    • les conditions d’utilisation des dispositifs personnels ;
    • l’Internet ;
    • la messagerie électronique ;
    • la téléphonie.
  • Les conditions d’administration du système d’information, et l’existence, le cas échéant, de :
    • systèmes automatiques de filtrage ;
    • systèmes automatiques de traçabilité ;
    • gestion du poste de travail.

Pour aller plus loin :

  • Mettre en place une politique de classification de l’information définissant plusieurs niveaux et imposant un marquage des documents et des e-mails contenant des données confidentielles.
  • Porter une mention visible et explicite sur chaque page des documents papiers ou électronique qui contiennent des données sensibles.
  • Organiser des séances de formation et de sensibilisation à la sécurité de l’information. Des rappels périodiques peuvent être effectués par le biais de la messagerie électronique.
  • Prévoir la signature d’un engagement de confidentialité (voir modèle de clause ci-dessous), ou prévoir dans les contrats de travail une clause de confidentialité spécifique concernant les données à caractère personnel.
d) Gestion de la sous-traitance et sécurité

Le RGPD (article 28) dispose : « le responsable du traitement est tenu de ne faire appel qu’à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée ».

Ainsi, au-delà des mesures internes à l’entreprise, toute la relation avec les sous-traitants appelés à traiter des données à caractère personnel pour le compte du responsable du traitement doit être passée au crible de l’obligation de sécurité.

Cela impacte nécessairement fortement les critères de choix et de sélection des sous-traitants et les relations contractuelles existantes comme à établir.

Sécuriser le choix du sous-traitant

Le responsable du traitement (RT) doit définir ses besoins et exigences de base, c’est à dire un socle en dessus duquel le prestataire sous-traitant (ST),candidat ou existant, n’offre pas ou plus les garanties suffisantes.

Ce socle porte sur le triptyque suivant :

  • les opérations de traitement confiées au prestataire ;
  • la sécurité technique des services et des données ;
  • la maturité du prestataire sur la protection des données personnelles.

Ce socle minimum doit être affiné pour chaque projet de sous-traitance, en fonction des spécificités du projet, du traitement de données associé, et des obligations règlementaires le cas échéant.

Ainsi si l’entreprise fait appel à une société extérieure pour développer, maintenir et héberger, une application médicale, il convient de vérifier que la société retenue soit hébergeur agréé.

La sécurité technique des services et des données

Il n’est pas possible d’établir une liste exhaustive. Le RT pourra par exemple exiger lorsque plusieurs activités de traitement sont confiées au prestataire, la séparation des équipes ou encore l’anonymisation des données.

Le RT reste primo-garant de la sécurité, la confidentialité et l’intégrité des données, il peut donc légitimement exiger que le ST présente des garanties suffisantes en ce domaine. On peut établir quelques lignes directrice en la matière mais là encore il est impossible de lister de manière exhaustive les exigences minimales qui sont variables selon la nature des données et le risque associé au traitement.

Le ST doit ainsi :

  • Avoir un programme de sécurité fondé sur l’ensemble des normes reconnues (normes ISO- référentiels de l’ANSII-aux SOC) ;
  • Avoir un mécanisme de gestion du risque, permettant d’identifier et évaluer les risques pour le système d’Information (SI) ;
  • Avoir documenté la sécurité de son SI, si possible au moyen d’audits effectués par des tiers experts et indépendants ;
  • Faire évoluer continuellement son SI afin de prendre en compte les nouvelles menaces et s’en prémunir et les nouvelles technologies pour évier l’obsolescence.

Maturité de la protection des données du ST

Certaines exigences communes et standards peuvent être évoqués :

  • Le ST a défini et applique une politique de protection des données personnelles ;
  • Il a sensibilisé ses salariés à cette exigence de protection et forme régulièrement les équipes ayant vocation à traiter les données pour le compte de ses clients ;
  • Il dispose d’un département ou d’un collaborateur à minima en charge de la protection des données personnelles à fortiori quand la désignation d’un DPO est exigée par le RGPD.

Le contrat de prestation de services constitue le support naturel pour définir les droits et obligations du sous-traitant. Parmi les clauses obligatoires relatives au RGPD, figure une rubrique dédiée aux mesures de sécurité appropriées mises en œuvre. Précisons que les parties peuvent aussi décider de faire application soit d’un code de conduite approuvé, soit d’une certification.

Sécuriser le contrat de sous-traitance

Le RGPD (article 28) impose au RT de signer avec chacun de ses ST un contrat écrit (au format papier ou électronique) contenant une série de clauses obligatoires :

  • L’objet ;
  • La durée ;
  • La nature et la finalité du traitement ;
  • Les catégories de personnes concernées ;
  • Les droits et obligations du RT.

Évaluer le niveau de risque du ST

Une grille d’évaluation générale est difficile à concevoir, chaque traitement sous traité présentant ses propres risques et contraintes. Une échelle de risque à trois niveau est retenue, chaque organisation devant l’adapter en fonction de sa taille, son secteur d’activité, son envergure nationale ou internationale.

  • Risque faible – ST de niveau 1 : pas d’accès pas de manipulation des données
    Il s’agit des prestataires qui n’ont pas vocation à accéder aux données ni à les manipuler (ex : hébergeur de bases de données). Ce niveau de risque à vocation à s’appliquer aux prestataires purement techniques dans les deux cas suivant :

    • L’accès aux données personnelles est techniquement impossible ;
    • L’accès aux données personnelles est possible, mais il est nécessaire pour la réalisation des services demandés par l’organisme.
  • Risque normal – ST de niveau 2 : avec accès et manipulation de données
    Ce niveau concerne les prestataires qui accèdent et manipulent les données personnelles de l’organisme. C’est une véritable sous-traitance, comme c’est la cas pour un prestataire chargé du service après vente de l’organisme.
  • Risque important – ST de niveau 3 : avec accès et manipulation de données
  • Une dimension supplémentaire s’ajoute par rapport à la sous-traitance classique de niveau 2 en fonction de critères définis par l’organisme qui sous traite. Certaines situations caractéristiques rendent la sous-traitance particulièrement risquée :
    • Le traitement est sensible au sens du RGPD ;
    • Il porte sur des personnes vulnérables ;
    • Il implique des transferts de données vers un pays n’offrant pas de garanties adéquates.
  • Il convient de négocier impérativement un contrat de sous-traitance adapté (Data processing agreement ou DPA), qui prévoit un régime de responsabilité propre et des annexes spécifiques.

Négocier et/ou insérer des clauses contractuelles adaptées au niveau de risque

Des clauses contractuelles doivent s’adapter pour chaque niveau de risque. En tout état de cause, ces clauses contiennent impérativement les mentions obligatoires prévues par le RGPD9.

En situation de risque de niveau 2 ou 3, des obligations supplémentaires sont ajoutées et l’assistance d’un professionnel pour négocier et définir ses clauses est alors nécessaire.

Les mentions obligatoires prévues le RGPD (article 28) sont les suivantes :

  • Le sous-traitants (ST) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement (RT), y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel le ST est soumis ; dans ce cas, le ST informe le RT de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.
  • Il veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
  • Il prend toutes les mesures requises en vertu de l'article 32 c’est à dire les mesures techniques et organisationnelles requises afin de garantir un niveau de sécurité adapté au risque.
  • Il respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre ST ; il ne recrute pas d’autre sous-traitant sans l’autorisation écrite et préalable, spécifique ou générale du RT. Si l’autorisation est générale, il informe le RT de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants donnant ainsi à celui-ci la possibilité d’émettre des objections à ces changements.
  • En cas de sous-traitance ultérieure, il impose à cet autre ST les mêmes obligations que celles qui lui sont fixées par le RT, par contrat. Il est pleinement responsable de l’exécution par cet autre ST de ses obligations.
  • Il tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits.
  • Il aide le RT à garantir le respect des obligations en matière de sécurité, de notification des violations de données personnelles et de réalisation d’analyse d’impact compte tenu de la nature du traitement et des informations à la disposition du ST.
  • Selon le choix du RT, il supprime toutes les données à caractère personnel ou les renvoie au RT au terme de la prestation de services relatifs au traitement. Il détruit également les copies existantes, à moins que le droit de l'Union ou le droit de l'État membre n'exige la conservation des données à caractère personnel.
  • Il met à la disposition du RT toutes les informations nécessaires pour démontrer et apporter la preuve du respect ses obligations et permettre la réalisation d'audits et d’inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.
  • Le ST informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données.

Le RGPD ne fait pas de ces mentions obligatoires une condition de validité du contrat et il est peu probable que le contrat dans lequel ces mentions feraient défaut soit considéré comme nul. Cependant, une sanction sous forme d’amende est prévue (jusqu’à 10 M€ ou 2 % du chiffre d’affaire annuel mondial réalisé de l’exercice précédent, le plus élevé de ces deux plafonds étant retenu).

Si l’organisme fait appel à un ST pour héberger, collecter ou traiter ses données à caractère personnel, il devrait prévoir des obligations contractuelles à la charge du prestataire afin d’assurer une sécurité adéquate des données qu’il lui transmet ou qu’il collecte à son nom.

Il est possible d’identifier plusieurs clauses qui devraient figurer au contrat en RT et ST :

  • Une clause de sécurité physique pour garantir que les locaux au sein desquels les données sont traitées sont sécurisés et inaccessibles aux personnes non autorisées ;
  • Dans le cadre des service de cloud, une clause permettant de garantir l’étanchéité des données par rapport à celles d’autres clients hébergées dans le même data center ;
  • Une clause d’intégrité pour garantir la non-altération des données ;
  • Une clause de traçabilité pour localiser les données ;
    Une clause de sauvegarde des données pour disposer d’une copie en cas de perte du fichier d’origine ou de panne du serveur ;
  • Une clause précisant les droits dont dispose le prestataire sur les données qu’il stocke, collecte ou traite, et notamment les conditions d’accès de ces données pour les employés du ST ou le RT lui même et ses employés ainsi que la durée de conservation et les modalités de suppression ;
  • Une clause d’audit pour pouvoir vérifier le respect de ces règles de sécurité par le ST.

Ressources additionnelles
Travailler avec un sous-traitant dans une collectivité

Guide de la CNIL pour accompagner les sous-traitants

Guide CNIL de la sécurité des données personnelles

Kit Sécurité des données de l’ANSSI

9- RGPD,art 28

La notification des violations de données à caractère personnel

L’un des principaux apports du RGPD est qu’il généralise l’obligation de notifier les violations de données à caractère personnel à l’autorité de contrôle et aux personnes concernées.

b) Les enjeux liés à la notification d’une violation

Une violation de données à caractère personnel peut potentiellement avoir, pour les personnes concernées, toute une série de conséquences négatives susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral.

Le RGPD indique que ces dommages et préjudices peuvent inclure une perte de contrôle sur leurs données à caractère personnel, la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation ou une perte de confidentialité de données à caractère personnel protégées par le secret professionnel.

Ils peuvent également comprendre tout autre dommage économique ou social important pour les personnes concernées.

Pour ces raisons, le RGPD exige donc du responsable du traitement qu’il notifie toute violation à l’autorité de contrôle, à moins qu’elle ne soit pas susceptible d’engendrer le risque que de telles conséquences négatives ne se produisent. Lorsqu’en revanche, ce risque est élevé, le RGPD exige du responsable du traitement qu’il communique la violation aux personnes concernées dans les meilleurs délais.

Deux sortes de notifications sont ainsi envisagées par le texte :

  • La notification aux personnes concernées ;
  • La notification à l’autorité de contrôle.
La notification des violations de données à l’autorité de contrôle
a) Que disent les textes ?

L’article 33 du RGPD dispose qu’en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente, soit à la CNIL lorsque la violation intervient sur le territoire français.<7p>

Le sous-traitant a l’obligation de notifier au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance. Plus encore, il doit, aider le responsable du traitement à garantir le respect de l’obligation de notification, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant.

b) Que doit contenir la notification ?

La notification dont est destinataire l’autorité de contrôle doit :

  1. Décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  2. Communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  3. Décrire les conséquences probables de la violation de données à caractère personnel ;
  4. Décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
c) Dans quel délai notifier ?

La notification à bref délai

L’article 33, 1 du RGPD prévoit que la notification de la violation de données doit intervenir dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

  • Cette exigence soulève la question de savoir quand un responsable du traitement (RT) peut être considéré comme ayant pris « connaissance » d’une violation.

L’EDPB considère qu’un RT doit être considéré comme ayant pris « connaissance » lorsqu’il est raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des données à caractère personnel.

En réalité, le moment exact où un RT peut être considéré comme ayant pris « connaissance » d’une violation spécifique dépendra des circonstances de la violation en question.

Dans certains cas, il sera relativement clair dès le début qu’une violation s’est produite, tandis que dans d’autres, un certain temps pourrait être nécessaire avant de pouvoir déterminer si des données à caractère personnel ont été compromises.

Après avoir pris connaissance d’un incident, le RT doit notifier toute violation soumise à l’obligation de notification dans les meilleurs délais, et, si possible, dans les 72 heures.

Pendant cette période, il appartient au RT d’évaluer le risque probable pour les personnes concernées afin de déterminer si l’obligation de notification s’applique et quelle ou quelles mesures doivent être prises afin de remédier à cette violation.

La notification échelonnée

En fonction de la nature de la violation, il peut être nécessaire que le responsable du traitement (RT) effectue une enquête complémentaire afin d’établir tous les faits pertinents liés à l’incident.

Aussi l’article 33, 4 dispose que « si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu ».

Cela signifie que le RGPD reconnaît que les RT ne disposeront pas toujours de toutes les informations nécessaires concernant une violation dans les 72h après en avoir pris connaissance, dès lors que l’ensemble des détails de l’incident peuvent ne pas être systématiquement disponibles au cours de cette période initiale.

Il autorise donc une notification échelonnée.

Une telle notification interviendra plus probablement dans le cas de violations plus complexes, telles que certains types d’incidents de cybersécurité nécessitant par exemple une enquête approfondie et détaillée afin d’établir pleinement la nature de la violation et la mesure dans laquelle des données à caractère personnel ont été compromises.

Dans de nombreux cas, le RT devra ainsi poursuivre son enquête et fournir des informations complémentaires à l’autorité de contrôle par la suite.

Il y est autorisé à condition de justifier son retard conformément à l’article 33, 1.

L’EDPB recommande que, si le RT ne dispose pas encore de toutes les informations nécessaires, il en informe l’autorité de contrôle dans le cadre de sa notification initiale et précise qu’il fournira des informations plus détaillées par la suite.

L’article 33, 1 du RGPD prévoit que « lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard ».

Cette disposition reconnaît, au même titre que le concept de notification échelonnée, qu’un responsable du traitement (RT) peut ne pas toujours être en mesure de notifier une violation dans ce délai, et qu’une notification tardive pourrait être autorisée.

Un tel scénario pourrait par exemple se produire lorsqu’un RT constate, sur une courte période, plusieurs violations similaires affectant de façon identique de grandes quantités de personnes concernées.

Un RT pourrait prendre connaissance d’une violation et, en entreprenant son enquête et avant la notification, détecter d’autres violations similaires dont la cause diffère.

En fonction des circonstances, il pourrait falloir un certain temps au RT pour établir la portée des violations et pour élaborer une notification constructive comprenant différentes violations très similaires, mais aux causes potentiellement différentes, plutôt que de notifier chaque violation individuellement.

La notification à l’autorité de contrôle peut par conséquent avoir lieu plus de 72h après la prise de connaissance de ces violations par le RT.

d) Quand la notification n’est-elle pas nécessaire ?

L’article 33,1 prévoit clairement qu’une violation qui n’est « pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques » n’a pas à être notifiée à l’autorité de contrôle.

Tel pourrait par exemple être le cas lorsque les données à caractère personnel sont déjà disponibles pour le public et qu’une divulgation desdites données n’est pas susceptible d’engendrer un risque pour les personnes concernées.

Ceci contraste avec les obligations de notification s’appliquant aux fournisseurs de services de communications électroniques accessibles au public en vertu de la directive 2009/136/CE, qui dispose que toutes les violations pertinentes doivent être notifiées à l’autorité compétente.

À cet égard, dans son avis 03/2014 sur la notification des violations, l’EDPB expliquait qu’une violation de la confidentialité de données à caractère personnel cryptées à l’aide d’un algorithme de pointe constitue, malgré tout, une violation de données à caractère personnel, qui doit être notifiée.

Néanmoins, si la confidentialité de la clé de cryptage est intacte – soit que la clé n’a été compromise dans aucune violation de sécurité et a été générée de façon à ne pouvoir être trouvée, par aucun moyen technologique existant, par quelqu’un qui n’est pas autorisé à l’utiliser –, les données sont en principe incompréhensibles.

La violation n’est donc pas susceptible de porter atteinte aux personnes concernées et n’aurait donc pas besoin de leur être communiquée.

Toutefois, même lorsque les données sont cryptées, une perte ou une altération peut avoir des conséquences négatives pour les personnes concernées lorsque le responsable du traitement ne dispose pas de sauvegardes adéquates.

Dans ce cas de figure, il convient de communiquer la violation aux personnes concernées, même si les données elles-mêmes ont fait l’objet de mesures de cryptage adéquates.

e) Faut-il documenter la violation ?

Que la violation de données doive ou non être notifiée à l’autorité de contrôle, le responsable du traitement (RT) a l’obligation de documenter toutes les violations, comme exigé à l’article 33, 5 du RGPD.

Le texte prévoit que « le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article ».

Cette obligation de documentation est liée au principe de responsabilité du RGPD.

Cette exigence de tenir des registres des violations, qu’elles soient sujettes à notification ou non, est également liée aux obligations du responsable du traitement au titre de l’article 24, et l’autorité de contrôle peut demander à voir lesdits registres.

Les RT sont donc encouragés à établir un registre interne des violations, qu’ils soient tenus de les notifier ou non.

S’il appartient au RT de déterminer la méthode et la structure à utiliser pour documenter une violation, certaines informations clés doivent être incluses en toutes circonstances.

Comme requis à l’article 33, 5, le RT doit reprendre des informations concernant la violation, y compris les causes, les faits et les données à caractère personnel concernées. Il doit également inclure les effets et les conséquences de la violation ainsi que les mesures prises par le RT pour y remédier.

Outre ces informations, le Groupe de l’article 29 recommande que le RT documente également le raisonnement justifiant les décisions prises en réaction à la violation.

En particulier, lorsqu’une violation n’est pas notifiée, la justification de cette décision doit être documentée.

Cette justification doit inclure les raisons pour lesquelles le RT considère que la violation est peu susceptible d’engendrer un risque pour les droits et libertés des individus.

La notification des violations de données aux personnes concernées
a) Quels critères déterminent si une violation de données à caractère personnel doit être notifiée ?

L’article 34 du RGPD dispose que lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

Il ressort de cette disposition que la notification est ainsi exigée dès lorsque que la violation de données « est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ».

Le seuil à atteindre est par conséquent plus élevé pour la communication aux personnes concernées que pour la notification à l’autorité de contrôle, et toutes les violations ne devront donc pas être communiquées aux personnes concernées, ce qui les protège de notifications excessives et non nécessaires.

La question qui alors se pose est de savoir ce que l’on doit entendre par « risque élevé pour les droits et libertés » des personnes.

b) Comment apprécier si le risque est élevé ?

Le considérant 75 du RGPD indique :

  • D’une part, que, les risques pour les droits et libertés des personnes physiques sont susceptibles de présenter différents degrés de probabilité et de gravité ;
  • D’autre part, que, des risques pour les droits et libertés des personnes physiques existent en particulier :
    • Lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important.
    • Lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel
    • Lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes
    • Lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels
    • Lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants
    • Lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

Le considérant 76 précise qu’il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement.

À cet égard, le risque doit faire l’objet d’une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

Le Groupe de l’article 29 recommande que l’évaluation du risque tienne compte d’un certain nombre de critères :

  • Le type de violation
    Le type de la violation survenue peut avoir une incidence sur le niveau de risque encouru par les personnes concernées.
    Par exemple, les conséquences d’une violation de la confidentialité dans le cadre de laquelle des informations médicales ont été divulguées à des parties non autorisées pourraient différer de celles engendrées par une violation dans le cadre de laquelle les informations médicales d’un patient ont été perdues ou ne sont plus disponibles.
  • La nature, le caractère sensible et le volume des données à caractère personnel
    L’un des facteurs clés dans l’évaluation du risque est le type et le caractère sensible des données à caractère personnel qui ont été compromises par la violation.
    En général, plus les données sont sensibles, plus le risque de dommage sera élevé pour les personnes concernées, mais il convient également de tenir compte des autres données à caractère personnel qui pourraient déjà être disponibles au sujet de la personne concernée.
    Par exemple, dans des circonstances normales, la divulgation du nom et de l’adresse d’une personne est peu susceptible d’entraîner un préjudice important.
  • La facilité d’identification des personnes concernées
    Un facteur important à prendre en compte est la facilité avec laquelle une partie ayant accès à des données à caractère personnel compromises peut identifier des individus spécifiques ou associer les données en question à d’autres informations afin d’identifier ces mêmes individus.
    Dans certaines circonstances, une identification pourrait être possible directement à partir des données à caractère personnel compromises, sans que des recherches spécifiques ne soient nécessaires pour découvrir l’identité de la personne concernée, tandis que dans d’autres, il pourrait être extrêmement difficile d’attribuer des données à caractère personnel à une personne spécifique, bien que cela puisse toujours être possible dans certaines conditions.

    Une identification peut être directement ou indirectement possible à partir des données compromises, comme elle peut dépendre des circonstances spécifiques de la violation et de la disponibilité publique de renseignements personnels connexes.

  • La gravité des conséquences pour les personnes concernées
    En fonction de la nature des données à caractère personnel impliquées dans une violation
    Par exemple des catégories particulières de données, les dommages potentiels pour les personnes concernées peuvent être particulièrement graves, notamment lorsque la violation pourrait entraîner un vol ou une usurpation d’identité, un préjudice physique, une détresse psychologique, une humiliation ou une atteinte à la réputation.
    Si la violation concerne des données à caractère personnel de personnes vulnérables, celles-ci pourraient être exposées à un plus grand risque de dommages.
    Les caractéristiques particulières des personnes concernées.
    Une violation peut toucher des données à caractère personnel concernant des enfants ou d’autres personnes vulnérables, qui pourraient alors être exposés à un risque plus important.
    D’autres facteurs spécifiques aux personnes concernées pourraient également affecter la gravité des conséquences de la violation pour les personnes en question.
    Les caractéristiques particulières du responsable du traitement.
    La nature et le rôle du responsable du traitement ainsi que de ses activités peuvent affecter le niveau de risque qu’engendre une violation pour les personnes concernées.
    Par exemple, dès lors qu’une organisation médicale traite des catégories particulières de données à caractère personnel, le risque pour les personnes concernées sera plus important en cas de violation de données à caractère personnel que s’il s’agissait d’une liste de diffusion d’un journal.
  • Le nombre de personnes concernées
    Une violation peut toucher uniquement une personne, un nombre restreint de personnes ou des milliers de personnes, voire davantage.
    En général, plus le nombre de personnes concernées est élevé, plus les conséquences potentielles d’une violation sont nombreuses.
    Lorsqu’il évalue le risque susceptible de résulter d’une violation, le responsable du traitement devrait ainsi examiner à la fois la gravité des conséquences potentielles pour les droits et libertés des personnes concernées et la probabilité que ces conséquences se produisent.
    Il est évident que lorsque les conséquences d’une violation sont potentiellement plus graves, le risque est plus élevé.
    De même, lorsque la probabilité que celles-ci se produisent est plus importante, le risque s’en verra également renforcé.
    En cas de doute, le responsable du traitement devrait opter pour la prudence et procéder à une notification.
c) Quel est le contenu de la notification aux personnes concernées ?

L’article 34, 2 prévoit que la communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d), soit :

  • La communication du nom et des coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • La description des conséquences probables de la violation de données à caractère personnel ;
  • La description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
d) Quel est le délai pour notifier la violation aux personnes concernées ?

L’article 34, 1 du RGPD prévoit que la notification de la violation doit intervenir dans les plus brefs délais sans autre précision.

Le 4 précise que si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.

e) Dans quelles conditions la notification aux personnes concernées n’est elle pas nécessaire ?

L’article 34, 3 définit trois situations dans lesquelles la communication aux personnes concernées n’est pas nécessaire en cas de violation, à savoir :

  • Inintelligibilité des données : Le responsable du traitement a mis en œuvre les mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel préalablement à la violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès.
    • Cela pourrait par exemple inclure la protection des données à caractère personnel au moyen d’un chiffrement de pointe ou par tokenisation.
  • Mesures correctives et disparition du caractère élevé du risque : Le responsable du traitement a pris, immédiatement après la violation, des mesures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se concrétiser.
    • Par exemple, en fonction des circonstances du cas d’espèce, le responsable du traitement peut avoir immédiatement déterminé et pris des mesures contre la personne ayant accédé aux données à caractère personnel avant qu’elle n’ait pu les utiliser. Il convient cependant toujours de tenir compte des conséquences potentielles de toute violation de la confidentialité, toujours en fonction de la nature des données concernées.
  • Caractère disproportionné de la notification aux personnes concernées : Contacter les personnes concernées exigerait des efforts disproportionnés.
    • Par exemple si leurs coordonnées ont été perdues à la suite de la violation ou ne sont tout simplement pas connues. Dans un tel cas, le responsable du traitement doit procéder à une communication publique ou prendre une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.
    • En cas d’efforts disproportionnés, des dispositions techniques pourraient également être envisagées afin que les informations concernant la violation soient disponibles sur demande, ce qui pourrait se révéler utile pour les personnes éventuellement affectées par la violation, mais que le responsable du traitement n’est pas en mesure de contacter par un autre biais.
Les transferts de données hors de l’Union européenne

Le RGPD encadre précisément les transferts internationaux de données. Il complète la gamme des outils existants afin de répondre aux différentes situations rencontrées par les responsables de traitements de données et leurs sous-traitants. Ces derniers peuvent transférer des données hors de l’Union européenne (UE) et de l’Espace économique européen (EEE) à condition d’assurer un niveau de protection des données suffisant et approprié.

Quels outils pour encadrer les transferts de données hors EEE ?

Encadrement des transferts de données en dehors de l’Espace économique
européen (EEE) et de l’Union européenne (UE) mis à jour
Principe : Interdiction des transferts de données à caractère personnel en
dehors de EEE et de l’Union européenne
Exception : Mécanismes de transfert de données à caractère personnel en
dehors de l’Union .
Le RGPD élargit la gamme d’outils juridique permettant d’encadrer les transferts. Ils
pourront être utilisés tant par les responsables de traitement que par les sous-traitants.
Afin d’assurer un haut niveau de protection des données transférées du territoire
européen à des Etats tiers, les organismes souhaitant transférer des données peuvent
recourir aux outils suivants :

  • La décision d’adéquation (art. 45 du RGPD), qui constitue le premier outil juridique d’encadrement, dans la mesure où elle est prise sur la base d’un examen global de la législation en vigueur dans un Etat, sur un territoire ou applicable à un ou plusieurs secteurs déterminés au sein de cet Etat ;
  • En l’absence d’une telle décision, des « garanties appropriées » (art. 46 du RGPD), constituées pour la majorité de décisions des autorités de contrôle et qui sont
    prises à la lumière des engagements des organismes concernés ;

En l’absence de telles garanties appropriées, le transfert peut enfin être réalisé par dérogation  à ces outils globaux d’encadrement, dans des situations particulières et des conditions spécifiques.
En Synthèse, les transferts hors UE peuvent être fondés sur :

  • une décision d’adéquation de la Commission européenne concernant certains pays assurant un niveau de protection adéquat ;
  • des clauses contractuelles types (CCT) de la Commission européenne ;
  • des règles internes d’entreprises (BCR) ;
  • des clauses contractuelles spécifiques « ad hoc » (considérées comme conformes aux modèles de clauses de la Commission européenne) ;

Avec le RGPD, les transferts peuvent également être encadrés par :

  • des clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne,
  • un code de conduite approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
  • un mécanisme de certification approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
  • un arrangement administratif ou un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques (Mémorandum of Understanding dit MOU ou MMOU, convention internationale…).
Qu’est ce qu’un niveau de protection adéquat- Décision D’adéquation

Tout responsable de traitement qui souhaite exporter des données à caractère personnel hors de l’Espace économique européen doit d’abord se renseigner sur le niveau de protection adéquat du pays destinataire. En effet, lorsque le pays tiers est
considéré comme offrant un niveau de protection adéquat, le transfert peut être effectué comme s’il s’agissait d’un transfert au sein de l’Espace économique européen.

ll faudra néanmoins toujours respecter les principes généraux du RGPD (respect notamment du principe de licéité, compatibilité de la communication avec le traitement d’origine, information des personnes concernées).

C’est à la Commission européenne qu’il revient de constater par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat.

Liste des pays tiers ayant fait l’objet d’une décision d’adéquation de la Commission européenne 

  • Andorre ; 
  • Argentine ; 
  • Canada (pour les traitements soumis à la loi canadienne Personal Information Protection and Electronic Documentation Act) ;
  • Îles Féroé ; 
  • Guernesey ;
  • Israël; 
  • Île de Man ;
  • Japon ;
  • Jersey ; 
  • Nouvelle-Zélande ; 
  • Suisse ; 
  • Uruguay ; et
  • États-Unis d’Amérique (pour les sociétés certifiées par le EU-U.S. Privacy Shield Framework).
Cas Spécifique : Le « EU-U.S. Privacy Shield Framework»

 

Le “EU-U.S. Privacy Shield Framework”

Le "EU-U.S. Privacy Shield Framework" (sphère du bouclier de protection des données Union Européenne-États-Unis) est un ensemble de principes de protection des données personnelles auxquelles les entreprises établies aux États-Unis sont libres d’adhérer. Les entreprises établies dans l’EEE peuvent transférer les données personnelles qu’elles traitent à destination des sociétés américaines figurant sur la liste "EU-U.S. Privacy Shield Framework" de la même manière que s’opèrent les transferts vers les pays reconnus adéquats par la Commission européenne. 

Les principes que ces sociétés doivent respecter, négociés entre la Commission européenne et les autorités américaines en 2016, sont basés sur ceux de la directive 95/46/CE sur la protection des données, et ont été réévalués en 2017et 2018 sur la base du RGPD. Ils entendent par ailleurs répondre aux faiblesses des précédents accords, dits « Safe Harbor », négociés en 2001 et invalidés par la Cour de Justice de l’Union européenne en 2015. 

Ressource additionnelles

Mise en place de clauses contractuelles et transferts hors UE
Mise en place des clauses contractuelles types (CCT) de la Commission européenne

Les CCT sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne. Ils sont toujours d’actualité et peuvent être utilisées dans l’attente d’une prochaine mise à jour.

On distingue les CCT encadrant les transferts :

  • entre deux responsables de traitement,
  • entre un responsable de traitement et un sous-traitant.

Les modèles sont disponibles sur le site de la CNIL.

Depuis le 25 mai 2018, il n’est plus nécessaire de demander l’autorisation préalable de la CNIL en France. Toutefois, le responsable de traitement ou le sous-traitant doit toujours être en mesure de transmettre ces clauses à l’autorité e contrôle si elle le demande (par exemple, en cas de contrôle ou d’audit). 

 

Ressource additionnelles

Clauses Contractuelles « ad hoc »

Si le responsable de traitement n’opte pas pour un modèle de la Commission européenne, il peut néanmoins rédiger ses propres clauses contractuelles (clauses ad hoc) qui devront apporter des garanties suffisantes au regard de la protection des données. Ces clauses doivent être autorisées par la CNIL et soumises au mécanisme de cohérence, c’est à dire qu’elles devront être approuvées par l’EDPB. 

 

En savoir plus

  • Modèle de clauses « ad hoc »
Que faut il savoir sur les BCR ?
Notion de règles d’entreprise contraignantes (BCR)

Les règles d’entreprise contraignantes (en anglais, « binding corporate rules » ou BCR) permettent d'assurer un niveau de protection suffisant aux données transférées au sein d’un groupe d’entreprise tant à l’intérieur qu’à l’extérieur de l’EEE. Cette garantie appropriée se prête surtout aux groupes internationaux d’entreprises mettant en œuvre un grand nombre de transferts internationaux de données. 

Les BCR désignent une « charte de la protection des données » personnelles élaborée par un groupe d’entreprises qui définit sa politique en matière de transferts de données à caractère personnel. Cette charte doit être contraignante et respectée par toutes les entités du groupe, quel que soit leur pays d'implantation, ainsi que par tous leurs employés. En outre, elle doit conférer aux personnes concernées (clients, fournisseurs et/ou employés) des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel. 

Un groupe d’entreprises peut soumettre à l’approbation d’une autorité de contrôle compétente un projet de BCR à condition que ces règles :

  • soient juridiquement contraignantes ;
  • soient mises en application par toutes les entités concernées du groupe d'entreprises ;
  • confèrent expressément aux personnes concernées des droits sur le traitement de leurs données personnelles ;
  • répondent aux exigences prévues par le RGPD (article 47).
Avantages des BCR

Les BCR présentent de nombreux avantages pour un groupe d’entreprises multinationales : 

  • conformité avec le RGPD ;
  • limitation des garanties appropriées à mettre en œuvre pour chaque transfert (par exemple, l’adoption de BCR au niveau du groupe évite de devoir signer autant de clauses types de protection des données qu’il y a de transferts) ;
  • uniformisation des pratiques relatives à la protection des données au sein d’un groupe ;
  • guide interne en matière de protection des données personnelles, qui participe à la responsabilisation du groupe vis-à-vis du RGPD ; 
  • moyen plus flexible et adapté à la culture d’entreprise ; 
  • possibilité de placer la protection des données au rang de "préoccupation éthique du groupe".
Quand et comment soumettre son projet de BCR aux autorités de protection des données ?

La procédure d’approbation des BCR est prévue dans les dispositions du RGPD et plus amplement détaillée dans le document de travail WP263 de l’EDPB (European Data Protection Board). 

Elle s’opère en plusieurs étapes : 

  • Identification de l’autorité de supervision principale (« lead authority »),
  • Procédure de coopération européenne entre l’autorité de supervision principale (« lead authority »), les autorités secondaires (« co-reviewers »), et les autres autorités concernées
  • Avis non contraignant de l’EDPB au sujet du projet de décision consolidé soumis par l’autorité de supervision compétente,
  • Approbation (ou non) des BCR par l’autorité de supervision principale en tenant compte de l’avis de l’EDPB.

 

Ressource additionnelles

Les BCR sur le site de la CNIL

Codes de conduite et mécanismes de certification.

Depuis l’entrée en vigueur du RGPD, de nouvelles possibilités s’offrent aux responsables de traitement ou sous-traitants qui souhaitent transférer des données personnelles vers un pays en dehors de l’espace économique européen ne disposant pas d’un niveau de protection adéquat, outre les clauses contractuelles et les règles d’entreprise contraignantes. 

Il s’agit : 

  • de codes de conduite approuvés conformément à l’article 40 du RGPD assortis de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées ;et
  • de mécanismes de certification approuvés conformément à l’article 42 du RGPD, assortis de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

 

En savoir plus

  • Article 46 du RGPD
  • Comité européen de la protection des données, guidelines 1/2018 on _certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679-version for public consultation
Garanties spécifiques pour les transferts entre autorités ou organismes publics

Un transfert de données depuis une autorité ou un organisme public français, vers une autre autorité ou vers un autre organisme public situé dans un pays tiers (en dehors de l’espace économique européen) peut avoir lieu : 

  • par la signature d’un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics, sans que cela nécessite l’autorisation de la CNIL ;
  • par des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées, qui doivent faire l’objet de l’autorisation de la CNIL, et soumises conformément à l’article 46 paragraphe (4) du RGPD au mécanisme de cohérence, c’est à dire que ces dispositions devront être approuvées par l’EDPB.

 

En savoir plus

Dérogations pour des situations particulières

Les dérogations visées à l’article 49 du RGPD sont des exceptions au principe général selon lequel les données à caractère personnel ne peuvent être transférées vers des pays tiers que si un niveau de protection adéquat est offert dans le pays tiers, ou si des garanties appropriées ont été apportées, et si les personnes concernées bénéficient de droits opposables et effectifs afin de continuer à bénéficier de leurs droits fondamentaux et garanties. 

Ces exceptions ne peuvent donc être utilisées que dans des situations particulières : les responsables de traitement doivent s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties. 

L’article 49 du RGPD fait l’objet d’une interprétation stricte par les autorités de protection des données, afin que l’exception ne devienne pas la règle. 

Parmi ces dérogations pour des situations particulières, on retrouve :

  • La personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle ;
  • Le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à sa demande ;
  • Le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ;
  • Le transfert est nécessaire pour des motifs importants d'intérêt public ;
  • Le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice ;
  • Le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement ;
  • Le transfert a lieu au départ d'un registre qui est légalement destiné à fournir des informations au public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime.

 

Une dérogation de « dernier ressort » consiste à transférer des données à caractère personnel si c’est nécessaire aux fins des intérêts légitimes impérieux poursuivis par l’exportateur de données. Cependant, cette dérogation n’est applicable que si : 

  • Aucune des dérogations pour des situations particulières visées ci-dessus n'est applicable, 
  • Ce transfert ne revêt pas de caractère répétitif,
  • Ce transfert ne touche qu'un nombre limité de personnes concernées,
  • Ce transfert est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée, 
  • Le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel, 
  • Le responsable du traitement a informé l'autorité de contrôle (par exemple la CNIL) du transfert, et 
  • Le responsable du traitement a informé la personne concernée du transfert et des intérêts légitimes impérieux qu'il poursuit. 

 

En savoir plus