Entré en application le 25 mai 2018, le Règlement Général sur la Protection des Données Personnelles (RGPD) s’inscrit dans la continuité de la loi française « Informatique et Libertés » de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.

Il renforce les droits des personnes et responsabilise davantage les organismes publics et privés qui traitent leurs données.

Contrairement à une directive, le RGPD est directement applicable dans tous les États membres. Il instaure un cadre commun de protection des données à l’échelle européenne et harmonise les règles à travers un cadre juridique unique pour les professionnels. Il leur permet ainsi de développer leurs activités numériques au sein de l’Union européenne en se fondant sur la confiance des utilisateurs.

Objectifs

• Renforcer les droits des individus :
  • Information claire, intelligible et aisément accessible sur le traitement des données ;
  • Nécessité de donner un consentement ou de pouvoir s’opposer au traitement de ses données personnelles ;
  • Charge de la preuve du consentement reposant sur le responsable du traitement ;
  • Droit à la portabilité et à la limitation des données personnelles ;
  • Possibilité de recours collectifs, droit à réparation des dommages matériel ou moral ;
• Responsabiliser les entreprises en contrepartie d’un allégement des formalités préalables (déclarations et autorisations) ;
• Renforcer les obligations de tous les intervenants dans le traitement de données :
  • Fin de l’impunité des sous-traitants et nouvelles obligations à leur charge ;
  • Principe d’accountability introduisant un nouveau paradigme où chacun doit être en mesure de justifier du respect de ses obligations ;
  • Mise en place de nouveaux outils de la conformité et de moyens de gestion des données, tels que :
    • la tenue d’un registre des traitements dans certains cas,
    • la notification des failles de sécurité,
      la désignation d’un délégué à la protection des données (DPO),
    • des études d’impact sur la vie privée.

Où s’applique le RGPD ?

Le RGPD s’applique à toute organisation, publique ou privée, qui traite des données personnelles pour son compte ou pour celui d’un autre organisme :

• Si le responsable du traitement des données personnelles (RT) ou le sous-traitant (ST) est établi sur le territoire de l’Union européenne (UE) ; ou
• Si bien qu’établis hors de l’UE, le RT ou le ST mettent en œuvre des traitements de données visant à fournir des biens et des services aux résidents européens ou à les « cibler ».
• Exemples :
  Une société établie en France doit respecter le RGPD, peu importe qu’elle exporte l’ensemble de ses produits au Maroc pour ses clients Moyen-Orientaux.
• Une société établie en Inde doit respecter le RGPD dès lors qu’elle cible les résidents français via un site de e-commerce en français livrant des produits en France.

Mon activité est-elle concernée par le RGPD ?

Le RGPD s’applique :

• Aux traitements, en tout ou en partie automatisés, de données à caractère personnel, ainsi qu’aux traitements non automatisés dès lors que le fichier est constitué d’un ensemble structuré de données personnelles accessibles selon des critères déterminés.
• Dès lors que les données personnelles sont traitées par un organisme (grande entreprise, PME, TPE, association, organisation professionnelle, syndicat…) dans un fichier structuré (automatisé ou non) et dans le cadre d’une activité professionnelle, le RGPD s’applique.

/! Exclusion
Le RGPD ne s’applique pas aux traitements effectués par des particuliers dans le cadre d’une activité strictement personnelle ou domestique.

Les TPE/PME sont-elles concernées par le RGPD

L’application des règles relatives à la protection des données à caractère personnel ne dépend pas de la taille de l’entreprise.

Les dispositions du RGPD s’appliquent à toute entreprise qui met en œuvre un traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

Les entreprises sont presque toutes concernées dans la mesure où l’entreprise traite des données personnelles de ses salariés dans le cadre de la gestion des ressources humaines ou de ses clients dans le cadre de la gestion des clients/prospects.

Une donnée à caractère personnel est :

• Toute information se rapportant à une personne physique identifiée ou identifiable ;
• Réputée être une « personne physique identifiable », une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (ex. nom, numéro de carte d’identité, passeport, permis de conduire, empreintes digitales, etc.).

Traitement de données à caractère personnel

Toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, l’alimentation, l'effacement ou la destruction

Exemples : Tenue d’un fichier clients, collecte de coordonnées de prospects via un questionnaire, mise à jour d’un fichier fournisseurs, etc.

Exclusion : Un fichier ne contenant que des coordonnées d’entreprises n’est pas un traitement de données personnelles (cf. supra).

À noter : Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

****

L’article 9 du RGPD définit les données sensibles et dispose : « Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits. »

Traitement des données sensibles

Il est interdit par principe. Le second paragraphe de l’article 9 vient compléter la définition des données sensibles en décrivant les différents cas dans lesquels l’interdiction de traitement ne s’applique pas.
On y trouve ainsi une liste limitative des exceptions au principe d’interdiction du traitement des données sensibles. Un tel traitement est ainsi possible si :

• la personne concernée a donné son consentement explicite au traitement de ces données ;
• le traitement est nécessaire aux fins de l’exécution des obligations et des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale ;
• le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ;
• le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées ;
• le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;
• le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ;
• le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi ;
• le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail ;
• le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique ;
• le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

Données sensibles : un encadrement renforcé

En principe, le traitement des données sensibles est formellement interdit par le RGPD. Néanmoins, le texte précise les différents cas dans lesquels l’utilisation de ces informations peut être autorisé.

Avant de pouvoir traiter des données sensibles, il est donc indispensable de s’assurer que l’on se trouve bien dans l’un des cas d’exception prévus par ce texte. Cette vérification préalable est primordiale et la CNIL est très stricte concernant le traitement de ces données. Il est ainsi nécessaire que votre traitement de ce type d’informations soit parfaitement documenté (conformément à l’article 24 du RGPD).

Il est également fondamental de vérifier si l’on respecte les autres obligations imposées par le RGPD dont notamment :

• Objectif du traitement des données et minimisationdes données traitées : « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » ;
• Transparence du traitement: « traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ». Si un tel traitement ne repose pas toujours sur le consentement de la personne concernée, celle-ci devra dans tous les cas être convenablement informée.
• Sécurité: l’importance de la mise en place de mesures de sécurité renforcées pour le traitement de ces données.

Par leur nature, les données sensibles sont des informations qui peuvent avoir des incidences particulièrement critiques sur la vie privée des personnes concernées si elles étaient révélées. Afin de mieux les gérer, il est d’abord nécessaire de les distinguer des autres données collectées et autorisées par le RGPD. Elles doivent faire l’objet d’une gestion différente et encore plus sécurisée que les autres traitements.

Gestion des données sensibles et contrôle de la collecte

Les données sensibles sont très souvent collectées via les zones de textes libres. Afin d’éviter la saisie de ces informations (santé, vie sexuelle, n° de carte bancaire, n° de sécurité sociale…), il est essentiel d’utiliser des outils de sécurité adaptés. Certains logiciels proposent un contrôle efficace des zones de textes libres en détectant les données sensibles en temps réel ou différé.

Quel que soit le mode de contrôle choisi, l’installation d’un tel logiciel peut permettre d’analyser les champs de textes de toutes les formulaires et veiller ainsi à la protection des données sensibles collectées.

Données sur les condamnations et infractions

Ce type d’informations ne fait pas partie des données dites sensibles, mais bénéficie également d’une protection particulière. La limitation du traitement de ces données à certaines autorités évite ainsi d’éventuels excès quant à l’utilisation des informations personnelles relatives aux condamnations et infractions.

L’article 10 du RGPD dispose ainsi : « Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique ».

Responsable de traitement (RT) : La personne, morale (entreprise, commune, etc.) ou physique, qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.

Sous-traitant (ST) : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement (RT) :

• Le ST ne traite ces données que sur instructions du RT, à moins que cela ne soit requis par la législation de l’Union ou des États membres ;
• Il n’utilise pas les données pour son propre compte.

Le ST doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. L’article 28 RGPD encadre les obligations réciproques du RT et du ST.

Responsables conjoints du traitement (RTC) : Deux ou plusieurs entités qui déterminent ensemble les finalités et moyens du traitement. L’article 26 RGPD leur fait alors obligation d’organiser ensemble, de manière « transparente », les obligations que chacun prend respectivement en charge pour assurer la conformité RGPD du traitement.

Destinataire de données à caractère personnel : Toute personne habilitée à recevoir communication de ces données, autres que la personne concernée et le responsable du traitement ou les personnes habilitées au sein de son organisme. Les autorités publiques peuvent être qualifiées de destinataire à la condition que la communication des données personnelles ne se fasse pas exceptionnellement et de manière ponctuelle pour les besoins d’une enquête spécifique qui nécessiterait une telle communication.

Tiers autorisé : un organisme qui peut accéder à certaines données contenues dans des fichiers publics ou privés parce qu'une loi l'y autorise expressément. Ces « tiers autorisés » sont des autorités publiques ou des auxiliaires de justice, par exemple :

• L'administration fiscale ;
• Les organismes de sécurité sociale, dans le cadre de la lutte contre la fraude, et les organismes en charge de l'instruction, du versement et du contrôle du RSA ;
• Les administrations de la justice, de la police et de la gendarmerie ;
• Les huissiers de justice.

Pour qu'un « tiers autorisés » puisse obtenir des informations contenues dans un fichier :

• Sa demande doit être écrite et préciser le texte législatif justifiant la demande ;
• Sa demande doit viser des personnes nommément identifiées ou identifiables (le tiers autorisé ne peut pas avoir accès à l'intégralité d'un fichier) ;
• Sa demande doit être ponctuelle ;
• Sa demande doit préciser les catégories de données auxquelles il souhaite accéder.

Autorité de Contrôle : Autorité publique indépendante instituée par un État membre en vertu de l'article 51 du RGPD, chargée de surveiller l'application du RGPD, afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l'Union européenne. En France, la Commission nationale de l’informatique et des libertés (CNIL) est une autorité de contrôle.

Évolution de la règlementation en matière de protection des DCP

• Loi n°78-17 du 6 janvier 1978
• Directive 95/46/CE du 24 oct. 1995
• Loi modificative du 06 août 2004, qui réoriente la loi vers les pratiques commerciales des entreprises
• RGPD n°2016-679 du 27 avril 2016

Réglementation actuelle 

• RGPD n°2016-679 entré en vigueur le 25 mai 2018
• Loi française « LIL3 » n°2018-493 du 20 juin 2018 actualise la loi de 1978
• Guidelines Comité européen de la protection des données (CEPD)
• Préconisations de la Commission nationale Informatique & Libertés (CNIL)

La finalité est l’objectif poursuivi par le responsable du traitement. Une même collecte de données peut poursuivre plusieurs finalités et répondre à plusieurs objectifs distincts.
Les finalités doivent être :

• Déterminées préalablement, ce qui exclut toute collecte de données au hasard ou à des fins préventives ;
• Explicites, c'est-à-dire communiquées à la personne concernée ; et
• Légitimespar rapport à l'activité de l'organisme mettant en œuvre le traitement.

Un traitement ultérieur pour une autre finalité est possible sous certaines conditions. Ainsi, une réutilisation des données « à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques » effectuée conformément à l'article 89 du RGPD, sera présumée compatible avec les finalités initiales.

En cas de réutilisation des données pour une autre finalité sans précaution, l'organisme risque de voir sa responsabilité engagée pour détournement de finalité.

Les données doivent être « traitées de manière licite, loyale et transparente au regard de la personne concernée ».

Pour être licite un traitement de données doit reposer sur un fondement énoncé à l'article 7 du RGPD :

• Le consentement ;
• L'exécution des mesures contractuelles ou précontractuelles ;
• Le respect d'une obligation légale ;
• La sauvegarde de la vie de la personne concernée ou d'une autre personne ;
• L'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
• Les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts où les libertés et droits fondamentaux de la personne concernée.

L'exigence de loyauté et de transparence renvoie à l'information des personnes concernées et vise à éviter les traitements occultes ou cachés. Un traitement déloyal expose l'auteur à un risque de sanction.

Les données doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Conformément au principe de proportionnalité, l'ensemble des données collectées doit être strictement nécessaire par rapport à l'objectif poursuivi. Est ainsi exclue toute collecte réalisée si les données se révèlent utiles a posteriori.

La CNIL a déjà sanctionné des organismes pour collecte excessive de données notamment dans le cadre de zone de texte libre.

Les données doivent être exactes et tenues à jour. Concrètement, le responsable du traitement (RT) doit :

• Prendre toutes les mesures raisonnables pour effacer les données à caractère personnel inexactes ;
• S'assurer que les données dont il dispose sont exactes et le cas échéant supprimer les données obsolètes.
• Dans certains cas, mettre en place des mesures permettant de s'assurer que les données sont toujours d'actualité.

Par exemple, le RT doit :

• Demander régulièrement à ses clients si leurs données sont à jour,
• Mettre en place une procédure d'actualisation de l'adresse en cas de retour de courrier avec la mention n'habite pas à l'adresse indiquée, etc.

Les données permettant l'identification des personnes concernées sont « conservées sous une forme pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Elles ne peuvent pas être stockées indéfiniment, mais uniquement pour une durée déterminée permettant de répondre à la finalité du traitement.

En termes de conservation, on distingue généralement :

• La conservation des données en base active, lorsqu'elles sont nécessaires à la réalisation d'une tâche, au fonctionnement d'un process ;
• L'archivage intermédiaire, lorsque les données ne sont plus nécessaires au quotidien mais qu'elles doivent être conservées au cas de contentieux ;
• L'archivage définitif, généralement à des fins d'archives ou historique.

L'anonymisation des données est un moyen permettant de conserver une partie des informations au-delà de la durée conservation initialement prévue. Elle doit cependant être irréversible.

Les données doivent « être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou des dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées ».

Le RGPD érige l'intégrité et la confidentialité des données en principes fondamentaux afin de renforcer leur importance, mais ces notions figuraient déjà dans la directive et la loi « Informatique et Libertés ».

Pour être licite, un traitement de données doit reposer sur l’un des fondements énoncés par le RGPD (art. 7) :

• Le consentement,
• L'exécution des mesures contractuelles ou précontractuelles,
• Le respect d'une obligation légale,
• La sauvegarde de la vie de la personne concernée ou d'une autre personne,
• L'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement,
• Les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts où les libertés et droits fondamentaux de la personne concernée.

Les traitements de données sensibles sont en principe interdits, mais ils peuvent être autorisés à certaines conditions :

• La personne concernée a donné son consentement explicite pour une (ou plusieurs) finalité spécifique ;
• Le traitement est nécessaire aux fins de l’exécution des obligations et l’exécution des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union ou le droit de l’État membre ou par une convention collective ;
• Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.

La base légale doit être déterminée et documentée dans le registre de traitement :

• Si c’est le contrat : s’assurer et justifier de la capacité à conclure le contrat (mineur incapable) ;
• Si c’est l’intérêt légitime : être capable de le démontrer (évaluation de l’intérêt légitime en question au regard de l’activité de la société concernée, attente légitime des personnes concernées, test de proportionnalité).

Est-il toujours obligatoire ?

Un traitement doit être licite et doit donc reposer sur une des bases légales limitativement énumérées par l’article 7 du RGPD.

Le consentement de la personne dont des données sont enregistrées dans un fichier n'est pas nécessaire lorsque ces données sont collectées pour répondre au besoin de l’un des autres fondements énumérés.

En dehors de ces cas, le consentement de la personne concernée est obligatoire. C'est le consentement qui confère alors au fichier projeté son caractère licite.

Dans de nombreux cas, le consentement de la personne concernée peut également justifier l’application d’une exception à un principe d’interdiction, tel que l’interdiction du traitement des données sensibles ou du profilage associé à une prise de décision automatisée par exemple.

Le consentement de la personne est systématiquement requis pour certains traitements, encadrés par des dispositions légales spécifiques : par exemple, pour réaliser de la prospection commerciale par courriel ou pour l’utilisation des cookies et autres traceurs.

Quelles caractéristiques doit-il avoir pour être valable ?

Pour être valable, le consentement doit toujours être :

• Libre et inconditionné, et
• Univoque, et
• Spécifique, et
• Eclairé, et
• Prouvé et tracé.

Dans certains cas (données sensibles, mineurs…), il doit également être :

•  Explicite.

Consentement « libre »

Pour que le consentement soit libre, il ne doit être ni contraint, ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus (telle que l’impossibilité de poursuivre la navigation en cas de refus des cookies).

Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service.

Consentement « spécifique »

Pour être spécifique, un consentement doit correspondre à un seul traitement et n’être donné que pour une finalité déterminée. Ainsi, lorsqu’un traitement comporte plusieurs finalités, les personnes doivent pouvoir consentir – ou pas – finalité par finalité et doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

Consentement « univoque»

Pour être considéré comme univoque, le consentement doit être donné par une déclaration ou tout autre acte positif clair. Aucune ambiguïté quant à l’expression du consentement ne doit demeurer.

Ne peuvent pas être considérés comme univoques :

• les cases pré-cochées ou pré-activées ;
• les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts) ;
• l’inaction (par exemple, l’absence de réponse à un courriel sollicitant le consentement).

Consentement « éclairé »

La mention doit indiquer :

• Les modalités pour exprimer son consentement actif et clair (cocher une case, cliquer sur un bouton) ;
• L’identité du responsable de traitement (RT) ou des responsables conjoints du traitement ou de RT ultérieurs souhaitant effectuer des traitements sur la base du consentement initial ;
• La ou les finalité(s) en cause ;
• Les catégories de données collectées et utilisées ;
• Les destinataires des données collectées ;
• Le dispositif de prise de décision automatisée (dont profilage) ;
• Les risques liés aux éventuels transferts de données vers des pays tiers en l’absence de garanties appropriées (clauses contractuelles types, BCR…) ;
• Le rappel du droit à la révocation du consentement à tout moment par des moyens simples

Quelles preuves et traces du consentement ?

Le responsable du traitement (RT) doit être en mesure de démontrer à tout moment que la personne a bien consenti, dans des conditions valides.

Les RT doivent ainsi documenter les conditions de recueil du consentement afin de démontrer :

• La mise en place de mécanismes permettant de ne pas lier le recueil du consentement, notamment à la réalisation d’un contrat : consentement « libre » ;
• La séparation claire et intelligible des différentes finalités de traitement : consentement « spécifique » ou « granularité du consentement » ;
• La bonne information des personnes : consentement « éclairé » ;
• Le caractère positif de l’expression du choix de la personne : consentement « univoque ».

Les RT peuvent notamment tenir un registre des consentements, qui peut s’insérer dans la documentation plus générale de l’organisme.

Le RT doit conserver la trace du consentement valablement exprimé, en corrélation précise avec :

• la finalité à laquelle la personne a consenti,
• la liste limitative des données pour lesquelles le consentement a été donné,
• le destinataire des données, et
• la date à laquelle ce consentement a été recueilli : c’est à cette date que le traitement devient licite et c’est elle qui détermine la durée de conservation des données pour cette finalité.

Consentement « explicite »

Dans certains cas, le consentement doit être explicite. Cette caractéristique fait référence à la modalité d’expression du consentement : il est nécessaire de disposer d’une déclaration expresse de la part de la personne concernée, ce qui suppose une attention particulière et la mise en place de mécanismes ad hoc par le responsable du traitement.

Il s’agit des cas où il existe un risque sérieux sur la protection des données et qui nécessitent un plus haut degré de contrôle de l’individu : il est par exemple exigé pour le traitement des données sensibles ou pour permettre la prise de décision entièrement automatisée.

Pour s’assurer d’un consentement explicite, le responsable du traitement peut par exemple :

• Prévoir une case de recueil du consentement spécifiquement dédiée au traitement des données sensibles ;
• Demander une déclaration écrite et signée par la personne concernée ou l’envoi d’un courriel indiquant que la personne accepte expressément le traitement de certaines catégories de données ;
• Recueillir le consentement en deux étapes, par exemple en adressant un courriel à la personne concernée qui doit ensuite confirmer sa première action de consentement.

Dans quelles conditions l’intérêt légitime peut-il constituer la base légale d’un traitement ?

Pour fonder un traitement sur ses intérêts légitimes, l’organisme traitant les données doit respecter certaines exigences. Il doit opérer une pondération entre son intérêt et les « intérêts ou libertés et droits fondamentaux des personnes » et doit également intégrer les « attentes raisonnables » de ces personnes. Cette mise en balance des droits et intérêts en cause doit être réalisée pour chaque traitement fondé sur l’intérêt légitime, au regard des conditions concrètes de sa mise en œuvre.

L’intérêt légitime ne peut donc être considéré comme une base légale par défaut : il requiert au contraire un examen attentif de la part de l’organisme et le suivi d’une méthodologie rigoureuse.

En pratique, le recours à l’intérêt légitime pour fonder légalement un traitement est soumis à 3 conditions :

• L’intérêt poursuivi par l’organisme doit être légitime ;
• L’intérêt légitime ne peut être retenu que si le traitement satisfait à la condition de nécessité ;
• Le traitement ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables.

L’intérêt poursuivi par l’organisme doit être légitime.

L’organisme doit justifier du caractère « légitime » de l’intérêt poursuivi et réaliser une évaluation en répondant à quelques questions.

• Quelle est la finalité du traitement ?

La première étape consiste à identifier un intérêt légitime.

• Quel est le but du traitement des données personnelles ?
• Le traitement est-il nécessaire pour atteindre un ou plusieurs objectifs organisationnels spécifiques ?
  Bien que vous n'ayez peut-être besoin d'identifier qu'un seul intérêt légitime, il peut être utile d'énumérer tous les intérêts apparents dans le traitement, ceux d'entre eux vous concernant en tant que responsable de traitement, ainsi que ceux des tiers qui sont susceptibles de posséder un intérêt légitime.
• Le RGPD identifie-t-il spécifiquement l'activité de traitement comme étant une activité légitime sous réserve de la réalisation d'un test de mise en balance et de résultat positif ?

Cette base légale peut par exemple être envisagée pour les traitements de données :

• visant à garantir la sécurité du réseau et des informations,
• mis en œuvre à des fins de prévention de la fraude,
• nécessaires aux opérations de prospection commerciale auprès de clients d’une société,
• portant sur des clients ou des employés au sein d’un groupe d’entreprises à des fins de gestion administrative interne ;

Au-delà de ces exemples, le caractère « légitime » de l’intérêt poursuivi par un organisme peut être présumé si les 3 conditions suivantes sont remplies :

• l’intérêt est manifestement licite au regard du droit ;
• il est déterminé de façon suffisamment claire et précise ;
• il est réel et présent pour l’organisme concerné, et non fictif.

L’intérêt légitime ne peut être retenu que si le traitement satisfait à la condition de « nécessité »

L’organisme doit vérifier que le traitement de données qu’il envisage permet effectivement d’atteindre l’objectif poursuivi, et non, en réalité, d’autres objectifs.

Il doit également s’assurer qu’il n’existe pas de moyen moins intrusif pour la vie privé d’atteindre cet objectif que de mettre en œuvre le traitement envisagé (par exemple un dispositif ne traitant pas de données personnelles, ou un traitement différent plus protecteur de la vie privée).

Existe-t-il un autre moyen d'atteindre l'objectif ?

• S'il n'y en a pas alors il est clair que le traitement est nécessaire.
• S'il existe un autre moyen mais qu'il exigerait un effort disproportionné alors le traitement est toujours nécessaire.
• S'il existe de multiples façons d'atteindre l'objectif, alors une évaluation des facteurs relatifs à la vie privée aurait pu identifier le moyen le moins intrusif de traiter les données qui serait nécessaire.
• Si mon traitement n'est finalement pas nécessaire alors les intérêts légitime ne peuvent être invoqué comme fondement légale pour cette activité de traitement.

Le responsable de traitement doit être en mesure de démontrer la validité du recours à cette base légale.

Tout changement important des conditions de mise en œuvre du traitement (finalité, données, durées de conservation, etc.) est susceptible d’avoir une incidence sur la validité de la base légale retenue : la démarche d’évaluation de cette validité doit donc, dans ce cas, être réitérée.

Le traitement ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables

Selon le RGPD, le traitement ne peut être mis en œuvre si « les intérêts ou les droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel » prévalent sur les intérêts de l’organisme.

L’organisme doit donc opérer une mise en balance, une pondération entre les droits et intérêts en cause, et vérifier dans ce cadre que les intérêts (commerciaux, de sécurité des biens, de lutte contre la fraude, etc.) qu’il poursuit ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées.

Concrètement, l’organisme doit tout d’abord identifier les conséquences de toutes sortes que son traitement peut avoir sur les personnes concernées : sur leur vie privée mais aussi, plus largement, sur l’ensemble des droits et intérêts couverts par la protection des données personnelles. Il s’agit ainsi d’évaluer le degré d’intrusion du traitement envisagé dans la sphère individuelle, en mesurant ses incidences sur la vie privée des personnes (traitement de données sensibles, traitement portant sur des personnes vulnérables, profilage, etc.) et sur leurs autres droits fondamentaux (liberté d’expression, liberté d’information, liberté de conscience, etc.) ainsi que les autres impacts concrets du traitement sur leur situation (suivi ou surveillance de leurs activités ou déplacements, exclusion de l’accès à des services, etc.). Ces incidences doivent être mesurées afin de déterminer, au cas par cas, l’ampleur de l’intrusion causée par le traitement dans la vie des personnes.

L’organisme doit ensuite tenir compte, dans la pondération entre son intérêt légitime et les droits et intérêts des personnes, de leurs « attentes raisonnables ». Cette prise en compte est essentielle s’agissant de traitements qui peuvent être mis en œuvre sans le consentement préalable des personnes : en l’absence d’un acte positif et explicite de leur part, l’intérêt légitime requiert de ne pas surprendre les personnes dans les modalités de mise en œuvre comme dans les conséquences du traitement. Un bon test, lorsqu’un organisme envisage de fonder son traitement sur l’intérêt légitime, consiste donc à vérifier que le traitement s’inscrit dans le cadre de ces attentes : la démonstration d’un intérêt légitime sera plus aisée pour un dispositif qui peut être raisonnablement anticipé, dans un contexte donné (par exemple, la réalisation d’actions de fidélisation de personnes déjà clientes de la société), que pour un traitement divergeant des attentes des personnes (par exemple, l’utilisation d’un réseau social implique la mise en relation d’individus, mais le profilage de leurs actions en vue de leur adresser de la publicité ciblée peut dépasser leurs attentes raisonnables).

Enfin, l’organisme peut prévoir des mesures compensatoires ou additionnelles à mettre en place en vue de limiter les impacts du traitement sur les personnes concernées et d’atteindre ainsi un équilibre entre les droits et intérêts en cause. Par exemple, il peut être prévu, pour un traitement de ciblage fin des comportements d’achats en ligne des individus, susceptible de révéler de nombreuses préférences et habitudes touchant à leur intimité, un droit d’opposition inconditionnel des personnes, afin de leur permettre de faire cesser le profilage intrusif dont ils font l’objet.

Quelles sont les conséquences du choix de cette base légale ?

La base légale « intérêt légitime » a plusieurs conséquences importantes pour l’organisme qui traite les données et pour les personnes concernées par le traitement.

• Pour les organismes traitant les données : compte tenu de la complexité de la méthodologie à suivre pour s’assurer de la validité de cette base légale, la CNIL recommande, à titre de bonne pratique, que cette méthodologie fasse l’objet d’une documentation par le responsable du traitement, qui pourra notamment lui servir en cas de contrôle de la licéité du traitement. En tout état de cause, cet organisme doit avoir la capacité de démontrer la validité du recours à l’intérêt légitime comme base légale du traitement.

En pratique, pour les traitements les plus courants, cette méthodologie peut être prise en charge par la CNIL, en illustrant, dans les référentiels qu’elle publie progressivement sur les principales catégories de traitements, les cas et les circonstances dans lesquels le recours à l’intérêt légitime constitue un fondement valide pour les responsables du traitement.

• Pour les personnes : le droit à la portabilité ne peut pas s’exercer à l’égard des traitements fondés sur l’intérêt légitime. En revanche, une obligation de transparence renforcée est prévue pour ces traitements : la nature de l’intérêt légitime poursuivi par le responsable du traitement doit figurer dans les informations portées à la connaissance des personnes.

Exemples : en cas de prospection commerciale sur des produits analogues à ceux commandés par les clients d’une entreprise, l’organisme peut indiquer que l’intérêt légitime poursuivi est la promotion de ses produits auprès de ses clients ; en cas de dispositif de vidéosurveillance sur le lieu de travail d’un organisme, l’intérêt légitime mis en avant dans les mentions d’informations peut être d’assurer la sécurité de son personnel et de ses biens.

Pour être loyale et transparente, la collecte de données personnelles doit s’accompagner d’une information claire et précise des personnes concernées.

Une bonne information permet de savoir comment les données vont être traitées et comment les personnes concernées peuvent exercer leur droits. Elle leur permet donc de décider de confier ou non leurs données à un organisme.

Le RGPD prévoit l’amélioration de l’information des personnes. Il ne donne pas de forme précise à la communication de l’information relative au droit à l’information, mais il impose qu’elle soit :

• Communiquée au moment précis de la collecte des données,
• Facilement accessible et compréhensible, et
• Formulée dans des termes clairs.

Des mentions d’informations noyées dans des conditions générales en petits caractères, rédigées de façon excessivement juridique ne sont pas conformes à cette exigence de clarté et de pédagogie.

Le mot d’ordre de ce droit est la clarté. Il faut que l’utilisateur, quelle que soit sa maturité juridique puisse prendre des décisions en toute connaissance de cause.

Facilement compréhensible

L’information doit être concise et lisible et facilement accessible.

Elle doit être rédigée de la manière la plus claire, précise et simple possible ! Concrètement, un utilisateur n’a pas besoin d’être un expert pour prendre connaissance de la charte de confidentialité. De la même manière, si un organisme cible des enfants ou des personnes vulnérables, celui-ci devra proposer une information adaptée.

Avant de collecter vos données, un organisme doit donc faire preuve de transparence et permettre aux personnes concernées de savoir :

• Pourquoi l’organisme collecte leurs données ;
• Comment il sera amené à les utiliser ;
• Comment maîtriser leurs données et exercer leurs droits.

Détaillée et exhaustive

Un organisme doit mettre à disposition une notice d’information sur la protection des données qui doit être facilement accessible (ex. depuis la page d’accueil de son site web), sous un intitulé clair (ex. politique de confidentialité, page vie privée ou données personnelles).

Le support de cette information varie en fonction des caractéristiques du fichier (ex. panneau d’information pour une vidéosurveillance, mention d’information sur un formulaire, lecture de cette information en cas de recueil de données par téléphone, etc.).

Quelles informations sont communiquées aux personnes concernées ?

Dans le cas où il s’agit d’une collecte d’informations directement auprès de l’intéressé, le responsable de traitement (RT) doit fournir les informations suivantes :

• L’identité et les coordonnées du RT et le cas échéant, du représentant du RT ;
• Le cas échéant, les coordonnées du Délégué à la Protection des données(DPD, DPO) ;
• L’utilisation qui sera faite des données ;
• Ce qui autorise l’organisme à traiter ces données ;
• Les tiers qui auront accès aux données ;
• La durée de conservation des données ;
• Les modalités d’exercice des droits des personnes concernées et la possibilité d’introduire une réclamation à la CNIL ;
• L’utilisation des données hors de l’UE ;
• La base juridique du traitement de données (c’est-à-dire ce qui autorise légalement le traitement : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, etc.).

Ainsi que, selon le cas :

• L’existence d’uneprise de décision automatisée ou d’un profilage, les informations utiles à la compréhension de l’algorithme et de sa logique, ainsi que les conséquences pour la personne concernée ;
• Le fait que les données sont requises par la réglementation, par un contrat ou en vue de la conclusion d’un contrat ;
• Les intérêts légitimes poursuivis par le RT ou par un tiers (ex. prévention de la fraude) ;
• Le droit au retrait du consentement à tout moment ;
• La faculté d’accéder aux documents autorisant le transfert de données hors de l’Union européenne (ex. clauses contractuelles types de la Commission européenne) ;

Dans le cas d’une collecte d’informations indirecte, le RT doit fournir les catégories de données personnelles concernées par le traitement. De plus, pour la fourniture d’informations complémentaires, il doit fournir « la source d’où proviennent les données à caractère personnel et le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ».

À quel moment ces informations doivent être fournies ?

• Collecte directe: les informations doivent être fournies au moment où les données en question ont été obtenues ;
• Collecte indirecte: le responsable de traitement doit fournir à la personne concernée les informations dans un délai raisonnable ne dépassant pas 1 mois, en prenant en compte les circonstances particulières dans lesquelles les données sont traitées.
• Cas où le RT utilise les données d’une personne concernée dans le but de communiquer avec elle : les informations doivent être fournies lors de la première communication.

Le droit d'accès permet à la personne concernée de savoir si des données la concernant sont traitées par un organisme et le cas échéant, d'en obtenir la communication dans un format compréhensible afin d'en vérifier le contenu et l'exactitude.

La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données personnelles la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données ainsi qu’à un certain nombre d’informations.

Contenu de la réponse

L’organisme auprès duquel la personne concernée demande « droit d’accès » devra être en mesure de lui faire parvenir une copie des données qu’il détient sur elle et de la renseigner sur :

• Les finalités d’utilisation de ses données,
• Les catégories de données collectées,
• Les destinataires ou catégories de destinataires qui ont pu accéder à ces données,
• La durée de conservation des données ou les critères qui déterminent cette durée,
• L’existence des autres droits (droit de rectification, d’effacement, de limitation, d’opposition),
• La possibilité de saisir la CNIL,
• Toute information relative à la source des données collectées si celles-ci n’ont pas directement été récoltées auprès de vous,
• L'existence d'une prise de décision automatisée, y compris en cas de profilage, et la logique sous-jacente, l’importance et les conséquences pour vous d’une telle décision,
• L’éventuel transfert de vos données vers un pays tiers (non-membre de l’UE) ou vers une organisation internationale.

Modalités d’exercice

Le droit d’accès peut être exercé par divers moyens :

• par voie électronique (formulaire, adresse mail, bouton de téléchargement etc.),
• par courrier,
• sur place.

Par principe le formalisme de la réponse est identique à celui de la demande. Ainsi, si la demande est formulée par voie électronique, le responsable de traitement répondra par voie électronique, à moins que la personne concernée n’ait précisé qu’elle souhaite obtenir une réponse par un autre moyen.

Si et seulement si, l’organisme a des doutes raisonnables sur l’identité du demandeur ou ne dispose pas de moyen d’identification, il peut lui demander de joindre tout document permettant de prouver son identité, par exemple pour éviter les usurpations d’identité.

En revanche, il ne peut pas demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à la demande.

L’accès à ce droit est en principe gratuit. Dans certains cas, des frais raisonnables liés au traitement du dossier et de la demande pourront vous être demandés, par exemple en cas de demande d’une copie supplémentaire.

Défaut ou refus de réponse

L’organisme doit répondre dans les meilleurs délais et au plus tard dans un délai d’un mois, qui peut être porté à trois mois compte tenu de la complexité de la demande ou du nombre de demandes que l’organisme a reçu. Dans ce dernier cas, l’organisme doit informer la personne concernée des raisons de cette prolongation dans le délai d’un mois. Si l’organisme ne répond pas dans le délai d’un mois après la demande d’accès ou n’informe pas la personne concernée d’une prolongation de délai, elle peut adresser une plainte auprès de la CNIL avec les éléments attestant de sa démarche préalable.

En cas de réponse incomplète

Si la réponse apportée par l’organisme à la demande d’accès lui paraît incomplète, la personne concernée peut adresser une plainte à la CNIL afin qu’elle intervienne à l’appui de sa demande.

Toutefois, il est recommandé à la personne concernée, avant de saisir la CNIL, de demander préalablement à l’organisme de compléter sa réponse avec les données qu’elle considère comme manquante. En cas d’absence de réponse ou de réponse insatisfaisante, elle peut adresser une plainte auprès de la CNIL en joignant les justificatifs de ses démarches préalables.

Limites au droit d’accès

Certains fichiers sont particulièrement encadrés : la loi n’autorise pas un particulier à accéder directement aux informations que contiennent certains fichiers de police ou intéressant la sûreté de l'État. Il pourra cependant y accéder de manière indirecte par l’intermédiaire de la CNIL.

Si l’organisme estime que la demande est infondée ou excessive, il peut ne pas y donner suite à condition d’être en mesure d’apporter la preuve de ce caractère « infondé » ou « excessif ».

Les droits ou libertés d’autrui sont également des limites ; l’exercice du droit d’accès ne doit donc pas porter atteinte :

• au droit des tiers : seules les données de la personne concernée peuvent lui être communiquées au titre du droit d’accès,
• à la propriété intellectuelle : par exemple le droit d’auteur, lorsqu’il protège le logiciel,
• au secret des affaires,
• etc.

Le droit de rectification permet à la personne concernée de demander au responsable de traitement de rectifier, compléter, actualiser les informations la concernant lorsque celles-ci sont erronées ou inexactes.

Contenu de la réponse

Le droit de rectification permet de corriger des données inexactes vous concernant (âge ou adresse erronés) ou de compléter des données (adresse sans le numéro de l’appartement) en lien avec la finalité du traitement.

Le responsable du fichier doit également communiquer aux autres destinataires des données les rectifications apportées – par exemple aux partenaires commerciaux – sauf si une telle communication exigerait des efforts disproportionnés.

Exercice du droit de rectification

• Possibilité d’exercer gratuitement la demande de droit de rectification par divers moyens : par voie électronique (formulaire, adresse mail, bouton de téléchargement etc.) ou par courrier.
• Si et seulement si, l’organisme à des doutes raisonnables sur l’identité du demandeur, il peut lui demander de joindre tout document permettant de prouver son identité, par exemple pour éviter les usurpations d’identité. En revanche, il ne peut pas vous demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à votre demande.

Défaut ou refus de réponse

L’organisme doit répondre dans les meilleurs délais et au plus tard dans un délai d’un mois, qui peut être porté à trois mois compte tenu de la complexité de la demande ou du nombre de demandes que l’organisme a reçu. Dans ce dernier cas, l’organisme doit informer la personne concernée des raisons de cette prolongation dans le délai d’un mois. Pendant ce délai, elle peut demander « la limitation du traitement » c’est-à-dire le « gel » de l’utilisation de ces données.

Si l’organisme ne répond pas dans le délai d’un mois après la demande de rectification ou n’informe pas la personne concernée d’une prolongation de délai, elle peut adresser une plainte auprès de la CNIL avec les éléments attestant de sa démarche préalable.

Concernant la rectification de données de personnes décédées, les héritiers peuvent exiger de l’organisme de prendre en considération le décès ou de procéder aux mises à jour nécessaires. Retrouvez notre fiche pratique sur la mort numérique.

Dans les cas limitativement énumérés par le RGPD (art. 21), la personne concernée a le droit de s'opposer au traitement de ses données personnelles.

• Droit de s’opposer à tout moment aux traitements réalisés à des fins de prospection et/ou profilage.
• Droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, aux traitements nécessaires à l'exécution d'une mission d'intérêt public, aux fins d’intérêts légitimes du responsable du traitement ou du tiers.

En pratique, si vos données personnelles apparaissent dans un fichier non obligatoire et si vous ne souhaitez plus qu'elles y figurent, le droit d’opposition vous permet de vous opposer à ce que vos données soient utilisées par un organisme pour un objectif précis.

Vous devez mettre en avant « des raisons tenant à votre situation particulière », sauf en cas de prospection commerciale, à laquelle vous pouvez vous opposer sans motif.

Exercice du droit d’opposition

Dans votre demande, expliquez quelles données vous souhaitez voir supprimer et pour quelles raisons « tenant à votre situation particulière ».

Vous pouvez exercer votre demande de droit d’opposition par divers moyens et sans apporter de justificatifs : par voie électronique (formulaire, adresse mail, compte en ligne etc.), par courrier.

Défaut ou refus de réponse

L’organisme doit prouver que des motifs légitimes et impérieux lui imposent de continuer à traiter vos données malgré la demande d’opposition ou justifier que les données sont nécessaires pour la constatation, l’exercice ou la défense de droits en justice.

Si une personne exerce son droit d’opposition :

• Pour ne plus recevoir de prospection commerciale: l’organisme doit procéder à l’effacement de son adresse email de sa base de prospection dans les meilleurs délais.
• Pour voir une information personnelle supprimée d’une base de données: l’organisme dispose d’un délai d’un mois pour vous répondre.

En cas de réponse insatisfaisante ou d’absence de réponse sous un mois, la personne concernée peut saisir la CNIL.

Le droit à l'effacement permet à la personne concernée de demander la suppression de ses données au responsable de traitement dans certains cas spécifiques listés à l'article 17 du RGPD (ex : retrait du consentement de la personne concernée, données utilisées à des fins de prospection, traitement illicite des données etc.). L'exercice de ce droit permet le déréférencement sur internet.

L’effacement peut être demandé dans l’un des cas suivant :

• Les données sont utilisées à des fins de prospection ;
• Les données ne sont pas ou plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées ou traitées ;
• Les données font l’objet d’un traitement illicite (ex : publication de données piratées) ;
• Les données ont été collectées lorsque la personne était mineure dans le cadre de la société de l’information (blog, forum, réseau social, site web…) ;
• Les données doivent être effacées pour respecter une obligation légale ;
• Retrait du consentement à l’utilisation des données ;
• Opposition au traitement des données et le responsable du fichier n’a pas de motif légitime ou impérieux de ne pas donner suite à cette demande.

Exercice du droit d’effacement

Une demande de droit d’effacement peut être exercée par divers moyens : par voie électronique (formulaire, adresse mail, bouton de téléchargement etc.) ou par courrier, par exemple.

Il est très important d’indiquer précisément quelles sont les données dont l’effacement est sollicité. En effet, l’exercice de ce droit n’entraîne pas la suppression simple et définitive de toutes les données concernant la personne qui sont détenues par l’organisme. Par exemple, une demande d’effacement d’une photo sur un site n’aboutira pas à la suppression du compte de cette personne. De même, une demande de suppression de compte n’entrainera pas la suppression des factures et autres documents comptables relatifs aux achats de la personne, pour lesquels une obligation légale de conservation existe.

Si et seulement si, l’organisme à des doutes raisonnables sur l’identité de la personne à l’origine de la demande, il peut lui demander de joindre tout document permettant de prouver son identité, par exemple pour éviter les usurpations d’identité. En revanche, il ne peut pas lui demander des pièces justificatives qui seraient abusives, non pertinente et disproportionnées par rapport à sa demande.

Défaut ou refus de réponse

Le responsable du fichier droit procéder à l’effacement dans les meilleurs délais et au plus tard dans un délai d’un mois, qui peut être porté à trois compte tenu de la complexité de la demande. Dans ce dernier cas, l’organisme doit vous informer des raisons de cette prolongation. En cas de réponse insatisfaisante ou d’absence de réponse sous un mois, vous pouvez saisir la CNIL.

Limites

Le droit à l’effacement est écarté dans un nombre de cas limité. Il ne doit pas aller à l’encontre de :

• L’exercice du droit à la liberté d’expression et d’information ;
• Le respect d’une obligation légale (ex. délai de conservation d’une facture = 10 ans) ;
• L’utilisation de vos données si elles concernent un intérêt public dans le domaine de la santé ;
• Leur utilisation à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
• La constatation, de l’exercice ou de la défense de droits en justice.

Le droit à la limitation du traitement est le droit pour la personne concernée de demander au responsable de traitement à ce que l'utilisation de ses données soient gelées pendant un certain temps, notamment pour permettre l'exercice des autres droits prévus par le RGPD.

 En pratique, le droit à la limitation des données est un droit qui complète les autres droits (rectification, opposition…). Si une personne conteste l’exactitude des données utilisées par l’organisme ou qu’elle s’oppose à ce que ses données soient traitées, la loi autorise l’organisme à procéder à une vérification ou à examen de la demande pendant un certain délai. Pendant ce délai, la personne concernée a la possibilité de demander à l’organisme de geler l’utilisation de ses données. Concrètement, il ne devra plus utiliser les données mais devra les conserver.

Inversement, une personne peut demander directement la limitation de certaines données dans le cas où l’organisme souhaite lui-même les effacer. Cela lui permettra de conserver les données par exemple afin d’exercer un droit.

Exercice du droit de limitation

1. Exercez d’abord vos droits auprès de l’organisme : Le droit à la limitation de vos données vient compléter l’exercice de vos autres droits. L’organisme dispose d’un mois pour répondre à votre demande de rectification ou d’opposition et peut prolonger ce délai si la demande est complexe ou nécessite une étude complémentaire. C’est dans cette période de prolongation que l’organisme doit geler les données concernées et ne plus les utiliser.
2. Si l’accès à vos droits nécessite un délai supplémentaire pour l’organisme, demandez votre droit à la limitation du traitement de vos données. Grâce à l’exercice parallèle du droit à la limitation du traitement de vos données :
   • Suite à votre demande de suppression d’une image sur un réseau social, l’organisme devra dépublier le contenu le temps de rechercher d’éventuel motifs lui permettant de refuser votre demande;
   • Suite à votre demande de rectification, le site de commerce en ligne ne devra plus utiliser les données erronées que vous avez signalées, le temps de procéder à la vérification de votre identité.

Limites

L’organisme doit informer la personne à l’initiative de la demande, que la limitation de l’utilisation de ses données est bien effective.

Dès lors que l’utilisation des données a été « gelée », celles-ci ne peuvent être utilisées que dans les cas suivants :

• La personne a donné son accord ;
• pour la constatation, l'exercice ou la défense de droits en justice,
• pour la protection des droits d'une autre personne physique ou morale,
• ou encore pour des motifs importants d'intérêt public de l'Union ou d'un État membre.

Le droit à la portabilité permet à la personne concernée de récupérer les données personnelles la concernant afin d'en faire un usage personnel ou de les transférer à un autre organisme de son choix. Ce droit vise à renforcer la maîtrise par les personnes de leurs données personnelles et à leur permettre de tirer elles aussi partie de leur pouvoir.

Nouveau droit consacré par le RGPD, la demande de portabilité permet aux personnes concernées d’avoir la possibilité de récupérer leurs données personnelles dans un format structuré, couramment utilisé et lisible par une machine, de sorte à ce qu’elles puissent procéder à un transfert des données vers un nouveau responsable de traitements.

Le responsable de traitement doit informer les personnes concernées de l’existence de ce nouveau droit de façon « concise, transparente, compréhensible et aisément accessible, en des termes claires et simples », notamment au sein des mentions légales du site internet de l’entreprise.

Les personnes concernées doivent prendre connaissance de ce droit avant toute clôture de compte afin qu’elles puissent transmettre leurs données personnelles vers un autre responsable de traitement et démarrer un nouveau traitement de données.

En pratique, trois conditions cumulatives doivent être réunies pour exercer ce droit :

• Le droit à la portabilité est limité aux données fournies par la personne concernée (à la fois les données déclarées mais aussi les données générées par ex. les achats enregistrés grâce à une carte de fidélité) ; il concerne par exemple des informations déclarées (ex. coordonnées, like,…), mais également des données tirées de l’activité de la personne concernée (historique d’achat, données enregistrées par une montre connectée …).
• Les données doivent être traitées de manière automatisée sur la base du consentement de la personne concernée ou sur l’exécution d’un contrat ; les fichiers papier sont exclus.
• L’exercice du droit à la portabilité ne doit pas porter atteinte aux droits et libertés des tiers.

Quelles données ? 

Seules les données recueillies avec l’accord de la personne ou dans le cadre d’un contrat sont concernées. Le droit à la portabilité concerne par exemple des informations déclarées (ex. coordonnées, like, …) mais également des données tirées de l’activité (historique d’achat, données enregistrées par une montre connectée …).

Inversement, les images de vidéosurveillance, la déclaration d’impôt, les données de badgeuse ne sont pas concernées par le droit à la portabilité. Il en va de même pour les données dérivées, calculées ou inférées à partir des informations fournies. Par exemple la note obtenue sur un site de vente en ligne par d’autres utilisateurs, la catégorisation dans des segments marketing de la personne, la simulation de prêt ou le résultat d’analyse de risque de crédit.

Dans quel format ? 

Ces données doivent être fournies dans un format « structuré, couramment utilisé et lisible par une machine ». Cela veut dire que l’organisme doit proposer des formats de données adaptés au type de données concernées, en privilégiant des formats ouverts, interopérables.

À titre d’exemple, les données de contacts ou carnets d’adresses peuvent être fournies en format « vCard » (ou VCF), ou les données de localisation en format .JSON. De manière plus générique, des formats ouverts comme le CSV ou le JSON seront dans de nombreux cas adaptés à la portabilité. En revanche, des données fournies dans un format difficile à traiter (par exemple une image ou un PDF) ou un format propriétaire dont l’utilisation implique l’acquisition d’un logiciel ou d’une licence payante ne seront a priori pas des formats adaptés.

Exercice du droit à la portabilité

La personne concernée doit s’adresser au responsable de traitement (RT), qui est le principal débiteur pour satisfaire cette demande. Par ailleurs, le RT doit s’assurer de l’identité de la personne qui en fait la demande.

Enfin, aucun frais ne peut être réclamé au demandeur sauf si le responsable de traitement prouve que les demandes sont infondées ou excessives, « notamment en raison de leur caractère répétitif » (art. 12 du RGPD).

Défaut ou refus de réponse

En cas de refus ou d’absence de réponse satisfaisante, vous pouvez saisir la CNIL d’une réclamation en n’oubliant pas de joindre les preuves de votre démarche auprès de l’organisme (copie d’écran, e-mail de réponse …).

Limites

Le droit à la portabilité est limité lorsqu’il ne trouve pas fondement sur le consentement ou l’exécution d’un contrat.

Le RT peut refuser de satisfaire ce droit en raison d’un intérêt légitime ou d’une obligation légale.

Possibilité de demander à un organisme A de directement transmettre vos données à un organisme B sans que vous ayez à intervenir, à condition que ce transfert soit techniquement possible. Si l’organisme qui traite vos données refuse de réaliser cette transmission, il doit vous expliquer en quoi ce transfert direct est techniquement impossible.

La collecte et l’analyse de l’activité des personnes permettent de construire des profils pour mieux cerner leur personnalité, leurs habitudes d'achat ou leurs comportements. Parfois, des décisions sont prises automatiquement à partir de ce profilage, sans l’intervention d’un humain.

Le droit à l’intervention humaine dans une décision automatisée est défini à l’article 22 du RGPD.

Qu’est-ce que le profilage ?

Le profilage consiste à utiliser les données personnelles d’un individu en vue d’analyser et de prédire son comportement, comme par exemple déterminer ses performances au travail, sa situation financière, sa santé, ses préférences, ses habitudes de vie, etc. Un traitement de profilage repose sur l’établissement d’un profil individualisé relatif à une personne : il vise à évaluer certains de ses aspects personnels, en vue d’émettre un jugement ou de tirer des conclusions sur elle.

Le profilage est fréquemment utilisé, par exemple pour permettre :

• à un employeur de déterminer les performances de l’un de ses salariés au travail,
• à une banque de définir la situation financière d’un client avant l’octroi d’un prêt,
• à une compagnie d’assurance de définir le coût d’une assurance voiture,
• à une régie publicitaire d’identifier des points d’intérêt pour adresser une publicité ciblée à un internaute

Un organisme peut en outre se baser sur votre profilage pour prendre une décision au sujet d’une personne. Certaines de ces décisions sont entièrement automatisées, c’est-à-dire qu’elles ont été prises par le biais d’algorithmes appliqués aux données personnelles, sans qu’aucun être humain n’intervienne dans le processus.

Souvent difficiles à comprendre ou à percevoir, les décisions produites de manière automatique peuvent pourtant avoir des effets significatifs sur le quotidien, notamment si cette décision :

• entrave l’accès à un service (ex. rejet automatique d’un crédit) ;
• désavantage financièrement la personne (ex. absence de prime, hausse du coût d’un service, etc.;
• ferme l’accès à un emploi à la personne (ex. refus automatique de votre candidature à un emploi déposée en ligne)
• produit un effet juridique la concernant (ex. exclusion du bénéfice d’un contrat ou d’une prestation sociale).

Quels droits concernant une décision automatisée ?

Par principe, une personne a le droit de ne pas faire l’objet d’une décision entièrement automatisée – souvent basée sur votre profilage – qui a un effet juridique ou l’ affecte sensiblement. Un organisme peut néanmoins automatiser ce type de décision si l’une de ces conditions est remplie :

• La personne a donné son consentement explicite,
• La décision est nécessaire à un contrat que vous avez conclu avec l’organisme,
• La décision automatisée est autorisée par des dispositions légales spécifiques.

Dans ces cas, la personne concernée a quand même la possibilité :

• d’être informée qu’une décision entièrement automatisée a été prise à son encontre ;
• de demander à connaitre la logique et les critères employés pour prendre la décision ;
• de contester la décision et d’exprimer son point de vue ;
• de demander l’intervention d’un être humain qui puisse réexaminer la décision.

Notion centrale du RGPD, l’accountability désigne l’obligation pour les entreprises de « rendre compte » et mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Le fait de « rendre compte » permet aux autorités de vérifier l’efficacité des mesures prises en application du RGPD. Cela implique la production d’une documentation exhaustive détaillant les mesures destinées à garantir la protection de la vie privée afin de démontrer sa conformité à tout moment.

L’accountability traduit la volonté de responsabiliser les entreprises traitant des données à caractère personnel, qui doivent à la fois :

• Veiller à l’application des principes de protection des données ;
• Être capable de démontrer leur conformité à tout moment.

Les notions de preuve et d’anticipation sont ainsi étroitement liées à celle d’accountability.

EN PRATIQUE

• Démontrer le respect du principe de durée de conservation limitée des données implique la rédaction d’une politique de conservation accompagnée d’un référentiel des durées de conservation. En cas de contrôle, la CNIL s’assurera que les principes et les durées indiquées dans la politique sont effectivement appliquées dans l’entreprise.
• La sécurisation du traitement de données pourra se prouver notamment par la production de rapports de test sécurité.
• Prouver le respect de l’obligation de sensibiliser et former au RGPD peut impliquer par la fourniture des supports de formation utilisés ainsi que les résultats obtenus aux différents tests effectués par les collaborateurs.
• Les organismes doivent également déterminer le fondement juridique approprié de chaque traitement parmi les 6 bases légales possibles. Documenter le fondement légal de chaque traitement permet de :
  • Vérifier si le traitement le plus pertinent a été choisi,
  • Démontrer que l’ensemble des caractéristiques sont remplies afin d’obtenir un fondement légal valable.

Le responsable de traitement (RT)

Le RT est la personne, morale (entreprise, commune, etc.) ou physique, qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser.

En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.

Le RT (ou controller) est défini par la loi, ce qui signifie qu'il ne peut transférer sa responsabilité à tiers par un contrat. En revanche, plusieurs personnes peuvent être désignées responsables conjoints d’un traitement et elles doivent définir leur périmètre de responsabilité respective (article 26 du RGPD). Les personnes concernées peuvent dans ce cas exercer leurs droits indifféremment auprès de chaque responsable conjoint.

Le responsable conjoint du traitement (RTC)

Les RTC sont deux ou plusieurs entités qui déterminent ensemble les finalités et moyens du traitement. Le RGPD (art. 26) leur fait alors obligation d’organiser ensemble, de manière « transparente », les obligations que chacun prend respectivement en charge pour assurer la conformité RGPD du traitement.

Le sous-traitant (ST)

Le ST est le prestataire désigné par le RT pour exécuter les traitements sur les données (collecte, manipulation, saisie, transfert, traitement métier, etc.) pour le compte du RT. Le ST doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Le RGPD (art. 28) encadre les obligations réciproques du RT et du ST.

Les ST (ou processors) sont également soumis à certaines obligations afin d'aider le RT à contrôler la sécurité et la conformité de ses traitements. Ils ont par ailleurs des obligations propres lorsqu’ils sont amenés à traiter régulièrement et à grande échelle des données personnelles (par exemple : tenue d’un registre de traitements, désignation d’un DPO).

Les relations entre le RT et le ST

Le ST doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.

Le ST est coresponsable de la légalité des traitements au sens du RGPD.

Lorsque qu’un RT confie la gestion de ses données à caractère personnel à un ST :

• Le ST ne peut recruter d’autres ST qu’après autorisation écrite du RT => Chaîne de sous-traitants
• Le RT doit s’assurer que le ST présente des garanties nécessaires et suffisantes concernant la mise en œuvre de mesures techniques et organisationnelles appropriées pour :
  • Répondre aux exigences du RGPD, et
  • Garantir la protection des droits des personnes concernées.

Les obligations du RT

1) Mettre en place des mesures internes pour s’assurer et démontrer la conformité des traitements :

• Mettre en place une politique interne de protection des données personnelles ;
• Désigner des personnes dédiées à la protection des données personnelles (DPO, juristes, informaticiens…) ;
• Élaborer des règles ou processus internes (reporting, gestion des traitements, comité de validation...) ;
• Adopter des codes de conduite, participer à des mécanismes de certification (labels CNIL…) ;
• Mettre en place une politique interne de sécurité de l’information (contrôles d’accès, classification des informations, sauvegardes, antivirus et anti-malware, tests de vulnérabilité…) ;
• Sensibiliser et former l’ensemble des collaborateurs (conseillers clients, RH, DSI…) ;
• Fournir les informations nécessaires aux personnes concernées ;
• Respecter et veiller au respect des droits des personnes concernées ;
• Intégrer la protection des données personnelles dès la conception des projets, programmes ou SI (« privacy by design »).

2) Vérifier le respect des grands principes en matière de traitement de données personnelles :

• Licéité : Le traitement doit reposer sur le consentement de la personne, un contrat, une obligation légale, une mission d’intérêt public ou encore l’intérêt légitime du responsable.
• Transparence et loyauté : Les personnes concernées doivent être informées de l’existence et des modalités du traitement.
• Limitation des durées de conservation : Les données doivent être conservées pour la durée strictement nécessaire.
• Limitation des finalités : Les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être réutilisées d’une manière incompatible avec ces finalités initiales.
• Minimisation des données : Les données personnelles collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités.
• Exactitude : Les données personnelles doivent être exactes et raisonnablement tenues à jour.

3) Vérifier les relations avec les sous-traitants :

• Vérifier l’existence d’un contrat de sous-traitance définissant les modalités de traitement des données personnelles (objet, durée, finalité du traitement) et les obligations du sous-traitant (notamment sécurité et lieu d’exécution du contrat) ;
• Vérifier que les sous-traitants présentent des garanties suffisantes pour le traitement de données personnelles (notamment en matière de sécurité et du lieu d’hébergement).

4) Désigner un délégué à la protection des données (Data Protection Officer, DPO) :

• Le DPO est obligatoire lorsque les activités de base consistent en un suivi régulier et systématique à grande échelle de données ou en un traitement à grande échelle de données particulières (données biométriques, de santé, révélant l’origine raciale ou ethnique, les opinions politiques, syndicales, religieuses ou philosophiques, l’orientation sexuelle…) ;
• Un groupe d’entreprises peut désigner un DPO unique.

5) Tenir un registre des activités de traitement sous forme écrite ou électronique :

• Cette obligation concerne les entreprises ou organisations de plus de 250 salariés, sauf si les traitements effectués par les petites structures sont réguliers et présentent un risque pour les personnes concernées (par exemple : profilage, publicité ciblée), ou s’ils portent sur des données particulières (telles que les données biométriques, données de santé ou encore les données portant sur les origines raciales ou ethniques, les opinions politiques, syndicales ou religieuses, etc.) ;
• Le registre doit mentionner pour chaque traitement le nom et les coordonnées du responsable de traitement (et le cas échéant du DPO désigné), les finalités du traitement, les catégories de personnes concernées (salariés, clients…), les destinataires des données, les éventuels transferts de données personnelles, les délais de conservation et les mesures de sécurité mises en place.

6) Mettre en place les mesures appropriées pour assurer la sécurité des traitements

• Assurer la confidentialité des données personnelles (pseudonymisation, chiffrement des données ou tout autre moyen) ;
• Assurer l’intégrité des données (contre la destruction, la perte, l’altération des données) ;
• Assurer la disponibilité des données et mettre en place des moyens permettant un rétablissement dans des délais appropriés ;
• Effectuer des tests, analyses et évaluations réguliers de l’efficacité des mesures mises en place ;
• Utiliser par exemple des codes de conduite approuvés par la CNIL (référentiels, pack de conformité…) ;
• Vérifier la mise en place de mesures de sécurité appropriées par les sous-traitants (audit).

7) Notifier les incidents de sécurité concernant des données personnelles

• Mettre en place une procédure de notification des violations de données personnelles à la CNIL ;
• Notifier ces incidents à la CNIL, si possible dans les 72h, lorsqu’il existe un risque pour les personnes ;
• Alerter les personnes concernées de ces incidents lorsqu’il y a un risque élevé pour leurs droits.

8) Faire des analyses d’impact pour les traitements les plus sensibles et consulter la CNIL lorsque cette analyse révèle un risque élevé pour les personnes concernées.

Les obligations du ST

• Tenir un registre des activités de traitement pour le compte de ses clients (RT) en plus de son propre registre ;
• Désigner un DPO (mêmes critères que pour le RT) ;
• Respecter les principes de « privacy by design » et « privacy by default » ;
• Coopérer avec l’autorité de contrôle.

Les obligations du RT à l’égard du ST

• S’assurer que le ST présente des garanties nécessaires et suffisantes concernant la mise en œuvre de mesures techniques et organisationnelles appropriées pour :
  • Répondre aux exigences du RGPD ;
  • Garantir la protection des droits des personnes concernées.
• Permettre au ST d'assurer sa mission ;
• Communiquer au ST des instructions licites ;
• Définir avec le ST des process nécessaires au bon déroulement de la prestation.

Les obligations du ST à l’égard du RT

• Assurer la sécurité et la confidentialité des données ;
• Mettre en place les mesures appropriées pour assurer la sécurité des traitements :
  • Assurer la confidentialité des données personnelles (pseudonymisation, chiffrement des données ou tout autre moyen) ;
  • Assurer l’intégrité des données (contre la destruction, la perte, l’altération des données) ;
  • Assurer la disponibilité des données et mettre en place des moyens permettant un rétablissement dans des délais appropriés ;
  • Effectuer des tests, analyses et évaluations réguliers de l’efficacité des mesures mises en place ;
  • Utiliser par exemple des codes de conduite approuvés par la CNIL (référentiels, packs de conformité…) ;
  • Veiller au respect de la confidentialité des données par son personnel ;
  • Vérifier la mise en place de mesures de sécurité appropriées par ses propres sous-traitants ;
  • Mettre à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations de sécurité et confidentialité.
• Obtenir une autorisation écrite du RT pour avoir recours à un ST de second rang ;
• Notifier les incidents de sécurité concernant des données personnelles au RT :
  • Notifier toute violation de données personnelles au responsable de traitement dans les meilleurs délais ;
  • Mettre à disposition du responsable de traitement les informations nécessaires pour le reporting auprès de la CNIL.
• Agir conformément aux instructions du RT :
  • Ne traiter les données que sur instruction du RT, y compris pour les transferts de données vers des pays hors Union européenne ;
  • Supprimer ou rendre au RT les données personnelles au terme de la prestation de services et détruire les copies existantes de ces données ;

• Le conseiller si une instruction constitue une violation du RGPD.

• Assister le RT pour garantir le respect de ses obligations (notamment droits des personnes et analyse d’impact relative à la protection des données) :
  • Aider le responsable de traitement à s’acquitter de ses obligations en matière de protection des données personnelles ;
  • Mettre à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations et pour la réalisation d’audits ou de contrôles.

1- Mettre en place des mesures internes pour s’assurer et démontrer la conformité des traitements : 

• Mettre en place une politique interne de protection des données personnelles
• -Désigner des personnes dédiées à la protection des données personnelles (DPO, juristes, informaticiens…)
• - Elaborer des règles ou processus internes (reporting, gestion des traitements, comité de validation...) 
• - Adopter des codes de conduite, participer à des mécanismes de certification (labels CNIL…)
• -Mettre en place une politique interne de sécurité de l’information (contrôles d’accès, classification des informations, sauvegardes, antivirus et anti-malware, tests de vulnérabilité…) :PSSI
• -Sensibiliser et former l’ensemble des collaborateurs (conseillers clients, RH, DSI…)
• -Fournir les informations nécessaires aux personnes concernées 
• -Respecter et veiller au respect des droits des personnes concernées 
• -Intégrer la protection des données personnelles dès la conception des projets, programmes ou SI (« Privacy by design »)

2- Vérifier le respect des grands principes en matière de traitement de données personnelles :

• Licéité : le traitement doit reposer sur le consentement de la personne, un contrat, une obligation légale, une mission d’intérêt public ou encore l’intérêt légitime du responsable 
• Transparence et loyauté : les personnes concernées doivent être informées de l’existence et des modalités du traitement.
• Limitation des durées de conservation : les données doivent être conservées pour la durée strictement nécessaire.
• Limitation des finalités : les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être réutilisées d’une manière incompatible avec ces finalités initiales.
• Minimisation des données : les données personnelles collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités.
• Exactitude : les données personnelles doivent être exactes et raisonnablement tenues à jour.

3- Vérifier les relations avec les sous-traitants :

• Vérifier l’existence d’un contrat de sous-traitance définissant les modalités de traitement des données personnelles (objet, durée, finalité du traitement) et les obligations du sous-traitant (notamment sécurité et lieu d’exécution du contrat)
• Vérifier que les sous-traitants présentent des garanties suffisantes pour le traitement de données personnelles (notamment en matière de sécurité et du lieu d’hébergement)

4- Désigner un délégué à la protection des données (Data Protection Officer - DPO) interne ou extérieur à l’organisme

• Le DPO est obligatoire lorsque les activités de base consistent en un suivi régulier et systématique à grande échelle de données ou en un traitement à grande échelle de données particulières (données biométriques, de santé, révélant l’origine raciale ou ethnique, les opinions politiques, syndicales, religieuses ou philosophiques, l’orientation sexuelle…)
• Un groupe d’entreprises peut désigner un DPO unique

5- Tenir un registre des activités de traitement sous forme écrite ou électronique :

• Cette obligation concerne les entreprises ou organisations de plus de 250 salariés, sauf si les traitements effectués par les petites structures sont réguliers et présentent un risque pour les personnes concernées (par exemple : profilage, publicité ciblée), ou s’ils portent sur des données particulières (telles que les données biométriques, données de santé ou encore les données portant sur les origines raciales ou ethniques, les opinions politiques, syndicales ou religieuses, etc)
• Le registre doit mentionner pour chaque traitement le nom et les coordonnées du responsable de traitement (et le cas échéant du DPO désigné), les finalités du traitement, les catégories de personnes concernées (salariés, clients…), les destinataires des données, les éventuels transferts de données personnelles, les délais de conservation et les mesures de sécurité mises en place

6- Mettre en place les mesures appropriées pour assurer la sécurité des traitements 

• Assurer la confidentialité des données personnelles (pseudonymisation, chiffrement des données ou tout autre moyen)
• Assurer l’intégrité des données (contre la destruction, la perte, l’altération des données)
• Assurer la disponibilité des données et mettre en place des moyens permettant un rétablissement dans des délais appropriés
• Effectuer des tests, analyses et évaluations réguliers de l’efficacité des mesures mises en place
• Utiliser par exemple des codes de conduite approuvés par la CNIL (référentiels, pack de conformité…)
• Vérifier la mise en place de mesures de sécurité appropriées par les sous-traitants (audit)

7- Notifier les incidents de sécurité concernant des données personnelles 

• Mettre en place une procédure de notification des violations de données personnelles à la CNIL
• Notifier ces incidents à la CNIL, si possible dans les 72h, lorsqu’il existe un risque pour les personnes
• Alerter les personnes concernées de ces incidents lorsqu’il y a un risque élevé pour leurs droits

8- Faire des analyses d’impact pour les traitements les plus sensibles et, lorsque cette analyse révèle un risque élevé pour les personnes concernées, consulter la CNIL

La désignation d’un DPO est obligatoire pour :

• Les autorités publiques ou organismes publics, à l’exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ;
• Les entreprises dont « les activités de base (…) consistent en des opérations de traitement, qui du fait de leur nature, de leur portée et/ ou de leur finalité, exigent un suivi régulier et systématique des personnes à grande échelle » ;
• Le cas où « les activités de base du responsable de traitement ou du sous traitant, consistent en un traitement à grande échelle de catégories particulières de données », c’est-à-dire des données sensibles ou données relatives à des condamnations pénales et infractions.

Les lignes directrices du G29 du 5 avril 2017 clarifient les critères posés par le RGPD, notamment les notions d’autorité ou d’organisme public, d’activités de base, de grande échelle et de suivi régulier et systématique.

Un organisme peut désigner un DPO dans tous les autres cas. La désignation est encouragée par les membres du G29 et « fortement recommandée » par la CNIL. Elle permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles.

Chef d’orchestre de la conformité en matière de protection des données au sein de son organisme, Les principales missions du DPO sont :

• Informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
• Contrôler le respect du règlement et du droit national en matière de protection des données ;
• Conseiller l’organisme ;
• Coopérer avec l’autorité de contrôle et être son point de contact.

Avant de désigner un DPO à la CNIL, le responsable de traitement doit vérifier qu’il dispose du statut, des compétences et des moyens nécessaires à l’exercice de ses missions.

Qui peut être désigné ?

Les organismes peuvent désigner un délégué interne, membre du personnel ou externe.

Le DPO peut être mutualisé, c’est à dire désigné pour plusieurs organismes à condition qu’il soit :

• Facilement joignable ;
• En mesure de communiquer efficacement avec les personnes concernées ;
• En mesure de de coopérer avec l’autorité de contrôle.

Compétences requises

• Aptitude à communiquer efficacement ;
• Capacité à exercer ses fonctions et missions en toute indépendance ;
• Expertise en matière de législations et pratique en matière de protection des données, acquise notamment grâce à une formation continue ;
• Niveau d’expertise adapté à l’activité de l’organisme et à la sensibilité des traitements mis en œuvre ;
• Bonne connaissance des opérations de traitement, des systèmes d’information et des besoins de l’organisme en matière de protection et de sécurité des données en lien avec le secteur d’activité et de l’organisation de l’organisme ;
• Positionnement efficace en interne, i.e. lien direct avec la direction, mais aussi rapport de proximité et de coopération avec les services impliqués dans la gestion des données à caractère personnel, afin de :
  • Reporter directement au niveau le plus élevé de l’organisme ; et
  • Animer un réseau de relais au sein des filiales d’un groupe par exemple et/ou une équipe d’experts en interne (expert informatique, juriste, expert en communication, traducteur, etc.).

Absence de conflit d’intérêts

• Le responsable de traitement doit s’assurer que le délégué n’occupe pas des fonctions, au sein de l’organisme, qui le conduise à déterminer les finalités et les moyens d’un traitement (ne pas être juge et partie).
• Appréciation au cas par cas.

Absence de sanction dans l’exercice de ses missions

• Toute sanction est interdite si elle est motivée par l’exercice par le délégué de sa fonction.
• Les sanctions peuvent prendre des formes diverses et peuvent être directes ou indirectes.
• Le délégué n’est pas un salarié protégé au sens du code du travail français.

Absence de responsabilité en cas de non-respect du RGPD

Le DPO n’est pas personnellement responsable en cas de de non-respect du RGPD. Le respect de la protection des données relève donc de la responsabilité du responsable de traitement. Il n’est pas possible de transférer au DPO, par délégation de pouvoir, la responsabilité incombant au responsable de traitement.

Le DPO est soumis au secret professionnel ou a une obligation de confidentialité.

Le responsable de traitement doit fournir au DPO les ressources nécessaires à ses missions. Le DPO doit donc :

• Disposer du temps suffisant pour exercer ses missions ;
• Bénéficier de moyens matériels et humains adéquats ;
• Pouvoir accéder aux informations utiles ;
• Être associé en amont des projets impliquant des données personnelles ;
• Être facilement joignable par les personnes concernées.

Le responsable de traitement devra en particulier :

• S’assurer de l’implication du DPO dans toutes les questions relatives à la protection des données, en l’y associant d’une manière appropriée et en temps utile (ex. communication interne et externe sur sa désignation) ;
• Lui fournir les ressources nécessaires à la réalisation de ses tâches (ex. formation, temps nécessaire, ressources financières, équipe) ;
• Lui faciliter l’accès aux données et aux opérations de traitement (ex. accès facilité aux autres services de l’organisme) ;
• Lui permettre d’agir de manière indépendante (ex. positionnement hiérarchique adéquat, absence de sanction pour l’exercice de ses missions) ;
• Veiller à l’absence de conflits d’intérêts.

Il est recommandé que le DPO soit localisé dans un État membre de l’UE.

Le responsable de traitement doit s’assurer de désigner un DPO qui soit joignable.

En vue d’organiser la fonction de DPO, il est recommandé au responsable de traitement de confier au DPO les missions suivantes :

• Évaluer les pratiques (audits) ;
• Prioriser les actions et s’assurer de la sécurité informatique ;
• Encadrer la réalisation de l’inventaire des traitements de DCP et l’établissement du registre des traitements ;
• Mettre en place des procédures (privacy by design, notification des violations de données, gestion des réclamations et des plaintes, etc.) ;
• Contribuer et participer à identifier les risques associés aux opérations de traitement ;
• Établir une politique de protection des données personnelles ;
• Sensibiliser les opérationnels et la direction sur les nouvelles obligations.

Il pourra s’appuyer sur les lignes directrices du G29 (portabilité, autorité chef de file, analyse d’impact) et de l’EDPB (en cours d’adoption).

Dans le cadre de leur plan d'action pour se mettre en conformité au RGPD, les organismes doivent tenir une documentation interne complète sur leurs traitements de données personnelles et s’assurer qu'ils respectent bien les nouvelles obligations légales.

Pour pouvoir apprécier la maturité de l’organisme quant à l’intégration effective du RGPD à son activité et répondre à cette exigence, le responsable de traitement doit au préalable recenser précisément :

• Les différents traitements de données personnelles réalisées par les différents services ;
• Les catégories de données personnelles traitées ;
• Les objectifs poursuivis par les opérations de traitements de données ;
• Les acteurs (internes ou externes) qui traitent ces données, notamment les prestataires sous-traitants afin d’actualiser les clauses de confidentialité ;
• Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’UE.

6 questions pour établir l’inventaire des traitements

Le registre des activités de traitement permet de :

• Recenser vos traitements de données ;
• Disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles ;
• Disposer de la documentation de la conformité.

En tant que document de recensement et d’analyse, le registre des traitements doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier pour chaque traitement :

• Les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données ;
• La base légale du traitement ;
• Les catégories de données traitées ;
• La finalité, i.e. à quoi servent ces données ;
• Les destinataires (les transferts qui accèdent aux données et à qui elles sont communiquées) ;
• La durée de conservation ;
• La sécurité.

Sa création et sa mise à jour sont ainsi l’occasion d’identifier et de hiérarchiser les risques au regard du RGPD.

L’obligation de tenir un registre concerne tous les organismes, publics et privés, quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

En pratique, une fiche de registre doit être établie pour chacune des activités et contient les informations suivantes :

• Le nom et les coordonnées de l’organisme ;
• Le nom et les coordonnées du représentant si l’organisme n’est pas établi dans l’UE ;
• Le nom et les coordonnées du DPO ;
• Le nom et les coordonnées du re sponsable conjoint du traitement mis en œuvre le cas échéant ;
• Les finalités du traitement ;
• Les catégories de personnes concernées ;
• Les catégories de données personnelles ;
• Les catégories de destinataires y compris les sous-traitants ;
• Les transferts de données à caractère personnel vers un pays tiers et garanties prévues ;
• Les transferts de données à caractère personnel vers un pays tiers ;
• Une description générale des mesures de sécurité techniques et organisationnelles.

Mise à jour

Par nature, le registre est un document interne et évolutif, qui doit avant tout aider l’organisme à piloter sa conformité. Il doit être mis à jour régulièrement et au fur et à mesure des évolutions fonctionnelles et techniques des traitements de données.

En pratique, toute modification apportée aux conditions de mise en œuvre de chaque traitement inscrit au registre doit être notifiée et consignée au registre (nouvelle donnée collectée, allongement de la durée de conservation, nouveau destinataire du traitement, etc.).

Communication du registre

Les organismes du secteur public sont tenus de communiquer le registre à toute personne qui en fait la demande, car il s’agit d’un document administratif, communicable à tous, au sens du code des relations entre le public et l’administration.

Les organismes privés (non chargés d’une mission de service public) ne sont pas tenus de communiquer le registre au public (mais possibilité de le communiquer aux personnes qui en font la demande).

Le registre doit dans tous les cas être communiqué à la CNIL lorsqu’elle le demande. Elle pourra en particulier l’utiliser dans le cadre de sa mission de contrôle des traitements de données.

La CNIL recommande de faire du registre un outil global de pilotage de la conformité au RGPD en l’enrichissant de mentions complémentaires :

• En y ajoutant les informations nécessaires pour informer les personnes, le registre pourra servir de base à la rédaction de la politique de confidentialité et des mentions d’information (base légale du traitement, et selon le cas, fondement juridique du transfert de données vers des pays tiers, droits qui s’appliquent au traitement, existence ou non d’une décision automatisée, origine des données, etc.) ;
• Le registre peut également servir à consigner un historique des violations de données ;
• Il peut permettre de recenser tous les documents liés aux transferts de données hors de l’Union européenne (clauses contractuelles, BCR, etc.) et aux sous traitants auxquels vous recourez (contrats de sous-traitance) ;
• Le registre pourra être utilisé par le DPO pour accomplir l’ensemble de ses missions, voire être consulté par tout collaborateur de l’organisme qui met en œuvre des traitements de données.

La CNIL propose un modèle de registre destiné à répondre aux besoins les plus courants en matière de traitements de données des petites structures (TPE-PME, associations, petites collectivités, etc.) un nouveau modèle au format tableur est désormais disponible.

Il s’agit d’un outil important pour la responsabilisation des organismes qui les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au RGPD. Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.

L'AIPD se décompose en trois parties :

1. Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels ;
2. L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;
3. L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que de leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

On peut parler indifféremment d’analyse d’impact relative à la protection des données, d’AIPD, de DPIA (Data Protection Impact Assessment, terme retenu dans le RGPD), de PIA (Privacy Impact Assessment, terme plus commun utilisé dans d’autres régions du monde) ou encore d’EIVP.

Un « risque sur la vie privée » est un scénario décrivant :

• Un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) ;
• Toutes les menaces qui permettraient qu’il survienne.

Il est estimé en termes de gravité pour les personnes concernées (et non pour l’organisme) et de vraisemblance.

Exemple

Un salarié soudoyé par un concurrent pourrait lui envoyer le fichier des adresses email des clients par courrier électronique. Si cela se produisait, les clients pourraient ensuite être sollicités et avoir un sentiment d'atteinte à la vie privée, des ennuis personnels ou professionnels, etc. Du point de vue « informatique et libertés », ce risque pourrait être estimé comme peu grave (conséquences peu importantes) et très vraisemblable (dans la mesure où ce scénario s’est déjà produit) par l’entreprise.

Une AIPD peut concerner un seul traitement ou un ensemble de traitements similaires. À titre d’exemples :

• Des collectivités mettant chacune en place un système de vidéosurveillance similaire pourraient effectuer une seule analyse portant sur ce système bien qu’il soit ultérieurement mis en œuvre par des responsables de traitements (RT) distincts ;
• Un opérateur ferroviaire (responsable de traitement unique) pourrait effectuer une seule analyse d’impact sur le dispositif de la surveillance vidéo déployé dans plusieurs gares.

En tant que bonne pratique, une AIPD peut également être menée par le fournisseur d’un produit (matériel, logiciel ou service) pour évaluer son impact sur la protection des données. Les différents RT utilisant ce produit doivent mener leurs propres AIPD mais, le cas échéant, ils peuvent être alimentés par l'AIPD du fournisseur.

Une AIPD n'est pas nécessaire quand : 

• Le traitement figure sur la liste des exceptions adoptée par la CNIL après consultation du CEPD (Comité européen de protection des données) ;
• Le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées ;
• La nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une AIPD a déjà été menée ;
• Le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public (art. 6 du RGPD), sous réserve que les conditions suivantes soient remplies :
  • qu’il ait une base légale dans le droit de l’UE ou le droit de l’État membre ;
  • que ce droit règlemente cette opération de traitement ; et
  • qu’une AIPD ait déjà été menée lors de l’adoption de cette base légale.

Une AIPD doit obligatoirement être menée quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées » :

• Soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données ;
• Soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 :
  • Évaluation/scoring (y compris le profilage) ;
  • Décision automatique avec effet légal ou similaire ;
  • Surveillance systématique ;
  • Collecte de données sensibles ou données à caractère hautement personnel ;
  • Collecte de données personnelles à large échelle ;
    Croisement de données ;
  • Personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • Usage innovant (utilisation d’une nouvelle technologie) ;
  • Exclusion du bénéfice d’un droit/contrat.

Exemple

Une entreprise met en place un traitement publicitaire visant à collecter les données de géolocalisation de plusieurs millions d’individus pour créer des profils publicitaires et leur afficher de la publicité ciblée en fonction de leurs déplacements ; ce traitement remplit le critère de la collecte à grande échelle et celui de la collecte de données sensibles (données de localisation), donc la réalisation d’une AIPD sera nécessaire.

L'AIPD doit être menée avant la mise en œuvre du traitement, le plus tôt possible, et sera mise à jour tout au long du cycle de vie du traitement.

Il est également nécessaire de revoir une AIPD de manière régulière pour s’assurer que le niveau de risque reste acceptable tout au long de la vie du traitement, dans la mesure où l’environnement, technique notamment, sera amené à évoluer, ce qui nécessitera d’adapter les mesures mises en œuvre.

Une étude d’impact ne sera pas exigée pour les traitements:

• Ayant fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018 ou qui étaient dispensés de formalité ;
• Consignés au registre d’un correspondant « informatique et libertés ».

Cette dispense d’obligation de réaliser une AIPD, pour les traitements existants et régulièrement mis en œuvre, sera limitée à une période de 3 ans : à l’issue de ce délai, les responsables de traitement devront avoir effectué une telle étude si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

En revanche, l’étude d’impact devra être réalisée, sans attendre l’issue de ce délai de trois ans, dans tous les autres cas, dès lors que le traitement présente un risque élevé :

• Pour tout nouveau traitement mis en œuvre après le 25 mai 2018 ;
• Pour les traitements antérieurs n’ayant pas fait l’objet de formalités préalables auprès de la CNIL ;
• Pour les traitements, antérieurs au 25 mai et qui ont été dispensés d’étude d’impact en raison de l’accomplissement d’une formalité préalable auprès de la CNIL, mais qui font l’objet d’une modification significative.

La réalisation d’une AIPD constitue, dans tous les cas, une bonne pratique facilitant la démarche de mise en conformité avec les conditions de fond prévues par le RGPD.

Le responsable de traitement est tenu par l’obligation de s’assurer de la conformité de son traitement au RGPD.

S’il a désigné un délégué à la protection des données, il lui demande conseil et le charge de vérifier l’exécution de l'AIPD.

Si un sous-traitant intervient dans le traitement, il doit fournir son aide et les informations nécessaires à la réalisation de l'AIPD.

Le responsable de traitement devrait également demander l’avis des personnes concernées (par le biais d’une enquête, d’un sondage, d’une question formelle aux représentants du personnel), ou le justifier sinon.

Idéalement, les métiers (maîtrise d’ouvrage), les équipes chargées de la mise en œuvre (maîtrise d’œuvre), et la personne chargée de la sécurité des systèmes d’information devraient également participer au processus de réalisation de l'AIPD et à sa validation.

Le responsable de traitement est tenu par l’obligation de s’assurer de la conformité de son traitement au RGPD.

S’il a désigné un délégué à la protection des données, il lui demande conseil et le charge de vérifier l’exécution de l'AIPD.

Si un sous-traitant intervient dans le traitement, il doit fournir son aide et les informations nécessaires à la réalisation de l'AIPD.

Le responsable de traitement devrait également demander l’avis des personnes concernées (par le biais d’une enquête, d’un sondage, d’une question formelle aux représentants du personnel), ou le justifier sinon.

Idéalement, les métiers (maîtrise d’ouvrage), les équipes chargées de la mise en œuvre (maîtrise d’œuvre), et la personne chargée de la sécurité des systèmes d’information devraient également participer au processus de réalisation de l'AIPD et à sa validation.

Un AIPD contient au minimum :

• une description systématique des opérations de traitement envisagées et les finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement ;
• une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
• une évaluation des risques sur les droits et libertés des personnes concernées ; et
• es mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.

Pour ce faire, plusieurs méthodes sont utilisables. Le responsable de traitement est libre de choisir sa méthode. Mais quelle que soit la méthode, celle-ci devrait respecter les critères définis dans l’annexe 2 des lignes directrices du G29.

Les guides AIPD de la CNIL décrivent la méthode suivante :

1. délimiter et décrire le contexte du (des) traitement(s) considéré(s) ;
2. analyser les mesures garantissant le respect des principes fondamentaux : la proportionnalité et la nécessité du traitement, et la protection des droits des personnes concernées ;
3. apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités ;
4. formaliser la validation du PIA au regard des éléments précédents ou bien décider de réviser les étapes précédentes

Il n’y a aucune obligation de publication. Toutefois, l'AIPD peut aboutir à la production d’un rapport ou d’un résumé, pouvant être partagé, publié, communiqué. Cette bonne pratique contribue à améliorer la confiance entre les parties prenantes.

Si votre traitement relève du RGPD, votre AIPD doit être transmise à la CNIL dans les cas suivants :

• S’il apparait que le niveau de risque résiduel reste élevé (cas où la CNIL doit être consultée) ;
• Quand la législation nationale d’un État membre l’exige ;

Si votre traitement relève de la directive « Police-Justice », votre AIPD doit être transmise à la CNIL dans les cas suivants :

• Elle présente des risques résiduels élevés ;
• En raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, le traitement présente des risques initiaux élevés.

Vous avez effectué une analyse d’impact mais vous n'êtes pas dans l'un des cas ci-dessus, vous n’avez pas à consulter la CNIL.

Si vous êtes dans un cas justifiant l’envoi de votre analyse d’impact, vous pouvez l'envoyer par internet.

La notion de privacy by design est apparue aux États-Unis vers la fin des années 90, à l’initiative d’Ann Cavoukian, commissaire à l’information et à la protection de la vie privée de l’État d’Ontario.

L’idée est d’imposer que chaque nouvelle technologie destinée à traiter les données personnelles doit être conçue de manière à offrir un haut niveau de protection des données.

Il s’agit d’une réponse à l’automatisation du traitement des données personnelles et à la quantité de plus en plus importante de données manipulées par les entreprises (ne nécessitant souvent pas une intervention humaine). Le privacy by design est une mesure préventive ayant donc pour but de limiter les risques d’abus et de violation des données.

Le principe de privacy by design est prévu par l’article 25 du RGPD : « Protection des données dès la conception et protection des données par défaut ».

Ce principe implique de protéger les données personnelles dès la conception. Les entreprises ont désormais l’obligation d’intégrer le principe de protection des données à caractère personnel dès la mise en œuvre de projets impliquant un traitement de données au sein d’une structure. Cette approche permet de limiter les risques d’un éventuel non-respect des exigences du RGPD. Ainsi, au regard de la finalité recherchée par une structure dans le traitement de données personnelles, l’entreprise doit en amont prendre les mesures nécessaires, que ce soit au niveau technique comme organisationnel, de manière à traiter ces informations personnelles de manière appropriée.

Appliquer ce principe permet donc de mettre en place des mesures préventives limitant, dès la conception d’un projet, les risques éventuels de violation des données personnelles. Ces mesures mises en œuvre doivent empêcher la collecte de données personnelles sans raison légitime et impliquer la suppression de données personnelles dans une base de données, s’il n’y a pas lieu de les garder par la suite.

Fruit d'une volonté constante de garantir la protection de la vie privée des personnes, ces mesures préventives sont prises sur la base d'une concertation entre des ingénieurs informatiques et des juristes d'entreprise :

• Les juristes mettent en œuvre les grands principes de la protection des données personnelles (minimisation, transparence, spécificité des finalités) ;
• Les ingénieurs informaticiens mettent en place un certain nombre de mesures techniques (ou privacy enhancing technologies, PET) pour renforcer la sécurité des données.

Pour garantir la protection de la vie privée dès la conception du traitement by design, le RT met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées destinées à appliquer les principes relatifs à la protection des données, telles que la minimisation effective des données afin de répondre aux exigences du RGPD et de protéger les droits des personnes concernées (art. 25).

Le responsable du traitement doit prendre en considération les enjeux de la protection des données dès la conception du traitement et non pas à la dernière minute préoccupé par la mise en conformité.

Le considérant 78 du RGPD rappelle les mesures que le RT doit mettre en œuvre pour répondre aux exigences du privacy by design et by default notamment pour des questions de transparence ( ligne directrice du G29 WP 26029 novembre 2017).

Le privacy by design est basé sur 7 principes :

• Conception de mesures préventives et proactives ;
• Protection par défaut (privacy by default) ;
• Prise en compte des règles sur la protection de la vie privée dans la conception des produits et durant leur utilisation ;
• Protection optimale et intégrale ;
• Assurer la sécurité tout au long de la conservation des données ;
  Visibilité et transparence ;
• Respect de la vie privée des usagers et/ou des cibles du service.

Ces principes ont été repris dans le RGPD avec des applications plus concrètes : réduction des traitements de données à caractère personnel, pseudonymisation, transparence des traitements, limitation des risques de fuite…

Le RGPD évoque :

• La pseudonymisation : une mesure de sécurité technique qui consiste à remplacer un identifiant (ou plus généralement des données à caractère personnel) par un pseudonyme. Cette technique permet toutefois la réidentification.
• Le chiffrement : un fonction de cryptologie qui consiste à protéger les documents en les rendant inintelligibles par toute personne n’ayant pas accès à une clé dite de déchiffrement. On distingue le chiffrement symétrique (une clé secrète pour chiffrer et déchiffrer) et le chiffrement asymétrique (deux clés : une publique pour chiffrer et une privée pour déchiffrer)²

Dans son rapport d’activité, la CNIL prône le chiffrement qui assure la confidentialité des messages contenant des DCP³.

D’autres mesures sont ensuite prévues :

• Des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
• Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
• Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ;

L’application d’un code de conduite ou d’un mécanisme de certification peut également servir à démonter le respect des obligations de sécurité.

Ni le RGPD, ni la Loi informatique et Libertés en sa rédaction issue de la transposition du RGPD, ne mentionnent de solutions techniques impératives à adopter par le responsable ou le sous-traitant éventuel pour aboutir à l’objectif de sécurité des données. Les textes leur laissent au contraire le choix quand aux moyens techniques à mettre en œuvre.

2- CNIL,communiqué « comment chiffrer ses documents et ses répertoires ? »,3Mars 2017 »

 3- CNIL,37eme rapport d’activité 2016

La détermination des risques est essentielle.
Le caractère approprié des mesures nécessite une évaluation afin de valider si le niveau de sécurité est suffisant et si le risque est rendu suffisamment bas pour être raisonnablement « acceptable ».
Celle-ci doit tenir compte notamment de la nature des données traitées et des finalités du traitement (autrement dit, plus la donnée est sensible dans le contexte du traitement en termes de conséquences potentielles pour les droits et libertés des personnes concernées si le risque devait se réaliser, plus le niveau doit être élevé).
Il est cependant parfois difficile, lorsque l’on n’est pas familier de ces méthodes, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été mis en œuvre.
Afin de permettre aux responsables de traitements de définir leur politique de gestion des risques, la CNIL a mis au point une méthodologie en 6 étapes qui repose sur les précautions élémentaires qui devraient être mises en œuvre de façon systématique :

• Étape 1
  Cartographier les traitements, identifier les catégories de données traitées et les supports : Il s’agit de recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées et les supports sur lesquels elles reposent :
  • Les matériels (ex : serveurs, ordinateurs portables, disques durs) ;
  • Les logiciels (ex : système d’exploitation, logiciel métier) ;
  • Les canaux de communication (ex : fibre optique, Wi-Fi, Internet) ;
  • Les supports papier (ex : document imprimé, photocopie)
• Étape 2
  Identifier les impacts potentiels sur les droits et libertés des personnes concernées, pour les trois évènements redoutés suivants :
  • Accès illégitime à des données, c’est à dire accès non autorisé à de telles données, de manière accidentelle ou illicite (ex : usurpations d’identités consécutives à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise) ;
  • Modification non désirée de données (ex : accusation à tort d’une personne d’une faute ou d’un délit suite à la modification de journaux d’accès) ;
  • Disparition de données (ex : non détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient).
• Étape 3
  Identifier les sources de risques en prenant en compte :
  • Des sources humaines internes et externes (ex : administrateur informatique, utilisateur, attaquant externe, concurrent) ;
  • Des sources non humaines internes ou externes (ex : eau, matériaux dangereux, virus informatique non ciblé).
• Étape 4
  Identifier les menaces réalisables, c’est-à-dire ce qui pourrait permettre que chaque évènement redouté survienne. Ces menaces se réalisent via les supports des données (matériels, logiciels, canaux de communication, supports papier, etc.), qui peuvent être :
  • Utilisés de manière inadaptée (ex : abus de droits, erreur de manipulation) ;
  • Modifiés (ex : piégeage logiciel ou matériel – keylogger, installation d’un logiciel malveillant) ;
  • Perdus (ex : vol d’un ordinateur portable, perte d’une clé USB) ;
  • Observés (ex : observation d’un écran dans un train, géolocalisation d’un matériel) ;
  • Détériorés (ex : vandalisme, dégradation du fait de l’usure naturelle) ;
  • Surchargés (ex : unité de stockage pleine, attaque par dénis de service).
• Étape 5
  Déterminer les mesures existantes ou prévues qui permettent de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation).
• Étape 6
  Estimer la gravité et la vraisemblance des risques, au regard des éléments précédents (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale). Une fois le risque déterminé, l’entreprise peut choisir au cas par cas les mesures techniques et organisationnelles adaptées.

Une violation de données à caractère personnel peut potentiellement avoir, pour les personnes concernées, toute une série de conséquences négatives susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral.

Le RGPD indique que ces dommages et préjudices peuvent inclure une perte de contrôle sur leurs données à caractère personnel, la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation ou une perte de confidentialité de données à caractère personnel protégées par le secret professionnel.

Ils peuvent également comprendre tout autre dommage économique ou social important pour les personnes concernées.

Pour ces raisons, le RGPD exige donc du responsable du traitement qu’il notifie toute violation à l’autorité de contrôle, à moins qu’elle ne soit pas susceptible d’engendrer le risque que de telles conséquences négatives ne se produisent. Lorsqu’en revanche, ce risque est élevé, le RGPD exige du responsable du traitement qu’il communique la violation aux personnes concernées dans les meilleurs délais.

Deux sortes de notifications sont ainsi envisagées par le texte :

• La notification aux personnes concernées ;
• La notification à l’autorité de contrôle.

Encadrement des transferts de données en dehors de l’Espace économique
européen (EEE) et de l’Union européenne (UE) mis à jour
• Principe : Interdiction des transferts de données à caractère personnel en
dehors de EEE et de l’Union européenne
• Exception : Mécanismes de transfert de données à caractère personnel en
dehors de l’Union .
Le RGPD élargit la gamme d’outils juridique permettant d’encadrer les transferts. Ils
pourront être utilisés tant par les responsables de traitement que par les sous-traitants.
Afin d’assurer un haut niveau de protection des données transférées du territoire
européen à des Etats tiers, les organismes souhaitant transférer des données peuvent
recourir aux outils suivants :

• La décision d’adéquation (art. 45 du RGPD), qui constitue le premier outil juridique d’encadrement, dans la mesure où elle est prise sur la base d’un examen global de la législation en vigueur dans un Etat, sur un territoire ou applicable à un ou plusieurs secteurs déterminés au sein de cet Etat ;
• En l’absence d’une telle décision, des « garanties appropriées » (art. 46 du RGPD), constituées pour la majorité de décisions des autorités de contrôle et qui sont
  prises à la lumière des engagements des organismes concernés ;

En l’absence de telles garanties appropriées, le transfert peut enfin être réalisé par dérogation  à ces outils globaux d’encadrement, dans des situations particulières et des conditions spécifiques.
En Synthèse, les transferts hors UE peuvent être fondés sur :

• une décision d’adéquation de la Commission européenne concernant certains pays assurant un niveau de protection adéquat ;
• des clauses contractuelles types (CCT) de la Commission européenne ;
• des règles internes d’entreprises (BCR) ;
• des clauses contractuelles spécifiques « ad hoc » (considérées comme conformes aux modèles de clauses de la Commission européenne) ;

Avec le RGPD, les transferts peuvent également être encadrés par :

• des clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne,
• un code de conduite approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
• un mécanisme de certification approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
• un arrangement administratif ou un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques (Mémorandum of Understanding dit MOU ou MMOU, convention internationale…).

Tout responsable de traitement qui souhaite exporter des données à caractère personnel hors de l’Espace économique européen doit d’abord se renseigner sur le niveau de protection adéquat du pays destinataire. En effet, lorsque le pays tiers est
considéré comme offrant un niveau de protection adéquat, le transfert peut être effectué comme s’il s’agissait d’un transfert au sein de l’Espace économique européen.

ll faudra néanmoins toujours respecter les principes généraux du RGPD (respect notamment du principe de licéité, compatibilité de la communication avec le traitement d’origine, information des personnes concernées).

C’est à la Commission européenne qu’il revient de constater par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat.

Liste des pays tiers ayant fait l’objet d’une décision d’adéquation de la Commission européenne 

• Andorre ; 
• Argentine ; 
• Canada (pour les traitements soumis à la loi canadienne Personal Information Protection and Electronic Documentation Act) ;
• Îles Féroé ; 
• Guernesey ;
• Israël; 
• Île de Man ;
• Japon ;
• Jersey ; 
• Nouvelle-Zélande ; 
• Suisse ; 
• Uruguay ; et
• États-Unis d’Amérique (pour les sociétés certifiées par le EU-U.S. Privacy Shield Framework).

Depuis l’entrée en vigueur du RGPD, de nouvelles possibilités s’offrent aux responsables de traitement ou sous-traitants qui souhaitent transférer des données personnelles vers un pays en dehors de l’espace économique européen ne disposant pas d’un niveau de protection adéquat, outre les clauses contractuelles et les règles d’entreprise contraignantes. 

Il s’agit : 

• de codes de conduite approuvés conformément à l’article 40 du RGPD assortis de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées ;et
• de mécanismes de certification approuvés conformément à l’article 42 du RGPD, assortis de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

En savoir plus

• Article 46 du RGPD
• Comité européen de la protection des données, guidelines 1/2018 on _certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679-version for public consultation

Un transfert de données depuis une autorité ou un organisme public français, vers une autre autorité ou vers un autre organisme public situé dans un pays tiers (en dehors de l’espace économique européen) peut avoir lieu : 

• par la signature d’un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics, sans que cela nécessite l’autorisation de la CNIL ;
• par des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées, qui doivent faire l’objet de l’autorisation de la CNIL, et soumises conformément à l’article 46 paragraphe (4) du RGPD au mécanisme de cohérence, c’est à dire que ces dispositions devront être approuvées par l’EDPB.

En savoir plus

• Article 46 du RGPD

Les dérogations visées à l’article 49 du RGPD sont des exceptions au principe général selon lequel les données à caractère personnel ne peuvent être transférées vers des pays tiers que si un niveau de protection adéquat est offert dans le pays tiers, ou si des garanties appropriées ont été apportées, et si les personnes concernées bénéficient de droits opposables et effectifs afin de continuer à bénéficier de leurs droits fondamentaux et garanties. 

Ces exceptions ne peuvent donc être utilisées que dans des situations particulières : les responsables de traitement doivent s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties. 

L’article 49 du RGPD fait l’objet d’une interprétation stricte par les autorités de protection des données, afin que l’exception ne devienne pas la règle. 

Parmi ces dérogations pour des situations particulières, on retrouve :

• La personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle ;
• Le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à sa demande ;
• Le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ;
• Le transfert est nécessaire pour des motifs importants d'intérêt public ;
• Le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice ;
• Le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement ;
• Le transfert a lieu au départ d'un registre qui est légalement destiné à fournir des informations au public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime.

Une dérogation de « dernier ressort » consiste à transférer des données à caractère personnel si c’est nécessaire aux fins des intérêts légitimes impérieux poursuivis par l’exportateur de données. Cependant, cette dérogation n’est applicable que si : 

• Aucune des dérogations pour des situations particulières visées ci-dessus n'est applicable, 
• Ce transfert ne revêt pas de caractère répétitif,
• Ce transfert ne touche qu'un nombre limité de personnes concernées,
• Ce transfert est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée, 
• Le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel, 
• Le responsable du traitement a informé l'autorité de contrôle (par exemple la CNIL) du transfert, et 
• Le responsable du traitement a informé la personne concernée du transfert et des intérêts légitimes impérieux qu'il poursuit. 

En savoir plus

• • Lignes directrices 2/2018 relatives aux dérogations prévues à l’article 49 du règlement (UE) 2016/679, adoptées par l’EDPB le 25 mai 2018 - article 46 du RGPD