Obligations en matière de protection des données personnelles
La et le de données personnelles (nom, prénom, adresse, numéro de sécurité sociale, etc.) par les entreprises sont soumis à des obligations destinées à protéger la vie privée et les libertés individuelles des personnes dont les données sont collectées. collecte traitement
Il s'agit de toutes informations se rapportant à une identifiée ou identifiable, directement ou non, grâce à un ou plusieurs éléments permettant de le rattacher personnellement à une donnée. personne physique
C'est le cas par exemple d'un nom, d'un prénom, d'un numéro de téléphone, d'une adresse électronique, d'un numéro de carte d'identité et/ou de sécurité sociale, d'une adresse IP, d'une photo, d'un profil sur un réseau social.
Les règles de protection des données personnelles s'appliquent en cas de , quelque soit le support adopté (papier, numérique,...). collecte d'utilisation et de conservation
Le traitement de données personnelles consiste en , quel que soit le procédé utilisé (enregistrer, organiser, conserver, modifier, rapprocher avec d'autres données, transmettre, etc...ces données). toute opération portant sur des données personnelles
Par exemple, il peut s'agir d'une intégration dans un mailing pour un démarchage commercial, d'envoi d'informations ciblées ou d'une newsletter ou de cookies de navigation, etc.
À savoir
Un traitement de données à caractère personnel peut être . Un fichier papier organisé selon un plan de classement, des formulaires papiers nominatifs ou des dossiers de candidatures classés par ordre alphabétique ou chronologique sont aussi des traitements de données personnelles. informatisé ou non
Pour mettre en œuvre le traitement, le professionnel doit, le plus souvent, de la personne dont les données sont collectées. recueillir le consentement
Toutefois, le recueil du consentement . C'est le cas notamment lorsque le traitement est nécessaire à l’exécution ou à la préparation d’un avec la personne. Il en va de même lorsque le traitement est imposé par un . n'est pas toujours exigé contrat texte de loi
Exemple
En tant qu’employeur, un professionnel être amené à collecter des informations concernant ses salariés pour procéder à des recrutements, calculer les horaires de travail ou encore établir la fiche de paie.
De plus, les données personnelles doivent répondre aux suivantes : conditions
-
Traitées de manière licite, loyale et transparente
-
Collectées pour une ou plusieurs finalités précises (une connaissance client, traitement plus efficace)
-
Adéquates, pertinentes et limitées aux finalités du traitement
-
Exactes et tenues à jour
-
Conservées de façon temporaire (elles doivent être supprimées au bout d'un certain temps ou anonymisées pour un traitement statistique) et sécurisée (mesures de protection prises pour l'accès à ces données, habilitation...).
Le RGPD s'applique à qui procèdent au traitement de données à caractère personnel, quelle que soit leur implantation géographique. tous les organismes
Les personnes suivantes sont ainsi concernées :
-
Responsables de traitement et leurs sous-traitants (hébergeurs, intégrateurs de logiciels, agences de communication entre autres) établis dans , quel que soit le lieu de traitement des données l'Union européenne (UE)
-
Responsables de traitement et leurs sous-traitants établis hors de l'UE, quand ils mettent en œuvre des traitements visant à fournir des biens ou des services à des résidents européens. C'est également le cas lorsqu'ils les ciblent avec des techniques d'intelligence artificielle (par exemple : profilage).
En pratique, le règlement de protection des données s'applique donc à chaque fois qu'un résident européen, quelle que soit sa nationalité, est directement visé par une collecte ou un traitement de données. Y compris par internet ou par le biais d'objets connectés (appareils domotiques, objets mesurant l'activité physique par exemple).
Le responsable du traitement des données doit mettre en œuvre les mesures de sécurité des locaux et des systèmes d'information pour empêcher que les fichiers soient déformés, endommagés ou que des tiers non autorisés y aient accès.
À savoir
La met à votre disposition un rappellant les précautions élémentaires à mettre en oeuvre pour être en conformité avec le RGPD. CNIL guide pratique
Le responsable doit prendre toutes les mesures nécessaires au respect de la protection des données personnelles du produit ou du service. dès la conception
Ainsi, il est obligé de limiter la quantité de données traitées dès le départ (principe dit de ) et doit démontrer cette conformité . minimisation à tout moment
L'accès aux données est réservé aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts par exemple.. uniquement
Le responsable des données doit fixer une durée raisonnable de conservation des informations personnelles.
À noter
Les obligations déclaratives sont toutes supprimées, sauf exceptions prévues par le droit national (certains traitements dans le secteur de la santé ou de la sécurité publique mis en œuvre pour le compte de l'État).
L'entreprise qui détient des données personnelles doit informer la personne concernée des informations suivantes :
-
Identité du responsable du fichier
-
Finalité du traitement des données
-
Caractère obligatoire ou facultatif des réponses
-
Droits d'accès, de rectification, d'interrogation et d'opposition
-
Transmissions des données
-
Utilisation des données de navigation () cookies
À noter
met à votre disposition un mode d'emploi pour . France Num garantir la conformité de votre fichier client au RGPD
La personne qui traite les données personnelles (un commerçant en ligne par exemple) doit respecter certaines obligations. Notamment :
-
Recueillir l'accord des clients préalable
-
Informer les clients de leurs droits d'accès, de rectification, d'opposition et de suppression des informations collectées
-
Veiller à la sécurité des systèmes d'information
-
Assurer la confidentialité des données
-
Indiquer une durée de conservation des données
L'objectif de la collecte d'informations doit être déterminé, et les données collectées doivent correspondre à cet objectif.
À savoir
l'âge à partir duquel un mineur peut consentir seul au traitement de ses données personnelles (majorité numérique) pour utiliser un service sur internet (les réseaux sociaux par exemple), est fixée à . L'autorisation des parents est nécessaire avant cet âge. L'information sur le traitement de données du mineur doit être rédigée en termes clairs et simples. 15 ans
Dès lors que le traitement des données présente un risque pour les droits et libertés des personnes, le responsable du traitement doit mener une (PIA). analyse d'impact sur la vie privée
Cette analyse d'impact vise à évaluer l'origine, la nature, la particularité et la gravité de ce risque sur les droits et les libertés des personnes.
Si l'étude d'impact met en évidence un risque élevé (par exemple : utilisation de données bancaires ou usurpation d'identité) pour les personnes malgré les mesures mises en place pour en diminuer l'impact, . la Cnil doit être informée
L'évaluation dans le cadre de l'analyse d'impact doit porter sur les éléments suivants :
-
Collecte d'Informations sensibles (origine, opinions politiques, religieuses, syndicales, habitudes sexuelles, santé), biométriques ou génétiques notamment
-
Existence d'une évaluation des personnes (profilage par exemple)
-
Réalisation de fichiers ayant une finalité particulière (études statistiques de l', traitements de recherche médicale par exemple) Insee
-
Transferts de données hors de l'Union européenne
À noter
les transferts de données hors de l'UE ne sont plus interdits, mais ils doivent respecter plusieurs conditions, notamment que le pays tiers présente un niveau de protection adapté, selon la Commission européenne.
Une autorisation de la est nécessaire si des clauses contractuelles diffèrent des clauses de la Commission européenne. Cnil
Les données transférées restent soumises au droit de l'UE non seulement pour leur transfert, mais aussi pour tout traitement / transfert ultérieur.
L'entreprise qui réalise des traitements de données et les sous-traitants désigner un délégué à la protection des données (DPO) dans les cas suivants : doivent
-
Leur activité fait partie du secteur public
-
Leur activité principale amène un suivi régulier et systématique de personnes à grande échelle
-
Leur activité principale amène le traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et infractions
Le DPO est chargé des missions suivantes :
-
Informer et de conseiller le responsable de traitement (ou le sous-traitant) et ses employés
-
Contrôler le respect du règlement européen et du droit français en matière de protection des données
-
Conseiller l'organisme sur la réalisation d'une analyse d'impact et d'en vérifier l'exécution
-
Coopérer avec l'autorité de contrôle et d'être son contact.
Le DPO doit avoir les qualités et compétences suivantes :
-
Communiquer efficacement et exercer ses fonctions en toute indépendance (ne pas avoir de de conflit d'intérêts avec ses autres missions)
-
Avoir une expertise en matière de législations et pratiques (protection des données), acquise notamment par une formation continue
-
Avoir une bonne connaissance du secteur d'activité et de l'organisation de l'organisme (opérations de traitement, systèmes d'information et besoins de l'organisme en matière de protection et de sécurité des données)
-
Avoir une position efficace en interne pour faire un rapport au niveau le plus élevé de l'organisme
-
Animer un réseau de relais au sein des filiales d'un groupe par exemple et/ou une équipe d'experts en interne (expert informatique, juriste, expert en communication, traducteur par exemple)
Le DPO peut être une personne issue du domaine technique, juridique ou autre.
Elle doit seulement inscrire au registre les traitements suivants :
-
Traitements non occasionnels
-
Traitements qui peuvent comporter un risque pour les droits et libertés des personnes
-
Traitements qui portent sur des données sensibles
La Cnil propose un . modèle de registre
Les personnes dont les données sont collectées bénéficient de plusieurs droits.
Elles peuvent les exercer auprès du . responsable de traitement
Le nom et l'adresse de ce dernier doivent figurer sur les sites visités et dans les contrats conclus.
Elles peuvent également engager une action de groupe devant les tribunaux.
Les personnes dont les informations sont collectées et traitées peuvent demander l'accès aux données les concernant . à tout moment et sans limitation
Les personnes dont les données sont collectées et traitées peuvent demander la rectification des données conservées.
Ils peuvent également s'opposer à leur utilisation.
Toute personne peut récupérer, sous une forme réutilisable, les données qu'elle a fournies, et les transférer ensuite à un tiers (réseau social par exemple).
Toute personne a droit à l'effacement de ses données et au déréférencement (droit de demander à un moteur de recherche de supprimer certains résultats associés à ses noms et prénoms).
En cas de violation de la sécurité des données comportant un risque élevé pour les personnes, le responsable du traitement doit les avertir rapidement, sauf dans certaines situations (données déjà chiffrées par exemple).
Il doit également le notifier à la dans les . Cnil 72 heures
Tel est le cas d'une banque, victime d'une intrusion dans son système informatique client. Elle doit informer ces derniers que des tiers ont pu accéder à leurs données personnelles.
Toute personne qui a subi un dommage matériel ou moral du fait de la violation du règlement européen peut obtenir du responsable du traitement (ou du sous-traitant) la réparation de son préjudice.
Tel est le cas par exemple d'une personne dont un problème de santé aurait été révélé.
Toute personne peut mandater une association ou un organisme actif dans le domaine de la protection des données pour faire une réclamation ou un recours et obtenir réparation en cas de violation de ses données.
En cas de violation du règlement, la peut prononcer des qui peuvent atteindre, selon la catégorie du manquement, à du chiffre d'affaires annuel mondial de l'exercice précédent. Cnil amendes administratives 2 % 4 %
C'est la Cnil qui adresse un courrier au responsable de traitement lui indiquant la sanction.
Des peuvent également s'ajouter à ces sanctions administratives. C'est le cas des infractions liées à la discrimination, des infractions de mise en danger en cas de mesures de protection insuffisantes (exemple : révélation de l'adresse d'une personne). sanctions pénales
Enfin, les victimes peuvent demander des devant les juridictions civiles ou pénales. dommages et intérêts
Où s'informer ?
- Service public d'accompagnement des TPE-PME
-
Commission nationale de l'informatique et des libertés (Cnil)
Commission nationale de l'informatique et des libertés (Cnil)
Textes de référence
- Règlement (UE) 2016/679 du 27 avril 2016 - protection des personnes à l'égard du traitement des données personnelles (RGPD)
- Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles
art.8 (certaines catégories de données : origine/opinion) ; art. 16 (catégorie particulière de traitement : santé) - Loi n°78-17 du 6 janvier 1978 - Informatique et libertés
- Loi n°2016-1321 du 7 octobre 2016 pour une République numérique
cles 48 (entrée en vigueur des dispositions relatives à la portabilité des données) et 65 (sanctions prononcées par la Cnil) - Code de la consommation : articles L224-42-1 à L224-42-4
Récupération et portabilité des données - Code pénal : articles 226-16 à 226-24
Atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques - Décret n°2019-536 du 29 mai 2019 pris pour l'application de la loi de 1978 relative à l'informatique, aux fichiers et aux libertés
- Délibération n° 2018-326 du 11 octobre 2018 sur les lignes directrices des analyses d'impact sur la protection des données (AIPD)
- Délibération n°2018-327 du 11 octobre 2018 sur les types d'opérations de traitement avec analyse d'impact sur la protection des données
Services en ligne et formulaires
-
Demande d'autorisation d'un traitement de recherche dans le domaine de la santé Cerfa n°10769*03
Commission nationale de l'informatique et des libertés (Cnil) -
Demande d'autorisation d'un traitement ayant pour finalité l'évaluation ou l'analyse des pratiques ou des activités de soins et de prévention Cerfa n°13890*03
Commission nationale de l'informatique et des libertés (Cnil)Pour vous aider à remplir le formulaire :
-
Désignation d'un délégué à la protection des données (DPO)
Commission nationale de l'informatique et des libertés (Cnil) -
Demandes en ligne d'autorisation ou d'avis à la Cnil
Commission nationale de l'informatique et des libertés (Cnil)
Pour en savoir plus
-
Guide complet RGPD
Commission nationale de l'informatique et des libertés (Cnil) -
RGPD : de quoi s'agit-il ?
Vie-publique.fr -
Infographie : obligations pour votre entreprise
Commission européenne -
Fichier client et conformité au RGPD
France Num -
Outil PIA en téléchargement : faciliter la conduite d'analyses d'impact
Commission nationale de l'informatique et des libertés (Cnil) -
Formation en ligne de la CNIL sur le RGPD
Commission nationale de l'informatique et des libertés (Cnil) -
Règles à respecter pour le contrôle d'accès biométrique sur le lieu de travail
Commission nationale de l'informatique et des libertés (Cnil) -
Le registre des activités de traitement : RGPD
Commission nationale de l'informatique et des libertés (Cnil)
