Panorama de la réglementation en matière de Données à caractère personnel

Il s’agit ici de dresser un panorama de la règlementation en matière de données à caractère personnel. Même si le Règlement Général sur la Protection des Données (UE) 2016/679 du 27 avril 2016 est la dernière règlementation à être entrée en vigueur, l’utilisation des données à caractère personnel est également encadrée par :  

• L’autre composante du « paquet européen de la protection des données », à savoir la Directive (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ; 
• Les recommandations du G29 (le groupe de travail des autorités de contrôle européennes institué par l’article 29 de la directive du 24 octobre 1995) ; 

• La Loi Informatique et Libertés (ou « LIL ») du 6 janvier 1978 réformée une nouvelle fois par la Loi du 20 juin 2018 et complétée par le Décret n°2018-687 du 1er août 2018 ; 
• Les dizaines de textes d’applications de la Loi Informatique et Libertés ; 
• Les recommandations et la jurisprudence de la CNIL ; 
• Les recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI)  
• Les législations spécifiques à certaines activités ou certains traitements (législation fiscale, Droit du travail, Loi « BlocTel » relative au démarchage téléphonique, Code des Postes et Télécommunication, Directive DPS2 relative au paiement, etc.) ; 

• Les législations des pays n’appliquant pas le RGPD, notamment en cas de transfert de données (Privacy Shield, etc.). 

Les principales définitions

Certaines définitions sont données directement par le RGPD en son article 4.  

• Donnée à caractère personnel : « toute information se rapportant à une personne physique identifiée ou identifiable ». On entend par personne physique identifiable « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».  

• Traitement : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » 

• Responsable de traitement : « La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement » 

• Destinataire : « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers » 

• Sous-traitant : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » 

• Co-responsable de traitement : Hypothèse où il existe un partage de responsabilité entre deux entités déterminant les finalités et les moyens du traitement 

• Data Protection Officer (DPO), ou délégué à la protection des données personnelles : Personne ou entité ayant la charge de la conformité aux diverses dispositions en matière de protection des données à caractère personnel. 

Les grands principes du RGPD

Le RGPD a mis en place trois grands principes encadrant la collecte et le traitement des données à caractère personnel. 

PRIVACY BY DESIGN 

Ce concept a pour objectif de garantir la protection de la vie privée dans les nouvelles applications technologiques et commerciales dès leur conception. Les responsables de traitements et sous-traitants doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer, dès le stade de développement ainsi que tout au long du cycle de vie d’un produit, d’un service, d’une application ou d’une solution, sa conformité au RGPD.  

Suivre cette approche permet aux entreprises de réduire les risques liés à un mauvais usage des données à caractère personnel.  

PRIVACY BY DEFAULT 

Ce concept consiste à ne collecter et traiter, par défaut, exclusivement les données à caractère personnel strictement nécessaires à la finalité poursuivie par le traitement.  

Cela permet de garantir aux personnes concernées le plus haut niveau de protection possible. 

ACCOUNTABILITY 

C’est la capacité de rapporter la preuve du respect des deux obligations précédentes en cas d’exercice d’un droit par une personne concernée ainsi qu’en cas de contrôle de la CNIL.  

Les entreprises traitant des données personnelles n’ont désormais plus l’obligation systématique d’apporter à la CNIL la preuve de leur conformité. Désormais, celles-ci doivent pouvoir apporter la preuve de leur conformité en cas de contrôle de la CNIL.   

Les principes liés à la collectes des données à caractère personnel

L’article 5 du RGPD pose certains principes relatifs à la collecte des données à caractère personnel.  

LES FINALITES DE LA COLLECTE 

Le RGPD pose le principe de minimisation de la collecte qui veut que les données ne peuvent être collectées que si elles sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité. 

La finalité peut par exemple être :  

• La gestion ou le suivi des clients ; 
• La gestion des prospects ; 
• La gestion des ressources humaines. 

LES FONDEMENTS DE LA COLLECTE 

Il y a 6 fondements justifiant la collecte des données à caractère personnel : 

• Le consentement de la personne : Consentement préalable au traitement des données au regard de la finalité ; 

• La signature d’un contrat : La collecte est nécessaire à l’exécution du contrat conclu ou à la préparation de celui-ci ; 

• L’obligation légale : La collecte est nécessaire au respect d’une obligation légale du Responsable de Traitement ; 

• L’intérêt légitime : Collecte motivée par l’intérêt légitime poursuivi par le Responsable de Traitement ; 

• La mission d’intérêt public : Collecte nécessaire afin de mener à bien une mission d’intérêt public ; 

• La sauvegarde des intérêts vitaux : La collecte de données est nécessaire à la sauvegarde des intérêts vitaux. 

LA QUALITE DES DONNEES 

Les données collectées doivent être exactes et tenues à jour par l’intermédiaire de mesures raisonnables eu égard aux finalités de la collecte.

Garantir la sécurité des données personnelles

Afin de garantir une sécurité maximale des données personnelles et d’aider les responsables de traitement à se mettre en conformité avec la loi et le RGPD, la CNIL a publié un « Guide de la sécurité des données personnelles ».  

Ce guide prévoit que le responsable de traitement doit prendre toutes les mesures nécessaire afin de garantir la sécurité des données qu’il a collectées.   

Pour cela, il est nécessaire pour le responsable du fichier d’identifier les risques sur la vie privée des personnes concernées et de déterminer les moyens à mettre en œuvre pour les réduire au maximum.  

Cela passe également par la sécurisation de la collecte des données à caractère personnel. Selon l’article 5.1 du RGPD, celle-ci doit répondre à certains principes : 

• La licéité, la loyauté et la transparence : cela implique une information préalable de la personne concernées ; 

• La limitation des finalités du traitement : les données ne peuvent être collectées que pour des fins prédéterminées ; 

• La limitation des données collectées : le responsable de traitement ne doit collecter que les données nécessaires au regard de la finalité du traitement ; 

• L’exactitude des données collectées : les données collectées doivent être exactes et mises à jour ; 

• La limitation de la conservation : les données doivent être conservée pour une durée limitée définie en fonction de la finalité du traitement ; 

• L’intégrité et la confidentialité : les données doivent être collectées et conservées selon des procédés garantissant la protection contre les intrusions, la perte et la destruction.

La gestion du consentement de l’utilisateur

La personne concernée par la collecte ou le traitement de ses données personnelles doit d’abord donner son consentement. Ce consentement se manifeste par une démarche active de l’utilisateur, explicite et de préférence écrite. 

La collecte de ces données doit également être loyale et licite. A cette fin, l’article 32 de la Loi Informatique et Libertés de 1978 précise qu’elle doit s’accompagner d’une information claire et précise des personnes sur le responsable du traitement, la finalité, les droits des personnes concernées ainsi que les destinataires des données. 

Le consentement doit être : 

• Eclairé : la personne doit être informée préalablement à la collecte ; 

• Spécifique : la personne doit avoir accepté pour une finalité spécifique ; 
• Libre : la personne peut donner et retirer son consentement quand elle le souhaite ; 
• Univoque : le consentement doit être un acte positif et explicite. 

Dans certains cas, le consentement est facultatif dans la mesure où il est nécessaire : 

• Au respect d’une obligation légale ; 
• A l’exécution d’un contrat ; 
• Aux fins des intérêts légitimes du responsables de traitement ou d’un tiers ; 
• A la sauvegarde des intérêts vitaux de la personne ; 
• A l’exécution d’une mission d’intérêt public. 

Les droits des utilisateurs

Dans le but de renforcer les droits des utilisateurs, le RGPD a repris certains principes posés par la loi de 1978 et a consacré d’autres droits aux personnes concernées par la collecte et le traitement des données. Ces personnes disposent de droits afin de garder la maîtrise de leurs données, le responsable du traitement étant dans l’obligation de leur expliquer comment les exercer.  

Le droit à l’information

Le droit à l’information est repris aux articles 13 et 14 du RGPD. Chaque personne a le droit d’être informée avant que ses données ne soient pour la première fois communiquées à un tiers. Cette information doit se faire préalablement à la collecte des données.  

Le droit d’accès

L’article 15 du RGPD consacre le droit d’accès de la personne concernée aux données à caractère personnel la concernant. Pour ce faire, elle peut réclamer au responsable de traitement la consultation de certaines informations portant sur ses données et sur leur traitement. Ce droit d’accès permet également de vérifier l’exactitude des données et, si besoin, de les faire rectifier ou effacer.  

Le droit de rectification

Le droit de rectification (article 16 du RGPD) permet à toute personne concernée d’exiger la rectification des données la concernant lorsqu’elles s’avèrent inexactes, incomplètes ou périmées, ou lorsque leur collecte, utilisation ou communication était interdite.  

Ce droit permet aussi aux personnes concernées de compléter des données.

Le droit à l’effacement (ou à l’oubli)

Le droit à l’effacement, déjà consacré par la Loi Informatique et Libertés de 1978, est repris dans le RGPD à l’article 17 et donne le droit aux personnes concernées de demander l’effacement de toutes les données la concernant, dès lors que celles-ci sont inexactes, inadéquates, non pertinentes ou excessives au regard de la finalité du traitement.  

Ce droit est apparu insuffisant avec l’émergence d’internet, ce qui a conduit à plusieurs tentatives pour instaurer un « droit à l’oubli » et un « droit au déréférencement ». 

Le droit d’opposition

Il s’agit du droit pour la personne concernée de refuser à tout moment à ce que ses données fassent l’objet d’un traitement. Ce droit est prévu par le RGPD en son article 21.  

Sauf en cas de prospection commerciale, il est nécessaire de mettre en avant des raisons tenant à une « situation particulière ». 

Toutefois, le droit d’opposition n’est pas un droit à la suppression définitive de toutes les données de la personne concernée.

Le droit à la portabilité des données

Ce droit consacré à l’article 20 du RGPD offre aux personnes la possibilité de s’extraire d’un traitement de données en récupérant une partie de ces données dans un format structuré, ouvert et lisible par machine, afin qu’elles puissent les réutiliser ultérieurement et librement.  

Concrètement, cela permet à une personne de récupérer des données la concernant, de les stocker sur un appareil, et de les transférer d’un organisme à un autre. 

La gestion des données sensibles

L’article 9 du RGPD prévoit que la collecte des donnée sensibles est par principe interdite, sauf dans certains cas comme le consentement explicite de la personne concernée, la collecte dans un but médical, ou encore justifiée par l’intérêt public et autorisé par la CNIL. 

Les données sensibles sont liées :  

• A l’origine raciale ou ethnique ; 

• Aux opinions politiques, philosophiques ou religieuses ; 
• A l’appartenance syndicale ; 
• La santé ; 
• La vie sexuelle. 

Concernant les données biométriques, leur utilisation doit être encadrée avec précaution. La biométrie regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de caractéristiques physiques, biologiques, ou comportementales (empreintes digitales, iris, voix, visage, etc.).  

Il est nécessaire de distinguer les données sensibles des données particulières, qui peuvent être collectées mais doivent être traitées avec précaution. C’est le cas par exemple des données relatives aux mineurs de moins de 15 ans, des données bancaires ou des historiques de conversation.

Les durées de conservation des données

Le RGPD n’apporte pas grand-chose de nouveau aux principes déjà posés par la Loi Informatique et Libertés de 1978 en matière de durée de conservation. Les données personnelles ne peuvent être conservées que pour une durée déterminée fixée en fonction de l’objectif ayant conduit à la collecte de ces données. Les données devront être supprimées, anonymisées ou archivées dès lors que l’objectif est atteint.  

En dehors des durées de conservation fixées par la loi, le responsable de traitement est libre de les fixer lui-même, toujours en fonction de l’objectif de la collecte et du traitement. A ce titre, le RPGD précise en son article 5 que les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». C’est le principe de minimisation des données.  

Quelques exemples de durées de conservation des données à caractère personnel : 

La documentation à mettre en oeuvre

Le registre des traitements

La mise en place d’un registre des traitements est une obligation prévue par l’article 30 du RGPD. Ce registre permet de recenser les traitements des données opérés par les responsables de traitement et les sous-traitants, afin de disposer d’une vue d’ensemble de l’activité de traitement en identifiant : 

• Les parties prenantes au traitement (responsable, sous-traitants, co-responsables) ; 
• Les catégories de données traitées (sensibles ou non) ; 
• La finalité du traitement ainsi que les destinataires et les personnes y ayant accès ; 

• Les durées de conservation ; 
• Les moyens de sécurisation.  

Grâce à ce registre, les responsables vont pouvoir démontrer leur conformité au RGPD en cas de contrôle de la CNIL. 

L’analyse d’impact

Une analyse d’impact n’est obligatoire qu’en cas de risque élevé pour les droits et libertés des personnes concernées. Elle est facultative dans les autres situations. 

L’analyse d’impact permet d’apprécier le risque pour les droits et libertés des personnes, ainsi que la probabilité de survenance de ce risque. 

Par exemple, la collecte de données de santé (données sensibles) relatives à des enfants (données à traiter avec une attention particulière) nécessite la rédaction d’une analyse d’impact. 

La documentation à destination des collaborateurs

Il est nécessaire pour le responsable du traitement de mettre à jour sa documentation interne. Cela passe par : 

• La rédaction d’un charte informatique ; 
• La création de lignes directrices (sécurité, suivi de la conformité, etc.) ; 
• La rédaction de contrats avec les sous-traitants et, le cas échéant, avec les destinataires. 

La documentation à destination des clients

Le responsable de traitement doit adapter sa documentation externe afin que celle-ci soit à jour des nouvelles prescriptions du RPGD : 

• Adaptation et révision des CGU/CGV ; 
• Charte spécifique en matière de données personnelles ; 
• Rédaction d’un politique cookies relative au site internet ; 

• Création de mesures spécifiques quant au recueil du consentement. 

Les obligations des sous traitants

Le RGPD a modifié en profondeur la responsabilité des sous-traitants. Avant son entrée en vigueur, seul le responsable du traitement pouvait être tenu pour responsable. Désormais, les sous-traitants peuvent l’être aussi. Le RGPD place les sous-traitants au même niveau que le responsable de traitement, ceux-ci devant offrir les mêmes garanties aux personnes concernées par une collecte ou un traitement de données à caractère personnel.  

De nouvelles obligations s’appliquent à tous les sous-traitant, à savoir, au sens du RGPD, à tous les organismes qui traitent des données pour le compte du responsable du traitement dans le cadre d’un service ou d’une prestation.  

Sont notamment considérés comme des sous-traitants les prestataires de services informatiques, les intégrateurs de logiciels, les sociétés de sécurité informatique, ou encore les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients. 

Concrètement, les sous-traitants : 

• Doivent respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité : ils doivent tenir compte de la nécessité de protéger les données à caractère personnel tout au long dès la conclusion du contrat avec le responsable du traitement. 

• Ont une obligation de conseil auprès des clients pour lesquels ils traitent des données et doivent les aider à la mise en œuvre de certaines obligations découlant du règlement. 

• Doivent tenir un registre des activités de traitement effectuées pour le compte de leurs client.  

• Dans certains cas, doivent désigner un délégué à la protection des données personnelles (DPO). 

La CNIL a publié un « Guide du sous-traitant » afin de les orienter et de garantir une meilleure protection des données à caractère personnel. 

Transfert des données à l’étranger

Que ce soit pour un besoin d’hébergement des données ou pour une transmission de données à un sous-traitant, il est parfois nécessaire de transférer des données à caractère personnel à une entreprise située dans un pays tiers, c’est-à-dire un pays n’appartenant pas à l’Union Européenne ni à l’Espace Economique Européen (EEE). Le RGPD est venu modifier les procédures de transfert.  

La CNIL a mis à disposition une carte permettant de visualiser les différents niveaux de protection des données des pays dans le monde.  

Les responsables de traitement ainsi que les sous-traitants peuvent transférer des données en dehors de UE et de l’EEE, dès lors que le pays étranger offre un niveau de protection adéquat. Cette mesure permet d’offrir une meilleure conformité et une protection plus efficace des données à caractère personnel.  

Si un responsable de traitement ou un sous-traitant souhaite transférer des données à l’étranger, il pourra recourir à l’un des outils suivants :  

• La décision d’adéquation (article 45 du RGPD) : il s’agit d’un examen global de la situation juridique du pays étranger. Sont examinés par la Commission l’état de droit, le respect des droit de l’homme, l’existence d’un organe de contrôle, ou encore les engagements internationaux. Dans le cas où la législation assure un niveau de protection adéquat, les données pourront être transférées par le responsable ou le sous-traitant sans autorisation particulière, comme s’il s’agissant d’un pays de l’UE ou de l’EEE.  

• Les garanties appropriées (article 46 du RGPD) : dans le cas où le pays tiers ne répond pas aux exigences fixées à l’article 45, le responsable de traitement ou le sous-traitant droit prévoir des garanties appropriées et assurer le respect des droits des personnes concernées et des voies de droit effectives.  

En plus de ces deux articles offrant la possibilité de transférer des données en dehors de l’UE ou de l’EEE, l’article 49 du RGPD vient ajouter une liste de dérogations pour des situations particulières. 

Les violations de données personnelles

Qu’est-ce qu’une violation de données personnelles ? 

Le RGPD généralise l’obligation de notification des failles de sécurité à l’autorité de contrôle compétente et instaure une nouvelle obligation d’information à la personne concernée de la violation de ses données à caractère personnel. Les nouvelles obligations concernant la violation des données personnelles sont prévues par les articles 33 et 34 du RGPD.  

Une violation peut se caractériser par tout incident de sécurité d’origine malveillante ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité des données à caractère personnel, que celui-ci se soit produit de manière intentionnelle ou non. Il peut s’agir par exemple de la suppression de données médicales ou de la perte d’une clé USB non sécurisée.

Comment réagir en cas de violation de données personnelles ? 

Afin d’éviter les violations de données personnelles, il est recommandé aux organismes de mettre en place des procédures globales en matière de violation des données personnelles, afin de détecter rapidement les violations, d’y mettre fin, d’analyser les risques engendrés, et si besoin, de prévenir les autorités de contrôle et la personne concernée. 

1. Le registre des violations 

Les organismes doivent tenir un « registre des violations » permettant de consigner tous les faits relatifs aux violations des données à caractère personnel. Il doit contenir :  

• La nature de la violation ; 
• Les catégories et le nombre de personnes concernées ; 

• Les catégories et le nombre de fichiers concernés ; 
• Les mesures prises pour remédier à la violation ; 
• La justification de l’absence de notification à la CNIL ou aux personnes concernées. 

2. L’identification de la violation 

Avant toute action du responsable de traitement, il est nécessaire d’étudier le type de violation qui a été commis et d’apprécier dans quelle mesure cette violation a pu porter atteinte aux droits des personnes concernées (aucun risque, risque, risque élevé), cette appréciation se faisant nécessairement au cas par cas.

3. La notification de la CNIL en cas de risque ou de risque élevé 

Celle-ci doit intervenir au plus tard 72h après la constatation par le responsable de traitement de la violation, dans le cas où cette dernière entraîne un risque pour les personnes concernées. 

Les autorités compétente ont mis à disposition des formulaires de notification. Le responsable du traitement doit porter à la connaissance de la CNIL des informations concernant l’organisme responsable du traitement, les éléments qui lui ont permis d’identifier la violation (nature, catégories de données personnes concernées, nombre, etc.), ainsi que les actions entreprises pour mettre fin à cette violation.  

Dans certains cas, la CNIL pourra clôturer la notification si elle estime que la violation ne présente pas de risque d’atteinte pour les droits et libertés des personnes concernées, que ces dernières avaient été préalablement bien informées par le responsable de traitement, ou que celui-ci avait mis en place, a priori, des mesures techniques de protection appropriées. 

4. La notification des personnes concernées en cas de risque élevé 

Le responsable du traitement doit informer les personnes concernées en des termes clairs et simples en cas de violation grave de leurs données à caractère personnel. 

Dans le cas où la communication nécessiterait de mettre en place des moyens disproportionnées, la CNIL peut demander au responsable de traitement d’effectuer une communication publique ou toute autre mesure similaire.