LES 8 GRANDS PRINCIPES DU RGPD

Premier principe : la licéité du traitement

• Licéité du traitement (art 6.1) : pour être mis en œuvre, un traitement doit être basé sur une des 6 conditions de licéité (la base légale du traitement). Un traitement de données personnelle doit être licite, c’est à dire avoir une base légale lui permettant d’être mise en œuvre. Il s’agit d’une des 6 conditions suivantes :
• 1. 1 – la personne concernée a consenti au traitement de ses DCP pour une ou plusieurs finalités spécifiques (consentement).

  L’article 4-11 défini la notion de consentement de la personne concernée comme étant « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

  Le consentement doit donc être libre, spécifique, éclairé et univoque.

  Libre : la personne concernée doit pouvoir sans contrainte accepter ou refuser et être en capacité ultérieure de s’opposer audit traitement. Dans le cadre d’un contrat, il doit être possible de s’opposer à un traitement non nécessaire à la bonne exécution de celui-ci, sans pour autant en subir des conséquences négatives

  Spécifique : le consentement est donné pour un traitement avec une finalité précise. En cas de multiples finalités, la personne doit pouvoir accepter ou refuser indépendamment chacune des finalités. La liberté de consentir à telle ou telle finalité est un principe de base.

  Eclairé : il convient de fournir certaines informations à la personne lors de la collecte de son consentement. Il s’agit de l’identité du Responsable de Traitement, des finalités, des catégories de données collectées et l’existence de la faculté de retirer son consentement. Le cas échéant si le traitement fait l’objet de l’envoi de données en pays-tiers (hors UE) ou si celui-ci fait l’objet d’une décision individuelle automatisée.

  Univoque : il est donné sans aucune ambiguïté par un acte positif clair ou une déclaration. Celui n’est donc pas univoque si les cases sont pré-cochées ou pré-validées, s’il résulte de l’acceptation globale d’un contrat ou de conditions d’utilisation d’un service, s’il résulte de l’inaction de la personne (comme le fait de ne pas répondre à un email).

  Dans le cadre des services de la société de l’information (réseaux sociaux…), le RGPD prévoit des conditions particulières. En dessous de 15 ans, la règlementation impose le recueil à la fois du mineur concerné et du détenteur de l’autorité parentale.

  L’article 7.1 impose au responsable de traitement de pouvoir démontrer qu’une personne a donné son consentement à un traitement de données personnelles. Il convient donc de documenter le recueil du consentement qui devra démontrer que celui-ci est réellement libre, spécifique, éclairé et univoque. Il convient de détenir un registre des consentements. 

• 2. 2 – le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou l’exécution précontractuelle prises à la demande de la personne.
• 2. 3. 3 – le traitement est nécessaire au respect d’une obligation légale (législative ou règlementaire) du Responsable de Traitement.
     2. 2. 4 – le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne (menace réelle pour la vie de la personne). On peut citer le rapatriement d’urgence, la gestion d’une pandémie…
        3. 2. 5 -le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique (uniquement d’un pays de l’union), du Responsable de Traitement.
• 3. 6 – le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le Responsable de Traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des DCP, notamment lorsque la personne concernée est un enfant. Il faut s’assurer que la personne concernée s’attende raisonnablement à ce que ses données personnelles fassent l’objet d’un traitement pour une finalité spécifique.

  Voir l’avis du G29 sur la notion d’intérêts légitime sur cnil.fr

  La licéité du traitement s’apprécie également au regard de droit en général. Le traitement est nécessaire au respect d’une obligation légale (législative ou règlementaire) du Responsable de Traitement.

Second principe : la finalité du traitement

Finalité du traitement : les données collectées ne sont traitées que pour une finalité précise et légitime (le périmètre d’exploitation). Ce principe est la base de la protection des données. Concrètement cette finalité se traduit comme l’objectif même du traitement, c’est-à-dire pourquoi nous collectons les données. Nous pouvons citer comme exemple l’établissement des feuilles de paies, la gestion d’un fichier client, la gestion des commandes sur un site e-commerce…

Chaque traitement a donc un objectif précis et parfaitement légitime. On collecte donc pour une finalité précise légitimes et explicites. Il n’est pas possible de mettre en œuvre des traitements ultérieurs pour des finalités non compatibles avec celles d’origines (sinon ceci est du détournement de finalité (utiliser par exemple les adresses des salariés pour envoyer de la prospection par mail).

La finalité doit donc être parfaitement déterminée (préalablement à la mise en œuvre dudit traitement), explicite et légitime.

Le détournement de finalité est sanctionnable pénalement de 5 ans d’emprisonnement et 300 000 euros d’amendes, et administrativement de maximum 20 millions d’euros d’amende ou 4% du chiffre d’affaires mondial (art 83.5).

Toute utilisation de données doit être initialement prévue et portée à la connaissance de la personne concernée lors de la collecte desdites données.

Il est néanmoins possible de déterminer une nouvelle finalité dite compatible avec la finalité initiale portée à la connaissance de la personne (art 5-1 alinéa b. Il en existe 3 : traitement à des fins archivistiques dans l’intérêt public, traitement à des fins de recherche scientifique ou historique, traitement à des fins statistiques.

Potentiellement, d’autres finalités peuvent être considérées comme compatibles via la méthode dite du faisceau d’indice précisée à l’article 6-4. Il s’agit de l’existence d’un lien entre la finalité initiale et la finalité ultérieure, la nature des données, les conséquences pour les personnes, l’existence de garanties appropriées comme le chiffrement des données.

Enfin, il est possible de définir un nouvel usage (une nouvelle finalité) si à minima une des conditions suivantes est remplie : obtention du consentement explicite et éclairé de la personne pour la nouvelle finalité ou si le nouvel usage se fonde sur une disposition spécifique du droit de l’état membre ou de l’union.

Cette évolution de finalité devra faire l’objet d’une information à la personnes concernée et il devra être possible pour celle-ci de s’opposer au traitement envisagé.

De ladite finalité découle la durée de conservation associée, la proportionnalité et la pertinence des données collectées.

La légitimité du traitement s’apprécie au regard de l’article 6 du RGPD et de la législation spécifique au traitement mise en œuvre.

Troisième principe : la minimisation des données

Minimisation des données : seules les données nécessaires au regard de la finalité (l’objectif du traitement) peuvent être collectées et traitées. Ce principe découle directement du principe de finalité. Il s’agit donc de ne collecter que les données strictement nécessaires à ladite finalité.

L’article 5.1 du RGPD précise que les données collectées doivent être « adéquates, pertinentes et limités à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées” .

Une donnée est donc uniquement pertinente si elle a un lien direct avec la finalité du traitement mis en œuvre.

En sus d’être pertinente, il faut aussi se poser la question de la proportionnalité des données collectées au regard du traitement. Certaines données facultatives peuvent néanmoins être collectées à la condition d’en informer la personne et de lui permettre de les communiquer ou de ne pas les communiquer.

L’exactitude des données : comme le précise l’article 5-1.d du RGPD, les données collectées doivent être « exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ». L’objectif est de ne pas porter préjudice à la personne concernée.

Quatrième principe : protection spécifique des données sensibles

Protection spécifique des données sensibles : la collecte et le traitement n’est possible que sous certaines conditions.

Notion de données sensibles :

1. 1 – les données dites « sensibles » : Opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, données de santé, origine raciales ou ethniques, relatives à la santé ou à la vie sexuelle.
2. 2 – Les données liées aux Infractions, condamnations et mesures de sécurité
3. 3 – Le numéro de sécurité sociale (NIR)

1. 1 – les données dites « sensibles » 

L’article 9-1 du RGPD précise que « le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits ».

L’article 9-2 du RGPD précise les exceptions à cette interdiction de collecte et de traitements qui doivent se cumuler avec la base légale du traitement (art 6) :

1. a) la personne concernée a donné son consentement explicite qui devra être libre, spécifique, éclairé, univoque, explicite et révocable. Le Responsable de Traitement peut prévoir : une casé non pré-cochée dédiée aux traitements des données sensibles, une déclaration écrite et signée, l’envoi d’un mail avec acceptation express au traitement desdites données.

1. b) le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale.

1. c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement.

1. d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées.

1. e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée.

1. f) le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle.

1. g) le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un ‘État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

1. h) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale ou en vertu d’un contrat conclu avec un professionnel de la santé.

1. i) le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel.

1. j) le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel.

2 – Les données liées aux Infractions, condamnations pénales et mesures de sureté

Ces données ne peuvent être traitées que par :

• a. les juridictions, autorités publiques ou personnes morales en charge de la gestion d’un service public (uniquement dans le cadre d’attribution légale).
• b. Les auxiliaires de justice pour l’exercice des missions confiées par la loi.
• c. Les personnes morales ou physiques pour la défense de leurs intérêts (si mise en cause ou victime)
• d. Les entreprises qui perçoivent et répartissent les droits d’auteurs ou défendent lesdits droits.
•  

3 – Le numéro de sécurité sociale (NIR)

Ce numéro d’identification au répertoire (NIR) est attribué de manière unique à chaque personne à sa naissance et inscrit à l’INSEE. Il contient le texte, la date et le lieu de naissance de la personne,

Le NIR peut uniquement faire l’objet d’une collecte et d’un traitement pour les traitements liés à la sphère « santé, social et travail ». Les organismes habilités à traiter ces données et les finalités précises autorisés sont précisé dans le décret 2019-341 du conseil d’état du 19 avril 2019 disponible sur légifrance.gouv.fr.

Dans le cadre de la gestion des ressources humaines, il est uniquement possible de l’utiliser pour la paie et les déclarations sociales obligatoires.

Cinquième principe : conservation limitée des données

Conservation limitée des données : lorsque la finalité pour laquelle les données ont fait l’objet d’une collecte est terminée, celles-ci doivent être supprimées ou anonymiser.

Il convient donc de définir une durée de conservation limité et cohérente avec la finalité du traitement permettant de mettre en œuvre le droit à l’oubli. Certaines obligations légales oblige à la conservation de certaines données.

L’organisme peut, soit fixer une durée précise, soit le critère précis qui détermine cette durée (comme le temps de la relation contractuelle avec un client).

La loi définie pour certaines données la durée de conservation : bulletin de paie durant 5 ans, données d’un dossier médical durant 10 ans après l’issue du dommage, certaines informations des fichiers de gestion du personnel jusqu’au droit à la retraite de la personne, vidéosurveillance durant 1 mois, données d’un prospect durant 3 ans à compter de la collecte ou dernier contact.

A l’échéance, il convient donc de soit supprimer les données, soit les anonymiser, soit les archiver sous certaines conditions précises.

Les 3 phases du cycle de vie de la donnée sont : la conservation en base active (utilisation courante des données), l’archivage intermédiaire (l’objectif initial ayant justifié la collecte est atteint, il convient d’anonymiser ou supprimer la donnée), l’archivage définitif.

Dans le cadre de l’archivage intermédiaire, les données doivent faire l’objet d’une séparation physique (support distinct) ou logique (restriction des habilitations et droits d’accès aux dites données).

Sixième principe : l’obligation de sécurité

Obligation de sécurité : les risques que représentent les traitements des données personnelles, oblige à mettre en œuvre des mesures techniques et organisationnelles pour assurer la sécurité desdites données.

L’article 32-1 du RGPD précise que « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

1. a) la pseudonymisation et le chiffrement des données à caractère personnel ;
2. b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
3. c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
4. d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Les 3 grands principes sont le respect de la confidentialité, de l’intégrité de la donnée (non modification), et de la disponibilité de la donnée.

Le Responsable de Traitement doit mettre en œuvre les mesures physiques (sécuriser l’accès physique des locaux), logiques (politique rigoureuse de gestion des mots de passe, sécuriser le poste de travail, tracer les accès aux bases actives, protéger le réseau informatique et les serveurs, anticiper le risque de perte ou de divulgation de données), ou organisationnelles (procédures visant à structurer l’application des mesures physiques et logiques et d’assurer leur efficacité), visant à sécuriser les données.

Septième principe : l’encadrement de l’envoi de données en pays-tiers (hors UE)

Les principes du RGPD doivent être respectés par les destinataires successifs des données envoyées pour traitements en dehors de l’UE. La personne concernée doit être informée du transfert et de l’encadrement (adéquation ou garanties appropriées). Cette information doit être indiqué notamment dans la mention d’information et dans le registre des traitements.

L’article 45 du RGPD précise qu’un « transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question, assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique. »

L’article 46 précise en outre qu’en « l’absence de décision en vertu de l’article 45 (niveau de protection adéquat), le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives ».

L’envoi en dehors de l’UE est donc possible à condition d’offrir un niveau de protection équivalent au RGPD et de disposer d’un encadrement légal :

1- Au sein de l’espace économique européen (EEE)

Il s’agit donc de l’envoi de données en Islande, Liechtenstein, Norvège. L’envoi est possible sans garanties spécifiques.

2 – Pays avec accord d’adéquation

Les pays hors UE disposant d’un accord d’adéquation avec l’UE car le niveau de protection des données personnelles est équivalent au RGPD. Art 45

Liste de pays ayant eu une décision de la Commission Européenne relatives à l’adéquation de la protection des données à caractère personnel dans les pays tiers avec la réglementation du RGPD : Andorre, Argentine, Canada (secteur commercial uniquement), Iles Féroé, Guernesey, Israël, Ile de Man, Nouvelle Zélande, Suisse, Uruguay, Japon.

3 – les Clauses Contractuelles Types (CCT) pour le transfert de données en pays tiers.

Il s’agit d’une protection contractuelle dans un pays sans législation/protection légale, ou avec une protection non adéquate avec la protection des données telle que définie par le RGPD.

L’importateur de données signe un contrat, et s’engage à respecter les règles de protection européenne. A défaut, il engage sa responsabilité. Le tiers bénéficiaire (la personne des DCP) peut lancer un contentieux. 2 types de clauses contractuelles types existent (entre 2 RT et entre RT et et un ST).

Cet encadrement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits conformément au RGPD.

La CNIL met à disposition des modèles-types disponible ici sur son site : cnil.fr

4 – des certifications approuvées par les autorités de contrôle

5 – des codes de bonne conduite

6 – des encadrements juridiquement contraignants entre autorités ou organismes publics

En l’absence d’une des 6 garanties listées, l’organisme doit soit :

1. Effectuer une demande d’autorisation auprès de l’autorité de contrôle avec des clauses contractuelles spécifiques entre l’organisme qui va envoyer les données (exportateur de données) et le sous-traitant (importateur de données).
2. Se baser sur des dispositions spécifiques liées à des arrangements administratifs entre autorités ou organismes publics.

Il existe également en l’absence de décision d’adéquation (cf 2. pays avec décision d’adéquation), ou de garanties appropriées, des dérogations à l’obligation d’encadrer le transfert de données en pays-tiers, appelés Dérogations pour des situations particulières :

• • • la personne concernée a donné son consentement explicite au transfert envisagé (après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées)
    • le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en oeuvre de mesures précontractuelles prises à la demande de la personne concernée
    • le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale
    • le transfert est nécessaire pour des motifs importants d’intérêt public
    • le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice
    • le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement
    • le transfert a lieu au départ d’un registre qui […], est destiné à fournir des ‘informations au public et est ouvert à la consultation du public en général ou de toute personne justifiant d’un intérêt légitime, mais uniquement dans la mesure où les conditions prévues pour la consultation dans le droit de l’Union ou le droit de l’État membre sont remplies dans le cas d’espèce. 

Huitième principe : le respect des droits des personnes

Les personnes disposent de droits : accès, rectification effacement, portabilité, opposition…qui garantissent le contrôle sur leurs propres données personnelles.

1. 1 – Droit d’accès

L’article 15 du RGPD précise que « la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes ».

Ce droit permet également de contrôler la véracité des informations et le cas échéant de les corriger, voire de les supprimer.

Pour faire valoir ce droit, la personne contacte directement le Responsable de Traitement (sauf fichiers Police et justice).

Le Responsable de traitement en complément de la fourniture des données faisant l’objet de traitements, doit également fournir les informations suivantes :

• – les finalités du traitement
• – les catégories de données personnelles concernées
• – les destinataires auxquels les données personnelles ont été, ou seront communiquées
• – la durée de conservation des données personnelles
• – l’existence du droit à la rectification ou l’effacement de données
• – l’existence du droit de demander la limitation/opposition au traitement
• – le droit d’introduire une réclamation auprès d’une autorité de contrôle
• – toute information quant à la source des données personnelles, en cas de collecte indirecte
• – l’existence d’une prise de décision automatisée (importance et conséquences)
• – le droit d’être informée des garanties appropriées

2 – Droit de rectification

L’article 16 précise que « la personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire ».

3 – Droit d’opposition

L’article 21 du RGPD précise que « la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant […], y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.

4 – Droit à l’effacement (droit à l’oubli)

L’article 17 précise que « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des 6 motifs suivants s’applique :

• – Les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière
• – La personne concernée retire le consentement sur lequel est fondé le traitement,
• – La personne concernée s’oppose au traitement, et il n’existe pas de motif légitime impérieux pour le traitement
• – Les données à caractère personnel ont fait l’objet d’un traitement illicite;
• – Les données à caractère personnel doivent être effacées pour respecter une obligation légale
• – Collecte des données personnelles auprès de mineurs, dans le cadre de l’offre de services de la société de l’information

Attention, ce droit ne s’applique pas s’il va à l’encontre de :

• – La liberté d’expression et d’information
• – D’un motif d’intérêt public dans le domaine de la santé publique
• – Du respect d’une obligation légale
• – Des fins archivistiques dans l’intérêt public, des fins statistiques, de recherche scientifique ou historique
• – De la constatation, de l’exercice ou de la défense de droit en justice

5 – Droit à la portabilité

L’article 20 du RGPD précise que « les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque le traitement est fondé sur le consentement ou sur un contrat et que le traitement est effectué à l’aide de procédés automatisés ». Il faut donc obligatoirement les 2 conditions cumulatives (consentement ou contrat & procédés automatisés).

Lorsque la personne concernée exerce son droit à la portabilité des données […], elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible. Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

Les données concernées par ce droit sont les données que la personne a fournies et les données générées par son activité (dites données observées comme position GPS, historique d’achats sur un site…). Sont donc exclues les données anonymes et les données déduites ou dérivées (les données issues d’analyse ne sont pas concernées).

Ce droit ne doit pas porter atteinte aux droits et libertés de tiers (attention donc aux données de tiers inclus dans les données fournies dans le cadre de l’exercice de ce droit).

6 – Droit à la limitation du traitement

L’article 18 du RGPD précise que la personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement.

Lors d’une demande d’exercice du droit de rectification ou d’opposition est formulée par une personne, et durant le délai d’un mois dont dispose le Responsable de traitement pour y répondre favorablement, la personne concernée à le droit demander à geler l’utilisation de ces données. En conséquence, l’organisme ne peut plus utiliser lesdites données mais doit les conserver. Mais la personne peut donner le consentement pour mettre en œuvre une autre forme de traitement ou si le traitement nécessaire à la constatation, l’exercice ou la défense de droits en justice de la personne ou d’une autre personne physique.

Il est également possible de s’opposer à l’effacement de données par le Responsable de traitement.

La limitation du traitement est possible uniquement dans 4 situations particulières :

1. A – L’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données
2. B – Le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation.
3. C – Le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice.
4. D – La personne concernée s’est opposée au traitement (droit d’opposition)

7 – Décision individuelle automatisée

L’article 22 du RGPD précise que la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire sauf si la décision :

• est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement;
• est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée;
• est fondée sur le consentement explicite de la personne concernée.

Le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.