Photo de Markus Winkler sur Pexels.com
CEJM Numérique et environnement de l'entreprise

droit et protection des données

Pascal KERMARRECpar

L’entreprise collecte et produit des données en permanence, que ce soit des données d’entreprise classiques  (courriels, documents, bases de données, historiques de processeurs métiers…) aussi bien que des données issues de capteurs, des contenus publiés sur le web (images, vidéos, sons, textes), des transactions de commerce électronique, des échanges sur les réseaux sociaux, des données transmises par les objets connectés (étiquettes électroniques, compteurs intelligents, smartphones…), des données géolocalisées, etc. 

LES DONNÉES

Élaborées à partir de l’observation de faits, les données sont des informations « brutes », sans utilité immédiate. Elles peuvent être enregistrées dans un ordinateur, stockées. Faciles à manipuler, elles pourront faire l’objet de traitements (servir, par exemple, à des calculs).

L’INFORMATION

Pour être utilisables, les données doivent faire l’objet d’un traitement qui les rende lisibles. Elles peuvent prendre une forme chiffrée (pourcentages, moyennes, statistiques…) ou imagée (schéma, graphique…). Quand elles sont organisées et interprétées dans un contexte donné, les données se transforment en informations. L’information a plus de « valeur » que les données parce qu’elle est le résultat d’un traitement.

Cependant, les données collectées auprès de ces consommateurs ou de tiers est soumis à un traitement particulier : celui des données personnelles

La protection des personnes : les données personnelles

L’individu interagit sur le web, et façonne malgré lui une identité numérique, à partir de ses données personnelles, qui combine à la fois son identité réelle et son identité virtuelle.

L’identité numérique est essentiellement constituée de données, laissées volontairement ou non par l’individu (profil snap par exemple) et par des tiers. (tag sur une publication avec le nom de la personne, ou publication d’une vidéo/photo qui permet une reconnaissance faciale type Facebook). Cette identité  est en partie constituée par les informations que la personne saisit sur différents réseaux sociaux (informations profil, publications textes, photos, liens, mais aussi ses contacts, des traces laissées sur les sites consultés (avis clients etc). Ces éléments constituent l’e réputation d’un individu. Comme toute réputation, celle-ci peut lui être favorable ou défavorable.

QU’EST CE QU’UNE DONNÉE PERSONNELLE?

Une donnée personnelle se définit comme « toute information se rapportant à une personne physique identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » selon l’article 4 du Règlement européen sur la protection des données.

Les règles s’appliquent lorsqu’elles sont utilisées, conservées ou collectées numériquement ou sur papier.

Quelles données personnelles sont les plus collectées?

Les données les plus souvent collectées par les organismes sont les suivantes :

  • les informations démographiques : nom, prénom, âge, sexe, marié ou célibataire…
  • les informations comportementales : les habitudes d’achats, les sites visités, la durée de session…
  • les centres d’intérêts : (sports, hobby, politique, divertissements…)
  • les données relatives à la navigation : le type d’appareil utilisé, la localisation précise ou encore le numéro de portable ou le numéro IMEI (International Mobile Equipment Identity)

Comment sont-elles collectées?

La mémoire cache

La mémoire cache enregistre temporairement des copies de données pour optimiser les temps de téléchargement des pages Web. Elles contiennent bien évidemment la nature des sites consultés. 

Les cookies

Un cookie est un petit fichier texte déposé sur le disque dur de l’internaute par le serveur du site visité ou par un serveur tiers (régie publicitaire, service de web analytique, etc.) Ils peuvent, par exemple, mémoriser des numéros saisies sur certaines pages, mémoriser le temps que vous passez sur leur site… C’est grâce aux cookies qu’il est possible d’accéder automatiquement à des pages personnalisées sans s’identifier, d’identifier des revisites, de pratiquer le retargeting. Cette pratique publicitaire consiste le plus souvent à cibler un individu qui a visité un site Internet, mais pour lequel il n’y a pas eu achat ou transformation lors de cette visite. L’individu ayant consulté une ou plusieurs fiches produit sans passer à l’achat est ensuite exposé, lors de sa navigation Internet, à des créations publicitaires mettant en avant le ou les produits initialement consultés.

source : https://linc.cnil.fr/fr/une-petite-histoire-du-cookie

Les données comportementales sont liées au numéro de cookie et stockées au niveau des serveurs ayant placé les cookies. Un cookie ne permet une identification nominative que si l’internaute s’est déjà enregistré sur le site.

Les Proxy

Le serveur « proxy » sert à mémoriser les pages Web consultées par l’internaute : c’est une sorte de cache de pages Web. En cas de connexion vers une page web, le serveur Proxy est consulté pour savoir s’il n’a pas déjà en mémoire cette page. Dans ce cas, il renvoie la page demandée, sinon, il la télécharge sur le web et la place dans son cache.

Cette fonction permet d’optimiser de la bande passante et d’accélérer le chargement des pages Web pour les utilisateurs. Mais, cela signifie aussi que ce serveur connaît toutes les pages Web qui ont été consultées.

Le tracking Internet

Le tracking internet consiste à observer et analyser les comportements d’un utilisateur d’Internet à des fins marketing et commerciales. Il peut s’agir d’observer le comportement d’un visiteur sur un site web ou au sein d’une application mobile, d’observer et analyser les expositions et réactions aux publicités…

les obligations RGPD pour les organisations

champs d”application

Le règlement s’applique à tous les traitements de données à caractère personnel, sauf exceptions (les fichiers de sécurité restent régis par les États et les traitements en matière pénale par exemple).

Il concerne :

  • Les responsables de traitement (entreprises, administrations, associations ou autres organismes) et leurs sous-traitants (hébergeurs, intégrateurs de logiciels, agences de communication entre autres) établis dans l’Union européenne (UE), quel que soit le lieu de traitement des données.
  • Les responsables de traitement et leurs sous-traitants établis hors de l’UE, quand ils mettent en œuvre des traitements visant à fournir des biens ou des services à des résidents européens ou lorsqu’ils les ciblent avec des techniques algorithmiques (technique du profilage).

En pratique, le règlement s’applique donc à chaque fois qu’un résident européen, quelle que soit sa nationalité, est directement visé par un traitement de données, y compris par internet ou par le biais d’objets connectés (appareils domotiques, objets mesurant l’activité physique par exemple).

La collecte : information et recueil préalable du consentement

Le consentement est une démarche active de l’utilisateur, explicite et de préférence écrite, qui doit être libre, spécifique, et informée. 

Le consentement est « préalable » à la collecte des données. 

Le consentement préalable de la personne concernée est notamment requis en cas :

  • de collecte de données sensibles ;
  • de réutilisation des données à d’autres fins que l’opération ayant initié le consentement ;
  • d’utilisation de cookies pour certaines finalités ;  
  • d’utilisation des données à des fins de prospection commerciale par voie électronique.

La collecte d’information doit être adéquate, pertinente et limitée aux finalités du traitement. 

Ainsi, la règle par défaut pour un paiement lors de l’acquisition d’un bien ou d’un service les données strictement nécessaires à la réalisation d’un paiement sont par défaut :

  • le numéro de la carte ;
  • la date d’expiration ;
  • le cryptogramme visuel.

Elles ne doivent pas être conservées au-delà de la transaction. Si le commerçant souhaite conserver ces données pour éviter à son client de les ressaisir ultérieurement, il doit obtenir son consentement express et explicite. Ainsi il doit indiquer :« nous conservons vos données de carte bancaire pour vous éviter de les saisir de nouveau lors de vos futurs achats » directement et de manière distincte sur le support de collecte (par ex. un encadré visible et explicite au-dessus du formulaire). L’acceptation des conditions générales de vente ne suffit pas. Le commerçant doit permettre facilement et à tout moment, sur le site marchand, la suppression des données bancaires.

Par ailleurs, Le commerçant a l’obligation de permettre au consommateur d’exercer facilement son droit d’opposition par le biais d’une case à cocher présente sur le support de collecte et ce, sans conséquence sur l’accès au service ; 

Le traitement

Un traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement).

Les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

Un traitement de données doit avoir un objectif, une finalité déterminée préalablement au recueil des données et à leur exploitation.

Le traitement est donc vu de manière extensive, il concerne toute opération et non pas simplement des opérations de calcul, classement ou agrégation de données.

Avant tout traitement, l’organisation doit identifier :

  • les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
  • les catégories de données traitées, (la collecte d’information doit être adéquate, pertinente et limitée aux finalités du traitement. )
  • à quoi servent ces données (ce qui en sont en faites), qui accède aux données et à qui elles sont communiquées,

L’ensemble de ces éléments sont consignés dans un registre des activités de traitements qui doit refléter la réalité des traitements des données personnelles , et qui précisera également les modalités d’archivages et de sécurité.

Les données à risques

Pour tous les traitements à risque, portant sur des données sensibles qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, les données génétiques ou biométriques, le responsable de traitement devra conduire une analyse d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.  

L’archivage

Les données personnelles ne peuvent être conservées indéfiniment : une durée de conservation doit être déterminée par le responsable de traitement en fonction de l’objectif ayant conduit à la collecte de ces données.

les dispositions légales ou réglementaires (par exemple : code de la santé publique, code de la sécurité intérieure, code du travail, code des postes et des communications électroniques, etc.) : certains textes imposent une durée minimale de conservation, ou une durée maximale (par exemple : l’article L. 252-3 du code la sécurité intérieure limite la durée de conservation des images de vidéo protection à un mois) …

Quelques exemples de durée légale d’archivage
Contrat ou convention conclu dans le cadre d’une relation commerciale, correspondance commerciale5 ans
Contrat conclu par voie électronique (à partir de 120 €)10 ans
Police d’assurance (après résiliation)2 ans
registre comptable10 ans
Bulletin de paie5 ans
Document fiscaux (IR,IS… et justificatifs)6 ans

Le cycle de vie de la donnée

Pour un même traitement, les données personnelles poursuivent des phases successives. On parle de « cycle de vie » de la donnée personnelle. 

Conservation en base active 

Il s’agit de la durée nécessaire à la réalisation de l’objectif (finalité du traitement) ayant justifié la collecte/enregistrement des données. En pratique, les données seront alors facilement accessibles dans l’environnement de travail immédiat pour les services opérationnels qui sont en charge de ce traitement (ex : le service des ressources humaines pour les opérations de recrutement) ;

Archivage intermédiaire 

Les données personnelles ne sont plus utilisées pour atteindre l’objectif fixé (« dossiers clos ») mais présentent encore un intérêt administratif pour l’organisme (ex : gestion d’un éventuel contentieux, etc.) ou doivent être conservées pour répondre à une obligation légale (par exemple, les données de facturation doivent être conservées dix ans en application du Code de commerce, même si la personne concernée n’est plus cliente). Les données peuvent alors être consultées de manière ponctuelle et motivée par des personnes spécifiquement habilitées ;

Archivage définitif 

En raison de leur « valeur » et intérêt, certaines informations sont archivées de manière définitive et pérenne. Les autres données sont soit effacées, soit anonymisées, ce qui permet de les exclure du champ des données personnelles, n’ayant plus de caractère personnel.

La sécurité des données

La sécurité informatique vise généralement cinq principaux objectifs 

  • La confidentialité des données: rendre l’information inintelligible à d’autres personnes que les seuls acteurs de la transaction. (cryptage etc)
  • L’intégrité des données: déterminer si les données n’ont pas été altérées durant la communication (de manière fortuite ou intentionnelle).
  • La disponibilité des données:  garantir l’accès à un service ou à des ressources.
  • La non–répudiation: garantir qu’aucun des correspondants ne pourra nier la transaction.
  • L’authentification : assurer l’identité d’un utilisateur, c’est-à-dire de garantir à chacun des correspondants que son partenaire est bien celui qu’il croit être.

La sécurité d’un système informatique est souvent comparée à une chaîne en expliquant que le niveau de sécurité d’un système est caractérisé par le niveau de sécurité du maillon le plus faible.  Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue.

On peut ainsi identifier trois types de causes :

  • humaine
  • causes extérieures à l’organisation
  • techniques

Parmis les causes humaines, on peut ainsi relever la maladresse (traitement non souhaité, effacer involontairement des données ou des programmes…), mais aussi l’inconscience (introduction de programmes malveillants, un mot de passe trop simple ou inscrit sur un post-it sur son écran d’ordinateur…), et bien évidemment la malveillance. Dans cette dernière hypothèse, une personne parvient à s’introduire sur le système, légitimement ou non, et à accéder ensuite à des données ou à des programmes.

Les causes extérieures peuvent relever d’évènements comme des incendies, inondation, coupures ou surtensions électriques dues à un orage…

Les causes techniques peuvent être ainsi une surchauffe des serveurs. Les processeurs produisent de la chaleur, et la salle serveur, mal ventilée, est montée en température et les serveurs se mettent en sécurité, en s’éteignant. L’usure des matériels est aussi inévitable. Sans oublier les opérations de cyber attaque (deny of service, ransomware, cheval de troie…)

Conditions cumulatives de violation de données

Les conditions de constitution d’une violation de données est précisée par l’art 33 du RGPD. Une violation de données personnelles nécessite la réunion de deux éléments:

  • La mise en œuvre d’un traitement de données personnelles.
  • Ces données ont fait l’objet d’une violation, constituée par une perte de disponibilité, ou d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite.

En cas de violation de données, le responsable de traitement est chargé de documenter, en interne, les violations de données personnelles (nombre de personnes, type de risques, conséquences de la violation…) pour chaque violation.

Si l’incident constitue un un risque au regard de la vie privée des personnes concernées par la violation de données, la notification de l’incident à la CNIL est obligatoire.

Si le risque d’atteinte à la vie privée est élevé, l’organisation doit contacter les personnes concernées.

Une obligation de moyens renforcée

La loi Informatique et Liberté de 1978, à travers son article 34, impose une obligation de moyens au prestataire informatique en matière de sécurité informatique.

Le prestataire s’oblige ainsi à prendre toutes les mesures nécessaires à la sécurité des données, sans avoir à garantir ce résultat. 

Cette obligation est renforcée, et peut aboutir à une quasi-obligation de résultat selon l’importance des ressources de l’entreprise et de la complexité des tâches nécessaires à réaliser pour assurer la sécurité des données.

les nouveaux droits des individus

le droit à une intervention humaine en cas de décision automatisée

Le profilage consiste à utiliser les données personnelles d’un individu en vue d’analyser et de prédire son comportement, comme par exemple déterminer ses performances au travail, sa situation financière, sa santé, ses préférences, ses habitudes de vie, etc. Un traitement de profilage repose sur l’établissement d’un profil individualisé relatif à une personne : il vise à évaluer certains de ses aspects personnels, en vue d’émettre un jugement ou de tirer des conclusions sur elle.

Le profilage est fréquemment utilisé, par exemple pour permettre à un employeur de déterminer les performances de l’un de ses salariés au travail, à une banque de définir la situation financière d’un client avant l’octroi d’un prêt, ou encore à une compagnie d’assurance de définir le coût d’une assurance voiture. 

Le principe de droit, posé par l’article 22 du RGPD, est l’intervention humaine en cas de décision automatisée négative. Un organisme peut néanmoins automatiser ce type de décision si l’une de ces conditions est remplie :

  • Le consentement explicite de l’individu
  • Une décision nécessaire à un contrat conclu avec l’organisme,
  • une décision automatisée autorisée par des dispositions légales spécifiques.

Dans ces cas, l’individu bénéficie tout de même de la possibilité :

  • d’être informé qu’une décision entièrement automatisée a été prise à votre encontre ;
  • de demander à connaître la logique et les critères employés pour prendre la décision ;
  • de contester la décision et d’exprimer votre point de vue ;
  • de demander l’intervention d’un être humain qui puisse réexaminer la décision.

le droit d’accès à ses données

L’exercice du droit d’accès permet à l’individu de savoir si des données le concernant sont traitées et d’en obtenir la communication dans un format compréhensible. Il permet également de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou effacer.

L’organisme destinataire de la demande au titre du « droit d’accès » devra être en mesure de faire parvenir une copie des données qu’il détient sur l’individu et de le renseigner sur les finalités d’utilisation de ces données, les catégories de données collectées, les destinataires ou catégories de destinataires qui ont pu accéder à ces données, la durée de conservation des données ou les critères qui déterminent cette durée, mais aussi l’existence d’une prise de décision automatisée, y compris en cas de profilage….

le droit à la portabilité de ses données

Le droit à la portabilité va au-delà du simple accès, il permet la possibilité de récupérer une partie de ses données dans un format lisible par une machine. L’individu est ensuite libre à vous de stocker ailleurs ces données portables (à des fins personnelles) ou de les transmettre à un autre système, en vue d’une réutilisation de ces données à d’autres fins.

Le droit à l’oubli (ou effacement)

L’individu peut demander l’effacement de toute ou partie de ses données à un organisme si

  • ses données sont utilisées à des fins de prospection ;
  • ses données ne sont pas ou plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées ou traitées ;
  • le consentement à l’utilisation de vos données est retiré;
  • les données font l’objet d’un traitement illicite (par exemple, publication de données  piratées) ;
  • les données ont été collectées lorsque l’individu étiez mineur dans le cadre de la société de l’information (blog, forum, réseau social, site web…) ;
  • l’individu avait exercé son droit d’opposition au traitement de ses données et le responsable du fichier n’a pas de motif légitime ou impérieux de ne pas donner suite à cette demande.

le cas de la vidéosurveillance

Article 1121 du code du travail : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. »

En vertu de son pouvoir de direction, l’employeur a la faculté d’effectuer une surveillance de l’activité de ses salariés, au temps et au lieu de travail (Cass. Soc. 5 novembre 2014). Cependant, cette faculté doit respecter le droit à la vie privée des salariés.

En pratique, l’installation de caméras sur un lieu de travail se justifie par la nécessité d’assurer la sécurité des biens et des personnes, que ce soit à titre dissuasif ou pour identifier les auteurs de vols, dégradations ou agressions.

La vidéosurveillance doit cependant se limiter à filmer les entrées et sorties des bâtiments, les issues de secours, les voies de circulation, ou encore les zones dans lesquelles sont entreposées marchandises ou biens de valeur. Les caméras ne doivent pas uniquement filmer les employés sur leur lieu de travail, sauf dans certaines hypothèses particulières, la CNIL (Commission Nationale de l’Informatique et des Libertés) estime que « le placement sous surveillance continue des postes de travail des salariés n’est possible que s’il est justifié par une situation particulière ou un risque particulier auxquels sont exposées les personnes objets de la surveillance  » (Délib. CNIL, 17 juillet 2017 n°2014-307).

Si l’employeur souhaite mettre en place des caméras dans des locaux accueillant du public, il doit obtenir l’autorisation du Préfet, statuant sur avis de la Commission départementale de vidéoprotection. De plus, l’employeur doit informer par affichage, salariés, visiteurs ou clients de la présence de caméras, de l’existence d’un responsable du système, et la procédure à suivre pour demander l’accès aux enregistrements vidéo.

La vidéosurveillance étant considérée comme une collecte de données personnelles, elle fait l’objet des mêmes obligations, tant sur la tenue d’un registre, que sur les durées d’archivage et l’exigence de sécurité des données.