Photo de Travis Saylor sur Pexels.com
BTS CG P7 fiabilisation de l'information et du SI

RGPD : le traitement des données personnelles

Pascal KERMARRECpar

QU’EST CE QU’UNE DONNÉE PERSONNELLE?

Une donnée personnelle se définit comme « toute information se rapportant à une personne physique identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » selon l’article 4 du Règlement européen sur la protection des données.

les obligations RGPD pour les organisations

champs d”application

Le règlement s’applique à tous les traitements de données à caractère personnel, sauf exceptions (les fichiers de sécurité restent régis par les États et les traitements en matière pénale par exemple).

Il concerne :

  • Les responsables de traitement (entreprises, administrations, associations ou autres organismes) et leurs sous-traitants (hébergeurs, intégrateurs de logiciels, agences de communication entre autres) établis dans l’Union européenne (UE), quel que soit le lieu de traitement des données.
  • Les responsables de traitement et leurs sous-traitants établis hors de l’UE, quand ils mettent en œuvre des traitements visant à fournir des biens ou des services à des résidents européens ou lorsqu’ils les ciblent avec des techniques algorithmiques (technique du profilage).

En pratique, le règlement s’applique donc à chaque fois qu’un résident européen, quelle que soit sa nationalité, est directement visé par un traitement de données, y compris par internet ou par le biais d’objets connectés (appareils domotiques, objets mesurant l’activité physique par exemple).

La collecte : information et recueil préalable du consentement

Le consentement est une démarche active de l’utilisateur, explicite et de préférence écrite, qui doit être libre, spécifique, et informée. 

Le consentement est « préalable » à la collecte des données. 

Le consentement préalable de la personne concernée est notamment requis en cas :

  • de collecte de données sensibles ;
  • de réutilisation des données à d’autres fins que l’opération ayant initié le consentement ;
  • d’utilisation de cookies pour certaines finalités ;  
  • d’utilisation des données à des fins de prospection commerciale par voie électronique.

La collecte d’information doit être adéquate, pertinente et limitée aux finalités du traitement. 

Ainsi, la règle par défaut pour un paiement lors de l’acquisition d’un bien ou d’un service les données strictement nécessaires à la réalisation d’un paiement sont par défaut :

  • le numéro de la carte ;
  • la date d’expiration ;
  • le cryptogramme visuel.

Elles ne doivent pas être conservées au-delà de la transaction. Si le commerçant souhaite conserver ces données pour éviter à son client de les ressaisir ultérieurement, il doit obtenir son consentement express et explicite. Ainsi il doit indiquer :« nous conservons vos données de carte bancaire pour vous éviter de les saisir de nouveau lors de vos futurs achats » directement et de manière distincte sur le support de collecte (par ex. un encadré visible et explicite au-dessus du formulaire). L’acceptation des conditions générales de vente ne suffit pas. Le commerçant doit permettre facilement et à tout moment, sur le site marchand, la suppression des données bancaires.

Par ailleurs, Le commerçant a l’obligation de permettre au consommateur d’exercer facilement son droit d’opposition par le biais d’une case à cocher présente sur le support de collecte et ce, sans conséquence sur l’accès au service ; 

Le traitement

Un traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement).

Les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

Un traitement de données doit avoir un objectif, une finalité déterminée préalablement au recueil des données et à leur exploitation.

Le traitement est donc vu de manière extensive, il concerne toute opération et non pas simplement des opérations de calcul, classement ou agrégation de données.

Avant tout traitement, l’organisation doit identifier :

  • les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
  • les catégories de données traitées, (la collecte d’information doit être adéquate, pertinente et limitée aux finalités du traitement. )
  • à quoi servent ces données (ce qui en sont en faites), qui accède aux données et à qui elles sont communiquées,

L’ensemble de ces éléments sont consignés dans un registre des activités de traitements qui doit refléter la réalité des traitements des données personnelles , et qui précisera également les modalités d’archivages et de sécurité.

Les données à risques

Pour tous les traitements à risque, portant sur des données sensibles qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, les données génétiques ou biométriques, le responsable de traitement devra conduire une analyse d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.  

L’archivage

Les données personnelles ne peuvent être conservées indéfiniment : une durée de conservation doit être déterminée par le responsable de traitement en fonction de l’objectif ayant conduit à la collecte de ces données.

les dispositions légales ou réglementaires (par exemple : code de la santé publique, code de la sécurité intérieure, code du travail, code des postes et des communications électroniques, etc.) : certains textes imposent une durée minimale de conservation, ou une durée maximale (par exemple : l’article L. 252-3 du code la sécurité intérieure limite la durée de conservation des images de vidéo protection à un mois) …

Quelques exemples de durée légale d’archivage
Contrat ou convention conclu dans le cadre d’une relation commerciale, correspondance commerciale5 ans
Contrat conclu par voie électronique (à partir de 120 €)10 ans
Police d’assurance (après résiliation)2 ans
registre comptable10 ans
Bulletin de paie5 ans
Document fiscaux (IR,IS… et justificatifs)6 ans

Le cycle de vie de la donnée

Pour un même traitement, les données personnelles poursuivent des phases successives. On parle de « cycle de vie » de la donnée personnelle. 

Conservation en base active 

Il s’agit de la durée nécessaire à la réalisation de l’objectif (finalité du traitement) ayant justifié la collecte/enregistrement des données. En pratique, les données seront alors facilement accessibles dans l’environnement de travail immédiat pour les services opérationnels qui sont en charge de ce traitement (ex : le service des ressources humaines pour les opérations de recrutement) ;

Archivage intermédiaire 

Les données personnelles ne sont plus utilisées pour atteindre l’objectif fixé (« dossiers clos ») mais présentent encore un intérêt administratif pour l’organisme (ex : gestion d’un éventuel contentieux, etc.) ou doivent être conservées pour répondre à une obligation légale (par exemple, les données de facturation doivent être conservées dix ans en application du Code de commerce, même si la personne concernée n’est plus cliente). Les données peuvent alors être consultées de manière ponctuelle et motivée par des personnes spécifiquement habilitées ;

Archivage définitif 

En raison de leur « valeur » et intérêt, certaines informations sont archivées de manière définitive et pérenne. Les autres données sont soit effacées, soit anonymisées, ce qui permet de les exclure du champ des données personnelles, n’ayant plus de caractère personnel.

Conditions cumulatives de violation de données

Les conditions de constitution d’une violation de données est précisée par l’art 33 du RGPD. Une violation de données personnelles nécessite la réunion de deux éléments:

  • La mise en œuvre d’un traitement de données personnelles.
  • Ces données ont fait l’objet d’une violation, constituée par une perte de disponibilité, ou d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite.

En cas de violation de données, le responsable de traitement est chargé de documenter, en interne, les violations de données personnelles (nombre de personnes, type de risques, conséquences de la violation…) pour chaque violation.

Si l’incident constitue un un risque au regard de la vie privée des personnes concernées par la violation de données, la notification de l’incident à la CNIL est obligatoire.

Si le risque d’atteinte à la vie privée est élevé, l’organisation doit contacter les personnes concernées.

Une obligation de moyens renforcée

La loi Informatique et Liberté de 1978, à travers son article 34, impose une obligation de moyens au prestataire informatique en matière de sécurité informatique.

Le prestataire s’oblige ainsi à prendre toutes les mesures nécessaires à la sécurité des données, sans avoir à garantir ce résultat. 

Cette obligation est renforcée, et peut aboutir à une quasi-obligation de résultat selon l’importance des ressources de l’entreprise et de la complexité des tâches nécessaires à réaliser pour assurer la sécurité des données.