L’article 8 de la Chartes des droits fondamentaux de l’Union européenne consacre le droit fondamental à la protection des données à caractère personnel.

Dans la pratique, c’est le règlement général sur la protection des données personnelles (RGPD) et la loi informatiques et libertés qui mettent en œuvre ce droit fondamental aux bénéfices des personnes dont les données personnelles font l’objet de traitements.

A ce titre, les personnes concernées disposent des droits suivants : 

• Droit d’information ; 

• Droit au retrait du consentement ;

• Droit d’accès ;

• Droit d’opposition ; 

• Droit de rectification ;

• Droit à l’effacement (droit à l’oubli)

• Droit à la limitation du traitement ;

• Droit à la portabilité.

Qu’est-ce que le droit à l’oubli ?

Le droit à l’oubli au regard du RGPD

Au titre de l’article 17 du RGPD, le droit à l’oubli permet à la personne concernée « d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais. »

Dans quels cas faire valoir son droit à l’oubli ?

Une personne peut demander à une organisation l’effacement des données personnelles la concernant notamment dans les situations suivantes : 

• Les données personnelles de la personne ne sont plus ou pas nécessaires au pour atteindre la finalité pour laquelle elles étaient collectées (par exemple, à la suite d’une phase de recrutement par un employeur, un candidat qui s’est vu refuser un poste demande la suppression de son CV auprès du responsable de traitement recruteur) ;

• La personne concernée a retiré son consentement à l’utilisation de ses données personnelles (par exemple, une personne avait consenti à l’utilisation de son adresse-mail pour la réception de newsletters, elle retire son consentement, son adresse e-mail en tant que donnée personnelle doit être supprimée en conséquence) ;

• Les données personnelles font l’objet d’un traitement illicite (par exemple, le traitement de données piratées) ;

• Les données personnelles doivent faire l’objet d’un effacement en vertu d’une obligation légale prévue par le droit de l’Union européenne ou le droit national (par exemple, si le traitement de données personnelles effectué est illicite. En l’absence d’une telle base légale conformément au RGPD, le responsable traitement devra supprimer les données personnelles)

Le droit à l’oubli permet la suppression de données personnelles dans plusieurs contextes. Les personnes concernées peuvent aussi le déréférencement de leurs données à caractère personnel, qui permet de demander la suppression de certains liens vers des informations personnelles dans le cadre spécifique des moteurs de recherche. Au titre des lignes directrices 5/2019 du Comité européen sur la protection des données, plusieurs motifs peuvent être retenus pour demander le déréférencement :

• Lorsque les données à caractère personnel ne sont plus nécessaires au regard du traitement par le fournisseur de moteurs de recherche ;

• Lorsque la personne concernée a retiré son consentement ;

• Lorsque la personne concernée exerce son droit d'opposition au traitement de ses données à caractère personnel ;

• Lorsque les données à caractère personnel ont fait l'objet d'un traitement illicite ;

• Lorsque les données à caractère personnel doivent être effacées pour respecter une obligation légale ;

• Lorsque les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information à un enfant.

Comment exercer le droit à l’oubli ?

Identifier l’organisme qui détient vos données

Afin d’exercer le droit à l’oubli, il faut contacter directement l’organisme qui détient vos données personnelles.

1. méthodes pour retrouver les coordonnées de l’organisme : 

• Ces coordonnées sont disponibles dans les rubriques présentes en bas de page des sites internet. La rubrique la plus communément utilisé pour cela est souvent intitulée : « Politique de confidentialité », « Chartes de confidentialité », « Politique de protection des données », « Chartes de protection des données », « vie privée », « RGPD », « données personnelles » ;

• Certains organismes ont communiqué à la CNIL les coordonnées de leur délégué à la protection des données (DPO), qui sont disponibles sur les listes de contacts publiées par la CNIL : https://www.data.gouv.fr/fr/datasets/organismes-ayant-designe-un-e-delegue-e-a-la-protection-des-donnees-dpd-dpo/

• Il sera possible de s’adresse directement à l’organisme via un formulaire de contact ou via l’adresse générique de contact, présente dans les « mentions légales » ;

• Enfin, en l’absence de site web du responsable de traitement et de ses coordonnées, il est possible de recourir à de sites tels que Infogreffe ou societe.com qui disposent d’annuaire d’entreprises identifiables par leur nom ou n°SIREN par exemple.

Exercer effectivement son droit à l’oubli

3 éléments sont à prendre en compte pour exercer son droit à l’oubli : 

• Tout d’abord ce droit pourra s’exercer par différents moyens : voie électronique (formulaire, e-mail etc.) ou par courrier au responsable de traitement ;

• L’exercice de ce droit implique d’identifier et d’indiquer quelles données doivent être effacées. La demande de suppression de certaines données ne sera pas possible, notamment les factures et autres documents comptables pour lesquels une obligation légale exige la conservation ;

• En cas de doutes quant à l’identité du demandeur, un document d’identité peut être demandé par le responsable de traitement ;

• Conserver une copie des démarches peut permettre de saisir la CNIL en cas d’absence de réponse ou réponse insatisfaisante. L’usage de la capture d’écran est recommandé par la CNIL pour les demandes électronique et l’accusé de réception pour les demandes postales.

Refus ou absence de réponse au droit d’oubli ?

Que faire en cas de refus ou absence de réponse ?

Le responsable de traitement doit supprimer les données personnelles sous 1 mois ou 3 mois si la/les demande(s) sont complexe(s).

Si le délai est porté à 3 mois, alors la personne concernée doit être informée des raisons de cette prolongation. 

En l’absence de réponse ou si celle-ci est insatisfaisante, la personne concernée pourra saisir la CNIL : https://www.cnil.fr/fr/adresser-une-plainte

Limites au droit à l’oubli

Le droit à l’oubli n’est pas absolu et comporte des limites. Ainsi, le responsable de traitement ou DPO peut être amené à refuser et limiter une demande de droit à l’oubli au regard des situations listées ci-dessous : 

• Une obligation légale prévue par le droit de l’Union européenne ou le droit de l’Etat membre (par exemple, une facture devra être conservée pendant 10 ans.) ;

• L’exercice du droit à la liberté d’expression et d’information (par exemple, selon le Comité européen sur la protection des données , dans le cadre des déréférencements, les fournisseurs de moteurs de recherche peuvent refuser de déréférencer un contenu lorsqu'ils sont en mesure de démontrer que son inclusion dans les résultats de recherche est strictement nécessaire pour protéger la liberté d'information des internautes) ;

• L’exécution d’une mission d’intérêt public dans le domaine de la santé ;

• L’utilisation des données à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique, historique ou statistiques (Selon le Comité européen sur la protection des données, le fournisseur de moteur du recherche devra démontrer de façon objective que le déréférencement du contenu entrave ou empêche la réalisation d'objectifs de recherches scientifiques, historiques ou statistiques) ;

• Dans le cadre de contentieux, pour l’exercice ou défense de droits en justice.

Il est important de souligner que le droit à l’oubli n’est pas automatique et nécessité une action proactive de la personne concernée afin qu’il puisse être exercé efficacement. A cet effet, le droit à l’oubli ne s’applique pas automatiquement puisque la personne concernée devra prendre l’initiative de demander la suppression de ses données personnelles au responsable de traitement.

Dans les autres situations, le responsable de traitement supprime celles-ci à l’expiration d’un délai de conservation qu’il aura fixé préalablement à la collecte et à l’utilisation desdites données personnelles.

Responsable de traitement : comment réagir à une demande de droit à l’oubli ?

Dans le cadre des traitements qu'il est amené à effectuer, le responsable du traitement doit répondre de manière appropriée aux demandes d'exercice de droit et notamment du droit à l'oubli. Voici quelques étapes clés pour répondre à une demande de droit à l’oubli.

Droit à l’oubli : identifier la personne à l'origine de la demande

Lors de la réception d'une demande de droit à l'oubli, la personne chargée des questions de protection des données personnelles auprès du responsable de traitement ou son DPO vérifient l'identité de la personne qui effectue la demande afin de s'assurer qu'elle a le droit de demander la suppression des données. 

Dans ces circonstances, en cas de doutes, il peut être nécessaire de demander des informations d'identification pour confirmer l'identité de la personne concernée (par exemple, une copie d'une carte d'identité.).

Droit à l’oubli : confirmer et évaluer la validité de la demande

Le responsable de traitement ou DPO s'assure que la demande de droit à l'oubli est valide :  c'est notamment le cas lorsque les données d'une personne sont inexactes, obsolète ou plus nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées initialement. 

Le responsable de traitement doit déterminer si les données à supprimer satisfont les critères de suppression prévus par les législations et réglementations en vigueur. Par exemple, une demande de droit à l'oubli qui vise des factures d'achat ne sera pas valable étant donné que la loi exige la conservation de telles données pour une durée de 10 ans. En effet, dans ce cas précis, une obligation légale restreint l'exercice du droit à l'oubli.

Dans le cas où la demande de droit à l'oubli est fondée, alors il sera possible de supprimer ou anonymiser les données en question.

Droit à l’oubli : communiquer avec la personne concernée

Tout au long du processus de réponse à la demande de droit à l'oubli, le responsable de traitement communique avec la personne concernée : 

• D’abord, il contacte la personne qui a fait la demande et lui faire savoir qu'il a bien reçu sa demande d'exercice de droit à l'oubli ;

• Il lui fait également savoir qu’il se charge de traiter sa demande ;

• Il indique le délai prévu pour répondre à la demande conformément aux normes en vigueur.

Droit à l’oubli : supprimer ou anonymiser les données

Le processus de suppression ou d’anonymisation des données comprend plusieurs points clés :

• Dès lors que la demande est valide, le responsable de traitement procède à la suppression ou anonymisation des données personnelles concernées, y compris toutes les copies et références aux données en question.

• De plus, le responsable de traitement informe les tiers, notamment les sous-traitants qui détiennent ces mêmes données personnelles et leur demande de prendre des mesures similaires pour supprimer les données de leur système de traitement. Pour cela, le responsable de traitement peut rappeler au sous-traitant, les obligations qui lui incombent en matière de suppression des données au titre du contrat qui le lie au responsable de traitement.

Droit à l’oubli : répondre à la personne concernée et documenter la demande

Le responsable de traitement informe la personne qui a effectué la demande que les données ont bien été supprimées ou anonymisées conformément à sa demande.

Enfin, le responsable de traitement documente un registre dans lequel il recense la demande de la personne et la réponse qu'il a apportée pour exercer effectivement le droit à l'oubli de cette dernière. Cela permet de démontrer la conformité de l’organisation en la matière en cas de contrôle de la CNIL.

Les entreprises constituent des environnements de traitement de données à caractère personnel important. De ce fait, chaque employeur doit respecter la législation et la réglementation en vigueur pour assurer la protection des données recueillies auprès de ses salariés.

Exemples :

• Recrutement

• Gestion des ressources humaines

• Suivi du temps de travail

• Gestion des carrières

• Gestion de la paie

• Gestion des accès à l’entreprise

• Vidéosurveillance

Quelles responsabilités pour l’employeur ?

Au sein de l’entreprise, c’est l’employeur qui est le responsable de traitement des données personnelles. C’est sur lui que repose la responsabilité de mise en œuvre de mesures techniques et organisationnelles pour s’assurer que les traitements soient conformes au RGPD. C’est également l’employeur qui doit démontrer la conformité des traitements de données de la société lors d’éventuels contrôles (CNIL, DDPP etc.).

L’employeur a donc les obligations suivantes :

• Assurer le respect des principes du RGPD ;

• Tenir un registre des traitements ;

• Désigner un délégué à la protection des données (DPO) ;

• Sécuriser les données à caractère personnel ;

• Mettre en place une procédure de violation de données personnelles ;

• Assurer le droit à la transparence ;

• Assurer les droits des salariés.

L’obligation de tenir un registre des traitements (Article 30 du RGPD)

La mise en œuvre d’un registre de traitements permet de recenser de manière exhaustive l’ensemble des traitements en place au sein de l’entreprise. Cela permet de s’assurer de la conformité des traitements au RGPD et de mettre ces registres à la disposition de la CNIL en cas de contrôle.

Conformément à l’article 30 du RGPD, les structures de plus de 250 salariés ont l’obligation de mettre en place un registre de traitement sous forme écrite ou électronique. Dans certaines circonstances, les structures n’atteignant pas ce seuil sont aussi soumises à cette obligation de mise en œuvre d’un registre des traitements dans la mesure où :

• Le traitement est susceptible de comporter un risque pour les droits et libertés des salariés ;

• Le traitement n’est pas occasionnel (par exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.)

• Le traitement porte sur des données sensibles ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions (par exemple : les traitements de données en laboratoire ou les traitements en milieu hospitalier).

Le registre des traitements doit comporter les éléments suivants :

Nom et coordonnées du responsable de traitement, le cas échéant de son représentant et du délégué à la protection des données (DPO) ;

Finalités du traitement ;

• Description des catégories de personnes concernées ;

• Description des catégories de données concernées ;

• Catégories de destinataires auxquels les données sont ou seront transmises ;

• Le cas échéant, les transferts de données vers un pays tiers ou organisation internationale ;

• Si possible, les délais d’effacement des diverses catégories de données à caractère personnel.

• Si possible, une description des mesures de sécurité techniques et organisationnelles.

Faut-il désigner un DPO au sein de l’entreprise ? (Article 37 du RGPD)

Les entreprises qui effectuent des opérations de traitement du fait de la nature des traitements, de la portée, des finalités ou qui exigent un suivi régulier et systématique à grande échelle des salariés doivent obligatoirement désigner un délégué à la protection des données (DPO).

Qui est le DPO ? Quels sont ses rôles au sein de l’entreprise ?

Le DPO peut être un prestataire de service extérieur ou un salarié de l’entreprise. Ses coordonnées doivent être publiées et communiquées à la CNIL. En vertu des articles 39 et 38 du RGPD, le DPO a les missions suivantes :

:

• Informer et conseiller le responsable de traitement quant aux obligations qui lui incombent en matière de protection des données personnelles ;

• Contrôler le respect de la réglementation issue du RGPD et de la loi informatique et Libertés ;

• Conseiller le responsable de traitement lors de la mise en œuvre d’une analyse d’impact relative à la protection des données (AIPD) ;

• Coopérer avec la CNIL ;

• Agir en tant qu’intermédiaire de contact avec la CNIL sur toutes les questions relatives aux traitements.

L’obligation de sécuriser les données personnelles (Article 32 du RGPD)

Le responsable de traitement doit assurer la protection des données en mettant en place des dispositifs de protection. Ainsi, il doit assurer la sécurité des données face à des risques de pertes de données, piratages, ou tout facteur susceptible d’entraîner la destruction, la perte, l’altération, la divulgation non autorisée des données. Mais aussi, l’accès non autorisée à celles-ci de manière accidentelle ou illicite.

Le RGPD préconise plusieurs mesures de sécurité des données

• La pseudonymisation et chiffrement des données personnelles ;

• La mise en place de moyens permettant d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et services de traitements ;

• La mise en place de moyens de rétablissement de disponibilité et accès des données personnelles dans des délais appropriés en cas d’incident ;

• La mise en place de procédures destinées à tester, analyser et évaluer l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité des traitements.

Le responsable de traitement doit également assurer la sécurité des données

• Utiliser des logiciels sécurisés

• Utiliser des antivirus sûrs et mis à jour 

• Procéder au changement de mot-de-passe, et veiller à ce qu’ils soient suffisamment forts

• Effectuer des sauvegardes régulières 

• Sécuriser les accès wifi 

• Établir une Chartes informatique destinée aux salariés contenant des bonnes pratiques permettant de limiter les intrusions malveillantes

En pratique, l’employeur a l’obligation de mettre en place ce type de mesures techniques pour maintenir l’environnement de travail sécurisé en protégeant les systèmes de traitements de données et les données personnelles elles-mêmes. Cela permet d’anticiper et contre les menaces potentielles (exemples : logiciels malveillants, piratage, violation de données etc.).

L’employeur doit mettre en place une procédure de traitement des violations de données personnelles (Article 33 du RGPD)

Les violations de données peuvent entrainer un risque d’atteinte aux droits et libertés des salariés, en particulier une atteinte à la vie privée. C’est pourquoi, les violations qui présentent des « risques » ou « risques élevés » pour les droits et libertés des salariés doivent être notifiées à l’autorité de protection des données personnelles (CNIL). C’est le cas par exemple en cas de violation concernant l’adresse postale du salarié, les données relatives à ses congés maladie, ses antécédents médicaux ou son numéro de sécurité sociale (NIR) etc.

Le responsable du traitement doit notifier, à minima, les éléments suivants à l’autorité :

• La nature de la violation (affectant l’intégrité, la confidentialité ou la disponibilité des données) ;

• Les catégories et le nombre approximatif des personnes concernées ;

• Les catégories et le nombre approximatif d'enregistrements concernés ;

• Les conséquences probables de la violation ;

• Les coordonnées de la personne à contacter (DPO ou référent RGPD) ;

• Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

Le responsable du traitement doit effectuer une notification de violation de données à la CNIL dans les meilleurs délais, sous 72h maximum après la prise de connaissance de la violation.

Il est possible d’effectuer une notification en deux temps, dans le cas où le responsable du traitement ne dispose pas de toutes les informations requises dans le délai de 72h :

• Une notification initiale est établie dans un délai de 72h après constatation de la violation

• Après dépassement du délai de 72h, une notification doit tout de même être effectuée, mais il faudra expliquer/justifier des motifs de retard.

• Une notification complémentaire doit être effectuée dès que les informations complémentaires sont disponibles.

En pratique le responsable du traitement devra faire preuve d’anticipation afin d’éviter de recourir à la notification en deux temps.

L’obligation d’assurer le droit à la transparence des salariés (Article 48 du RGPD)

La législation et la réglementation en vigueur imposent un principe de transparence quant aux informations, communications et modalités d’exercice des droits salariés concernés par les traitements de données personnelles.

Le droit à la transparence se retrouve au travers du droit d’information dont bénéficient les salariés

• Lors de la collecte des données ;

• Sur les droits des salariés une fois les données personnelles collectées ;

• En cas de violation de données personnelles ;

• En cas d’exercice de ses droits.

A noter : Une vigilance particulière doit être apportée au droit à la transparence au regard de son importance et de la redondance des manquements liés à ce droit au sein des sanctions de la CNIL.

L’employeur doit garantir les droits de ses salariés

Le responsable du traitement ne peut pas refuser de donner suite à une demande d’exercice des droits des salariés conférés par le RGPD et la loi informatique et Libertés.

Les droits informatiques et libertés des salariés

Les droits informatiques et libertés des salariés sont les suivant :

• Droit d’information lors de la collecte ;

• Droit d’accès ;

• Droit de rectification ;

• Droit à l’effacement (droit à l’oubli ou droit de suppression) ;

• Droit à la limitation du traitement ;

• Droit à la portabilité des données ;

• Droit d’opposition ;

• Droit de ne pas faire l’objet d’une décision fondée sur un traitement automatisé ;

Droit d’information en cas de violation des données.L’essentiel à retenir :

L’employeur est responsable de traitement des données personnelles au sein de la société. Il s’assure de la mise en œuvre de mesures techniques et organisationnelles pour s’assurer que les traitements soient conformes au RGPD. Cette conformité lui permet notamment d’appréhender d’éventuels contrôles.

L’employeur a des obligations suivantes en vertu du RGPD :

• Tenir un registre des traitements

S’assurer de la conformité des traitements recensés dans le registre vis-à-vis du RGPD. L’employeur doit également pouvoir mettre ce registre à disposition de la CNIL.

• Désigner un délégué à la protection des données (DPO)

Le DPO est un interlocuteur de premier rang en matière de protection des données à caractère personnel, le RGPD lui consacre diverses missions qu’il doit effectuer au sein de la structure qui le désigne.

• Sécuriser les données

L’employeur devra assurer la sécurité des données face à des risques de pertes de données, piratages, ou tout facteur susceptible d’entraîner la destruction, la perte, l’altération, la divulgation non autorisée des données ou encore l’accès non autorisée à celles-ci de manière accidentelle ou illicite.

• Mettre en place une procédure de violation de données personnelles

Les violations de données personnelles susceptibles de porter atteintes aux droits et libertés des salariés doivent être signalées sous un délai de 78h maximum à la CNIL, l’autorité compétente en matière de protection des données à caractère personnel.

• Assurer le droit à la transparence

La législation en vigueur impose un principe de transparence quant aux informations, communications et modalités d’exercice des droits salariés concernés par les traitements de données personnelles.

• Assurer les droits des salariés

L’employeur fait suite aux demandes d’exercice des droits des salariés : information lors de la collecte, accès à ses données, rectification, effacement, limitation du traitement, portabilité des données, opposition, ne pas faire l’objet d’une décision fondé sur un traitement automatisé, information en cas de violation de données.

Attention :

Les obligations précédemment mentionnées doivent faire l’objet d’une documentation formalisées et de mises à jour.

Introduction : Les grands principes du RGPD

Aujourd’hui nous allons parler des principes du RGPD, quand on parle de principe du RGPD, ce sont des principes clés qui structurent tout le droit de la protection des données personnelles. Ces principes sont au cœur du règlement général sur la protection des données personnelles, ils assurent les questions clés en termes de gouvernance. Comment est-ce qu'on va mettre en conformité une structure telle qu'elle soit : une entreprise, une association, un public privé etc…

Il y a trois choses importantes à noter quand on parle des principes du RGPD, découvrons-les ensemble.

Sommaire

Introduction : Les grands principes du RGPD

Règlement général sur la protection des données : Qui est concerné ?

Qu'est-ce qu'une donnée personnelle ?

RGPD et le droit fondamental à la protection des données personnelles en Europe

Données de santé et implications ?

Qu'est-ce que c'est qu'une donnée personnelle ?

Aujourd'hui, c'est une notion extrêmement large, c'est un nom, c'est un prénom, mais ça peut être aussi une donnée qui va être directement ou indirectement identifiante. On notera que, par rapport à l'évolution technologique, aujourd'hui, un certain nombre de données mises bout à bout permettent d'identifier des personnes. Et c'est la raison pour laquelle il faut être extrêmement prudent quand on parle de données pour savoir si on parle ou non de données personnelles. Quand on parle du droit à la protection des données, des principes du rgpd, il y a également la notion de traitement de données personnelles. Et ce sont ces fameux traitements qu'il faut rendre conforme au droit de la protection des données. Un traitement, c'est la collecte des données, la conservation des données, mais c’est aussi la destruction des données. À chaque fois, il faut que ces différents traitements soient conformes au droit de la protection des données et notamment à ces principes du rgpd.

Quels sont les principes du RGPD ?

Le principe de licéité du traitement des données : Il y a un premier principe de licéité, il faut que le traitement soit légal, qu'il soit conforme à une loi, un règlement à des dispositions à contractuel, etc.

Le principe de finalité : Je recueille des données pour un objectif, a priori, je ne peux pas les utiliser pour un autre objectif, ça c'est le principe de finalité.

Le principe de pertinence : Il y a un principe de pertinence, par exemple, je collecte des données dans le cadre d'un programme éducatif ou alors je collecte des données pour organiser un événement. Je ne dois alors collecter que les données qui sont pertinentes, ne pas aller au-delà et collecter une masse de données qui serait inutile et en tout cas qui serait disproportionnée.

Le principe d'exactitude : Pour le principe d'exactitude, on rejoint la notion de qualité des données. Je collecte des données, je fais en sorte qu'elle soit à jour, qu'elle soit de qualité pour justement éviter des erreurs dans le traitement de ces données personnelles.

Le principe de conservation des données : Il y a également un principe de conservation des données, il faut prévoir systématiquement une durée de conservation, une durée encadrée. Il faut que je puisse savoir combien de temps je vais garder les données informelles sur la durée de conservation des données.

Le principe de sécurité des données : Le dernier principe, c'est le principe de sécurité des données, c'est-à-dire que je collecte des données, je les conserve, je les détruis et à chaque fois, il faut que je mette en place des mesures spécifiques en termes de sécurité des données. Aujourd'hui c'est un point qui est extrêmement important, on le voit par exemple à travers les sanctions qui sont prononcées par la CNIL. Dans la majorité des sanctions, il y a eu des défauts en termes de sécurité des données.

Les grands principes sont des éléments structurants

Chaque responsable de traitement, celui qui collecte, qui traite les données, qui a la responsabilité de ces traitements de données personnelles, doit être à tout moment capable de montrer comment il a mis en place ces mesures.

Quels sont les outils déployés en termes de sécurité des données ? Qu'est-ce que vous avez fait ? Quelle mesure avez-vous effectivement prise pour fixer des durées de conservation qui soient limitées ? Comment est-ce que vous pouvez justifier de la base légale de votre traitement ?

Si vous n'êtes pas en mesure de démontrer le respect de ces dispositions, vous pouvez encourir des sanctions. Ce principe de responsabilité - principe d'accountability - aujourd'hui c'est un principe central qui irrigue tout le RGPD. Et c'est un élément qui doit être pris en compte, nous ne sommes plus dans un régime avec des formalités des déclarations préalables. Au contraire, à tout moment, vous devez veiller à votre conformité et faire en sorte qu'elle soit effectivement mise en place et conforme à ces principes.

Règlement général sur la protection des données : Qui est concerné ?

Je vais maintenant vous parler des droits des personnes concernées au sens de la protection des données personnelles. Alors, le droit des personnes concernées qu'est-ce que cela signifie ? Il s'agit des différents droits que chaque personne peut exercer dans différentes situations.

Par exemple : une situation dans laquelle une personne est un consommateur, une situation dans laquelle une personne est étudiante, une situation dans laquelle une personne bénéficie d'un service ou alors pour un salarié. Il y a des situations extrêmement différentes, dans lesquelles, à partir du moment où il y a traitement de données personnelles, chaque personne va pouvoir exercer certains droits.

Il ne s'agit pas de droit absolu, chaque droit va s'apprécier en fonction du moment où les données ont été collectées.

Par exemple, les droits ne vont pas s'exercer de la même manière, quand j'ai donné mon consentement pour le traitement de mes données de santé, que lorsqu’il s'agit d'un étudiant qui s'est inscrit dans une association pour avoir accès à certaines activités.

Alors au sujet de ces droits, je vais évoquer 5 aspects spécifiques.

Quels sont ces fameux droits des personnes concernées ?

Il y a plusieurs droits :

• Il y a le droit d'avoir accès à ces données de savoir quelles sont les données qui sont traitées.

• Il y a le droit de rectification des données, mes données ont mal été collectées, il y a des erreurs, des erreurs qui me sont préjudiciables, je veux qu'elles soient rectifiées.

• Il y a le droit d'opposition au traitement des données, quand je ne veux pas que mes données puissent faire l'objet d'un traitement.

• Il y a le droit de demander leur effacement.

• Le droit à la portabilité des données, c'est un nouveau droit qui a été inscrit par le RGPD. Vous changez d'un opérateur par exemple en matière de téléphonie ou d'assurance, vous pouvez demander la portabilité de vos données personnelles.

• Il y a également la possibilité de demander la limitation du traitement de données personnelles qui a été ou qui pourrait être effectué.

Voilà les principaux droits des personnes concernées, de chaque personne concernée au sens du RGPD.

Garantir l'effectivité du droit de la protection des données personnelles

Le deuxième aspect, c’est : Quel est l'objectif ? L'objectif, c'est de garantir l'effectivité du droit de la protection des données personnelles. J'ai un certain nombre de droits dans le cadre de cette législation européenne, dans le cadre des législations nationales et je dois pouvoir les faire valoir je dois pouvoir les exercer. On parle beaucoup, en utilisant le terme anglais d’empowerment, du fait qu’on a un certain nombre de droits et qu’on doit pouvoir les faire respecter.

Afin qu'il y ait une vraie garantie du droit à la protection des données personnelles car, il ne faut pas l'oublier, le droit à la protection des données personnelles, c'est un droit fondamental.

L’exercice de ses droit et les délais encadrés par le rgpd

L'exercice de ses droits ça veut dire qu'il faut une procédure. Cela signifie qu'aujourd'hui il y a des délais qui sont encadrés par le RGPD. Par exemple : Je suis un consommateur, je constate que mes données ont été utilisées d'une façon qui n'est pas conforme à l'information qui m'a été donnée. J'écris, je prends contact, et normalement, on doit me répondre dans un délai d'un mois.

Dans certains cas, quand les demandes sont plus complexes, le délai peut être porté à 3 mois. En tout cas, le point important, c'est qu'aujourd'hui, d'une part, il faut une réponse. Et deuxièmement, il y a des délais qui sont encadrés, à défaut de réponse dans les délais, toute personne peut écrire à une autorité de contrôle, notamment la CNIL, pour se plaindre de l'absence de réponse.

Les modalités d'information et de transparence des données personnelles

Ce que nous venons de voir signifie aussi qu'il faut une information et une transparence vis-à-vis des personnes concernées. Là encore, il faut aussi avoir à l'esprit que cette information, cette transparence, elles doivent s'adapter à tous les contextes. C'est-à-dire qu'à chaque fois que vos données sont collectées, enregistrées ou conservées, que ce soit par une entité privée ou publique, dans le cadre de votre vie au travail ou dans le cas de votre vie quotidienne, à chaque fois, il faudra prévoir des modalités d'information et de transparence.

Et là encore, on a une liste encadrée de l'information qui doit être donnée.

C'est-à-dire : Qui collecte mes données ? Qui est responsable de traitement ? Qui est le délégué à la protection des données ? Comment est-ce que je peux exercer mes droits ? Qui est l'autorité compétente si jamais je ne suis pas satisfait par la réponse qui m'est donnée ? Pourquoi est-ce qu'on connecte mes données ? (principe de finalité). Qu'est-ce que l'on en fait ? À qui on communique mes données ? Quels sont les destinataires de ces données ? Est-ce qu'elles peuvent être transférées en dehors de l'Union Européenne ?

Et surtout combien de temps va-t-on les conserver ?

Là encore, c'est quelque chose qui peut être relativement complexe à mettre en œuvre. D'une part, il faut apporter cette information et d'autre part, il faut aussi la déployer concrètement. Pour celui qui déploie l'information, qui informe, il faut faire en sorte d'être sûr et persuadé qu'on délivre les bonnes informations. Et surtout que c'est suivi par des faits en pratique, qu'il y a une gouvernance effective en matière de protection des données personnelles.

La manière dont on communique sur ces informations personnelles

Il y a une question importante aujourd'hui qui est celle de la manière dont on donne toutes ces informations. On a des listes, on a des délais, mais la manière dont on informe est très importante. Et la CNIL et d'autres autorités de protection des données personnelles l'ont rappelé.

Il s'agit pas de donner un catalogue d'information mais il faut aussi s'adresser, à chaque fois, selon les différents types de public. Il y a des aspects qui sont proches du legal design, donc la manière dont on communique, la manière dont on apporte les informations, ce sont des questions clés. Et il est très important là encore de veiller à la manière dont ces informations sont apportées.

Qu'est-ce qu'une donnée personnelle ?

Je vais maintenant vous parler des données personnelles. Très souvent on entend parler du RGPD, de la loi Informatique et Liberté en France et du droit de la protection des données. Mais qu'est-ce qu'une donnée personnelle ?

De quoi parle-t-on lorsqu'on évoque les données personnelles ? Le point le plus important, c'est de noter qu'il s'agit d'une notion évolutive. Il est très difficile aujourd'hui de décréter une fois pour toute ce qu'est une donnée personnelle ou ce que n'est pas une donnée personnelle.

Une donnée personnelle, par exemple, c'est le nom, le prénom, des données qui sont associées à Monsieur Dupont ou à Madame Durand. Des données sur son adresse, sa situation familiale,... Et toutes les données qui vont en découler.

Ainsi, on a un certain nombre de catégories quand on parle de données personnelles. Par exemple, les données d'état-civil, des catégories qui vont être liées aux données de famille, etc. Lorsqu'on parle de données personnelles, on parle aussi de données sensibles.

Les données sensibles

Dans la catégorie des données personnelles, il y a aussi des données qui doivent faire l'objet d'un examen plus attentif et dont le recueil, dans certains cas, est interdit. Par exemple, des données qui vont révéler la vie sexuelle, l'appartenance à une religion, l'origine ethnique, une appartenance syndicale, etc.

Le principe est que la collecte, le traitement de ces données est interdit, sauf exception, et ces exceptions sont encadrées, elles font l'objet d'un certain nombre de dispositions spécifiques. C'est le cas, par exemple, pour les données de santé.

Alors, je le disais tout à l'heure, la notion de données personnelles, c'est une donnée évolutive. Avec le progrès technologique, vous pouvez partir d'un certain nombre de base de données dans lesquelles vous n'avez pas de nom, pas de prénom, rien qui puisse être identifiant. Et vous pouvez aboutir à des données qui sont elles bien identifiantes.

C'est la raison pour laquelle, aujourd'hui, il y a un certain nombre d'éléments, de doctrines ou d'éléments qui sont apportés par l’European Data Protection Board à Bruxelles qui montre bien de la vigilance à exercer à en la matière.

Ces éléments permettent de vérifier à chaque fois s'il s'agit bien de données personnelles ou non. C'est un point-clé parce que s'il s'agit de données personnelles, vous devez appliquer le droit de la protection des données personnelles. Si ce n'est pas le cas, vous ne devez pas appliquer cette disposition.

Et il ne faudrait pas justement créer des situations dans lesquelles il y aurait des phénomènes de fraude. Des situations où l’on n’appliquerait pas ses dispositions protectrices qui permettent aux personnes d'exercer leurs droits, par exemple, pour favoriser un régime qui serait moins protecteur.

Les notions d'anonymisation des données ou de pseudonymisation

Enfin, quand on parle de données personnelles, il y a également les notions d'anonymisation des données ou de pseudonymisation. Dans certains cas, on peut coder les données pour pouvoir apporter des garanties supplémentaires, notamment en termes de sécurité des données. Quand on les pseudonymise, quand ce n'est pas définitif, cela reste des données personnelles et il faut les protéger comme des données personnelles. Au contraire, quand on anonymise des données, il ne s'agit plus de données personnelles et dans ces cas-là, vous n'avez plus à mettre en place les mesures protectrices liées aux données personnelles.

Pour autant, il faut être extrêmement vigilant, il faut que ce soit une anonymisation effective, efficace, avec des dispositifs qui ont fait l'objet de vérifications ou de mesures d'audit. Donc, on le voit, les données personnelles sont des données dont la nature et le champ d'application sont extrêmement larges, et cela appelle un examen précis et détaillé.

RGPD et le droit fondamental à la protection des données personnelles en Europe

Aujourd'hui, on parle beaucoup du RGPD, très souvent, on cite le RGPD, ce règlement général sur la protection des données. De quoi s'agit-il ? Comment est-ce qu'on pourrait le décrire aujourd'hui ou en tout cas le décliner rapidement ? Je vais vous parler du RGPD en 10 points pour vous expliquer de quoi il s'agit et quels sont ses objectifs.

Tout d'abord, ce qu'il faut noter, c'est que ce règlement général sur la protection des données a pour objectif de faire assurer le droit fondamental à la protection des données. On a un règlement général sur la protection des données, on a un RGPD parce qu'on a un droit fondamental à la protection des données personnelles en Europe. Et donc ce droit des citoyens européens doit être assuré.

Le RGPD, un règlement européen

Deuxième point, il s'agit d'un règlement européen c'est-à-dire que ce règlement s'applique dans tous les pays de l'Union européenne. Contrairement à d'autres règlements, les différents pays de l'Union européenne ont la possibilité de conserver certains éléments de leur législation. Pour autant, il s'agit d'un règlement européen donc applicable dans toute l'Europe.

Troisième point, l’objectif de ce règlement est d'assurer le même niveau de protection des données en Europe. C'est-à-dire de faire en sorte que : je suis salarié, je vais d'un pays à l'autre, mes droits en tant que salarié sur la protection des données reste les mêmes. De la même manière, je suis un consommateur, je vais dans un pays d’Europe, normalement, le niveau de protection de mes droits doit rester le même.

Quatrième point, le RGPD ce sont des principes, un certain nombre de principes, il faut que quand on collecte mes données ce soit pour une finalité spécifique. Il y a un principe de conservation des données, il faut mettre en œuvre des mesures en termes de sécurité des données.

Donc le RGPD ce sont des principes, mais le rgpd c'est aussi des droits, un certain nombre de droits pour les personnes concernées. Le droit d'accéder à leurs données, le droit de demander l'effacement de leurs données, le droit de demander la portabilité des données. Donc, corollaire du droit fondamental à la protection des données, le RGPD c’est aussi l’ensemble de ces droits que chaque personne doit pouvoir exercer.

Les rôles et les obligations des différents acteurs en matière données personnelles

Ce règlement, c'est aussi un certain nombre de rôles. C'est-à-dire que le RGPD prévoit les obligations à la charge du responsable de traitement, celui qui collecte, celui qui traite, celui qui conserve, celui qui détruit les données et éventuellement de ses sous-traitants ou des destinataires de ces données. Donc, à chaque fois, le règlement prévoit les obligations de chaque acteur.

Le rgpd c'est aussi des rôles renforcés pour les autorités de contrôle en matière de protection des données personnelles. Pour la CNIL en France, mais aussi pour toutes les autorités de contrôle en Europe. C'est-à-dire qu'elles doivent avoir des moyens effectifs pour garantir les droits des personnes concernées. Pour faire en sorte que là encore, on ait le même niveau de protection des données personnelles dans toute l'Europe.

Le transfert des données personnelles hors UE

Le RGPD est aussi un encadrement des transferts hors de l'Union Européenne des données personnelles. Le RGPD prévoit un niveau renforcé de protection des données en Europe, mais, lorsque ces données sont exportées, il faut que le niveau de protection soit le même.

Que ces données partent aux États-Unis, en Afrique du Sud ou en Inde, à chaque fois, celui qui exporte les données doit expliquer les mesures qu'il a mises en œuvre pour faire en sorte de garantir le niveau de protection de ces données.

Le RGPD ce sont aussi des sanctions renforcées, des sanctions financières notamment, qui peuvent aller jusqu'à 4 % du chiffre d'affaires mondial d'une entreprise. Donc des sanctions beaucoup plus importantes que les sanctions qui pouvaient être prononcées jusque-là. Et là encore avec le renforcement du rôle des autorités de contrôle comme la CNIL en France cela leur permet de pouvoir prononcer des sanctions qui soient dissuasives.

Le RGPD, une référence au niveau mondial

Le RGPD qu'est-ce que c'est aujourd'hui ? C'est aussi un texte clé au niveau mondial. De plus en plus, c'est devenu une référence dans le monde. C'est un texte qui est utilisé par tous les grands groupes de sociétés, un texte qui sert aussi de référence quand certaines législations sont élaborées dans d'autres pays. Il y a eu des références par exemple en Californie au RGPD dans l'inspiration de la loi californienne sur la protection des données. Donc il ne faut pas oublier qu'aujourd'hui le RGPD c'est cette référence internationale.

Données de santé et implications ?

Maintenant, je vais vous parler des données de santé et des implications, par exemple dans le domaine de la recherche, sur le traitement des données de santé aujourd’hui.

Le premier point, qui est important à noter, c'est qu'aujourd'hui, on a une explosion des données de santé.

Que ce soit les données que l'on va collecter à travers des montres connectées, à travers un certain nombre d'applications de bien-être, de sport, ou encore toutes les données qu'on peut collecter justement en matière de santé via des téléphones portables. Les données qui vont être collectées évidemment au niveau médical, en tout cas les usages sont exponentiels, les utilisations et les traitements aussi.

Donc, deuxième point, il y a de véritables enjeux sur le traitement de ces données. Sachant que très souvent le traitement de ces données se fait sur une échelle internationale.

Par exemple : je vais utiliser une application qui a été développée aux États-Unis ou en Asie, où le traitement de mes données s'inscrit dans le cas d'un essai clinique mené par un sponsor américain avec des sites en Europe et en Asie et une CRO européenne.

Il y a donc des situations extrêmement variées et très souvent internationales, ce qui implique de mettre en place les bons outils en termes de protection des données personnelles.

Le caractère sensible des données de santé

Surtout que les données de santé, ce sont des données sensibles, cela signifie que ces données sensibles, au sens du RGPD, bénéficient d'un traitement particulier.

En principe, on ne peut pas les traiter, leur traitement est interdit, sauf à rentrer dans certains cas, il y a un certain nombre d'exceptions, dans lesquelles on peut traiter des données de santé. Notamment à des fins de santé publique.

Mais il y a un certain nombre de traitements pour lesquels il faut justement pouvoir démontrer que l'on est bien conforme aux règles en matière de protection des données personnelles.

Il est vraiment essentiel de conserver à l'esprit le caractère sensible de ces données. Le fait que chaque responsable de traitement, chaque structure, qui va mettre en place des traitements particuliers, devra pouvoir démontrer qu'elle est bien conforme au RGPD ou aux lois nationales qui s'appliquent. En France, la loi Informatique et Liberté a un dispositif spécifique pour le traitement des données de santé.

Les méthodologies de référence de la CNIL pour la protection des données

Troisième point, il y a des caractéristiques spécifiques pour les règles en matière de protection des données pour les données de santé. Et ses règles sont complémentaires à d'autres règles déjà existantes. C'est-à-dire qu’il y a un certain nombre de dispositions, par exemple, dans le cadre de la recherche clinique, dans le cadre de la conduite des essais cliniques sur le traitement des données personnelles.

Et à ses dispositions se superposent des règles spécifiques sur la protection des données. Dans le cadre de la recherche, par exemple, la CNIL a mis en place qu'on appelle des méthodologies de référence, il en existe 6. Ces différentes méthodologies, adaptées à des types de recherche particuliers, prévoient à chaque fois les obligations qui devront être respectées par les responsables de traitement.

Alors, au-delà du fait de devoir déclarer le respect de ses règles à la CNIL dans le cadre de ces méthodologies, il y a bien évidemment un certain nombre d'autres outils à mettre en place. Je pense par exemple aux analystes d'impact au sens du RGPD, au fait d'avoir un délégué à la protection des données, au fait justement de documenter un certain nombre de dispositifs en termes de sécurité des données personnelles.

Autre exemple des domaines dans lesquels la CNIL est intervenue, c'est sur la constitution d'entrepôt de données de santé. Aujourd'hui, la constitution de ces entrepôts, le fait de conserver des données de santé en masse, constitue de vrais enjeux en termes de protection des données personnelles.

Donc la CNIL a mis en place un référentiel en matière d'entrepôt de données de santé. C'est un référentiel important pour les hôpitaux, pour les cliniques, pour pouvoir utiliser ces données. Cela permet d'encadrer les finalités : les raisons pour lesquelles on traite ces données ou pas - Comment on les utilise - Comment est-ce qu'on va informer les personnes ?

Alors dans certains cadres spécifiques, lorsqu'un projet ne rentre pas dans le cadre des méthodologies de référence de la CNIL. L'organisation concernée a toujours la possibilité de faire une demande d'autorisation spécifique à la CNIL, en expliquant pourquoi et comment elle compte conduire ce projet. Elle devra alors déployer tous les éléments permettant de justifier de sa conformité.

Ce sont des éléments clé, cela nécessite à chaque fois de pouvoir identifier la situation dans laquelle une organisation, une collectivité ou une entreprise va intervenir. Cela nécessite également d'expliquer pourquoi et comment et de documenter ces différents éléments.

On est à l'articulation plusieurs dispositifs, par exemple, en matière d’essais cliniques, on a d'une part le RGPD, mais on a aussi un règlement européen sur les essais cliniques qui prévoit des renvois au RGPD et au droit de la protection des données personnelles. Avec la nécessité à chaque fois de pouvoir créer une articulation qui soit cohérente.

On a par exemple de la documentation de la Commission européenne qui explique comment interpréter certaines notions. On ne va pas interpréter de la même manière la notion de consentement en matière d’essais cliniques et en matière de protection des données personnelles.

Les données de santé et le principe de responsabilité

Il est essentiel là encore d'avoir à l'esprit le principe de responsabilité. Le grand principe qui irrigue tout le droit à la protection des données personnelles et le RGPD. Donc, à chaque fois, en fonction des différents types de projets, il va falloir pouvoir démontrer, que du début à la fin du projet, les grands principes du RGPD ont été appliqués. Qu’ils ont été mis en œuvre et qu’ils sont correctement déployés. Si on a prévu une durée de conservation de 15 ans, on est en mesure de prouver qu'au bout de 15 ans les données seront détruites, supprimées, anonymisées etc. Voilà, il est important encore une fois d'avoir ce principe de responsabilité à l'esprit !