2023

Transfert de Données Personnelles : quelle réglementation et quelle actualité pour assurer un niveau élevé de protection et de sécurité ?

La question de la protection des données personnelles s’évalue régulièrement à l’aune de nombreux transferts de données, intra-UE ou hors UE. 5 ans après l’entrée en application du RGPD, tour d’horizon des règles applicables.

Les traitements de données personnelles

Données personnelles, données sensibles

Les données à caractère personnel sont classées par catégories au sein du Règlement général sur la protection des données (RGPD). Selon le RGPD, une donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou indentifiable. Cela peut inclure des informations telles que le nom, le prénom, l’adresse e-mail, l’adresse postale, le numéro de téléphone, l’âge, etc. (article 4 du RGPD).

Parmi ces données, certaines relèvent des catégories particulières de données qui nécessitent une protection spécifique parce qu’elles sont susceptibles d’engendrer des risques importants pour les droits et libertés des personnes concernées (considérant 51 du RGPD). Le RGPD énumère ces données, qui correspondent notamment aux informations sur l’origine raciale ou ethnique, aux opinions politiques, aux croyances religieuses ou philosophiques, à l’appartenance syndicale, aux données génétiques, biométriques, relatives à la santé ou encore à l’orientation sexuelle (article 9 du RGPD).

La collecte et le traitement de telles données sont soumis à des restrictions plus strictes en vertu de l’article 9 du RGPD, nécessitant par exemple une base juridique spécifique (par exemple le recueil d’un consentement explicite) et des mesures de sécurité renforcées.

Traitement, collecte, stockage de données personnelles

Tout responsable de traitement ou DPO est amené à effectuer divers traitements en matière de données personnelles qu’il s’agisse de la collecte, le stockage et le traitement de ces données, dans le contexte des ressources humaines, du marketing, de la prospection commerciale ou encore du recouvrement.

La notion de traitement des données personnelles englobe, toute opération sur les données, qu’il s’agisse de les organiser, les structurer, les analyser, modifier, supprimer etc. La collecte et le stockage figurent parmi ces différents traitements de données.

Chaque traitement doit être mis en œuvre, conformément à des finalités spécifiques (article 5 RGPD) et est susceptible de recouvrer un nombre de données très significatif (nom, prénom, mail, IBAN, facturation). De la même manière certaines opérations peuvent aussi entraîner le traitement de données sensibles (recouvrement, gestion de mutuelle, contentieux…).

A ce titre, la collecte des données constitue un processus essentiel pour obtenir les informations relatives aux personnes concernées, ce qui peut s’effectuer par l’intermédiaire de formulaires, de traceurs sur des sites internet, ou par d’autres moyens conformément aux législations et réglementations en vigueur, notamment le RGPD et la loi informatique et libertés. La mise en conformité de cette collecte est cruciale pour traiter de données dans un cadre sécurisé.

Le traitement et le stockage interviennent en aval de la collecte et correspondent à la phase de modification et de traitement puis de conservation sécurisée des données. Cette dernière conservation doit être déterminée et limitée.

Ces différents traitements nécessitent souvent des transferts de données, entre entités ou vers des acteurs situés en dehors de l’Union européenne (par exemple via l’utilisation d’applications ou d’outils non européens. Cet aspect doit aussi être encadré.

Les différents types de transferts de données personnelles

Transferts interentreprises

Le considérant 48 du RGPD prévoit que : « Les responsables du traitement qui font partie d'un groupe d'entreprises ou d'établissements affiliés à un organisme central peuvent avoir un intérêt légitime à transmettre des données à caractère personnel au sein du groupe d'entreprises à des fins administratives internes, y compris le traitement de données à caractère personnel relatives à des clients ou des employés. Les principes généraux régissant le transfert de données à caractère personnel, au sein d'un groupe d'entreprises, à une entreprise située dans un pays tiers ne sont pas remis en cause. »

Dans ce contexte, il est possible de transférer des données entre entités d’un même groupe. Par exemple, dans un groupe composé d’une société mère et de ses filiales, des données relatives aux salariés telles que des fiches de paie, des évaluations de performances peuvent être collectées et gérées par les filiales et transférées à la société mère pour des finalités de gestion des ressources humaines à l’échelle du groupe. De même, les filiales peuvent recueillir des données sur des clients résidants dans d’autres pays et partager ces informations avec la société mère située dans un autre pays, à des fins d’analyse commerciale, ou à des fins de services aux clients du groupe, entre autres...

Le transfert de données intra-groupe doit être mis en œuvre conformément aux principes de l’article 5 du RGPD. Il doit également distinguer selon que ces transferts auront lieu au sein de l’Union européenne ou non. En général, ces transferts sont aussi réglés via des politiques internes au groupe en question, afin de permettre une application uniforme de la législation et de la règlementation applicable. Une analyse au cas par cas des dispositions applicables reste nécessaire, au préalable.

Ces transferts font l’objet de contrôles. En témoigne la délibération de la CNIL en date du 18 septembre 2023. Dans ce cas, la CNIL avait sanctionné l’entreprise SAF LOGISTICS pour le transfert de données sensibles de certains de ses salariés européens vers la société mère en Chine, sans la mise en œuvre des garanties appropriées.

Transferts entre responsables de traitement et sous-traitant

Les situations relatives aux transferts de données entre responsable de traitement et sous-traitant doivent aussi être pris en compte. Dans ce cadre, la conformité aux normes sur la protection des données personnelles s’avère plus complexe. En effet et en comparaison des transferts de données au sein d’un même groupe de sociétés, le transfert entre un responsable de traitement et ses sous-traitants implique des défis supplémentaires. En effet, dans la mesure où ces entités sont des personnes morales totalement distinctes et ne font pas partie d’un même groupe, leurs conformités peuvent diverger de manière significative, en l’absence de liens organisationnels à la différence des sociétés appartenant à un même groupe. Ce qui va nécessiter pour le responsable de traitement de déterminer la conformité ou non de son sous-traitant.

Afin de régir les transferts et les traitements de données personnelles entre responsable de traitement ou DPO et sous-traitants, les dispositions de l’article 28 du RGPD prévoient différentes obligations. Le traitement réalisé par le sous-traitant pour le compte du responsable de traitement doit être formalisé par le biais d’un acte juridique, généralement un contrat. Ce contrat doit contenir des clauses relatives à la protection des données, comprenant des éléments tels que la sécurité des données, leur transfert, les responsabilités de chacune des parties. Plus globalement, ce contrat contient le cadre établi pour permettre au sous-traitant de traiter les données qui lui ont été transférées par le responsable de traitement.

Transferts internationaux (hors Union européenne)

Des règles strictes sont prévues par le RGPDB Concernant le transfert de données personnelles vers des pays tiers à l’Union européenne ou des organisations internationales.

En effet, en matière de transferts de données hors de l’UE, plusieurs dispositifs sont prévus par le RGPD (hérités en partie de la directive 95/46) :

  • Les décisions d’adéquation – article 45 du RGPD : La Commission européenne peut reconnaître par une décision « d’adéquation » qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation assure un niveau de protection adéquat des données, facilitant ainsi les transferts vers ce pays sans autorisation spécifique. La liste de ces pays est régulièrement mise à jour par la Commission ;

  • Les clauses contractuelles types – article 46 du RGPD : Les entreprises peuvent avoir recours à des clauses contractuelles types mises en œuvre par la Commission européenne afin d’encadrer certains transferts de données et de garantir un niveau de protection des données similaire à celui du RGPD. Ces clauses ont été révisées et précisées le 4 juin 2021 ;

  • Les règles d’entreprises contraignantes (BCR) – article 47 du RGPD : les entreprises peuvent établir des règles d’entreprise contraignantes approuvées par les autorités de protection des données pour les transferts intragroupes de données personnelles. Ces règles sont contraignantes pour toutes les entités concernées du groupe d’entreprise ;

  • Les dérogations pour des situations particulières – article 49 du RGPD : Ce dernier prévoit une liste de dérogations en matière de transferts de données, en l’absence de décision d’adéquation ou de règles d’entreprise contraignantes. Parmi ces dérogations, le RGPD prévoit le consentement explicite des personnes concernées, qui peut être requis pour autoriser le transfert de données personnelles en dehors de l’UE mais aussi l’exécution d’un contrat ou encore pour des motifs d’intérêt public.

Sécurité des transferts de données personnelles

Risques associés aux transferts de données personnelles

Les transferts de données personnelles en dehors de l’Union européenne peuvent présenter plusieurs risques pour la protection des données personnelles, notamment le manque de protection par des législations moins strictes que celles de l’UE, ce qui expose les données des personnes concernées à des niveaux de protection moindre. En effet, une fois que les données ont été transférées hors de l’Union européenne, il peut être difficile pour les personnes concernées et les autorités de contrôles de l’UE d’exercer un contrôle sur ces données et la manière dont elles sont utilisées, stockées et protégées ou non.

Les individus peuvent ne pas bénéficier de recours dans certains pays pour demander réparation d’éventuelles violation de leurs données, ce qui peut rendre difficile en pratique la protection de leurs droits. Enfin, le niveau de protection des données peut varier considérablement d’un pays à l’autre, voire être remis en cause par d’autres impératifs, notamment en matière de surveillance gouvernementale.

Afin d’appréhender ces divergences de législation ou de réglementation, la Commission européenne tient compte dans l’élaboration de ses décisions d’adéquation des critères connexes à ceux mentionnés précédemment (article 45 du RGPD).

Elle a notamment souligné qu’il était crucial de s’assurer que les données personnelles transférées en dehors de l’UE bénéficiaient bien d’une protection équivalente à celle garantie dans l’UE, conformément aux exigences du RGPD, afin d’éviter tout risque de violation de la réglementation sur la protection des données, comme le souligne le considérant 104 du RGPD : « […] Le pays tiers devrait offrir des garanties pour assurer un niveau adéquat de protection essentiellement équivalent à celui qui est garanti dans l'Union […] »

Mesures de sécurité à déployer en cas de transferts de données

À la suite de l’invalidation de l’accord de transfert « Privacy Shield » entre l’UE et les Etats-Unis par l’arrêt Schrems II de la CJUE, le Comité européen de la protection des données (CEPD) a joué un rôle central afin de guider et d’orienter les entités concernées en Europe, dans le cadre de l’encadrement de leurs transferts de données vers des pays tiers. Ces recommandations avaient aussi pour objet de veiller à la prise en compte des standards fixés par la CJUE.

Le CEPD a ainsi publié ses recommandations (Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE Adoptées le 10 novembre 2020) qui visent à aider les acteurs à identifier et mettre en œuvre les mesures supplémentaires requises par l’état du droit.

En effet, ces recommandations avaient pour objet de compléter les dispositions du RGPD, sur la base de la jurisprudence de la CJUE, afin de préciser les moyens supplémentaires que les responsables de traitement et sous-traitants doivent adopter pour garantir un niveau de protection adéquat lors de transferts de données vers des pays tiers.

Ces recommandations visent notamment à fournir des méthodologies pour évaluer si des actions supplémentaires sont nécessaires pour sécuriser les transferts de données et lesquelles choisir. Le but étant de s’assurer que les données personnelles transférées bénéficient d’une protection adéquate au sein du pays tiers, conformément au RGPD et à l’arrêt Schrems II de la CJUE :

CJUE, 16 juillet 2020, C-311/18 : 134 « Il appartient, dès lors, avant tout, à ce responsable du traitement ou à son sous-traitant de vérifier, au cas par cas et, le cas échéant, en collaboration avec le destinataire du transfert, si le droit du pays tiers de destination assure une protection appropriée, au regard du droit de l’Union, des données à caractère personnel transférées sur le fondement de clauses types de protection des données, en fournissant, au besoin, des garanties supplémentaires à celles offertes par ces clauses. »

Dans ses recommandations 01/2020, le CEPD précise la nature des mesures supplémentaires, qui peuvent être :

  • Des mesures contractuelles (notamment par la mise en place de clauses et annexes au contrat qui renforcent la transparence (pt99, 103 et suivants) ;

Ces mesures peuvent être déclinées en audits et inspections des installations de traitement de données de l’importateur de données, sur place ou à distance afin de vérifier si des données ont été divulguées aux autorités publiques et dans quelles conditions (pt105 et suivants).

Lorsque le pays où l’importateur se trouve initialement respecte des normes de protection des données similaires à celles de l’UE pour les données transférées, l’exportateur de données peut exiger que l’importateur notifie rapidement s’il ne peut pas respecter les termes du contrat, notamment en ce qui concerne le niveau de protection similaire des données. Cette incapacité peut notamment résulter de changements de la législation ou pratique du pays tiers (pt107, 108 et suivants).

  • Des mesures organisationnelles :

Il s’agit de mesures telles que des politiques internes et des normes internes appliquées par les responsables de traitement et sous-traitants qui peuvent être mises en place pour assurer une protection des données personnelles. Ces dernières aident à sensibiliser les exportateurs aux risques liés à l’accès aux données dans des pays tiers et renforcent leur réactivité.

Néanmoins, le CEPD a ajouté que la seule mise en œuvre de telles mesures organisationnelles ne garantissait pas que le transfert de données respectait bien la norme d’équivalence exigée par les dispositions de l’UE. Les mesures organisationnelles devraient être complétées par des mesures contractuelles et techniques en fonction des circonstances afin de garantir un niveau de protection des données à caractère personnel essentiellement équivalent à celui garanti au sein de l’UE (pt122 et suivants)

  • Des mesures techniques :

Dans les différentes mesures techniques évoqués, le CEPD énumère la pseudonymisation (pt80), le chiffrement (pt84), le transfert de données à un importateur de données dans un pays tiers spécifiquement protégé par le droit national en tant que destinataire protégé (pt85) ou encore le traitement fractionné ou multipartite de données (pt86).

Les recommandations du CEPD soulignent également (comme le stipule la CJUE dans son arrêt Schrems II) que si l’importateur ne peut pas respecter les clauses de protection des données du contrat, l’exportateur et l’importateur doivent arrêter le transfert ou mettre fin au contrat (pt5).

Parfois, même avec des mesures supplémentaires, il peut être impossible de garantir un niveau de protection équivalent. Dans de tels cas, l’exportateur doit arrêter le transfert pour éviter de compromettre la protection des données.

De façon générale, le CEPD a souligné que tout exportateur doit évaluer les mesures supplémentaires mises en œuvre avec soin et les documenter (résumé des recommandations 01/2020).

Bien que l’article 35 du RGPD ne fasse pas mention des transferts de données, le recours à une analyse d’impact sur la protection des données peut s’avérer pertinent pour évaluer les risques pour les droits et libertés des personnes concernées, ainsi que les mesures envisagées pour faire face aux éventuels risques, y compris les garanties et mécanismes de sécurité pour assurer la protection des données. Le CEPD a ainsi milité en faveur d’une forme d’analyse d’impact dédiée (« transfer impact assesment »).


Scraping de données à caractère personnel, est-ce légal ?

 La massification exponentielle des données et notamment des données à caractère personnel et la concurrence à laquelle se livrent les sociétés ont conduit à l’émergence de nouvelles pratiques en ligne, dont fait notamment partie le « scraping ».

Le scraping : comment le définir ?

Cette pratique relativement récente correspond à la collecte et à l’extraction de données par l’intermédiaire de logiciels ou de programmes d'extraction qui permettent de collecter des informations depuis des sources accessibles publiquement sur internet. C’est le cas notamment sur des réseaux sociaux professionnels comme LinkedIn.

La valeur liée à ces données en ligne ainsi que les informations directes ou indirectes en découlant ont amené de nombreux acteurs à recourir à cette pratique souvent controversée. En effet, il existe des zones d’ombres qui entourent la légalité du recours au scraping.

Pourquoi recourir au scraping ?

Cette technique est surtout utilisée pour le traitement, l’analyse et la revente de données ainsi que pour le démarchage commercial, que ce soit par des sociétés collectant elles-mêmes ces données pour leur propre compte ou par l’intermédiaire de prestataires spécialisés en la matière.

Dans la pratique, la collecte peut recouvrir une pluralité de données, des données à caractère personnel bien entendu, mais aussi d’autres catégories de données non personnelles comme des données commerciales, financières ou statistiques liées à des biens ou des sociétés etc.

Le recours au scraping présente à première vue des enjeux économiques et concurrentiels évidents. En effet, cette pratique peut être utilisée en matière de ressources humaines (RH) pour collecter des informations sur de potentiels candidats à un emploi ou collecter des informations sur des profils pertinents et talentueux, en extrayant les données de sites professionnels ou de réseaux sociaux. Mais aussi, en détournant les modes de collecte et d’analyse de ces derniers pour organiser d’autres traitements ou opérations non prévus initialement.

Quel encadrement juridique du scraping ?

Le scraping est encadré par les articles L. 342-1 à L. 342-3 du Code de la propriété intellectuelle qui ne font pas une référence directe à la notion de scraping, mais peuvent être applicables à certaines formes de scraping telles que l’extraction et la réutilisation de contenus.

En effet, l’article L. 342-1 prévoit notamment que :

« Le producteur de bases de données a le droit d'interdire :

1° L'extraction, par transfert permanent ou temporaire de la totalité ou d'une partie qualitativement ou quantitativement substantielle du contenu d'une base de données sur un autre support, par tout moyen et sous toute forme que ce soit ;

2° La réutilisation, par la mise à la disposition du public de la totalité ou d'une partie qualitativement ou quantitativement substantielle du contenu de la base, quelle qu'en soit la forme. »

A cet effet, dans le cadre de la mise en œuvre d’un site web, il apparaît nécessaire de prévoir que l'extraction et la réutilisation de ses données seront interdites (en mentionnant au besoin l’interdiction de dispositifs d’extraction tels que le scraping), avec une mention spécifique dans les conditions générales.

Par ailleurs, dès lors que les données à caractère personnel présentes sur un site font l'objet d'une collecte et donc d’un traitement de données au sens du RGPD, elles bénéficient des dispositions de ce même règlement. C’est-à-dire que leur traitement doit reposer sur une base légale prévu par le RGPD et respecter les principes de ce dernier (minimisation des données, sécurité des données, finalités des traitements, encadrement des traitements ultérieurs etc.).

Il en résulte une certaine complémentarité entre ces normes, dans la mesure où le Code de la propriété intellectuelle permet aux exploitants de sites web de se prémunir contre l'extraction et la réutilisation de tout ou partie des données ou des données personnelles qu’ils contiennent. Pour ce faire, il importe de prévoir des interdictions d’extraction et/ou réutilisation dans les CGU de ces derniers sites. Par ailleurs, lorsque ces CGU n’interdisent pas l'extraction ou la réutilisation des données, les dispositions du RGPD trouvent néanmoins à s’appliquer aux collectes de données à caractère personnel qui peuvent résulter de cette absence d’interdiction. Mais aussi aux traitements ultérieurs de ces données. Ces traitements ultérieurs doivent dès lors reposer sur des bases légales conformément au RGPD.

Scrapez en toute légalité : respectez les CGU des sites source des données

Avant d’avoir recours à toute forme de scraping, il est nécessaire de vérifier la nature et l'origine des données, ainsi que le cadre qui leur est applicable certaines plateformes et sites interdisant cette pratique dans leurs conditions générales d’utilisations (CGU).

A titre d’exemple, un réseau social professionnel prévoit dans ses CGU l’interdiction du scraping : Vous vous engagez à ne pas : « […] 2.développer, prendre en charge ou utiliser des logiciels, des dispositifs, des scripts, des robots ou tout autre moyen ou processus (notamment des robots d’indexation, des modules d’extension de navigateur et compléments, ou toute autre technologie) visant à effectuer du web scraping des Services ou à copier par ailleurs des profils et d’autres données des Services ; »

Autre exemple, un site français de petites annonces prévoit lui aussi cette interdiction : « X est producteur des bases de données liées au Site et aux Applications. En conséquence, toute extraction et/ou réutilisation de tout ou partie de ces bases de données, au sens des articles L 342-1 et L 342-2 du code de la propriété intellectuelle, est interdite. »

Scrapez en toute légalité : respectez les principes du RGPD

  • Sur le consentement des personnes concernées :

Les personnes qui partagent publiquement leurs données avec un premier responsable de traitement ne s'attendent pas à ce que leurs données soient utilisées à d'autres fins que celle auxquelles elles avaient initialement consenti. Ainsi, une société effectuant de la prospection commerciale directe à l’aide de données issues de la pratique du scraping devra recueillir le consentement préalable, libre, spécifique, éclairé et univoque des personnes concernées.

Le scraping peut ainsi être une pratique litigieuse. A titre d’exemple, le 8 décembre 2020, la CNIL avait sanctionné à hauteur de 20 000€ la société Nestor, car celle-ci avait effectuée des sollicitations commerciales de prospects sans qu’aucun consentement n’ait été obtenu de leur part. A noter que la base de données de prospects de Nestor avait été constituée par scraping à partir de données issues de LinkedIn.

En 2023, la CNIL a aussi sanctionné à hauteur de 20 millions d’euros la société américaine Clearview AI pour avoir utilisé la technique du scraping afin de collecter des photographies et images de millions de personnes en ligne sans base légale et sans avoir informé les personnes des traitements de leurs données. La société s’était également abstenue de répondre aux demandes d’exercice des droits des personnes concernées.

  • Sur le droit d’opposition des personnes concernées :

Une société devra aussi respecter ce droit prévu par le RGPD, y compris celui des personnes préalablement opposées aux sollicitations commerciales en étant inscrites sur des listes anti-prospection ou auprès du dispositif Bloctel.

Scraping : quelles bonnes pratiques à mettre en œuvre selon la CNIL ?

RGPD : respect du principe de minimisation des données

Les sociétés recourant au scraping doivent minimiser la collecte de données à ce qui est strictement nécessaire et ne collecter que les données nécessaires aux fins de sollicitations commerciales : nom, prénom, e-mail, tout en recueillant préalablement le consentement de la personne sollicitée pour la finalité de sollicitation commerciale.

RGPD : informer les personnes concernées par le traitement de leurs données personnelles

Les sociétés doivent fournir les informations de l'article 14 du RGPD de manière concise, compréhensible et facilement accessible pour les personnes concernées, y compris les informations concernant la source des données.

RGPD : encadrer la relation contractuelle avec les sous-traitants

Un responsable de traitement qui engage un sous-traitant ayant recours au scraping pour son compte, devra veiller à la conformité de ce sous-traitant à l’égard du RGPD. Les contrats entre les parties devront aussi être conformes à l'article 28 du RGPD.

Exemple de pratique litigieuse : Reprenons notre exemple des CGU. Un sous-traitant est amené à collecter des données personnelles par scraping sur un site web alors que les CGU du site mentionnent une interdiction d’utiliser une telle pratique en vue d’extraire et réutiliser les données. Les données collectées par le sous-traitant de manière litigieuse sont ensuite réutilisées par le responsable de traitement. Une telle pratique est susceptible d’entraîner la mise en cause du responsable de traitement et du sous-traitant, sur le terrain de la protection des données comme sur le pénal au vu notamment des dispositions de l’article 323-3 du Code pénal. A ce titre, il reste essentiel pour tout responsable de traitement de veiller aux conditions de recueil de données personnelles par leurs sous-traitants, plus encore en matière de prospection commerciale.

Quels droits peuvent s’appliquer en cas de scraping illicite

Le scraping est une pratique qui peut être amené à tomber sous le joug d’une pluralité de dispositions légales et réglementaires. Cette pratique implique divers domaines du droit.

En effet, le scraping peut s’avérer contraire à certaines dispositions du droit de la propriété intellectuelle et du droit de la protection des données personnelles comme nous l’avons précédemment, mais aussi à l’égard du droit pénal.

Droit pénal et scraping : extraction frauduleuse de données

L’article 323-3 du Code pénal sanctionne l’extraction frauduleuse de données s’apparentant à une forme de scraping. En effet cet article prévoit que : « Le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 150 000 € d'amende. »

A ce titre, la Cour d’Appel de Paris a eu l’occasion de se prononcer par un arrêt intéressant en date du 15 septembre 2017, (M.X c/ Weezevent : jurisData n°2017-024213), aux termes duquel elle a déclaré M. X coupable d’infractions d’extractions frauduleuse de données contenues dans un système de traitement automatisée au préjudice de la société Weezevent et de la collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite.

Sur l’extraction frauduleuse, les CGU du site web de la société Weezevent mentionnaient clairement l’interdiction d’extraire et de réutiliser les données du site web. Pour autant et en dépit de l’interdiction mentionnée dans ces CGU et tout en ayant lu lesdites CGU, M. X a procédé à l’extraction de 16% des données du site. La Cour a relevé que M. X avait en conséquence alimenté son site concurrentiel qu’il exploitait avec les données du site de Weezevent et ce alors qu’il ne pouvait extraire ces données sans autorisation expresse de la société Weezevent.

Sur la collecte de données à caractère personnel par un moyen frauduleux, déloyal et illicite, l’intention frauduleuse de la collecte était caractérisée, pour la Cour, par l’utilisation de scripts spécialement conçus pour collecter de manière sélective des données personnelles (adresses mail) de personnes morales, mais surtout de personnes physiques, à l’insu de ces personnes et dans un but purement concurrentiel, à des fins d’exploitation économique. Ce dernier aspect était souligné par la Cour, ce qui démontrait les limites à apporter au scraping à des fins économiques.

Autant d’éléments qui soulignent la nécessité d’encadrer toute forme de collecte de données qui pourrait s’apparenter au scraping, que ce soit de manière directe ou indirecte, via des prestataires.

Le cabinet DEROULEZ AVOCATS, expert en droit des données personnelles, vous accompagne sur l’ensemble de ces problématiques. Contactez nos avocats pour évaluer ou assurer la conformité de vos collectes de données face au RGPD et aux autres réglementations en la matière !

Qu’est-ce que le droit à l’oubli ?

L’article 8 de la Chartes des droits fondamentaux de l’Union européenne consacre le droit fondamental à la protection des données à caractère personnel.

Dans la pratique, c’est le règlement général sur la protection des données personnelles (RGPD) et la loi informatiques et libertés qui mettent en œuvre ce droit fondamental aux bénéfices des personnes dont les données personnelles font l’objet de traitements.

A ce titre, les personnes concernées disposent des droits suivants : 

  • Droit d’information ; 

  • Droit au retrait du consentement ;

  • Droit d’accès ;

  • Droit d’opposition ; 

  • Droit de rectification ;

  • Droit à l’effacement (droit à l’oubli)

  • Droit à la limitation du traitement ;

  • Droit à la portabilité.

Qu’est-ce que le droit à l’oubli ?

Le droit à l’oubli au regard du RGPD

Au titre de l’article 17 du RGPD, le droit à l’oubli permet à la personne concernée « d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais. »

Dans quels cas faire valoir son droit à l’oubli ?

Une personne peut demander à une organisation l’effacement des données personnelles la concernant notamment dans les situations suivantes : 

  • Les données personnelles de la personne ne sont plus ou pas nécessaires au pour atteindre la finalité pour laquelle elles étaient collectées (par exemple, à la suite d’une phase de recrutement par un employeur, un candidat qui s’est vu refuser un poste demande la suppression de son CV auprès du responsable de traitement recruteur) ;

  • La personne concernée a retiré son consentement à l’utilisation de ses données personnelles (par exemple, une personne avait consenti à l’utilisation de son adresse-mail pour la réception de newsletters, elle retire son consentement, son adresse e-mail en tant que donnée personnelle doit être supprimée en conséquence) ;

  • Les données personnelles font l’objet d’un traitement illicite (par exemple, le traitement de données piratées) ;

  • Les données personnelles doivent faire l’objet d’un effacement en vertu d’une obligation légale prévue par le droit de l’Union européenne ou le droit national (par exemple, si le traitement de données personnelles effectué est illicite. En l’absence d’une telle base légale conformément au RGPD, le responsable traitement devra supprimer les données personnelles)

Le droit à l’oubli permet la suppression de données personnelles dans plusieurs contextes. Les personnes concernées peuvent aussi le déréférencement de leurs données à caractère personnel, qui permet de demander la suppression de certains liens vers des informations personnelles dans le cadre spécifique des moteurs de recherche. Au titre des lignes directrices 5/2019 du Comité européen sur la protection des données, plusieurs motifs peuvent être retenus pour demander le déréférencement :

  • Lorsque les données à caractère personnel ne sont plus nécessaires au regard du traitement par le fournisseur de moteurs de recherche ;

  • Lorsque la personne concernée a retiré son consentement ;

  • Lorsque la personne concernée exerce son droit d'opposition au traitement de ses données à caractère personnel ;

  • Lorsque les données à caractère personnel ont fait l'objet d'un traitement illicite ;

  • Lorsque les données à caractère personnel doivent être effacées pour respecter une obligation légale ;

  • Lorsque les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information à un enfant.

Comment exercer le droit à l’oubli ?

Identifier l’organisme qui détient vos données

Afin d’exercer le droit à l’oubli, il faut contacter directement l’organisme qui détient vos données personnelles.

  1. méthodes pour retrouver les coordonnées de l’organisme : 

  • Ces coordonnées sont disponibles dans les rubriques présentes en bas de page des sites internet. La rubrique la plus communément utilisé pour cela est souvent intitulée : « Politique de confidentialité », « Chartes de confidentialité », « Politique de protection des données », « Chartes de protection des données », « vie privée », « RGPD », « données personnelles » ;

  • Certains organismes ont communiqué à la CNIL les coordonnées de leur délégué à la protection des données (DPO), qui sont disponibles sur les listes de contacts publiées par la CNIL : https://www.data.gouv.fr/fr/datasets/organismes-ayant-designe-un-e-delegue-e-a-la-protection-des-donnees-dpd-dpo/

  • Il sera possible de s’adresse directement à l’organisme via un formulaire de contact ou via l’adresse générique de contact, présente dans les « mentions légales » ;

  • Enfin, en l’absence de site web du responsable de traitement et de ses coordonnées, il est possible de recourir à de sites tels que Infogreffe ou societe.com qui disposent d’annuaire d’entreprises identifiables par leur nom ou n°SIREN par exemple.

Exercer effectivement son droit à l’oubli

3 éléments sont à prendre en compte pour exercer son droit à l’oubli : 

  • Tout d’abord ce droit pourra s’exercer par différents moyens : voie électronique (formulaire, e-mail etc.) ou par courrier au responsable de traitement ;

  • L’exercice de ce droit implique d’identifier et d’indiquer quelles données doivent être effacées. La demande de suppression de certaines données ne sera pas possible, notamment les factures et autres documents comptables pour lesquels une obligation légale exige la conservation ;

  • En cas de doutes quant à l’identité du demandeur, un document d’identité peut être demandé par le responsable de traitement ;

  • Conserver une copie des démarches peut permettre de saisir la CNIL en cas d’absence de réponse ou réponse insatisfaisante. L’usage de la capture d’écran est recommandé par la CNIL pour les demandes électronique et l’accusé de réception pour les demandes postales.

Refus ou absence de réponse au droit d’oubli ?

Que faire en cas de refus ou absence de réponse ?

Le responsable de traitement doit supprimer les données personnelles sous 1 mois ou 3 mois si la/les demande(s) sont complexe(s).

Si le délai est porté à 3 mois, alors la personne concernée doit être informée des raisons de cette prolongation. 

En l’absence de réponse ou si celle-ci est insatisfaisante, la personne concernée pourra saisir la CNIL : https://www.cnil.fr/fr/adresser-une-plainte

Limites au droit à l’oubli

Le droit à l’oubli n’est pas absolu et comporte des limites. Ainsi, le responsable de traitement ou DPO peut être amené à refuser et limiter une demande de droit à l’oubli au regard des situations listées ci-dessous : 

  • Une obligation légale prévue par le droit de l’Union européenne ou le droit de l’Etat membre (par exemple, une facture devra être conservée pendant 10 ans.) ;

  • L’exercice du droit à la liberté d’expression et d’information (par exemple, selon le Comité européen sur la protection des données , dans le cadre des déréférencements, les fournisseurs de moteurs de recherche peuvent refuser de déréférencer un contenu lorsqu'ils sont en mesure de démontrer que son inclusion dans les résultats de recherche est strictement nécessaire pour protéger la liberté d'information des internautes) ;

  • L’exécution d’une mission d’intérêt public dans le domaine de la santé ;

  • L’utilisation des données à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique, historique ou statistiques (Selon le Comité européen sur la protection des données, le fournisseur de moteur du recherche devra démontrer de façon objective que le déréférencement du contenu entrave ou empêche la réalisation d'objectifs de recherches scientifiques, historiques ou statistiques) ;

  • Dans le cadre de contentieux, pour l’exercice ou défense de droits en justice.

Il est important de souligner que le droit à l’oubli n’est pas automatique et nécessité une action proactive de la personne concernée afin qu’il puisse être exercé efficacement. A cet effet, le droit à l’oubli ne s’applique pas automatiquement puisque la personne concernée devra prendre l’initiative de demander la suppression de ses données personnelles au responsable de traitement.

Dans les autres situations, le responsable de traitement supprime celles-ci à l’expiration d’un délai de conservation qu’il aura fixé préalablement à la collecte et à l’utilisation desdites données personnelles.

Responsable de traitement : comment réagir à une demande de droit à l’oubli ?

Dans le cadre des traitements qu'il est amené à effectuer, le responsable du traitement doit répondre de manière appropriée aux demandes d'exercice de droit et notamment du droit à l'oubli. Voici quelques étapes clés pour répondre à une demande de droit à l’oubli.

Droit à l’oubli : identifier la personne à l'origine de la demande

Lors de la réception d'une demande de droit à l'oubli, la personne chargée des questions de protection des données personnelles auprès du responsable de traitement ou son DPO vérifient l'identité de la personne qui effectue la demande afin de s'assurer qu'elle a le droit de demander la suppression des données. 

Dans ces circonstances, en cas de doutes, il peut être nécessaire de demander des informations d'identification pour confirmer l'identité de la personne concernée (par exemple, une copie d'une carte d'identité.).

Droit à l’oubli : confirmer et évaluer la validité de la demande

Le responsable de traitement ou DPO s'assure que la demande de droit à l'oubli est valide :  c'est notamment le cas lorsque les données d'une personne sont inexactes, obsolète ou plus nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées initialement. 

Le responsable de traitement doit déterminer si les données à supprimer satisfont les critères de suppression prévus par les législations et réglementations en vigueur. Par exemple, une demande de droit à l'oubli qui vise des factures d'achat ne sera pas valable étant donné que la loi exige la conservation de telles données pour une durée de 10 ans. En effet, dans ce cas précis, une obligation légale restreint l'exercice du droit à l'oubli.

Dans le cas où la demande de droit à l'oubli est fondée, alors il sera possible de supprimer ou anonymiser les données en question.

Droit à l’oubli : communiquer avec la personne concernée

Tout au long du processus de réponse à la demande de droit à l'oubli, le responsable de traitement communique avec la personne concernée : 

  • D’abord, il contacte la personne qui a fait la demande et lui faire savoir qu'il a bien reçu sa demande d'exercice de droit à l'oubli ;

  • Il lui fait également savoir qu’il se charge de traiter sa demande ;

  • Il indique le délai prévu pour répondre à la demande conformément aux normes en vigueur.

Droit à l’oubli : supprimer ou anonymiser les données

Le processus de suppression ou d’anonymisation des données comprend plusieurs points clés :

  • Dès lors que la demande est valide, le responsable de traitement procède à la suppression ou anonymisation des données personnelles concernées, y compris toutes les copies et références aux données en question.

  • De plus, le responsable de traitement informe les tiers, notamment les sous-traitants qui détiennent ces mêmes données personnelles et leur demande de prendre des mesures similaires pour supprimer les données de leur système de traitement. Pour cela, le responsable de traitement peut rappeler au sous-traitant, les obligations qui lui incombent en matière de suppression des données au titre du contrat qui le lie au responsable de traitement.

Droit à l’oubli : répondre à la personne concernée et documenter la demande

Le responsable de traitement informe la personne qui a effectué la demande que les données ont bien été supprimées ou anonymisées conformément à sa demande.

Enfin, le responsable de traitement documente un registre dans lequel il recense la demande de la personne et la réponse qu'il a apportée pour exercer effectivement le droit à l'oubli de cette dernière. Cela permet de démontrer la conformité de l’organisation en la matière en cas de contrôle de la CNIL.

RGPD : Quelles obligations pour les employeurs ?

Les entreprises constituent des environnements de traitement de données à caractère personnel important. De ce fait, chaque employeur doit respecter la législation et la réglementation en vigueur pour assurer la protection des données recueillies auprès de ses salariés.

Exemples :

  • Recrutement

  • Gestion des ressources humaines

  • Suivi du temps de travail

  • Gestion des carrières

  • Gestion de la paie

  • Gestion des accès à l’entreprise

  • Vidéosurveillance

Quelles responsabilités pour l’employeur ?

Au sein de l’entreprise, c’est l’employeur qui est le responsable de traitement des données personnelles. C’est sur lui que repose la responsabilité de mise en œuvre de mesures techniques et organisationnelles pour s’assurer que les traitements soient conformes au RGPD. C’est également l’employeur qui doit démontrer la conformité des traitements de données de la société lors d’éventuels contrôles (CNIL, DDPP etc.).

L’employeur a donc les obligations suivantes :

  • Assurer le respect des principes du RGPD ;

  • Tenir un registre des traitements ;

  • Désigner un délégué à la protection des données (DPO) ;

  • Sécuriser les données à caractère personnel ;

  • Mettre en place une procédure de violation de données personnelles ;

  • Assurer le droit à la transparence ;

  • Assurer les droits des salariés.

L’obligation de tenir un registre des traitements (Article 30 du RGPD)

La mise en œuvre d’un registre de traitements permet de recenser de manière exhaustive l’ensemble des traitements en place au sein de l’entreprise. Cela permet de s’assurer de la conformité des traitements au RGPD et de mettre ces registres à la disposition de la CNIL en cas de contrôle.

Conformément à l’article 30 du RGPD, les structures de plus de 250 salariés ont l’obligation de mettre en place un registre de traitement sous forme écrite ou électronique. Dans certaines circonstances, les structures n’atteignant pas ce seuil sont aussi soumises à cette obligation de mise en œuvre d’un registre des traitements dans la mesure où :

  • Le traitement est susceptible de comporter un risque pour les droits et libertés des salariés ;

  • Le traitement n’est pas occasionnel (par exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.)

  • Le traitement porte sur des données sensibles ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions (par exemple : les traitements de données en laboratoire ou les traitements en milieu hospitalier).

Le registre des traitements doit comporter les éléments suivants :

Nom et coordonnées du responsable de traitement, le cas échéant de son représentant et du délégué à la protection des données (DPO) ;

Finalités du traitement ;

  • Description des catégories de personnes concernées ;

  • Description des catégories de données concernées ;

  • Catégories de destinataires auxquels les données sont ou seront transmises ;

  • Le cas échéant, les transferts de données vers un pays tiers ou organisation internationale ;

  • Si possible, les délais d’effacement des diverses catégories de données à caractère personnel.

  • Si possible, une description des mesures de sécurité techniques et organisationnelles.

Faut-il désigner un DPO au sein de l’entreprise ? (Article 37 du RGPD)

Les entreprises qui effectuent des opérations de traitement du fait de la nature des traitements, de la portée, des finalités ou qui exigent un suivi régulier et systématique à grande échelle des salariés doivent obligatoirement désigner un délégué à la protection des données (DPO).

Qui est le DPO ? Quels sont ses rôles au sein de l’entreprise ?

Le DPO peut être un prestataire de service extérieur ou un salarié de l’entreprise. Ses coordonnées doivent être publiées et communiquées à la CNIL. En vertu des articles 39 et 38 du RGPD, le DPO a les missions suivantes :

:

  • Informer et conseiller le responsable de traitement quant aux obligations qui lui incombent en matière de protection des données personnelles ;

  • Contrôler le respect de la réglementation issue du RGPD et de la loi informatique et Libertés ;

  • Conseiller le responsable de traitement lors de la mise en œuvre d’une analyse d’impact relative à la protection des données (AIPD) ;

  • Coopérer avec la CNIL ;

  • Agir en tant qu’intermédiaire de contact avec la CNIL sur toutes les questions relatives aux traitements.

L’obligation de sécuriser les données personnelles (Article 32 du RGPD)

Le responsable de traitement doit assurer la protection des données en mettant en place des dispositifs de protection. Ainsi, il doit assurer la sécurité des données face à des risques de pertes de données, piratages, ou tout facteur susceptible d’entraîner la destruction, la perte, l’altération, la divulgation non autorisée des données. Mais aussi, l’accès non autorisée à celles-ci de manière accidentelle ou illicite.

Le RGPD préconise plusieurs mesures de sécurité des données

  • La pseudonymisation et chiffrement des données personnelles ;

  • La mise en place de moyens permettant d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et services de traitements ;

  • La mise en place de moyens de rétablissement de disponibilité et accès des données personnelles dans des délais appropriés en cas d’incident ;

  • La mise en place de procédures destinées à tester, analyser et évaluer l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité des traitements.

Le responsable de traitement doit également assurer la sécurité des données

  • Utiliser des logiciels sécurisés

  • Utiliser des antivirus sûrs et mis à jour 

  • Procéder au changement de mot-de-passe, et veiller à ce qu’ils soient suffisamment forts

  • Effectuer des sauvegardes régulières 

  • Sécuriser les accès wifi 

  • Établir une Chartes informatique destinée aux salariés contenant des bonnes pratiques permettant de limiter les intrusions malveillantes

En pratique, l’employeur a l’obligation de mettre en place ce type de mesures techniques pour maintenir l’environnement de travail sécurisé en protégeant les systèmes de traitements de données et les données personnelles elles-mêmes. Cela permet d’anticiper et contre les menaces potentielles (exemples : logiciels malveillants, piratage, violation de données etc.).

L’employeur doit mettre en place une procédure de traitement des violations de données personnelles (Article 33 du RGPD)

Les violations de données peuvent entrainer un risque d’atteinte aux droits et libertés des salariés, en particulier une atteinte à la vie privée. C’est pourquoi, les violations qui présentent des « risques » ou « risques élevés » pour les droits et libertés des salariés doivent être notifiées à l’autorité de protection des données personnelles (CNIL). C’est le cas par exemple en cas de violation concernant l’adresse postale du salarié, les données relatives à ses congés maladie, ses antécédents médicaux ou son numéro de sécurité sociale (NIR) etc.

Le responsable du traitement doit notifier, à minima, les éléments suivants à l’autorité :

  • La nature de la violation (affectant l’intégrité, la confidentialité ou la disponibilité des données) ;

  • Les catégories et le nombre approximatif des personnes concernées ;

  • Les catégories et le nombre approximatif d'enregistrements concernés ;

  • Les conséquences probables de la violation ;

  • Les coordonnées de la personne à contacter (DPO ou référent RGPD) ;

  • Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

Le responsable du traitement doit effectuer une notification de violation de données à la CNIL dans les meilleurs délais, sous 72h maximum après la prise de connaissance de la violation.

Il est possible d’effectuer une notification en deux temps, dans le cas où le responsable du traitement ne dispose pas de toutes les informations requises dans le délai de 72h :

  • Une notification initiale est établie dans un délai de 72h après constatation de la violation

  • Après dépassement du délai de 72h, une notification doit tout de même être effectuée, mais il faudra expliquer/justifier des motifs de retard.

  • Une notification complémentaire doit être effectuée dès que les informations complémentaires sont disponibles.

En pratique le responsable du traitement devra faire preuve d’anticipation afin d’éviter de recourir à la notification en deux temps.

L’obligation d’assurer le droit à la transparence des salariés (Article 48 du RGPD)

La législation et la réglementation en vigueur imposent un principe de transparence quant aux informations, communications et modalités d’exercice des droits salariés concernés par les traitements de données personnelles.

Le droit à la transparence se retrouve au travers du droit d’information dont bénéficient les salariés

  • Lors de la collecte des données ;

  • Sur les droits des salariés une fois les données personnelles collectées ;

  • En cas de violation de données personnelles ;

  • En cas d’exercice de ses droits.

A noter : Une vigilance particulière doit être apportée au droit à la transparence au regard de son importance et de la redondance des manquements liés à ce droit au sein des sanctions de la CNIL.

L’employeur doit garantir les droits de ses salariés

Le responsable du traitement ne peut pas refuser de donner suite à une demande d’exercice des droits des salariés conférés par le RGPD et la loi informatique et Libertés.

Les droits informatiques et libertés des salariés

Les droits informatiques et libertés des salariés sont les suivant :

  • Droit d’information lors de la collecte ;

  • Droit d’accès ;

  • Droit de rectification ;

  • Droit à l’effacement (droit à l’oubli ou droit de suppression) ;

  • Droit à la limitation du traitement ;

  • Droit à la portabilité des données ;

  • Droit d’opposition ;

  • Droit de ne pas faire l’objet d’une décision fondée sur un traitement automatisé ;

Droit d’information en cas de violation des données. L’essentiel à retenir :

L’employeur est responsable de traitement des données personnelles au sein de la société. Il s’assure de la mise en œuvre de mesures techniques et organisationnelles pour s’assurer que les traitements soient conformes au RGPD. Cette conformité lui permet notamment d’appréhender d’éventuels contrôles.

L’employeur a des obligations suivantes en vertu du RGPD :

  • Tenir un registre des traitements

S’assurer de la conformité des traitements recensés dans le registre vis-à-vis du RGPD. L’employeur doit également pouvoir mettre ce registre à disposition de la CNIL.

  • Désigner un délégué à la protection des données (DPO)

Le DPO est un interlocuteur de premier rang en matière de protection des données à caractère personnel, le RGPD lui consacre diverses missions qu’il doit effectuer au sein de la structure qui le désigne.

  • Sécuriser les données

L’employeur devra assurer la sécurité des données face à des risques de pertes de données, piratages, ou tout facteur susceptible d’entraîner la destruction, la perte, l’altération, la divulgation non autorisée des données ou encore l’accès non autorisée à celles-ci de manière accidentelle ou illicite.

  • Mettre en place une procédure de violation de données personnelles

Les violations de données personnelles susceptibles de porter atteintes aux droits et libertés des salariés doivent être signalées sous un délai de 78h maximum à la CNIL, l’autorité compétente en matière de protection des données à caractère personnel.

  • Assurer le droit à la transparence

La législation en vigueur impose un principe de transparence quant aux informations, communications et modalités d’exercice des droits salariés concernés par les traitements de données personnelles.

  • Assurer les droits des salariés

L’employeur fait suite aux demandes d’exercice des droits des salariés : information lors de la collecte, accès à ses données, rectification, effacement, limitation du traitement, portabilité des données, opposition, ne pas faire l’objet d’une décision fondé sur un traitement automatisé, information en cas de violation de données.

Attention :

Les obligations précédemment mentionnées doivent faire l’objet d’une documentation formalisées et de mises à jour.

Violation de données personnelles : que faire ?

Une violation de données à caractère personnel a lieu lorsqu’un traitement de données personnelles a été mis en œuvre et lorsque les données traitées font l’objet d’une violation (perte de disponibilité, d’intégrité, de confidentialité) de manière illicite ou accidentelle.

Tout organisme public ou privé, qu’il soit responsable du traitement ou sous-traitant et quelle que soit sa taille, est soumis à des obligations spécifiques dès lors qu’il traite des données personnelles et qu’il a connaissance d’une violation de données.

Qu’est-ce qu’une violation de données ?

La violation de données à caractère personnel est définie à l’article 4.12 du RGPD comme 
une violation de la sécurité de manière accidentelle ou illicite de laquelle résulte une destruction, perte, altération, divulgation ou accès non autorisée à l’égard des données à caractère personnel qui sont transmises, conservées ou traitées.

Quelles obligations en matière de violation de données ?

Il y a trois obligations principales en matière de violation des données :

  • Tenir un registre des violations ;

  • Notifier la violation à la CNIL ;

  • Informer les personnes concernées par la violation.

Première obligation : tenir un registre des violations de données

Cette obligation est à respecter quel que soit le niveau de risque encouru par la violation.

À la suite d’une violation de données, le responsable du traitement doit recenser au sein d’un registre des violations les faits concernant la violation, ses effets, mais aussi les mesures prises pour remédier à la violation. Cela permet au responsable de traitement de prouver le respect de ses obligations en la matière lors d’un éventuel contrôle par l’autorité de protection des données (CNIL).

Le responsable de traitement peut recenser tout élément relatif à la violation, toutefois le registre doit absolument contenir les éléments suivants :

  • La nature de la violation

  • Les catégories et le nombre approximatif des personnes concernées

  • Les catégories et le nombre approximatif d'enregistrements concernés

  • Les conséquences probables de la violation

Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

Le cas échéant, la justification de l’absence de notification auprès de la CNIL ou d’information aux personnes concernées.

Deuxième obligation : notifier la violation de données à la CNIL (ou à toute autre autorité compétente)

Cette deuxième obligation est à respecter s’il y a un risque ou risque élevé encouru par les personnes concernées.

En effet, une violation de données peut entrainer un risque d’atteinte aux droits et libertés des personnes, notamment une atteinte à la vie privée. C’est pourquoi, en vertu de l’article 33.1 du RGPD, les violations de données susceptibles d’entrainer des risques ou risques élevés pour les droits et libertés des personnes doivent être notifiées à l’autorité de contrôle (CNIL).

Que doit notifier le responsable du traitement à la CNIL ?

  • La nature de la violation (affectant l’intégrité, la confidentialité ou la disponibilité des données) ;

  • Les catégories et le nombre approximatif des personnes concernées ;

  • Les catégories et le nombre approximatif d'enregistrements concernés ;

  • Les conséquences probables de la violation ;

  • Les coordonnées de la personne à contacter (DPO ou autre) ;

  • Les mesures prises pour remédier à la violation et pour en limiter les conséquences négatives.

Quand faut-il notifier la violation à la CNIL ?

Le responsable du traitement doit notifier la violation de données à la CNIL dans les meilleurs délais, sous 72h maximum après la prise de connaissance de la violation.

La prise de connaissance par le responsable de traitement de la violation de données constitue le point de départ du délai de 72h. La prise de connaissance de la violation correspond au moment où le responsable du traitement a la certitude raisonnable qu’un incident a eu lieu et implique des données personnelles. Cette certitude raisonnable peut être établie par le responsable de traitement après avoir pris des mesures de détection des violations et d’investigations.

A noter : Il est possible d’effectuer une notification en deux temps, dans le cas où le responsable du traitement ne dispose pas de toutes les informations requises dans le délai de 72h :

  • Une notification initiale est établie dans un délai de 72h après constatation de la violation

  • Après dépassement du délai de 72h, une notification doit tout de même être effectuée, mais il faudra expliquer/justifier des motifs de retard.

  • Une notification complémentaire doit être effectuée dès que les informations complémentaires sont disponibles.

En pratique le responsable du traitement devra faire preuve d’anticipation afin d’éviter de recourir à la notification en deux temps.

Comment notifier à la CNIL ?

Le responsable de traitement public ou privé qui souhaite notifier à la CNIL une violation de données doit utiliser le téléservice de notification de violations : https://notifications.cnil.fr/notifications/index

Focus : les pouvoirs de la CNIL en matière de violation de données

Dans le cadre d’une violation de données, la CNIL exerce un rôle d’accompagnement des responsables du traitement en donnant d’éventuels conseils et observations relatives à des mesures de sécurité pour mettre un terme à la violation et/ou ses effets.

La CNIL peut également apporter une vérification sur la nécessité d’informer ou non les personnes concernées ou apporter des recommandations à ce sujet.

La CNIL a en parallèle un rôle de contrôle du respect des obligations du responsable de traitement : en effet, elle peut contrôler les obligations qui incombent au responsable du traitement, notamment la tenue du registre des violations, la vérification du degré de risque, le respect des délais ou encore le contenu des notifications. Elle peut sanctionner en conséquence tout manquement à l’une ou plusieurs de ces obligations.


Troisième obligation : informer les personnes concernées si elles font l’objet d’une violation de données

Cette troisième obligation est à respecter s’il y a un risque élevé encouru par les personnes concernées.

En cas de risque élevé pour les droits et libertés d’une personne concernée lors d’une violation, la personne doit être notifiée en des termes clairs et précis, des éléments suivants :

  • La nature de la violation ;

  • Les conséquences probables de la violation ;

  • Les coordonnées de la personne à contacter (DPO ou autre) ;

  • Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

A noter : Cette notification doit également, si nécessaire, être complétée de recommandations et mesures de précautions destinées à la personne concernée, afin d’atténuer les éventuels effets de la violation. Par exemple, le changement de mot-de-passe ou la demande de sauvegarde sur un support personnel des données sont des recommandations pertinentes.

Il existe des exceptions à l’obligation d’informer les personnes concernées dans les cas où :

  • Les données à caractère personnel affectées sont protégées par des mesures techniques et organisationnelles appropriées (chiffrement, clé non compromise etc…) et sont incompréhensibles pour celui qui n’est pas autorisé à y avoir accès.

  • Le responsable du traitement a pris des mesures qui conduisent à ce que le risque élevé n’est plus susceptible de se matérialiser.

  • La communication de la violation aux personnes concernées exige des efforts disproportionnés, notamment si le responsable du traitement n’a aucun élément pour contacter la personne concernée. Attention, le responsable du traitement peut toutefois effectuer une communication publique afin d’en informer le ou les personnes concernées.

Comment apprécier le degré de risque d’une violation de données ?

Les 3 obligations principales en matière de violation des données que sont la tenue d’un registre des violations, la notification de la violation à la CNIL et l’information des personnes concernées, sont exigibles en fonction du degré de risque de la violation de données (absence de risque, risque ou risque élevé).

Le responsable du traitement doit donc apprécier le degré de risque selon les éléments suivants :

  • Le type de violation (affectant l’intégrité, la confidentialité ou la disponibilité des données)

  • La nature, la sensibilité et le volume des données personnelles concernées

  • La facilité d’identifier les personnes touchées par la violation

  • Les conséquences possibles de celles-ci pour les personnes

  • Les caractéristiques de ces personnes (enfants, personnes vulnérables, etc.)

  • Le volume de personnes concernées

  • Les caractéristiques du responsable du traitement (nature, rôle, activités).

A noter : Une notification à la CNIL ne sera pas nécessaire dans les cas où une divulgation à la suite d’une violation porte sur des données déjà rendues publiques ou dans le cadre de la suppression de données sauvegardées et restaurées immédiatement etc…

Qu’est-ce que le RGPD ?

Introduction : Les grands principes du RGPD

Aujourd’hui nous allons parler des principes du RGPD, quand on parle de principe du RGPD, ce sont des principes clés qui structurent tout le droit de la protection des données personnelles. Ces principes sont au cœur du règlement général sur la protection des données personnelles, ils assurent les questions clés en termes de gouvernance. Comment est-ce qu'on va mettre en conformité une structure telle qu'elle soit : une entreprise, une association, un public privé etc…

Il y a trois choses importantes à noter quand on parle des principes du RGPD, découvrons-les ensemble.

Qu'est-ce que c'est qu'une donnée personnelle ?

Aujourd'hui, c'est une notion extrêmement large, c'est un nom, c'est un prénom, mais ça peut être aussi une donnée qui va être directement ou indirectement identifiante. On notera que, par rapport à l'évolution technologique, aujourd'hui, un certain nombre de données mises bout à bout permettent d'identifier des personnes. Et c'est la raison pour laquelle il faut être extrêmement prudent quand on parle de données pour savoir si on parle ou non de données personnelles. Quand on parle du droit à la protection des données, des principes du rgpd, il y a également la notion de traitement de données personnelles. Et ce sont ces fameux traitements qu'il faut rendre conforme au droit de la protection des données. Un traitement, c'est la collecte des données, la conservation des données, mais c’est aussi la destruction des données. À chaque fois, il faut que ces différents traitements soient conformes au droit de la protection des données et notamment à ces principes du rgpd.

Quels sont les principes du RGPD ?

Le principe de licéité du traitement des données : Il y a un premier principe de licéité, il faut que le traitement soit légal, qu'il soit conforme à une loi, un règlement à des dispositions à contractuel, etc.

Le principe de finalité : Je recueille des données pour un objectif, a priori, je ne peux pas les utiliser pour un autre objectif, ça c'est le principe de finalité.

Le principe de pertinence : Il y a un principe de pertinence, par exemple, je collecte des données dans le cadre d'un programme éducatif ou alors je collecte des données pour organiser un événement. Je ne dois alors collecter que les données qui sont pertinentes, ne pas aller au-delà et collecter une masse de données qui serait inutile et en tout cas qui serait disproportionnée.

Le principe d'exactitude : Pour le principe d'exactitude, on rejoint la notion de qualité des données. Je collecte des données, je fais en sorte qu'elle soit à jour, qu'elle soit de qualité pour justement éviter des erreurs dans le traitement de ces données personnelles.

Le principe de conservation des données : Il y a également un principe de conservation des données, il faut prévoir systématiquement une durée de conservation, une durée encadrée. Il faut que je puisse savoir combien de temps je vais garder les données informelles sur la durée de conservation des données.

Le principe de sécurité des données : Le dernier principe, c'est le principe de sécurité des données, c'est-à-dire que je collecte des données, je les conserve, je les détruis et à chaque fois, il faut que je mette en place des mesures spécifiques en termes de sécurité des données. Aujourd'hui c'est un point qui est extrêmement important, on le voit par exemple à travers les sanctions qui sont prononcées par la CNIL. Dans la majorité des sanctions, il y a eu des défauts en termes de sécurité des données.

Les grands principes sont des éléments structurants

Chaque responsable de traitement, celui qui collecte, qui traite les données, qui a la responsabilité de ces traitements de données personnelles, doit être à tout moment capable de montrer comment il a mis en place ces mesures.

Quels sont les outils déployés en termes de sécurité des données ? Qu'est-ce que vous avez fait ? Quelle mesure avez-vous effectivement prise pour fixer des durées de conservation qui soient limitées ? Comment est-ce que vous pouvez justifier de la base légale de votre traitement ?

Si vous n'êtes pas en mesure de démontrer le respect de ces dispositions, vous pouvez encourir des sanctions. Ce principe de responsabilité - principe d'accountability - aujourd'hui c'est un principe central qui irrigue tout le RGPD. Et c'est un élément qui doit être pris en compte, nous ne sommes plus dans un régime avec des formalités des déclarations préalables. Au contraire, à tout moment, vous devez veiller à votre conformité et faire en sorte qu'elle soit effectivement mise en place et conforme à ces principes.

Règlement général sur la protection des données : Qui est concerné ?

Je vais maintenant vous parler des droits des personnes concernées au sens de la protection des données personnelles. Alors, le droit des personnes concernées qu'est-ce que cela signifie ? Il s'agit des différents droits que chaque personne peut exercer dans différentes situations.

Par exemple : une situation dans laquelle une personne est un consommateur, une situation dans laquelle une personne est étudiante, une situation dans laquelle une personne bénéficie d'un service ou alors pour un salarié. Il y a des situations extrêmement différentes, dans lesquelles, à partir du moment où il y a traitement de données personnelles, chaque personne va pouvoir exercer certains droits.

Il ne s'agit pas de droit absolu, chaque droit va s'apprécier en fonction du moment où les données ont été collectées.

Par exemple, les droits ne vont pas s'exercer de la même manière, quand j'ai donné mon consentement pour le traitement de mes données de santé, que lorsqu’il s'agit d'un étudiant qui s'est inscrit dans une association pour avoir accès à certaines activités.

Alors au sujet de ces droits, je vais évoquer 5 aspects spécifiques.

Quels sont ces fameux droits des personnes concernées ?

Il y a plusieurs droits :

  • Il y a le droit d'avoir accès à ces données de savoir quelles sont les données qui sont traitées.

  • Il y a le droit de rectification des données, mes données ont mal été collectées, il y a des erreurs, des erreurs qui me sont préjudiciables, je veux qu'elles soient rectifiées.

  • Il y a le droit d'opposition au traitement des données, quand je ne veux pas que mes données puissent faire l'objet d'un traitement.

  • Il y a le droit de demander leur effacement.

  • Le droit à la portabilité des données, c'est un nouveau droit qui a été inscrit par le RGPD. Vous changez d'un opérateur par exemple en matière de téléphonie ou d'assurance, vous pouvez demander la portabilité de vos données personnelles.

  • Il y a également la possibilité de demander la limitation du traitement de données personnelles qui a été ou qui pourrait être effectué.

Voilà les principaux droits des personnes concernées, de chaque personne concernée au sens du RGPD.

Garantir l'effectivité du droit de la protection des données personnelles

Le deuxième aspect, c’est : Quel est l'objectif ? L'objectif, c'est de garantir l'effectivité du droit de la protection des données personnelles. J'ai un certain nombre de droits dans le cadre de cette législation européenne, dans le cadre des législations nationales et je dois pouvoir les faire valoir je dois pouvoir les exercer. On parle beaucoup, en utilisant le terme anglais d’empowerment, du fait qu’on a un certain nombre de droits et qu’on doit pouvoir les faire respecter.

Afin qu'il y ait une vraie garantie du droit à la protection des données personnelles car, il ne faut pas l'oublier, le droit à la protection des données personnelles, c'est un droit fondamental.

L’exercice de ses droit et les délais encadrés par le rgpd

L'exercice de ses droits ça veut dire qu'il faut une procédure. Cela signifie qu'aujourd'hui il y a des délais qui sont encadrés par le RGPD. Par exemple : Je suis un consommateur, je constate que mes données ont été utilisées d'une façon qui n'est pas conforme à l'information qui m'a été donnée. J'écris, je prends contact, et normalement, on doit me répondre dans un délai d'un mois.

Dans certains cas, quand les demandes sont plus complexes, le délai peut être porté à 3 mois. En tout cas, le point important, c'est qu'aujourd'hui, d'une part, il faut une réponse. Et deuxièmement, il y a des délais qui sont encadrés, à défaut de réponse dans les délais, toute personne peut écrire à une autorité de contrôle, notamment la CNIL, pour se plaindre de l'absence de réponse.

Les modalités d'information et de transparence des données personnelles

Ce que nous venons de voir signifie aussi qu'il faut une information et une transparence vis-à-vis des personnes concernées. Là encore, il faut aussi avoir à l'esprit que cette information, cette transparence, elles doivent s'adapter à tous les contextes. C'est-à-dire qu'à chaque fois que vos données sont collectées, enregistrées ou conservées, que ce soit par une entité privée ou publique, dans le cadre de votre vie au travail ou dans le cas de votre vie quotidienne, à chaque fois, il faudra prévoir des modalités d'information et de transparence.

Et là encore, on a une liste encadrée de l'information qui doit être donnée.

C'est-à-dire : Qui collecte mes données ? Qui est responsable de traitement ? Qui est le délégué à la protection des données ? Comment est-ce que je peux exercer mes droits ? Qui est l'autorité compétente si jamais je ne suis pas satisfait par la réponse qui m'est donnée ? Pourquoi est-ce qu'on connecte mes données ? (principe de finalité). Qu'est-ce que l'on en fait ? À qui on communique mes données ? Quels sont les destinataires de ces données ? Est-ce qu'elles peuvent être transférées en dehors de l'Union Européenne ?

Et surtout combien de temps va-t-on les conserver ?

Là encore, c'est quelque chose qui peut être relativement complexe à mettre en œuvre. D'une part, il faut apporter cette information et d'autre part, il faut aussi la déployer concrètement. Pour celui qui déploie l'information, qui informe, il faut faire en sorte d'être sûr et persuadé qu'on délivre les bonnes informations. Et surtout que c'est suivi par des faits en pratique, qu'il y a une gouvernance effective en matière de protection des données personnelles.

La manière dont on communique sur ces informations personnelles

Il y a une question importante aujourd'hui qui est celle de la manière dont on donne toutes ces informations. On a des listes, on a des délais, mais la manière dont on informe est très importante. Et la CNIL et d'autres autorités de protection des données personnelles l'ont rappelé.

Il s'agit pas de donner un catalogue d'information mais il faut aussi s'adresser, à chaque fois, selon les différents types de public. Il y a des aspects qui sont proches du legal design, donc la manière dont on communique, la manière dont on apporte les informations, ce sont des questions clés. Et il est très important là encore de veiller à la manière dont ces informations sont apportées.

Qu'est-ce qu'une donnée personnelle ?

Je vais maintenant vous parler des données personnelles. Très souvent on entend parler du RGPD, de la loi Informatique et Liberté en France et du droit de la protection des données. Mais qu'est-ce qu'une donnée personnelle ?

De quoi parle-t-on lorsqu'on évoque les données personnelles ? Le point le plus important, c'est de noter qu'il s'agit d'une notion évolutive. Il est très difficile aujourd'hui de décréter une fois pour toute ce qu'est une donnée personnelle ou ce que n'est pas une donnée personnelle.

Une donnée personnelle, par exemple, c'est le nom, le prénom, des données qui sont associées à Monsieur Dupont ou à Madame Durand. Des données sur son adresse, sa situation familiale,... Et toutes les données qui vont en découler.

Ainsi, on a un certain nombre de catégories quand on parle de données personnelles. Par exemple, les données d'état-civil, des catégories qui vont être liées aux données de famille, etc. Lorsqu'on parle de données personnelles, on parle aussi de données sensibles.

Les données sensibles

Dans la catégorie des données personnelles, il y a aussi des données qui doivent faire l'objet d'un examen plus attentif et dont le recueil, dans certains cas, est interdit. Par exemple, des données qui vont révéler la vie sexuelle, l'appartenance à une religion, l'origine ethnique, une appartenance syndicale, etc.

Le principe est que la collecte, le traitement de ces données est interdit, sauf exception, et ces exceptions sont encadrées, elles font l'objet d'un certain nombre de dispositions spécifiques. C'est le cas, par exemple, pour les données de santé.

Alors, je le disais tout à l'heure, la notion de données personnelles, c'est une donnée évolutive. Avec le progrès technologique, vous pouvez partir d'un certain nombre de base de données dans lesquelles vous n'avez pas de nom, pas de prénom, rien qui puisse être identifiant. Et vous pouvez aboutir à des données qui sont elles bien identifiantes.

C'est la raison pour laquelle, aujourd'hui, il y a un certain nombre d'éléments, de doctrines ou d'éléments qui sont apportés par l’European Data Protection Board à Bruxelles qui montre bien de la vigilance à exercer à en la matière.

Ces éléments permettent de vérifier à chaque fois s'il s'agit bien de données personnelles ou non. C'est un point-clé parce que s'il s'agit de données personnelles, vous devez appliquer le droit de la protection des données personnelles. Si ce n'est pas le cas, vous ne devez pas appliquer cette disposition.

Et il ne faudrait pas justement créer des situations dans lesquelles il y aurait des phénomènes de fraude. Des situations où l’on n’appliquerait pas ses dispositions protectrices qui permettent aux personnes d'exercer leurs droits, par exemple, pour favoriser un régime qui serait moins protecteur.

Les notions d'anonymisation des données ou de pseudonymisation

Enfin, quand on parle de données personnelles, il y a également les notions d'anonymisation des données ou de pseudonymisation. Dans certains cas, on peut coder les données pour pouvoir apporter des garanties supplémentaires, notamment en termes de sécurité des données. Quand on les pseudonymise, quand ce n'est pas définitif, cela reste des données personnelles et il faut les protéger comme des données personnelles. Au contraire, quand on anonymise des données, il ne s'agit plus de données personnelles et dans ces cas-là, vous n'avez plus à mettre en place les mesures protectrices liées aux données personnelles.

Pour autant, il faut être extrêmement vigilant, il faut que ce soit une anonymisation effective, efficace, avec des dispositifs qui ont fait l'objet de vérifications ou de mesures d'audit. Donc, on le voit, les données personnelles sont des données dont la nature et le champ d'application sont extrêmement larges, et cela appelle un examen précis et détaillé.

RGPD et le droit fondamental à la protection des données personnelles en Europe

Aujourd'hui, on parle beaucoup du RGPD, très souvent, on cite le RGPD, ce règlement général sur la protection des données. De quoi s'agit-il ? Comment est-ce qu'on pourrait le décrire aujourd'hui ou en tout cas le décliner rapidement ? Je vais vous parler du RGPD en 10 points pour vous expliquer de quoi il s'agit et quels sont ses objectifs.

Tout d'abord, ce qu'il faut noter, c'est que ce règlement général sur la protection des données a pour objectif de faire assurer le droit fondamental à la protection des données. On a un règlement général sur la protection des données, on a un RGPD parce qu'on a un droit fondamental à la protection des données personnelles en Europe. Et donc ce droit des citoyens européens doit être assuré.

Le RGPD, un règlement européen

Deuxième point, il s'agit d'un règlement européen c'est-à-dire que ce règlement s'applique dans tous les pays de l'Union européenne. Contrairement à d'autres règlements, les différents pays de l'Union européenne ont la possibilité de conserver certains éléments de leur législation. Pour autant, il s'agit d'un règlement européen donc applicable dans toute l'Europe.

Troisième point, l’objectif de ce règlement est d'assurer le même niveau de protection des données en Europe. C'est-à-dire de faire en sorte que : je suis salarié, je vais d'un pays à l'autre, mes droits en tant que salarié sur la protection des données reste les mêmes. De la même manière, je suis un consommateur, je vais dans un pays d’Europe, normalement, le niveau de protection de mes droits doit rester le même.

Quatrième point, le RGPD ce sont des principes, un certain nombre de principes, il faut que quand on collecte mes données ce soit pour une finalité spécifique. Il y a un principe de conservation des données, il faut mettre en œuvre des mesures en termes de sécurité des données.

Donc le RGPD ce sont des principes, mais le rgpd c'est aussi des droits, un certain nombre de droits pour les personnes concernées. Le droit d'accéder à leurs données, le droit de demander l'effacement de leurs données, le droit de demander la portabilité des données. Donc, corollaire du droit fondamental à la protection des données, le RGPD c’est aussi l’ensemble de ces droits que chaque personne doit pouvoir exercer.

Les rôles et les obligations des différents acteurs en matière données personnelles

Ce règlement, c'est aussi un certain nombre de rôles. C'est-à-dire que le RGPD prévoit les obligations à la charge du responsable de traitement, celui qui collecte, celui qui traite, celui qui conserve, celui qui détruit les données et éventuellement de ses sous-traitants ou des destinataires de ces données. Donc, à chaque fois, le règlement prévoit les obligations de chaque acteur.

Le rgpd c'est aussi des rôles renforcés pour les autorités de contrôle en matière de protection des données personnelles. Pour la CNIL en France, mais aussi pour toutes les autorités de contrôle en Europe. C'est-à-dire qu'elles doivent avoir des moyens effectifs pour garantir les droits des personnes concernées. Pour faire en sorte que là encore, on ait le même niveau de protection des données personnelles dans toute l'Europe.

Le transfert des données personnelles hors UE

Le RGPD est aussi un encadrement des transferts hors de l'Union Européenne des données personnelles. Le RGPD prévoit un niveau renforcé de protection des données en Europe, mais, lorsque ces données sont exportées, il faut que le niveau de protection soit le même.

Que ces données partent aux États-Unis, en Afrique du Sud ou en Inde, à chaque fois, celui qui exporte les données doit expliquer les mesures qu'il a mises en œuvre pour faire en sorte de garantir le niveau de protection de ces données.

Le RGPD ce sont aussi des sanctions renforcées, des sanctions financières notamment, qui peuvent aller jusqu'à 4 % du chiffre d'affaires mondial d'une entreprise. Donc des sanctions beaucoup plus importantes que les sanctions qui pouvaient être prononcées jusque-là. Et là encore avec le renforcement du rôle des autorités de contrôle comme la CNIL en France cela leur permet de pouvoir prononcer des sanctions qui soient dissuasives.

Le RGPD, une référence au niveau mondial

Le RGPD qu'est-ce que c'est aujourd'hui ? C'est aussi un texte clé au niveau mondial. De plus en plus, c'est devenu une référence dans le monde. C'est un texte qui est utilisé par tous les grands groupes de sociétés, un texte qui sert aussi de référence quand certaines législations sont élaborées dans d'autres pays. Il y a eu des références par exemple en Californie au RGPD dans l'inspiration de la loi californienne sur la protection des données. Donc il ne faut pas oublier qu'aujourd'hui le RGPD c'est cette référence internationale.

Données de santé et implications ?

Maintenant, je vais vous parler des données de santé et des implications, par exemple dans le domaine de la recherche, sur le traitement des données de santé aujourd’hui.

Le premier point, qui est important à noter, c'est qu'aujourd'hui, on a une explosion des données de santé.

Que ce soit les données que l'on va collecter à travers des montres connectées, à travers un certain nombre d'applications de bien-être, de sport, ou encore toutes les données qu'on peut collecter justement en matière de santé via des téléphones portables. Les données qui vont être collectées évidemment au niveau médical, en tout cas les usages sont exponentiels, les utilisations et les traitements aussi.

Donc, deuxième point, il y a de véritables enjeux sur le traitement de ces données. Sachant que très souvent le traitement de ces données se fait sur une échelle internationale.

Par exemple : je vais utiliser une application qui a été développée aux États-Unis ou en Asie, où le traitement de mes données s'inscrit dans le cas d'un essai clinique mené par un sponsor américain avec des sites en Europe et en Asie et une CRO européenne.

Il y a donc des situations extrêmement variées et très souvent internationales, ce qui implique de mettre en place les bons outils en termes de protection des données personnelles.

Le caractère sensible des données de santé

Surtout que les données de santé, ce sont des données sensibles, cela signifie que ces données sensibles, au sens du RGPD, bénéficient d'un traitement particulier.

En principe, on ne peut pas les traiter, leur traitement est interdit, sauf à rentrer dans certains cas, il y a un certain nombre d'exceptions, dans lesquelles on peut traiter des données de santé. Notamment à des fins de santé publique.

Mais il y a un certain nombre de traitements pour lesquels il faut justement pouvoir démontrer que l'on est bien conforme aux règles en matière de protection des données personnelles.

Il est vraiment essentiel de conserver à l'esprit le caractère sensible de ces données. Le fait que chaque responsable de traitement, chaque structure, qui va mettre en place des traitements particuliers, devra pouvoir démontrer qu'elle est bien conforme au RGPD ou aux lois nationales qui s'appliquent. En France, la loi Informatique et Liberté a un dispositif spécifique pour le traitement des données de santé.

Les méthodologies de référence de la CNIL pour la protection des données

Troisième point, il y a des caractéristiques spécifiques pour les règles en matière de protection des données pour les données de santé. Et ses règles sont complémentaires à d'autres règles déjà existantes. C'est-à-dire qu’il y a un certain nombre de dispositions, par exemple, dans le cadre de la recherche clinique, dans le cadre de la conduite des essais cliniques sur le traitement des données personnelles.

Et à ses dispositions se superposent des règles spécifiques sur la protection des données. Dans le cadre de la recherche, par exemple, la CNIL a mis en place qu'on appelle des méthodologies de référence, il en existe 6. Ces différentes méthodologies, adaptées à des types de recherche particuliers, prévoient à chaque fois les obligations qui devront être respectées par les responsables de traitement.

Alors, au-delà du fait de devoir déclarer le respect de ses règles à la CNIL dans le cadre de ces méthodologies, il y a bien évidemment un certain nombre d'autres outils à mettre en place. Je pense par exemple aux analystes d'impact au sens du RGPD, au fait d'avoir un délégué à la protection des données, au fait justement de documenter un certain nombre de dispositifs en termes de sécurité des données personnelles.

Autre exemple des domaines dans lesquels la CNIL est intervenue, c'est sur la constitution d'entrepôt de données de santé. Aujourd'hui, la constitution de ces entrepôts, le fait de conserver des données de santé en masse, constitue de vrais enjeux en termes de protection des données personnelles.

Donc la CNIL a mis en place un référentiel en matière d'entrepôt de données de santé. C'est un référentiel important pour les hôpitaux, pour les cliniques, pour pouvoir utiliser ces données. Cela permet d'encadrer les finalités : les raisons pour lesquelles on traite ces données ou pas - Comment on les utilise - Comment est-ce qu'on va informer les personnes ?

Alors dans certains cadres spécifiques, lorsqu'un projet ne rentre pas dans le cadre des méthodologies de référence de la CNIL. L'organisation concernée a toujours la possibilité de faire une demande d'autorisation spécifique à la CNIL, en expliquant pourquoi et comment elle compte conduire ce projet. Elle devra alors déployer tous les éléments permettant de justifier de sa conformité.

Ce sont des éléments clé, cela nécessite à chaque fois de pouvoir identifier la situation dans laquelle une organisation, une collectivité ou une entreprise va intervenir. Cela nécessite également d'expliquer pourquoi et comment et de documenter ces différents éléments.

On est à l'articulation plusieurs dispositifs, par exemple, en matière d’essais cliniques, on a d'une part le RGPD, mais on a aussi un règlement européen sur les essais cliniques qui prévoit des renvois au RGPD et au droit de la protection des données personnelles. Avec la nécessité à chaque fois de pouvoir créer une articulation qui soit cohérente.

On a par exemple de la documentation de la Commission européenne qui explique comment interpréter certaines notions. On ne va pas interpréter de la même manière la notion de consentement en matière d’essais cliniques et en matière de protection des données personnelles.

Les données de santé et le principe de responsabilité

Il est essentiel là encore d'avoir à l'esprit le principe de responsabilité. Le grand principe qui irrigue tout le droit à la protection des données personnelles et le RGPD. Donc, à chaque fois, en fonction des différents types de projets, il va falloir pouvoir démontrer, que du début à la fin du projet, les grands principes du RGPD ont été appliqués. Qu’ils ont été mis en œuvre et qu’ils sont correctement déployés. Si on a prévu une durée de conservation de 15 ans, on est en mesure de prouver qu'au bout de 15 ans les données seront détruites, supprimées, anonymisées etc. Voilà, il est important encore une fois d'avoir ce principe de responsabilité à l'esprit !

, ,

Qu'est-ce qu'un DPO externalisé ?

, ,

Dans un monde axé sur la protection des données personnelles, le rôle du DPO ou délégué à la protection des données est essentiel. En effet, ce professionnel assure la conformité de l’organisation aux règles du règlement général sur la protection des données (RGPD) notamment.

Découvrez avec le Cabinet DEROULEZ AVOCATS tout ce qu’il faut savoir sur le DPO externalisé et comment choisir le professionnel qui vous accompagnera pour les prochaines années !

Qu’est-ce qu’un délégué à la protection des données ou DPO ?

Un délégué à la protection des données, plus communément connu sous l’acronyme DPO, est la personne désignée au sein d'une organisation, pour superviser et garantir la conformité aux règles et réglementations en matière de protection des données personnelles. Son rôle est essentiellement lié au règlement général sur la protection des données (RGPD), visant à renforcer la protection des données personnelles au sein de l’UE.

Il est important de rappeler que, bien que le RGPD soit une réglementation de l'Union européenne, ses implications s'étendent souvent au-delà des frontières de l'UE du fait de son champ d’application.

Quelle est la différence entre un DPO externalisé et un DPO internalisé ?

Les différences entre DPO externalisé et DPO internalisé résident principalement dans leurs statut, compétences, indépendance et leurs coûts associés.

  • Contrairement au DPO internalisé, le DPO externalisé ne soulève aucun problème de conflits d’intérêts. De par son indépendance, il n’interfère pas avec les membres de son organisation. Il se concentrera ainsi exclusivement sur les questions liées à la protection des données, sans subir d’influence de la part de quiconque. Ce point le différencie du DPO internalisé, qui pourrait être tenté de prioriser certains impératifs et ainsi ne plus faire preuve d’objectivité.

  • En termes d’expertise, les DPO externalisés disposent de solides compétences en droit, sécurité des systèmes d’information, management du risque, organisation et gouvernance. Ils peuvent ainsi assurer la bonne exécution des missions relatives à la protection des données. Leur formation leur permet souvent d’aller au-delà de leurs compétences.

  • On remarque également qu’en termes de coût, le DPO externe peut être une solution plus économique que le DPO interne, du fait des contraintes de formation et d’expertise.

Enfin, on retiendra qu’un DPO externe exerce ses fonctions sur la base d’un contrat de service qui vient clairement définir ses missions, rôles et responsabilités. Grâce à ce contrat, la transparence de chaque engagement pris par le DPO externe vis-à-vis de l’organisation cliente est assurée.

Engager un DPO externe présente des avantages significatifs, en termes d'indépendance, d'expertise et de coûts. Un DPO externe pourra vous fournir un soutien spécialisé, impartial et transparent dans la gestion des questions liées à la protection des données. Ainsi, il constitue une option privilégiée pour toutes les organisations soucieuses de respecter les réglementations en matière de traitement des données personnelles.

Quelles sont les missions du DPO ou data protection officer ?

Le Data Protection Officer ou délégué à la protection des données a pour mission de veiller à la conformité et à la protection des données personnelles au sein d'une organisation. Ses interventions sont multiples et cruciales pour assurer une gestion adéquate des données personnelles. Il assure également le respect des droits des personnes concernées à travers le traitement de leurs données.

Ses missions sont multiples :

  • Surveillance de la conformité de l’entreprise ou institution concernée aux exigences du RGPD. Le DPO doit donc avoir une connaissance pointilleuse de la réglementation en vigueur afin de conseiller et de guider la structure dans sa mise en conformité.

  • Missions de sensibilisation et de conseils délivrés aux responsables du traitement des données, aux employés ainsi qu’aux parties prenantes. En tant qu’expert en protection des données personnelles, le DPO informe les responsables de traitement, les sous-traitants et les employés sur leurs obligations légales. Il est ainsi à même de leur fournir ses avis et des conseils sur les bons gestes à adopter.

  • Gestion des risques liés au traitement des données personnelles et maîtrise de ceux-ci via des mesures mises en place pour les éviter. À ce titre, il surveille l’ensemble des activités de traitement des données dans l’organisation. Il doit donc être impliqué à chaque étape du cycle de vie des données personnelles et évaluer constamment les opérations de traitement. Pour ce faire, il participe aux études d’impact et supervise chaque évaluation de conformité.

  • Collaboration étroite avec les autorités de contrôle, comme la Commission nationale de l’informatique et des libertés (CNIL). Il doit donc coopérer le cas échéant avec cette autorité notamment s’il constate une violation de données ou une situation à risque.

  • Traitement des demandes des personnes concernées par le traitement des données (droit d’accès, de rectification voire de suppression des données personnelles notamment). Il s’assure ainsi que les droits de chacun sont respectés.

En résumé, le DPO a un rôle crucial pour protéger l’ensemble des données personnelles au sein d'une organisation. Il est à la fois un expert, un conseiller et un garant du respect des réglementations en matière de protection des données.

DPO RGPD : La notion d’indépendance

Peut-être vous demandez-vous à quoi fait référence la notion d’indépendance du délégué à la protection des données ?

La notion d’indépendance du DPO fait référence à sa capacité à exercer ses missions et fonctions de manière autonome et impartiale sans interférence externe. Ce point est capital, car une influence extérieure pourrait compromettre son objectivité dans le traitement et la protection des données personnelles.

On retiendra que cette indépendance est essentielle afin que le DPO agisse dans l’intérêt de la protection des données et des droits des personnes concernées.

Conformément au considérant 97 du Règlement Général sur la Protection des Données (RGPD), le DPO doit exercer ses fonctions en toute indépendance. Cette obligation s’applique dès le début de la collaboration avec l’organisme concerné.

Le responsable de traitement doit scrupuleusement veiller à ce que le DPO ne reçoive aucune instruction pour exercer ses missions. Comme prévu par l’article 38§3 du RGPD, ce dernier bénéficie d’une protection et ne pourra pas être sanctionné ou licencié par l’employeur pour avoir agi de manière indépendante.

L'indépendance du DPO est essentielle pour assurer une protection adéquate des données personnelles. Qu'il soit interne ou externe, le DPO doit pouvoir exercer ses missions sans subir d'influences extérieures et sans être soumis à des conflits d'intérêts. La sélection d'un DPO externe peut constituer une solution judicieuse pour garantir cette indépendance et ainsi assurer une conformité optimale avec les réglementations en matière de protection des données.

Quand est-ce que la désignation d’un DPO est obligatoire ?

Conformément aux dispositions précitées à l’article 37 (1) du RGPD, la désignation d’un DPO est obligatoire dans trois cas de figure :

  • Lorsqu’une autorité ou un organisme public assure le traitement des données personnelles. Dans un tel cas, l’organisme qui traite des données personnelles doit obligatoirement désigner un DPO. Celui-ci sera chargé d’assurer la conformité de l’organisation aux règles de protection des données.

  • Dans le cas où les activités de base du responsable de traitement ou du sous-traitant exigent un suivi régulier et systématique des personnes concernées : Cela concerne les organisations qui effectuent des traitements de données à grande échelle. C’est le cas par exemple des entreprises qui ont d’importantes bases de clients ou qui utilisent des technologies de profilage intensif.

  • Enfin, la mise en place d’un DPO est obligatoire lorsque les activités de base du responsable de traitement (ou du sous-traitant) consistent en un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales. En effet, certaines catégories de données sont jugées comme sensibles. Elles nécessitent donc une protection accrue et efficace. Dans l’hypothèse où une entreprise traiterait à grande échelle des données sensibles, comme des données biométriques ou de santé, elle est alors tenue de nommer un DPO.

Il est important de préciser qu’en dépit de ces cas de désignation obligatoire, de nombreuses organisations et entreprises choisissent par elle-même de nommer un DPO. Ce choix est souvent volontaire et peut être un moyen efficace pour piloter leur mise en conformité avec le RGPD. De plus, cela leur permet de mieux valoriser leurs données personnelles et renforcer la confiance de leurs partenaires et clients. En bref, une solution idéale pour redorer son image de marque ou préserver une notoriété difficilement acquise.

Ainsi, il reste vivement recommandé de désigner un DPO même si cela n’est pas obligatoire, tout en documentant les motifs de cette décision.

Comment bien choisir son DPO externe ?

Avant de choisir un DPO externe pour votre organisation, il est essentiel de prendre en compte une série de critères. Vous serez ainsi en mesure de vous assurer que le délégué à la protection des données désigné remplira efficacement ses missions et assurera la conformité de votre structure au RGPD.

N’oubliez pas que le DPO, qu’il soit interne ou externe, joue un rôle majeur dans la mise en conformité au RGPD de votre organisation. Il sera chargé de contrôler la bonne application du règlement, de coordonner les mesures à prendre en compte et il participera à de nombreuses actions.

Vous devez donc vous assurer que le DPO externe choisi possède une compréhension approfondie sur l’ensemble des aspects techniques et juridiques du RGPD.

Nous vous conseillons, dans un premier temps, de vérifier si votre entreprise est dans l’obligation de désigner un DPO. Pour rappel, cette désignation est obligatoire pour les organismes publics, dans le cas de traitements réguliers et systématiques à grande échelle pour les traitements de données sensibles ou relatives à des condamnations pénales. Dans les autres cas, la désignation d’un DPO reste fortement recommandée, bien que facultative.

Votre futur DPO devra posséder des compétences affinées en matière de protection des données. Accordez une attention particulière à la formation qu’il a suivie et s’il se tient au courant des évolutions réglementaires en la matière. Il doit être capable d’agir rapidement en cas d’incident, tout en analysant avec précision chaque situation.

De plus, il devra être en mesure de s’adapter aux spécificités de votre organisation, que ce soit en termes de secteur d’activité, de taille ou de sensibilité des données traitées. Assurez-vous donc qu’il dispose d’un solide bagage pour répondre à cette mission délicate.

On retiendra que l’externalisation d’un DPO offre des avantages significatifs. Il permet d’éviter la charge d’un employé supplémentaire pour les petites entreprises et garantit un haut niveau d’expertise et d’indépendance pour les plus grandes.

DEROULEZ AVOCATS, votre cabinet spécialisé en droit de la protection des données personnelles

Besoin d’un DPO externe pour votre entreprise ou votre organisation ? N’hésitez pas à faire confiance à l’expertise du Cabinet DEROULEZ AVOCATS, spécialisé en droit de la protection des données personnelles.

Vous bénéficierez de conseils avisés et pertinents par des avocats spécialisés dans cette matière délicate mais cruciale. Notre cabinet est réputé pour sa pratique efficace en matière de protection des données (Leaders League 2023), attestant ainsi de notre professionnalisme et savoir-faire.

Activement impliqué dans l’écosystème de la protection des données, le Cabinet DEROULEZ AVOCATS vous garantit de rester à la pointe des évolutions légales et des enjeux liés en la matière. Vous pourrez vous appuyer sur le respect du secret professionnel et des règles déontologiques et confidentielles pour assurer la sécurité des données traitées. Notre réseau de partenaires et d’experts sectoriels vous garantit une mise en conformité exhaustive et spécifique à votre secteur d’activité.

Que vous soyez un grand groupe, une PME, une startup, une institution publique, une collectivité locale ou une association, nos formules sont flexibles. Elles répondent ainsi à tous les budgets et tous les types d’organisations. N’hésitez plus et prenez contact avec des professionnels pour choisir votre prochain DPO et votre mise en conformité au RGPD !

Maître Jérôme DEROULEZ dans le Figaro au sujet du traitement des données personnelles par Airbnb

La plateforme de réservation renforce sa lutte contre les fêtes non autorisées en développant un algorithme qui détecte les éventuels profils de fêtards et bloque leurs réservations.

«Le RGPD (Règlement Général sur la Protection des Données, NDLR) prévoit qu’on a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé mais ce droit ne s’applique pas lorsque ces données sont nécessaires pour la conclusion d’un contrat. Sous réserve de permettre à la personne d’en être informée et de pouvoir contester la décision », expose Jérôme Deroulez, avocat en droit des données personnelles et nouvelles technologies.

«Certains critères peuvent être équivoques. On peut vouloir louer un bien à côté de chez soi pour travailler au calme. En termes de transparence néanmoins, la documentation d’Airbnb n’est pas tout à fait claire. Ainsi, il faudrait savoir comment pouvoir contester une telle décision. Ou préciser si les données de réservation vont être conservées. Ou si ces données vont être utilisées pour d’autres traitements?», nuance l’avocat en droit des données personnelles. Un cas rare selon Airbnb, le télétravail s’étant développé et démocratisé, peu de personnes louent un bien près de chez elles pour travailler.

,

Printemps des DPO : DEROULEZ Avocats Partenaire 2023

,

Retrouvez Jérôme DEROULEZ au Printemps des DPO, le rendez-vous de la protection des données personnelles, le 27 juin 2023 pour la Journée au Parc des Princes.

Maître Jérôme DEROULEZ prendra la parole lors de la Masterclass #4 :

MASTERCLASS #4 : Directeur compliance et DPO : alliés ou ennemis ?

Inscrivez vous via le lien suivant : https://www.printemps-des-dpo.com/session/15f69370-b6f4-ed11-907a-000d3a474dec

Suivez nous sur les réseaux sociaux

Follow us on social networks

// Aseptio