TG Press - 9 rue du Gué - 92500 Rueil-Malmaison - Contact : pcossard.tgpress@gmail.com - 07 81 19 89 83

Bonnes pratiques

Protection des données personnelles

Sophie Guicherd, Avocate, Docteur en droit, Conseil en droit des données personnelles

16/04/2019

L’année dernière, le téléphone s’est mis à sonner deux fois plus souvent, au bas mot. Lors de rencontres d’entrepreneurs, les questions fusaient : comment se mettre en conformité avec les données personnelles ? Est-ce que je suis concerné ? Mon activité est-elle en règle ? La réponse n’est jamais simple, évidemment.

Depuis le 25 mai 2018, date fatidique où les informations ont fusé sur la toile, dans les mails, etc., la réglementation applicable aux données personnelles (issue du règlement européen n° 2016/679, du 14 avril 2016) est devenue un objet de préoccupation majeure pour les entreprises commerciales. Il faut néanmoins rappeler que même si elle effraie par les contraintes qu’elle impose, elle s’inscrit dans une démarche de protection des individus et de leur vie privée, entendue comme droit fondamental. L’objectif reste de leur rendre la maîtrise des données les concernant.

Le but est dans ces quelques lignes de clarifier quelques termes techniques, pour éviter toutes confusions.

 

D’ores et déjà, une donnée personnelle est avant tout une information pouvant être attribuée à une personne physique déterminée, et contenant des éléments sur celle-ci. La Commission nationale de l’informatique et des libertés (CNIL), en accord avec la législation applicable, rappelle qu’une donnée personnelle concerne précisément : « toute information identifiant directement ou indirectement une personne physique (nom, n° d’immatriculation, n° de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale...) ».

 

Cette réglementation à laquelle chacun doit se conformer depuis le 25 mai 2018 impose différentes démarches essentielles à toute structure « récoltant » des données.

 

La réglementation évoque le traitement des données à caractère personnel comme étant « toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, ...) ».

 

Les données personnelles peuvent être classées selon leur importance et la délicatesse de leur contenu. En effet, les mesures mises en place par la législation opèrent distinctement en fonction du type de données traitées. La protection n’est pas la même selon que les données concernent le nom, le prénom, la date de naissance, l’adresse postale ou l’appartenance religieuse, l’orientation sexuelle, des informations relatives à la santé de la personne. Certaines données sont dites « sensibles » et bénéficient d’une protection accrue.

 

Les sanctions encourues peuvent être les suivantes :

 

« Le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut : prononcer un rappel à l’ordre ; enjoindre de mettre le traitement en conformité, y compris sous astreinte ; limiter temporairement ou définitivement un traitement ; suspendre les flux de données ; ordonner de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ; prononcer une amende administrative».

A titre d’exemple :

Le 21 janvier 2019, « la formation restreinte de la CNIL* a prononcé une sanction de 50 millions d’euros à l’encontre de la société Google LLC en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité».

Autrement dit, après examen de la procédure mise en place par la Société Google pour prélever et traiter les données personnelles, celle-ci a été jugée non conforme au Règlement dans la mesure où les personnes concernées ne pouvaient pas percevoir l’ampleur des traitements, par défaut d’information sur la nature et la finalité de ces derniers. La formation évoque ainsi un « manquement aux obligations de transparence et d’information », puisque « des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents », et que « les informations délivrées ne sont pas toujours claires et compréhensibles ».

Elle estime également que « le consentement n’est pas valablement recueilli » dans la mesure où « l’ampleur des traitements en cause impose de permettre aux utilisateurs de garder la maîtrise de leurs données et donc de suffisamment les informer et de les mettre en situation de consentir valablement », ce qui n’était pas le cas.

 

 

Les personnes concernées par les obligations de conformité sont le responsable de traitement (c’est-à-dire « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal »), mais également le sous-traitant à qui est confié, par le responsable, le traitement des données. Les deux acteurs sont pleinement responsables vis-à-vis de la personne faisant l’objet du traitement. Il s’agit là d’une nouveauté introduite par le Règlement.

 

En tant que prestataires de services touristiques, les entreprises peuvent être amenées à prélever, rassembler des données diverses. L’application de la législation dépendra du type de donnée prélevée :

  • lorsqu’elle concerne les comités d’entreprises, les groupes, les associations en tant que telles, les risques sont minimes dans la mesure où il s’agit d’interaction avec des personnes morales. Il faudra néanmoins rester vigilants dans la mesure où il existe nécessairement un contact avec une personne physique, même dans le cadre professionnel de celle-ci ;
     

  • lorsqu’elle concerne les personnes physiques directement, la législation s’applique alors pleinement.
     

Concrètement, une première boîte à outils peut être proposée aux chefs d’entreprises collectant des données.
Différentes mesures peuvent être mises en place pour entrer en conformité avec le Règlement :

  • faire l’état des lieux de l’ensemble des données traitées et des personnes concernées ;
     

  • requérir, par leur information précise des traitements opérés, l’accord écrit des personnes ciblées : par mail, par formulaire, signature électronique, etc., et également messages d’information rédigés par un conseiller spécialisé en droit des données personnelles ;
     

  • mettre en place des contrats établissant les obligations et les responsabilités des partenaires et des sous-traitants, afin de les délimiter clairement, également à l’aide d’un conseiller spécialisé ;
     

  • établir des registres de traitements, notamment pour les personnes morales de plus de 250 salariés et les personnes publiques ;
     

  • prendre des précautions techniques liées à la sécurité informatique de l’entreprise afin de maîtriser le flux des données et leur stockage (être très vigilant sur le lieu notamment des serveurs où sont stockées les données) ;
     

  • instaurer, à l’aide d’un conseiller en données personnelles, une charte informatique interne à l’entreprise.

 

(*) La formation restreinte de la CNIL est constituée de différents membres décisionnaires de l’institution, et notamment composée de cinq membres et d’un président qui peut prononcer diverses sanctions, publiques ou non.

  • LinkedIn Social Icône
  • Facebook
  • Twitter
  • Google+