Les traitements de données à caractère personnel s’inscrivent dans un cadre juridique français et européen en matière de protection des données (Règlement général sur la protection des données, loi Informatiques et Liberté – RGPD). Celui-ci a pour objectif de renforcer les droits des personnes et de responsabiliser les acteurs traitant des données.
Il est de la responsabilité personnelle de chacun d’engager les démarches de conformité avant toute collecte des données personnelles et traitements associés, en lien avec le délégué à la protection des données (DPD) et d’obtenir les autorisations adéquates le cas échéant.
Quelles sont les données concernées ?
Toutes les données personnelles dès lors qu’elles font l’objet d’un traitement.
- Donnée personnelle : Une information permettant d’identifier directement (nom, prénom, adresse mail, etc.) ou indirectement (numéro de téléphone, adresse IP, etc.) une personne.
- Traitement de données personnelles : Une opération faite sur des données personnelles. Cela va de la simple collecte des données à leur transformation ou leur diffusion.
Quels sont les principes relatifs au traitement des données ?
Les données contenues dans un traitement ne doivent être recueillies et traitées que pour un usage déterminé, légitime et préalablement défini. Seules les données pertinentes et nécessaires au regard des objectifs poursuivis par le traitement doivent être récoltées. Une fois cet objectif révolu, les données doivent être supprimées et ne peuvent être conservées de façon indéfinie dans les fichiers.
Les personnes dont les données sont utilisées dans un traitement disposent notamment d’un droit d’accès, de rectification et d’opposition aux données les concernant. C’est pourquoi l’information relative au traitement des données doit être aisément accessible et le consentement doit être recueilli lorsqu’il est nécessaire.
Enfin, et afin de respecter les droits des personnes concernées, toutes les mesures nécessaires doivent être prises pour garantir la sécurité et la confidentialité des données.
En pratique, cela donne quoi ?
Voici quelques exemples du quotidien :
- Réaliser un trombinoscope
Toute personne a sur son image un droit exclusif et absolu et peut s’opposer à son utilisation.
Dès lors, toute personne souhaitant intégrer la photographie d’un individu dans un trombinoscope (que la diffusion soit interne ou externe) doit avoir son autorisation. Cette autorisation doit être exprimée de façon claire et transparente, et de préférence par écrit, en précisant notamment les droits d’accès et de rectification que la personne concernée a sur sa photographie.
- Réaliser une vidéo ou prendre des photos
Dès qu’elle se rapporte à une personne identifiée ou identifiable, l’image devient une donnée à caractère personnelle. Pour réaliser une captation vidéo ou une photographie d’une personne (ou d’un groupe de personnes), il convient donc de recueillir l’accord de chaque personne photographiée ou filmée en l’informant des droits qu’elles détient sur cette donnée personnelle. Toutefois, lorsque la captation vidéo ou la photographie a été accomplie au vu et au su de l’intéressée sans qu’elle s’y soit opposée alors qu’elle était en mesure de le faire, le consentement est présumé.
Il convient ici d’accorder une attention particulière aux mesures de sécurité prise notamment pour la diffusion des images sur internet.
- Créer un fichier Excel avec des données personnelles
Un fichier est un ensemble structuré de données à caractère personnel comme par exemple un fichier de candidats à un concours, un classeur excel utilisé pour la gestion du personnel ou des étudiants.
Les données contenues dans ce fichier ne peuvent l’être que pour un usage déterminé et légitime au regard de l’activité exercée par la personne le créant. La personne auteur du fichier ne pourra enregistrer que les informations pertinentes et nécessaires pour assurer ses missions. Le non-respect de ces principes fondamentaux est passible de sanctions pénales.
Lorsque les fichiers ne seront plus utiles dans le cadre de l’activité pour laquelle ils ont été créées, ils devront être supprimés définitivement.
- Pour transférer/communiquer à des tiers des données à caractère personnel
Il convient de distinguer la communication des données à des tiers autorisés, des autres tiers.
Dans le premier cas, la loi permet le transfert des données à caractère personnel sans pouvoir s’y opposer à des autorités publiques dans le cadre de leurs missions et selon certaines conditions. Il peut s’agir par exemple de l’administration fiscale ou encore des organismes sociaux. Dans ce cadre, il revient à la personne qui transfère les données de s’assurer que le demandeur correspond bien à l’un de ceux qui sont autorisés. La demande doit préciser le texte législatif fondant ce droit de communication ainsi que les catégories d’informations sollicitées.
Dans le second cas, il revient de recueillir le consentement des personnes concernées préalablement au transfert de leurs données. Le formulaire devra notamment préciser la finalité de la collecte, son caractère ou non facultatif, les destinataires des données et les modalités d’exercice des droits d’accès, de rectification et d’opposition aux données. Outre le recueil du consentement des personnes concernés, il est nécessaire pour le responsable de traitement de s’assurer de la sécurité des données lors du transfert. Ainsi, il est important de prévoir une convention avec le tiers afin d’encadrer le transfert des données et le traitement qui en sera fait ultérieurement.
Quels sont les risques en cas de non-respect de ces principes fondamentaux ?
En cas de non-respect de la règlementation en vigueur, outre les risques en termes d’image pour l’établissement, des sanctions peuvent être prononcées par la Commission Nationale de l’Informatique et des Libertés mais aussi par le juge pénal. En cas de violation du règlement, la CNIL peut prononcer des amendes pécuniaires dont le montant peut s’élever jusqu’à 20 millions d’euros.
Pour toute information complémentaire, vous pouvez contacter la déléguée à la protection des données, Mathilde Leroy, à l’adresse suivante :