Les obligations liées à vos données personnelles

Tout utilisateur d'un fichier contenant des données personnelles a des obligations strictes à respecter, qui varient selon la nature et la finalité des informations recueillies.

En effet, le traitement de données personnelles peut concerner la vie privée et porter atteinte aux libertés de chacun : si vous n'hésitez pas à donner votre e-mail, peut-être réfléchissez-vous à deux fois avant de donner votre numéro de téléphone, votre adresse ou... vos mensurations. Tout peut circuler sur la toile !

Voici l'ensemble des bonnes pratiques « Informatique et Libertés » et « RGPD » (règlement européen sur la protection des données personnelles) à adopter.

Sécurité des fichiers

Sécurité des fichiers
© Thinkstock

Le détenteur d'informations personnelles doit mettre en place des mesures de sécurité des locaux et des systèmes d’information.

Le but est simple : la protection de ces données. On doit tout faire pour éviter qu'elles soient endommagées, déformées ou accessibles par des tiers qui n'y seraient pas autorisés. L'accès, ou non, à ces contenus est strictement défini.

À noter : par opposition à l'obligation de résultat, il s'agit là d'une obligation de moyens.

Confidentialité des données

Confidentialité des données
© Thinkstock

L'obligation de confidentialité est intimement liée à l’obligation de sécurité. Seules les personnes clairement désignées, les destinataires, ou les tiers autorisés détenant une permission d'accès ponctuelle et justifiée (comme le fisc ou la police, par exemple) sont en droit d'obtenir communication des fichiers contenant des données personnelles.

Bon à savoir : dans un arrêt du 4 mai 2017 (affaire n° C-13/16), la Cour de justice de l'Union européenne a jugé que la police pouvait communiquer des données à caractère personnel à un tiers sur la base du droit national, sous trois conditions : la communication des données doit poursuivre un intérêt légitime, elle doit être nécessaire à la réalisation de cet intérêt légitime, et les droits et libertés fondamentaux de la personne ne doivent pas prévaloir.

Information des personnes concernées

Information des personnes concernées
© Thinkstock

L’utilisateur de données personnelles doit impérativement permettre aux personnes concernées par les informations détenues d’exercer pleinement leurs droits : droit d’accès, d'interrogation, de rectification, d’opposition, de référencement, de portabilité des données, d’oubli.

Pour cela, il est dans l'obligation de leur communiquer :

  • son identité ;
  • la finalité du fichier ;
  • les destinataires des informations ;
  • l'existence de l'ensemble de ses droits ;
  • les transmissions envisagées.

Bon à savoir : le règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) impose une nouvelle obligation d'effectuer une analyse d'impact (AIPD) avant tout traitement à risque élevé pour les droits et libertés des personnes concernées.

À noter : les caméras thermiques dont l’usage est facultatif, qui n’enregistrent aucune donnée personnelle et qui ne délivrent d’information qu’à l’intéressé, peuvent être installées sans tenir compte du Règlement général pour la protection des données (CE, ordonnance du 26 juin 2020, req. n° 441065).

Obligation de finalité

Obligation de finalité
© Thinkstock

Le traitement du fichier en question doit avoir un but précis et défini et contenir des informations cohérentes par rapport à cet objectif.

C’est à l’utilisateur de mesurer la pertinence des données qu’il collecte.

Bon à savoir : les informations ne peuvent pas être réutilisées si elles sont incompatibles avec la finalité pour laquelle elles ont été collectées.

À noter : le numéro de sécurité sociale permet d'identifier les personnes physiques. Il comporte, à ce titre, des données sur le sexe, le mois, l'année et le département de naissance de la personne. Il représente donc une donnée personnelle qui est protégée. Son usage est encadré par le règlement européen relatif à la protection des données personnelles (RGDP) et, en droit français, par le décret n° 2019-341 du 19 avril 2019.

Déclaration auprès de la CNIL

Déclaration auprès de la CNIL
© Thinkstock

Depuis le 25 mai 2018, le règlement général sur la protection des données personnelles (RGPD) supprime les formalités de déclaration à la CNIL (règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016). 

En revanche, chaque responsable de traitement de données personnelles doit mettre un place un registre sur lequel doit figurer l’ensemble des traitements de données personnelles. Un modèle de registre est disponible sur le site de la CNIL.

Avant le 25 mai 2018, tous les fichiers portant atteinte à la vie privée ou aux libertés (traitement de données relatives aux origines raciales ou aux opinions politiques notamment) devaient être déclarés auprès de la CNIL (Commission nationale de l'informatique et des libertés). Cétait une obligation légale et gratuite qui s’effectuait sur le site de la commission. La finalité elle-même devait être précisée dans cette déclaration.

Désormais seuls doivent faire l’objet d’une déclaration auprès de la CNIL (loin° 2018-493 du 20 juin 2018 relative à la protection des données personnelles) :

  • les traitements comportant le numéro d'inscription des personnes au Répertoire national d'identification des personnes physiques (NIR), sauf exceptions ;
  • les traitements des données génétiques ou biométriques nécessaires à l'authentification ou au contrôle des personnes mis en oeuvre pour le compte de l'État ;
  • les traitements qui intéressent la sûreté de l'État, la défense, la sécurité publique ou qui ont pour objet la prévention et la répression des infractions pénales ;
  • les traitements des données de santé justifiés par une finalité d'intérêt public.

Bon à savoir : des catégories particulières de traitements, comme celle des données de santé, font l'objet d'un régime spécifique. C'est également le cas des traitements de données sur les infractions, condamnations ou mesures de sûreté connexes.

À noter : depuis le 25 mai 2018, la désignation d'un délégué à la protection des données personnelles (DPO) est devenue obligatoire dans certains cas. Ce délégué assiste le responsable de traitement des données. Il a pour mission de veiller au respect de la législation européenne et de la loi Informatique et libertés, par l'organisme au sein duquel il travaille, afin d'éviter les sanctions de la CNIL. La désignation du délégué peut être effectuée sur le téléservice mis en place par la CNIL.

Durée de conservation

Durée de conservation
© Thinkstock

Le principe est simple : les données personnelles ne peuvent pas être détenues indéfiniment. C'est l’utilisateur de ces informations qui doit fixer une durée « raisonnable » en fonction de l’objectif de chaque fichier.

Ce délai ne doit pas excéder « la durée nécessaire aux finalités pour lesquelles les données ont été collectées ».

À noter : le nouveau règlement européen impose une durée de conservation maximale de 3 ans.

Il est d'ailleurs conseillé de se référer aux délibérations de la CNIL et aux usages professionnels dans les secteurs concernés pour se faire une idée des durées couramment fixées.

Bon à savoir : dans des cas très précis (traitement des données à des fins historiques, statistiques ou scientifiques), la loi permet une conservation supérieure au délai décidé par l’utilisateur.

À noter : dans le cadre des élections, les partis et candidats aux élections doivent respecter les règles en matière de protection des données personnelles lors de leur démarchage électoral (indication de l’identité et des coordonnées du responsable du traitement des données, finalités du traitement, destinataires des données, durée de conservation des données). Toute personne contactée par un candidat ou un parti politique peut signaler une conduite qu’elle jugerait non conforme sur la plateforme Signalement élections. La CNIL pourra alors prendre les mesures nécessaires auprès des acteurs concernés : contrôles, mesures correctrices, dénonciation au Parquet.

Pages Jaunes vous en dit plus

Afin de ne prendre aucun risque de sanction, il est essentiel de respecter ces obligations imposées par la loi !

Et pour en savoir davantage sur la protection des données personnelles, nous vous conseillons ces quelques compléments de lecture sur :

Ces pros peuvent vous aider