Dossier (2/2) : Le RGPD côté professionnels : se mettre en conformité pour le 25 mai 2018

---

Sommaire

1. En pratique
2. Une personne vous contacte concernant ses données personnelles traitées par vous...
3. Quid des données déjà collectées avant la RGPD ?
4. Et les employé-e-s, sont'ils-elles concerné-e-s ?
5. Spécifications laissées à l'appréciation des Etats membres
6. Obligations de secret
7. Cas des données personnelles liées aux infractions pénales
8. Cas des associations ou fondations ayant des finalités politiques, philosophiques, religieuses ou syndicales
9. Mot de la fin

---

En pratique

Réviser ses pratiques en matière de collecte de données

1. se doter d'une véritable politique interne de protection des données, assumée par un responsable du traitement, éventuellement conjointement à un Délégué à la protection des données (voir plus bas) ;
2. minimiser, supprimer les données et les finalités superflues. « Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d'autres moyens » ;
3. pseudonymiser les données dès le moment où l'identification des personnes n'est pas nécessaire, et même mieux : anonymiser ces données.
   Pseudonymiser peut permettre de recouper des infos et réidentifier une personne. Dans ce cas, ces infos permettant l'identification doivent être conservées de manière séparée, et l'accès à cette base doit être limitée à des personnes autorisées.
   Si vous optez pour l'anonymisation des données personnelles, dans ce cas il n'y a évidemment plus besoin d'appliquer le RGPD, puisque le principe d'anonymisation fait que les données ne permettent plus d'identifier une personne. Cependant, l'anonymisation est un procédé difficile, car de nombreux croisements sont possibles. On se trouvera dans la plupart des cas face à une pseudonymisation. Faire disparaître les caractéristiques identifiantes passe le plus souvent par la confusion des données de plusieurs personnes (moyennes statistiques).

Consentement

Toujours demander le consentement éclairé et volontaire de la personne avant de collecter une donnée personnelle la concernant. L'opt-in est obligatoire (sauf dans certains cas de figures).

Par exemple, si vous utilisez des cookies sur votre site internet, à des fins autres que celles liées à la bonne marche technique du site (cookies de session), vous devez :

1. informer l'internaute que vous utilisez la technique du cookie ;
2. lui proposer de lire les mentions légales y afférent ;
3. solliciter son avis : « Nous souhaitons effectuer un suivi de votre navigation sur notre site web à l'aide d'un cookie. Consentez-vous à ce que ce site dépose un cookie sur votre ordinateur : Oui ? / Non ? ». Ne cochez pas « Oui » par défaut, car le principe qui vaut en UE est l'opt-in. Ne pas déposer votre cookie, ni accéder à des informations déjà stockées avant son accord ;
4. proposer l'option de se rétracter : le internaute doit pouvoir revenir sur son consentement. Le plus simple est de proposer une case à cocher/décocher sur votre site ;
5. gardez trace du consentement de la personne car il pourra vous être demandé des comptes ultérieurement, en particulier lors de contrôles.

Lire : « Traceurs et cookies : que dit la loi ? », sur le site de la CNIL :
www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi

La question des cookies et autres traceurs sera traitée plus en détail dans le projet de Règlement « ePrivacy », remplaçant de la Directive ePrivacy 2002/58/CE :
eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017PC0010&from=EN

Ce consentement peut prendre la forme « d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale ».

N'est pas considéré comme consentement les cas de cases cochées par défaut (« opt-out »), de silence ou d'inactivité.

Si votre formulaire contient plusieurs questions, la question demandant à la personne si elle est d'accord pour que vous exploitiez ses données personnelles doit être une question à part entière, séparées des autres.
Cette même question doit être accessible et formulées en des termes clairs et simples.

La personne doit toujours avoir moyens de retirer son consentement.

Cas du consentement des enfants : vous ne pouvez demander le consentement à un traitement de données personnelles à un enfant que s'il est âgé d'au moins 15 ans.
S'il est d'un âge inférieur, c'est aux parents ou aux personnes ayant autorité parentale de donner leur accord, après avoir obtenu le sien. L'accord de ce responsable parental n'est pas requis « dans le cadre de services de prévention ou de conseil proposés directement à un enfant. »
Veillez à rédiger de manière appropriée à ce public enfant vos mentions légales, ainsi que vos notifications lorsque la sécurité des données a été compromises.

Il existe des cas où vous n'êtes pas obligés de demander le consentement, tels que :

1. pour l'exécution d'un contrat ou pré-contrat dont la personne est partie prenante ;
2. lorsque le responsable de traitement doit remplir une obligation légale ou juridique ;
3. lorsqu'il a une mission d'intérêt public ou un motif d'intérêt public comme la santé publique, des fins archivistes, la recherche scientifique ou historique, des fins statistiques ;
4. lorsqu'il doit protéger les intérêts vitaux d'une personne physique ;
5. lorsqu'il peut faire valoir un intérêt légitime supérieur aux intérêts ou droits et libertés de la personne concernée.

Modifier ses mentions légales et/ou CGV et/ou CGU

...sur son site web et tout autre support papier, afin d'ajouter les mentions demandées dans le RGDP et sa transcription française.
Penser aussi à vous mettre en conformité pour les cookies. Des outils web respectueux de la vie privée existent déjà comme par exemples Matomo (nouveau nom de Piwik), TarteAuCitron, etc.
Si vous demandez à collecter une donnée personnelle, toujours accompagner votre demande d'une information rédigée de manière claire, compréhensible et aisément accessible.
Toujours informer la personne de ses droits (rétractation, modification, opposition...).

Transparence auprès des personnes et respect de l'application de leurs droits

Vous devez communiquer aux personnes auprès de qui vous sollicitez des infos personnelles toutes les informations suivantes au moment de la collecte. Vous devez aussi mettre en place les moyens d'exercice de leurs droits (rétractation, opposition, modification...). Cela s'applique aussi dans le cas où vous avez obtenu des données personnelles de manière indirecte.
Ces informations obligatoires doivent être rédigées de « façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples et gratuitement ». Voir la FAQ de la Commission européenne

1. QUI L'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement et/ou du délégué à la protection des données ;
2. QUOI Les catégories de données à caractère personnelles qui feront l'objet du traitement ;
3. POURQUOI Les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement.
   Enumérez bien toutes vos finalités, y compris celles prévues ultérieurement. Par exemple si vous collectez une liste d'adresses pour pouvoir envoyer des newsletters et que votre système d'emailing fait du traçage ou du profilage, informez-en la personne.
   
   Explicitez votre ou vos intérêts légitimes dans le cas où ils prévalent sur « les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel ».
   
   Indiquez si votre collecte relève d'un motif règlementaire ou contractuel. Précisez si la personne est obligée de fournir ses données persos et ce que cela implique si elle ne le fait pas ;
4. POUR QUI Les autres destinataires en dehors de vous, ou les catégories de destinataires des données à caractère personnel, s'ils existent. Indiquez aussi les tierces personnes et partenaires à qui vous envisagez de communiquer les données.
   
   Si vous avez « l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition; »
   
   Si vous transférez ces données personnelles vers un autre pays ou « une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d'un tel accord », le préciser. Précisez aussi « l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ». Dans le cas de ces transferts particuliers, s'assurer que des règles compatbiles avec le RGPD existent : se référer aux différentes conditions des articles 46, 47 et 49 ;
5. DUREE Indiquer la durée de conservation des données personnelles ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;
6. DROITS Informer la personne de ses droits et faciliter l'exercice de ses droits :
   - droit d'accès ;
   - droit de rectification ;
   - droit d'effacement, « droit à l'oubli » ;
   - de retrait de son consentement (ce retrait n'est pas rétroactif) ;
   - à s'opposer ou demander une limitation du traitement de ses données personnelles ;
   - à la portabilité de ses données ;
   - de faire une réclamation auprès de la CNIL.
   Concrètement, communiquer l'adresse à laquelle la personne peut vous contacter pour exercer ses droits, et proposez si vous le pouvez des moyens techniques en-ligne permettant d'exercer ses droits (par exemple au moyen de formulaire et cases à cocher) ;
7. ALGORITHMIE Si vous utilisez des logiciels ou techniques de décisionnel automatisé, ou encore que vous faites du profilage, explicitez la logique, l'importance et les conséquences prévues de ces types de traitements. Notez que vous ne pouvez pas baser vos décisions uniquement sur le décisionnel automatisé si cela produit « des effets juridiques ou affectant de manière significative » la personne.

Dans le cas où vous n'avez pas collecté les données directement auprès de la personne :

1. indiquer « la source d'où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public » ;
2. communiquer cette information à la personne dans un délai raisonnable après avoir reçu les dites données (un mois maximum) ;
3. communication et prospection : si les données ne servent qu'à communiquer avec la personne (email, adresse postale, téléphone...) : l'informer de ses droits dès la première communication avec cette personne ;
4. l'informer de ses droits si vous comptez « communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois ».

Vous n'êtes pas obligés de communiquer toutes ces informations dans les cas suivants :

1. la personne a déjà ces informations ;
2. communiquer ces infos est impossible ou demanderait des efforts démesurés. Il peut s'agir entre autres des cas entrant dans les domaines archivistique dans l'intérêt public, de recherche scientifique ou historique, de statistique... Se renseigner sur ces conditions particulières ;
3. dans le cas où le « droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée » ;
4. ou que les données personnelles entrent dans le champs du secret professionnel.

S'assurer de la conformité de vos sous-traitants

La CNIL préconise ce modèle de clauses légales :
www.cnil.fr/fr/sous-traitance-exemple-de-clauses

Sécuriser, prévenir et informer

Chiffrer les données personnelles collectées et les rendre confidentielles. En très bref, le chiffrement en informatique consiste à remplacer les caractères du message par dautres. L'objectif est de rendre le message incompréhensible si on n'a pas la clé de déchiffrement.
Limiter l'accès à ces données en interne à un nombre déterminé de personnes.
Vous devez aussi tenir un rôle de vigilence active : « prévenir l'accès non autorisé à ces données et à l'équipement utilisé pour leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement. »
En cas de compromission ou de violation de l'accès aux données, vous devez informer :

1. les personnes dont les données personnelles ont été affectées. Si ladite compromission risque « d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. » Il faut aussi lui donner des conseils pour atténuer les effets négatifs potentiels de cette fuite de données ;
2. la CNIL sous 72h. En attendant un formulaire en-ligne, la CNIL propose celui-ci : www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles

Selon la nature des données et la gravité des risques liés en cas de violation de votre base de données, mettre en place les moyens de garantir l'intégrité, la confidentialité, la disponibilité et la résilience des services de traitement.

Traçabilité. Tenir un registre des activités de collectes et traitements

Vous et votre sous-traitant devez tenir un registre pour cette collecte de données personnelles.

Ce registre doit être sous forme écrite, y compris la forme électronique ; ce registre doit être présenté à la CNIL lorsqu'elle en fait la demande.

Si vous êtes une organisation ou entreprise de moins de 250 employés, vous n'êtes pas tenu-e-s de tenir un registre dans les cas de figures suivants :

1. si le traitement que vous effectuez ne comporte aucun risque pour les droits et des libertés des personnes concernées ;
2. si votre traitement est occasionnel ;
3. si votre traitement de données personnelles ne porte pas sur des données sensibles, c'est-à-dire des données personnelles relatives aux condamnations pénales ou d'infractions, ni sur les données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.
   Dans le cas contraire, vous devez tenir ce registre.

Ce registre doit comporter toutes les informations que vous tenez à disposition des personnes (voir paragraphe « Transparence auprès des personnes et respect de l'application de leurs droits » du présent article).
À cela, vous devez ajouter une description générale des mesures de sécurité technique et organisationnelles que vous avez mises en œuvre pour garantir la protection des données personnelles qui vous ont été confiées. Entre autres selon les besoins :

1. pseudonymisation  ;
2. chiffrement  ;
3. moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
4. moyens de test, analyse, évaluation de leur efficacité...

Voir le modèle de registre préconisé par la CNIL [.XLSX]

Voir un exemple de fiche de registre préconisé par la CNIL [.PDF]

Si vous déléguez le traitement à un sous-traitant

Définition de « sous-traitant » par la CNIL : « tous les organismes qui traitent des données personnelles pour le compte d’un autre organisme, dans le cadre d’un service ou d’une prestation. Sont notamment concernés :

1. « les prestataires de services informatiques (hébergement, maintenance...) ;
2. les intégrateurs de logiciels ;
3. les sociétés de sécurité informatique ;
4. les entreprises de service du numérique ou anciennement sociétés de services et d'ingénierie en informatique (SSII) qui ont accès aux données ;
5. les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients » ;

Si vous faites appel à un sous-traitant, vous devez le faire de manière contractuelle et compatible avec le droit européen.
Le sous-traitant ne doit effectuer un traitement de données personnelles que sur instruction de votre part.
À noter que si le sous-traitant fait lui-même appel à un sous-traitant, il doit vous en demander l'autorisation écrite au préalable.

Votre sous-traitant, en tant que (co-)responsable de traitement pour ceux qu'il met en œuvre, doit tenir un registre et désigner un Délégué à la protection des données personnelles tel que nous l'avons vu plus haut.
Il doit aussi vous conseiller sur les questions de l'AIDP/PIA, failles, sécurité, destruction des données, contribution aux audits.
Voir le Guide du sous-traitant de la CNIL

Si vous déléguez le traitement à un sous-traitant à l'étranger, hors UE

...s'assurer qu'il a des pratiques respectant la législation européenne, ou compatibles moyennant certaines démarches administratives supplémentaires.

Concrètement, par exemples cela touche aux données que vous stockez chez Google, ou encore dans un cloud Amazon, dont les datacentres sont localisés hors de l'Union européenne. De plus en plus d'entreprises mondiales proposent à leurs clients une localisation de leurs données compatible avec leur législation nationale.

« Dans quel pays transférer des données personnelles et à quelles conditions ? Quel pays dispose d’une législation spécifique ou d’une autorité de protection des données personnelles ? » Une carte de la CNIL permet de s'y retrouver :
www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

Pour savoir plus précisément si vous pouvez vous dispenser de mettre en place des outils supplémentaire, se référer aux décisions d'adéquation de la Commission européenne.
En l'absence, mettre en place entre vous -responsable des données- et le sous-traitant à l'étranger :

1. des règles d'entreprises contraignantes pour le sous-traitant, « BCR » pour « Binding Corporate Rules ». Ces BCR définissent la politique de l'entreprise concernant les transferts de données personnelles, son code de conduite pour les protéger ;
2. des clauses contractuelles types approuvées par la Commission Européenne ;
3. des clauses contractuelles adoptées par une autorité et approuvées par la Commission européenne ;
4. des accords contraignants (pour les autorités publiques) ;
5. des codes de conduites ou certifications, contenant des engagements contraignants (responsable de traitement + sous-traitants).

Tout cela est en phase d'expérimentation et la Commission européenne fera un point d'étape sur ces pratiques avant de rendre un rapport d'évaluation et réexamen de la RGPD à la mi-2020.

Cession à des tiers

Dans le cadre de cession de données personnelles par un partenaire, s'assurer que ce tiers a bien procédé à sa collecte de manière conforme au RGPD. S'assurer que votre organisation était bien inscrite dans la liste des tiers bénéficiaires de la collecte par ce partenaire lors du consentement par la personne. S'assurer que ce partenaire est en mesure de vous fournir toutes les informations requises en cas de demande par une personne, ou en cas de contrôle par la CNIL.
Si c'est vous-même qui céder des données personnelles à un tiers, vous relevez bien sûr des mêmes obligations.

Cas du profilage

Si vous effectuez des traitements visant au profilage, vous devez informer les personnes.
Des directives européennes sont en cours d'élaboration pour compléter le cas du profilage (voir : considérant 72).

Cas des traitements présentant un risque élevé pour les droits et libertés, AIDP/PIA

Voici une vue d'ensemble du processus PIA, réalisée par la CNIL :

Un traitement peut être susceptible d'engendrer un risque pour les droits et libertés des personnes physique. C'est le cas :

1. lorsqu'il entraîne des effets juridiques pour la personne, ou autres effets similaires ;
2. lorsque le traitement compulse des données personnelles sensibles ;
3. lorsqu'il existe un risque élevé pour les droits et libertés des personnes ;
4. lorsque le traitement compulse des données personnelles relatives à des condamnations pénales ou infractions ;
5. lors de surveillance systématique. Vous devez alors procéder à une analyse d'impact en amont du traitement, en vous appuyant sur les conseils de votre délégué à la protection des données si vous en avez désigné un ;
6. évaluation/scoring et profilage ;
7. croisement de données ;
8. les données concernent des personnes vulnérables ;
9. l'usage est innovant (nouvelles technologies) ;
10. exclusion du bénéfice d'un droit/contrat...

En savoir plus : « Ce qu'il faut savoir sur l'analyse d'impact relative à la protection des données (AIDP/DPIA) », CNIL

La CNIL publie la liste des traitements pour lesquels une étude d'impact (« AIDP », pour « Analyse d'Impact sur les Données Personnelles », ou en anglais « PIA » pour « Privacy Impact Assesment ») ou une consultation préalable de la CNIL sont requises ou non.
Cette analyse doit suivre une grille précise d'informations à fournir.
A l'issue de cette analyse d'impact, si vous constatez qu'un risque élevé requiert des mesures particulières pour l'atténuer, alors il faut consulter la CNIL avant de mettre en œuvre ce traitement.

En savoir plus à propos des AIDP/PIA, sur le site de la CNIL

La CNIL a créé un logiciel Libre pour aider à la mise en place d'une analyse d'impact

L'Union européenne et la CNIL émettrons des consignes plus précises ultérieurement (considérant 77).

Nommer un Délégué à la Protection des Données (DPD)

Dans certains cas, vous devez nommer un Délégué à la Protection des Données :

1. vous êtes du secteur public (sauf « juridictions agissant dans l'exercice de leur fonction juridictionnelle » ) ;
2. vos traitements amènent à effectuer un suivi régulier et systématique à grande échelle de personnes ;
3. vos traitements portent sur des données sensibles, ou relatives aux condamnation pénales et infractions, et ce à grande échelle.

Si vous n'entrez pas dans ces cas de figures, vous n'en avez pas l'obligation mais vous pouvez bien sûr nommer un délégué à la protection des données si vous le souhaitez.

Ce délégué peut être un de vos employés ou un prestataire extérieur. Il doit être déclaré auprès de la CNIL.
Un groupe d'entreprises peut désigner un seul délégué commun, du moment qu'il reste joignable à partir de chaque lieu d'établissement.
De même, les autorités et organismes publics peuvent ne désigner qu'un délégué.

Le délégué doit être associé à toutes questions relatives à la protection des données personnelles.
Le responsable du traitement ou son sous-traitant doivent lui fournir les moyens humains et financiers ainsi que toutes les informations et données nécessaires à ses missions, mais ne pas lui donner d'instruction pour l'exercice de ses missions. Il ne peut pas non plus être réprimandé pour l'exercie de ses missions.
Le délégué peut être contacté par les personnes ayant confiées leurs données personelles.
Il est soumis au secret professionnel ou à une obligation de confidentialité.
Il peut exercer d'autres missions et tâches que celle de délégué à la protection des données, pourvu qu'il n'y ait pas conflit d'intérêts.

Ses missions, au minimum, sont celles-ci :

1. informer, conseiller et sensibiliser le responsable du traitement et le sous-traitant ;
2. faire l'inventaire des traitements de données personnelles ;
3. contrôler que la législation est respectée ;
4. conseiller en cas de réalisation d'une analyse d'impact ainsi que vérifier son exécution ;
5. être le contact de la CNIL et coopérer avec elle ;
6. sa responsabilité pénale peut être engagée.

En savoir plus sur le Délégué à la Protection des Données :
Lire l'article « Devenir délégué à la protection des données »

Téléservice pour déclarer son Délégué en ligne :
https://www.cnil.fr/designation-dpo

Une personne vous contacte concernant ses données personnelles traitées par vous...

Une personne peut vous solliciter pour faire valoir ses droits. Il faut lui répondre dans les meilleurs délais et au plus tard sous un mois.
Veillez à vérifier l'identité de la personne demanderesse avant de lui communiquer les données personnelles qu'elle vous demande, dans une mesure raisonnable. Souvent, une photocopie de la pièce d'identité est demandée, qui est détruite une fois la vérification effectuée.

Droit d'accès

Si une personne vous demande si vous possédez des données personnelles qui la concerne, si vous en possédez :

1. lui fournir toutes les informations citées ci-avant ;
2. lui donner copie des informations personnelles que vous possédez sur elle ;
3. si la personne a émis sa demande par voie électronique, vous pouvez lui fournir cette copie de même via voie électronique, mais elle peut demander aussi de la recevoir sous une autre forme. Elle peut aussi demander une copie supplémentaire ; dans ce cas vous pouvez lui facturer des frais raisonnables relatifs aux coûts administratifs.

Droit de rectification

Elle peut vous demander de compléter ou modifier ses données si un changement a eu lieu (changement d'adresse par exemple).
Veillez à informer les tiers à qui vous auriez cédé ces données personnelles.

Droit à l'oubli, effacement

Elle peut vous demander d'effacer ses données de votre base, lorsque :

1. ses données ne sont plus nécessaires à vos finalités, même si elle avait préalablement donné son consentement ;
2. la personne ne souhaite pas que vous fassiez de la prospection auprès d'elle, même si elle avait préalablement donné son consentement ;
3. la personne retire son consentement ;
4. la personne s'oppose au traitement ;
5. le traitement de ses données s'est avéré illicite ;
6. le droit oblige à un effacement des données personnelles ;
7. ces données ont été collectées auprès d'enfants.

Veillez à informer les tiers à qui vous auriez cédé ces données personnelles.

Vous n'êtes pas tenus à d'effacer les données personnelles lorsque le traitement est nécessaire pour :

1. l'exercice de la liberté d'expression et d'information ;
2. respecter une obligation légale, un motif juridique vous incombe ;
3. un motif légitime pour une entreprise ;
4. un motif d'intérêt public pour la santé publique ;
5. à des fins fins archivistiques, de recherche scientifique ou historique, à des fins statistiques ;
6. la constatation, l'exercice ou la défense de droits en justice.

Droit à la limitation du traitement

Une personne dont vous détenez des données personnelles peut vous demander de limiter votre traitement lorsque :

1. les informations que vous détenez sont inexactes ;
2. votre traitement est illicite ;
3. il n'y a plus besoin de ses données pour la finalité de votre traitement ;
4. la personne a fait une opposition en attendant que vous justifier de vos éventuels motifs ou intérêts légitimes. Vous pouvez garder ses données mais plus les traiter dans cet intervale, sauf « avec le consentement de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice, ou pour la protection des droits d'une autre personne physique ou morale, ou encore pour des motifs importants d'intérêt public de l'Union ou d'un État membre. »
   Veillez à informer les tiers à qui vous auriez cédé ces données personnelles.

Droit à la portabilité des données

Lorsqu'une personne fait valoir ce droit, vous devez lui fournir les données personnelles que vous possédez à son propos, « dans un format structuré, couramment utilisé et lisible par machine », afin qu'elle puisse les transférer à tout autre organisme de son choix.

Droit d'opposition

Si la personne vous communique sa volonté de s'opposer à votre traitement de ses données personnelles, vous devez cesser d'exploiter ses données.
Elle peut aussi s'opposer :

1. à ce que vous effectuiez de la prospection auprès d'elle ;
2. à un traitement décisionnel automatique (si vous avez recours à ce type de traitement, vérifier les conditions) ;
3. au profilage.

Droit de faire une réclamation auprès de la CNIL

Si la personne considère que ses données personnelles ont fait l'objet d'un traitement qui ne respecte pas la législation, elle a le droit de faire une réclamation auprès de la CNIL.
La CNIL, dans un délai de 3 mois, doit alors la tenir au courant de l'avancement de l'examen de sa réclamation et de l'issue, ainsi que de la possibilité ou non d'un recours juridictionnel.

Droit de former un recours juridictionnel effectif :

1. envers la CNIL si elle n'a pas répondu à la réclamation sous 3 mois ;
2. contre une décision juridiquement contraignante de la CNIL ;
3. envers un responsable du traitement ou sous-traitant si la personne considère que ses données personnelles ont fait l'objet d'un traitement illégal. Le responsable de traitement risque une amende « pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. » À noter qu'au Danemark et en Estonie, c'est un système de sanctions différent qui s'applique (voir : considérant 151).

Actions collectives

Les actions collectives en justice en matière de protection des données sont rendues possibles :
www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

Quid des données déjà collectées avant la RGPD ?

Si vous aviez demandé le consentement des personnes pour traiter leurs données, dans le respect de la législation précédente (directive 95/46/CE) et que vous avez trace de ce consentement, alors vous pouvez continuer vos traitements sans leur redemander un consentement.
Dans le cas contraire, soit vous effacez les données personnelles, soit vous vous mettez en conformité avec le RGPD puis mettez en place le processus d'information et de demandes d'autorisation/consentement des personnes.

Et les employé-e-s, sont'ils-elles concerné-e-s ?

Oui, les données personnelles des employés doivent être traitées dans le respect du RGPD. Dans ce règlement, il est donné possibilité aux États membres d'aller plus loin légalement pour mieux assurer la protection des droits et libertés des personnes dans le cadre spécifique du travail.

Spécifications laissées à l'appréciation des États membres

En compatibilité avec le présent règlement, et avant le 25 mai 2018, les États membres de l'UE pourront apporter des précisions dans leur droit national entre autre pour les questions suivantes :

1. traitement réalisé à des fins journalistiques ou à des fins d'expression universitaire, artistique ou littéraire ;
2. traitement du numéro d'identification national ;
3. traitement de données dans le cadre des relations de travail ;
4. garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
5. obligations de secret

Obligations de secret

Données personnelles relevant du secret (opposable en cas de contrôle de la CNIL) : informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou par le secret médical. Ce « secret médical est opposable s’agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé. Toutefois la communication des données médicales individuelles incluses dans cette catégorie de traitement ne peut se faire que sous l’autorité et en présence d’un médecin. »
Le traitement de données personnelles dans le domaine de la santé est encadré par le chapitre IX de la Loi informatique et libertés modifiée par le RGPD. Une nouvelle numérotation des chapitres est à attendre de la réécriture par ordonnances de la loi.

Cas des données personnelles liées aux infractions pénales

Le chapitre XIII de la Loi informatique et libertés modifiée par le RGPD y est consacré.
Se référer aussi à l’article 230-8 du code de procédure pénale.

Cas des associations ou fondations ayant des finalités politiques, philosophiques, religieuses ou syndicales

Les association ou fondations peuvent être amenées par la nature de leur spécialisation à traiter des données qualifiées de « sensibles » et qui normalement ne peuvent faire l'objet d'un traitement. Le RGPD nous informe que le traitement est tout de même possible lorsque « le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées ».

Mot de la fin

Nous avons fini de parcourir les éléments importants du RGPD.
Pour aider à rédiger concrètement vos mentions légales et informatives, la CNIL a publié de nombreux exemples pratiques sur son site :
www.cnil.fr/fr/modeles/mention?profil=9&submit1=Valider

Nous espérons que ce dossier vous aura été utile.
Si vous souhaitez nous aider à l'améliorer, apporter votre contribution, contactez-nous.