RGPD 2024 E-Book

RGPD 2024La protection des données personnelles

à l’heure de l’intelligence artificielle

© Corporate Copyright s.a.

Tous droits réservés pour tous les pays.

Toute copie, reproduction et/ou publication faite par impression, photocopie, microfilm ou

par quelque procédé que ce soit sans le consentement écrit de l’auteur est interdite.

Le présent ouvrage ne peut être vendu qu’avec l’accord écrit de l’auteur et de l’éditeur.

La rédaction veille à la qualité et à la fiabilité des informations lesquelles ne pourraient en aucun cas engager sa responsabilité.

ISBN : 978-2-87435-349-9

EAN : 9782874353499

Dépôt légal : D/2024/6601/447

Bruxelles, mai 2024

3éme édition

Corporate © Copyright s.a.

Rue Jourdan148 • 1060 Bruxelles • Tél : 32/2/537 26 16

[email protected] • www.corporate.be

Ouvrages du même auteur publiés chez Corporate Copyright

• Guide de survie du dpo en 2023, juin 2023, Ed. Corporate copyright

• Guide de survie du dpo en 2022, Mai 2022, Ed. Corporate copyright (version Belgique FR, version Belgique NL, version France, version Grand-Duché)

• 50 nuances de libertés, (co-auteur S. Dielens et B. Ucros), mai 2018, Éd. Corporate Copyright, 275 p.

• Management et ressources humaines 2.0, (co-auteur I. Choquet), septembre 2015, éditions corporate copyright, 224p.

• Le printemps numérique, novembre 2014, éditions Corporate copyright, Bruxelles, 428 p.

• Le passage du témoin (co-auteurs M.Duvivier, JF Cats), corporate copyright Éditions, Bruxelles, novembre 2009, 188 p.

Ouvrages du même auteur

• Le DPO dans le secteur Public, direction scientifique de l’ouvrage collectif , Politeia, 2022

• Droit d’auteur et propriété intellectuelle en questions, Comm Collection, Bruxelles, décembre 2010, 80 p.

• Auteursrecht en intellectuelle eigendom : vragen en antwoorden, Comm Collection, Brussel, december 2010, 80p.

• La vie privée sur Internet, devons-nous avoir peur ? ,février 2004, JM Dubray éditeur, Bruxelles, 164 p.

• Anthropologie de la société digitale, (co-auteurs S. Salvaggio, M. Bauwens), Erasmus Éd., Bruxelles, Mai 2002, 218 p.

• Du numérique au multimédia, DGTRE 1998, (co-auteurs A. Maqua, B. Lips et D. Villard), 224 p.

• Dictionnaire contextuel de français économique, 4 tomes, (co-auteur S. Verlinde) Garant, 1994, 456 p.

Préface

Didier Reynders,

Commissaire Européen à la Justice

En charge de la protection des données personnellesLe Règlement Européen sur la Protection des Données (RGPD) est une avancée importante pour la protection des données personnelles et la vie privée des citoyens européens.Cet instrument renforce la transparence et confère aux individus des droits opposables, tels que les droits d’accès, de rectification et d’effacement, le droit d’opposition et le droit à la portabilité des données. Il ajoute une protection supplémentaire pour les consommateurs et les citoyens qu’ils soient face aux pouvoirs publics, aux entreprises commerciales, aux travailleurs indépendants voire aux associations.Si le RGPD a atteint une bonne partie de ses objectifs, et devient même une référence, à travers le monde pour les pays qui souhaitent accorder à leurs citoyens un niveau élevé de protection, il n’en reste pas moins que certains progrès devront être réalisés, notamment en renforçant les autorités nationales chargées de la protection des données. La Commission souhaite également aider les entreprises à mieux appliquer le RGPD. De nombreuses PME se sont montrées critiques envers le règlement, qu’elles jugent difficile à appliquer.Néanmoins, le bilan est bon, cinq ans après son entrée en vigueur, le RGPD a atteint la plupart de ses objectifs, garantissant aux citoyens européens de nouveaux droits concernant la protection de leurs données privées. Il facilite aussi la vie des entreprises qui commercent au sein de l’Union Européenne et ne sont plus confrontées à une myriade de règlements nationaux. Le RGPD est aussi « un pilier » sur lequel l’Union peut s’appuyer lorsqu’elle s’attelle à développer sa stratégie des données ou sa politique dans le domaine de l’intelligence artificielle.Aujourd’hui plus des deux-tiers des Européens de plus de 16 ans connaissent le RGPD. Tout n’est pas simple pour autant. À titre d’exemple, de guerre lasse, les internautes peuvent avoir tendance à accepter les cookies (qui collectent leurs données) quand ils visitent un site, « pour avoir accès à l’information».Il est donc important de rendre le RGPD pratique et accessible à tous : citoyens, entreprises, PME, travailleurs indépendants, associations qui tous doivent désormais en tenir compte.La version 2024 de l’ouvrage du Professeur Jacques Folon arrive à point nommé après six ans d’existence du RGPD. Avec sa longue expérience académique et sa connaissance approfondie du terrain de la protection des données personnelles, tant dans le secteur public que dans le secteur privé, il propose dans cet ouvrage des conseils pratiques et concrets destinés à tous les acteurs concernés.De nombreuses questions se posent encore quant à l’application pratique du RGPD, et bon nombre de ces questions sont abordées dans ce livre de manière simple et dans un vocabulaire accessible à tous.Cet ouvrage sera un soutien pour les organisations et les entreprises, pour leurs data privacy officers, métier complexe et important s’il en est, pour les ONG, confrontées à la gestion des données de leurs membres et donateurs, pour les professions libérales, médecins, avocats, comptables, … et bien entendu, s’ils le souhaitent, pour les citoyens européens dont le RGPD a pour but de protéger les données.Ce livre permettra de participer à l’implémentation du RGPD, et de ce fait à apporter sa pierre à la protection des données personnelles des citoyens européens et à aider les organisations confrontées à cette nouvelle réglementation.Bonne lecture.Didier Reynders

Avant-propos

Vous tenez entre vos main la troisième édition du « guide de survie du DPO ». Cette version est sensiblement augmentée du fait de l’actualité du RGPD :➢ Arrivée du « data privacy framework » qui tente de mettre en place un accord entre l’Europe et les Etats-Unis

➢ Arrivée de l’intelligence artificielle et plus particulièrement des intelligences artificielles génératives telles que chatGPT

➢ La mise en place de la directive « lanceurs d’alerte »

➢ De nombreuses décisions prises par les différentes autorités de protection des données dans les différents pays européens

➢ Des recommandations faites par le comité européen pour la protection des données

➢ Des décisions importantes de la Cour de Justice de l’Union Européenne

➢ La question complexe des appels d’offre pour la sélection d’un sous-traitant

Toutes ces évolutions et de nombreuses discussions avec des collègues DPO et lors des formations de nouveaux DPO, ont créé la nécessité de vous proposer une version adaptée, revisitée en fonction de cette actualité.Ce guide a pour vocation de rester, comme le désigne un DPO, « le seul ouvrage qui apporte des réponses aux nombreuses questions pratiques que se posent les professionnels du secteur » et comme je constate souvent, de rester en permanence à portée de main des DPO, avocats, correspondants RGPD, chefs de projets RGPD,…

Ce guide pratique a pour but de vous accompagner et de répondre à vos différentes questions concrètes et pratiques que vous soyez juristes, avocats, cadres chargés de compliance, data protection officer, data scientists, informaticiens, développeurs, départements marketing, ou professionnels des ressources humaines. Quelle que soit votre profession vous êtes tous confrontés au RGPD et à sa mise en œuvre pratique.Six ans déjà que le RGPD est entré en application en Europe et depuis 6 ans nous pouvons constater une évolution des mentalités pour commencer tout doucement à se mettre en œuvre pour intégrer la protection des données personnelles au sein des organisations. Néanmoins le bilan n’est pas complètement positif, car de nombreuses organisations publiques et privées sont encore loin de pouvoir démontrer leur mise en conformité. Et ne parlons même pas des PME, TPE, travailleurs indépendants, auto-entrepreneurs, ONG, associations et fondations dont un grand nombre n’a même pas encore commencé la moindre démarche de mise en conformité.Depuis le 25 mai 2018, date d’entrée en vigueur du règlement général pour la protection des données personnelles (RGPD), dans le cadre des formations que nous avons créées et que nous donnons, des webinaires auxquels nous avons participés, et des missions d’accompagnement d’entreprises et d’organisation tant dans le secteur public que dans le secteur privé, nous avons passé des milliers d’heures avec de nombreux intervenants participant à la mise en conformité de leurs organisations face au RGPD.

Durant plus de six ans, après l’entrée en vigueur du RGPD, nous avons eu l’occasion d’entrer en contact avec de nombreux Data Protection Officers (DPO), chefs de projet RGPD, correspondants RGPD au sein des départements opérationnels et nous ne pouvons que constater que ce sont souvent les mêmes questions pratiques qui se posent.L’ensemble de ces personnes sont toutes confrontées aux mêmes problèmes et cherchent des solutions pratiques à des questions dont la solution ne se trouve généralement ni dans le RGPD, ni dans ses « considérants », ni dans les multiples décisions, recommandations et avis des autorités nationales de contrôle. De plus, il n’existe pas de point d’information central, et donc beaucoup, partout en Europe, réinventent la roue car les solutions sont rarement partagées. Nous ne pouvons que regretter que les DPO et les professionnels ne se regroupent pas plus au sein d’organisations nationales et internationales afin de partager les meilleurs pratiques et documents.Nous avons pris le parti, pour des raisons de facilité rédactionnelles, de mettre au masculin le DPO, en considérant cette fonction comme neutre en termes de genre. Il est bien entendu que cette fonction est et peut être exercée quel que soit le genre du DPO. De même, comme ce guide est destiné à toutes les personnes intéressées au niveau international, nous avons décidé, de désigner les autorités nationales de protection des données comme « la CNIL », appellation qui est très souvent utilisée dans la littérature du fait de l’ancienneté et de la notoriété du régulateur français.Le but de ce guide est de compiler les questions que se posent les DPO et les professionnels du secteur, et d’y apporter une réponse pratique. Les solutions se baseront sur les questions que nous avons eues lors des formations que nous avons données, lors de contacts avec d’autres DPO, ou avec des représentants des autorités, que ce soit au niveau national ou européen.Ce guide est un ouvrage pratique, répondant aux questions concrètes que se posent celles et ceux qui s’intéressent au RGPD, et qui souvent sont confrontés à des questions sans réponses. Ce n’est donc ni un ouvrage de droit, ni de sécurité de l’information, mais un guide pratique dont le but est d’aider les praticiens à avancer dans la mise en conformité de leurs organisations.Ce guide, dont le présente version 2024, est la troisième édition, a été augmenté et complété de nombreuses nouvelles questions et réponses venues des professionnels lors de formations, de conférences et d’échanges.

L’ouvrage sera adapté chaque année, afin de constituer un guide pratique toujours actualisé compilant l’ensemble des questions pratiques qui se posent aux praticiens car le RGPD est une matière mouvante et en évolution constante.Le guide sera composé d’une série de questions concrètes qui vous permettront de mettre en place des solutions pratiques et concrètes. Par souci de facilité de recherche et de lecture nous indiquons également les articles du RGPD concernés par les questionsVous trouverez à de nombreuses reprises, parmi les questions qui se posent des phrases commençant par NOTRE CONSEIL, qui reprendront ce que nous vous recommandons en nous basant sur la pratique.Nous avons également illustré le livre de nombreux exemples pratiques illustrant les questions concrètes qui se posent.Prof. Jacques Folon, Ph.D.

1. Introduction

1.1. Le Règlement général pour la protection des données, le RGPD c’est quoi ?

Le RGPD est un règlement européen, 1 ce qui signifie qu’il est entré en vigueur simultanément le même jour, le 25 mai 2018, dans tous les États Membres de l’Espace Économique Européen qui comprend les 27 États Membres de l’Union Européenne plus la Norvège, l’Islande et le Lichtenstein. C’est donc le même texte qui est applicable partout. Le but était, dans le cadre de ce que l’on appelait précédemment le marché commun, d’avoir des règles identiques pour tous les acteurs européens.Malheureusement, six ans plus tard, il n’est pas rare de constater des différences d’interprétation parmi les autorités nationales de protection des données. Malgré le fait que le règlement avait pour but d’avoir un texte unique pour toute l’Europe, les divergences commencent à se faire jour, ce qui peut poser un problème notamment pour les sociétés travaillant sur plusieurs pays européens.Le but du RGPD, comme le précise son article 1er est d’établir « des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. Le RGPD protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel ». Il s’agit donc bien de protéger les données personnelles des citoyens européens par rapport aux autorités publiques, des consommateurs par rapport aux entreprises et plus généralement de toute personne par rapport à l’usage que l’on fait de ses données personnelles. NOTRE CONSEIL :

n’hésitez jamais, en cas de difficulté avec un interlocuteur, de rappeler que le RGPD existe pour défendre le droit à la vie privée, qui est un droit fondamental des citoyens, et qu’il ne s’agit donc pas d’une quelconque règlementation que l’on pourrait négliger.La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. Les principes et les règles régissant la protection des personnes physiques à l’égard du traitement des données à caractère personnel les concernant devraient, quelle que soit la nationalité ou la résidence de ces personnes physiques, respecter leurs libertés et droits fondamentaux, en particulier leur droit à la protection des données à caractère personnel. Le RGPD vise à contribuer à la réalisation d’un espace de liberté, de sécurité et de justice et d’une union économique, au progrès économique et social, à la consolidation et à la convergence des économies au sein du marché intérieur, ainsi qu’au bien-être des personnes physiques. Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le RGPD a pour but de défendre notre droit à la vie privée, ce qui un droit fondamental qui doit être défendu contre tous les abus, que ce soit de la part des acteurs privés ou même des gouvernements.

1.2. Que faire si une loi nationale est contraire au RGPD ?

Il convient de rappeler la valeur juridique du RGPD face aux autres normes législatives et notamment face aux lois nationales. Reprenons la synthèse 2 qui est faite par Me. Patrick Lingibé et qui précise bien la prééminence du RGPD face aux lois nationales.L’article 288 du traité sur le fonctionnement de l’Union Européenne dispose que « Le règlement a une portée générale. Il est obligatoire dans tous ses éléments et il est directement applicable dans tout État membre. » Le RGPD est donc applicable de plein droit depuis le 25 mai 2018 et ce dans tout l’Espace Économique Européen.S’agissant de la valeur juridique du règlement, la Cour de Justice de l’Union Européenne précise qu’« en raison de sa nature même, et par sa fonction dans le système des sources du droit communautaire, » il « produit des effets immédiats et est, comme tel, apte à conférer aux particuliers des droits que les juridictions nationales ont l’obligation de protéger ». C’est aussi l’occasion de rappeler le principe dit de primauté du droit communautaire sur le droit national des États, ce qui implique qu’en cas de conflit entre une norme communautaire et une norme de droit interne, l’application de la seconde devra systématiquement être écartée au profit de la première. NOTRE CONSEIL :

si vous êtes confronté à une demande ou un traitement de données qui se baserait sur une loi ou une autre norme législative qui, selon vous, ne respecte pas le RGPD, n’hésitez pas à le signaler à votre interlocuteur ou même à le signaler auprès de la CNIL.C’est la Cour de Justice de l’Union Européenne qui a pris clairement position en faveur de cette supériorité du droit communautaire dans son célèbre arrêt Costa contre Enel rendu le 15 juillet 1964, lequel précise « issu d’une source autonome, le droit communautaire né du traité ne pourrait donc, en raison de sa nature spécifique originale, se voir judiciairement opposer un texte interne quel qu’il soit, sans perdre son caractère communautaire et sans que soit mise en cause la base juridique de la Communauté elle-même ».Tous les citoyens peuvent se prévaloir donc depuis le 25 mai 2018 des dispositions du RGPD, lesquelles imposent dans le même temps des obligations nouvelles aux entreprises, indépendamment des dispositions adoptées par les États membres. Ces derniers ne peuvent pas s’opposer directement ou indirectement à l’application effective de toutes les dispositions de ce Règlement, par exemple en prenant ou en conservant de façon active dans leurs droits nationaux respectifs des textes en opposition avec les normes nouvellement imposées par le RGPD.Indépendamment du fait que les lois antérieures ne peuvent pas rester en contradiction avec le RGPD et doivent être adaptées en conséquence, mais de plus les nouvelles lois et règlementations qui touchent à des données personnelles doivent être soumises pour avis à la CNIL car, comme le précise l’article 36,4 « Les États membres consultent l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement. »Dans un monde idéal, aucune loi nationale actuelle ou future ne devrait se trouver en opposition avec le RGPD, mais dans la réalité nous ne pouvons que constater que ce n’est pas le cas et d’ailleurs de nombreux recours judiciaires ont démontré que les législateurs ont encore du pain sur la planche.

1.3. Le RGPD concerne-t-il uniquement les traitements informatisés ?

En effet, l’Art. 2,1 rappelle que le RGPD « s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. »Et le considérant 15 précise même que « le RGPD concerne donc autant les données se trouvant sur papier que les données qui se trouvent dans un environnement numérique. Afin d’éviter de créer un risque grave de contournement, la protection des personnes physiques devrait être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées. Elle devrait s’appliquer aux traitements de données à caractère personnel à l’aide de procédés automatisés ainsi qu’aux traitements manuels, si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du champ d’application du présent règlement. Un restaurateur qui notait ses réservations dans un carnet, à côté de la caisse a été très surpris de constater que la collecte des noms des personnes qui réservaient était non seulement un élément qui intéressait un inspecteur des impôts, mais que le RGPD était concerné et que le restaurateur devait se mettre en ordre par rapport au RGPD, car il collectait des données personnelles dans le cadre des réservations.Donc il est clair que quelle que soit la forme du traitement, avec des fiches papier ou grâce à un logiciel informatique, le RGPD est d’application et les organisations qui traitent ces données doivent se mettre en conformité.

1.4. Le RGPD n’est applicable qu’aux organisations et aux citoyens européens ?

Le considérant 14 le précise bien : « La protection conférée par le présent règlement devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel. »Il y donc plusieurs catégories de personnes dont le RGPD protège les données personnelles :

➢ les résidents des pays concernés par le RGPD, c’est-à-dire les 27 États membres de l’Union européenne plus l’Islande la Norvège et le Lichtenstein;

➢ les personnes du monde entier dont les données sont traitées par des sociétés ou des organisations européennes.

Un citoyen américain qui réserve une chambre d’hôtel dans le cadre de ses vacances en France est donc protégé par le RGPD et son hôtel doit donc mettre en œuvre la conformité au RGPD pour tous ses clients quel que soit le pays dont ils proviennent.Quant aux organisations non européennes, elles sont soumises au RGPD lorsqu’elles traitent des données de résidents européens, qu’elles soient responsables de traitement ou sous-traitants. Pour tout ce qui touche aux relations avec des organisations non européennes, le chapitre 24 leur est consacré.

1.5. Qui doit se soucier du RGPD et se mettre en ordre ?

Tout le monde (sauf les particuliers pour la seule gestion de leurs contacts personnels) doit se mettre en conformité par rapport au RGPD :

➢ les entreprises

➢ les associations, même si elles n’ont pas de but lucratif

➢ toutes les organisations du secteur public

➢ toutes les fondations

➢ tous les travailleurs indépendants

➢ avocats

➢ médecins

➢ psychologues

➢ comptables

➢ fleuristes

➢ bouchers

➢ épiciers

➢ restaurateurs

➢ commerçants

➢ coaches

➢ thérapeutes

➢ consultants

➢ etc.

Un président de club de football a été très étonné lorsqu’un un parent de joueur a porté plainte contre le club pour non-respect du RGPD, car les données personnelles des jeunes joueurs (nom, prénom, adresse, téléphone) étaient affichées sur le mur dans le vestiaire du club. Il n’imaginait pas que le RGPD était applicable pour un club sportif amateur.En effet, TOUTES les professions et TOUTES les activités, commerciales et non commerciales, du secteur public ou privé, ont des clients, des fournisseurs, des membres, des prospects, des citoyens dont ils traitent les données personnelles.Il est néanmoins clair que, six ans après l’entrée en vigueur du RGPD, bon nombre d’organisations ne sont pas encore totalement en règle. Quant aux petites structures, voire les professions libérales, on ne peut que constater qu’elles négligent trop souvent de respecter les données personnelles. De plus n’oublions pas que le RGPD est en constante évolution et que des mises à jour des conformités réalisées sont nécessaires.Un président de club de football a été très étonné lorsqu’un un parent de joueur a porté plainte contre le club pour non-respect du RGPD, car les données personnelles des jeunes joueurs (nom, prénom, adresse, téléphone) étaient affichées sur le mur dans le vestiaire du club. Il n’imaginait pas que le RGPD était applicable pour un club sportif amateur.NOTRE CONSEIL : commencez tout de suite à vous mettre en ordre !

Même si vous êtes en retard, il est grand temps et les amendes n’arrivent pas qu’aux autres !

1.6. Quels traitements de données échappent au RGPD ?

Il y a deux exceptions principales, comme le précise l’article 2 du RGPD. Il ne s’applique pas au traitement de données à caractère personnel effectué :

➢ par une personne physique dans le cadre d’une activité strictement personnelle ou domestique.Les activités personnelles ou domestiques comprennent l’échange de correspondance et la tenue d’un carnet d’adresses, ou l’utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités. Toutefois, le RGPD s’applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques 3 .Nos agendas personnels sont donc exclus du RGPD, tout comme notre activité personnelle au sein des réseaux sociaux, mais n’oublions pas que pour bon nombre de personnes actives professionnellement les coordonnées des contacts privés et professionnels se retrouvent souvent dans le même smartphone. Si vous exercez une activité professionnelle à titre individuel, vous devrez bien sûr vous mettre en règle pour ce qui concerne vos contacts professionnels.Un avocat aura sans nul doute dans son smartphone, bon nombre de coordonnées de clients et de contacts, mais aussi de contacts purement privés. Dans ce cas, les traitements de données liés aux contacts professionnels sont soumis au RGPD, et notamment en ce qui concerne la durée de conservation, les droits des personnes concernées, etc. Si les clients de cet avocat ne sont que des entreprises, il n’en reste pas moins vrai qu’il aura collecté des données personnelles de ses contacts au sein des entreprises, et ces données personnelles sont, elles aussi, soumises au RGPD.

➢ par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces. Il est effectivement logique que la police et les services de sécurité publique puissent agir avec discrétion sans demander un consentement préalable aux potentiels terroristes ou délinquants. Néanmoins, les règlementations nationales ont prévu des moyens de contrôle de ces entités afin de préserver la démocratie. La sécurité nationale, la politique étrangère et la sécurité commune des pays de l’Unions ne sont pas concernés par le RGPD 4. En effet, la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l’objet d’une autre règlementation et notamment la directive police justice.Toutefois, le considérant 19 insiste sur le fait que « Les États membres peuvent confier à des autorités compétentes des missions qui ne sont pas nécessairement effectuées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de manière à ce que le traitement de données à caractère personnel à ces autres fins, pour autant qu’il relève du champ d’application du droit de l’Union, relève du champ d’application du RGPD. » Et donc pour ces autorités, tous leurs traitements de données ne sont pas exclus de l’application du RGPD.De plus, les traitements de données personnelles anonymisées ne sont pas concernés, c’est-à-dire de données provenant au départ de personnes physiques, mais pour lesquelles, lors du traitement il est devenu impossible de retrouver qui sont les personnes concernées.

Un étudiant réalise en rue un mini sondage d’opinion dans le cadre d’un travail scolaire, et il ne note que les réponses à quelques questions posées au sujet de l’usage des réseaux sociaux, l’âge et le sexe des personnes interrogées. Les données ne seront pas des données personnelles car elles ne permettront pas d’identifier les répondants.

1.7. Quand devons-nous être en ordre par rapport au RGPD ?

En réalité, tous ceux qui sont concernés par le RGPD auraient dû être en ordre et totalement conformes au RGPD depuis le 25 mai 2018. Mais c’est loin d’être le cas, surtout au sein des petites structures, sans oublier les professions libérales et les indépendants.Rappelons que le texte avait été publié en 2016, pour laisser deux ans aux organisations pour se mettre en conformité, et que les discussions avaient déjà commencé plusieurs années auparavant.

Difficile donc de dire qu’on ne savait pas !L’exemple ne vient pas d’en haut !

Il est étonnant de constater qu’aujourd’hui encore des sites de partis politiques, de ministères, d’organisations publiques, semblent aux abonnés absents voire font encore référence à des règlementations rendues obsolètes par le RGPD.Force est de constater, six ans plus tard, que certains commencent à peine leur processus de mise en conformité.

1.8. Que risque-t-on à ne pas respecter le RGPD ?

Les risques sont nombreux pour ceux qui ne respectent pas le RGPD :

➢ Amendes : Comme le précise l’article 83,5 « les amendes administratives peuvent s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. » Le montant total des amendes en Europe atteignait près de 4,5 milliards d’euros en début 2024 5.

➢ Plainte d’une personne devant l’autorité nationale de protection des données : « Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement 6. » Il est néanmoins important de vérifier le suivi des plaintes par votre autorité nationale. En effet, la grande majorité des autorités nationales se plaignent d’un manque de moyens et donc d’efficacité.

➢ Plainte en justice : « Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du RGPD 7. » Le recours devant les cours et tribunaux est évidemment possible pour faire cesser un traitement de données qui ne respecterait pas le RGPD. On constate dans certains pays un recours croissant aux plaintes en justice du fait de l’inactivité ou du manque de moyens des autorités nationales de protection des données.

➢ Plainte d’un concurrent : plusieurs décisions nationales ont condamné une entreprise pour concurrence déloyale pour ne pas avoir respecté le RGPD. Et c’est logique : si une entreprise a investi du temps et de l’argent pour se mettre en conformité, alors que son concurrent n’a rien fait, elle se trouve désavantagée par rapport à ce concurrent.

➢ Atteinte à la réputation : la publicité autour des plaintes, des amendes, des sanctions porte évidemment atteinte à la réputation de sérieux de l’organisation en faute.

Indépendamment de ce qui précède, le RGPD donne un certain nombre de pouvoirs aux CNIL nationales :

➢ avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement; (art. 58,2, a)

➢ rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du règlement; (art. 58,2, b)

➢ ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application du présent règlement; (art. 58,2, c)

➢ ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé; (art. 58,2, d)

➢ ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel; (art. 58,2, e)

➢ imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement; (art. 58,2, f)

➢ ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement en application des articles 16, 17 et 18 et la notification de ces mesures aux destinataires auxquels les données à caractère personnel ont été divulguées en application de l’article 17, paragraphe 2, et de l’article 19; (art. 58,2, g)

➢ retirer une certification ou ordonner à l’organisme de certification de retirer une certification délivrée en application des articles 42 et 43, ou ordonner à l’organisme de certification de ne pas délivrer de certification si les exigences applicables à la certification ne sont pas ou plus satisfaites; (art. 58,2, h)

➢ imposer une amende administrative en application de l’article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas; (art. 58,2, i)

➢ ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale.(art. 58,2,j)N’oubliez pas que, souvent, la non-conformité au RGPD se voit assez facilement de l’extérieur. Il suffit parfois de jeter un œil sur un site internet, de voir comment une carte de fidélité est complétée dans un magasin, de voir comment un avocat ou un thérapeute collecte vos données, parfois sensibles, de voir comment on collecte les dons pour une œuvre caritative, etc. pour se rendre compte que le RGPD est souvent « oublié ».

Comme vous le voyez les risques ne sont pas négligeables !

Et il y a donc plusieurs possibilités que la non-conformité entraine une sanction :

➢ une plainte d’un consommateur auprès de la CNIL,

➢ une plainte en justice d’un consommateur,

➢ une plainte d’un concurrent auprès de la CNIL,

➢ Une plainte en justice d’un concurrent,

➢ une action d’initiative des autorités.

NOTRE CONSEIL :

ne tardez pas à vous mettre en ordre, la non-conformité se voit facilement et le risque de plainte et de sanction est réel.

1.9. Qui peut m’aider à me mettre en ordre ?

Il y a bien sûr pléthore de consultants, d’avocats, de spécialistes plus ou moins bien formés qui se sont engouffrés dans ce marché. Si vous cherchez une aide externe, plusieurs critères sont importants pour sélectionner une personne compétente qui vous aidera :

➢ son expérience,

➢ ce qui est publié sur son site, son profil Linkedin,

➢ sa formation en RGPD et en sécurité de l’information,

➢ sa certification éventuelle,

➢ le temps disponible.

Nous reviendrons plus loin sur les critères de sélection d’un DPO 8.

Il existe même des applications en ligne 9 pour aider les petites organisations et les indépendants.

NOTRE CONSEIL :

renseignez-vous auprès de collègues, vérifiez les références de ceux qui vous proposent leurs services, demandez-leur quelle formation ils ont suivi, s’ils ont obtenu une certification. N’oubliez pas que vous êtes responsables du choix de votre DPO si vous en choisissez un.

1.10. Quelles autorités ont la charge de faire respecter le RGPD ?

La situation est particulière en ce sens que cette règlementation est soumise au contrôle d’une autorité administrative (parfois plusieurs comme en Allemagne) par pays européen :

➢ la Commission Nationale Informatique et Liberté (CNIL)

en France,

➢ la Commission Nationale de Protection des données (CNPD) au Grand-Duché,

➢ l’Autorité de Protection des Données (APD) en Belgique,

➢ …

Ces autorités se regroupent au sein d’une organisation commune :l’European Data Protection Board (EDPB) en français le Centre Européen de Protection des Données (CEPD). Pour des raisons de facilité, nous emploierons ici l’abréviation CEPD.NOTRE CONSEIL : comme le RGPD est une règlementation européenne qui est la même dans tous les pays européens, il est utile de vérifier les décisions prises par les différentes autorités et les recommandations proposées par le CEPD. Un excellent site 10 (en anglais) reprend toutes les décisions de ces autorités. Vous trouverez la liste des autorités nationales et leurs coordonnées mises à jour sur une page dédiée du site du CEPD 10.Indépendamment des CNIL nationales, les autorités judiciaires et administratives ont évidemment aussi un rôle dans le cadre du respect du RGPD. Il est en effet possible :

➢ de porter plainte devant les cours et tribunaux en dommages et intérêts;

➢ de demander au Conseil d’État l’annulation d’un acte administratif réalisé en fraude du RGPD;

➢ de demander à une Cour ou un Conseil Constitutionnel d’annuler une loi nationale contraire au RGPD;

➢ de poser une question préjudicielle à la Cour de Justice de l’Union Européenne.

A titre d’exemple, en Belgique, le Conseil d’État a pris une décision qui a fait beaucoup de bruit en Europe en cassant une attribution de maché public, car le pouvoir public concerné n’avait pas vérifié la conformité au RGPD lors du choix d’un sous-traitant.

1.11. Sur quel territoire géographique s’applique le RGPD ?

L’article 3 du RGPD précise que :

« 1. Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. »Cela signifie que tous les traitements de données personnelles qui sont gérés par un responsable de traitement dont le siège social est établi en Europe, même si ce traitement concerne des activités hors Europe sont concernés. En résumé tous les traitements de données personnelles réalisés par les organisations européennes, quelles qu’elles soient, sont soumises au RGPD.Un site d’e-commerce espagnol qui n’aurait que des clients en Amérique du Sud est soumis néanmoins au RGPD.« 2. Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :

a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou

b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union. »

Ce suivi de comportement, pouvant être réalisé sans que la personne concernée en soit conscient, est néanmoins soumis au RGPD ce qui oblige les responsables de traitement à informer les personnes concernées comme le précise le considérant 24 :« Le traitement de données à caractère personnel de personnes concernées qui se trouvent dans l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union est soumis au RGPD lorsque ledit traitement est lié au suivi du comportement de ces personnes dans la mesure où il s’agit de leur comportement au sein de l’Union. Afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d’établir si les personnes physiques sont suivies sur internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit. »Facebook et Google par exemple, du fait qu’ils ont un grand nombre de clients en Europe, sont soumis au RGPD pour ce qui concerne leurs relations avec leurs clients européens. En revanche le RGPD ne s’applique pas aux relations avec leurs clients américains.Cela signifie que tous les traitements de données personnelles qui sont gérés par un responsable de traitement dont le siège social est établi n’importe où dans le monde, sont soumis au RGPD si ces traitements concernent des personnes concernées qui se trouvent en Europe. En résumé tous les traitements de données personnelles réalisés par les toutes les organisations du monde, sont soumis au RGPD s’ils concernent des personnes se trouvant en Europe.« 3. Le présent règlement s’applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public. »Ceci concerne des territoires hors de l’Union Européenne dans lesquels le droit d’un État Membre est en vigueur.

On voit donc bien que le RGPD est une législation qui a des conséquences au niveau mondial du fait que les organisations non européennes doivent également le respecter si elles ont des clients, des contacts, des prospects, des membres, etc. en Europe.

1.12. En quoi les organisations non européennes sont-elles concernées par le RGPD ?

Comme nous l’avons vu précédemment 11, le RGPD, concerne non seulement les organisations européennes, mais aussi toutes les organisations mondiales qui ont des clients, des membres, des prospects, des contacts en Europe. Et donc ces organisations non européennes ont de ce fait des obligations en vertu du RGPD si elles proposent des biens ou des services (payants ou gratuits), ou simplement surveillent le comportement de personnes dans l’UE.Prenons deux exemples : Un hôtel en Tunisie fait de la publicité sur les médias sociaux pour les touristes du monde entier. Le RGPD ne s’applique pas à la collecte et au traitement des données des citoyens Non européens, mais il s’applique au traitement des données des résidents européens. Un site de commerce électronique congolais qui vend des produits uniquement à des clients africains. Le RGPD ne s’applique pas.

2. Quel est le but à atteindre ? Le dossier RGPD !

2.1. C’est quoi le dossier RGPD ?

Nous sommes confrontés, depuis plusieurs années maintenant, à de nombreuses questions concernant le but à atteindre.À ce sujet, les questions que nous entendons le plus souvent sont :

➢ On commence par quoi ?

➢ J’ai fait le registre, cela suffit-il ?

➢ C’est quoi le « delivrable », comme disent les consultants ?

➢ Comment saura-t-on qu’on a fini ?

Ce genre de question nous a amené à créer la notion de « dossier RGPD », à savoir un recueil de documents, qu’ils soient sous forme papier ou digitale, qui :

➢ constitue la base documentaire à présenter en cas de contrôle, d’audit ou de plainte;

➢ est la base du plan d’actions et du bilan annuel;

➢ permet d’expliquer à l’organisation le but à atteindre de façon concrète.

Il est donc important de commencer par définir la table des matières de ce dossier et de le compléter au fur et à mesure des démarches de mise en conformité.La mise en conformité au RGPD est une obligation de moyens. Il est donc nécessaire de pouvoir démontrer que le responsable de traitement a réfléchi aux questions posées par le RGPD, qu’il a pris des décisions motivées, et ces décisions doivent être documentées et insérées dans le dossier RGPD. Rappelons que de nombreuses règles du RGPD sont parfois imprécises et laissent une liberté d’interprétation aux organisations : les durées de conservation des données, les procédures internes, le fait de contacter ou non l’autorité en cas de vol de données, etc.

2.2. Quelle est la table des matières du dossier RGPD ?

Vous trouverez ci-dessous la table des matières de ce dossier RGPD.

Pour chacune des rubriques, nous vous renvoyons vers un chapitre qui traitera spécifiquement de chaque problématique

Le dossier devra comporter au moins les rubriques suivantes :

1. Désignation du ou des responsables de traitement (Voir chapitre 14)

2. Inventaire des bases de données existantes (Voir chapitre 17)

3. Désignation du DPO (Voir chapitre 10)

4. Description des mesures de sécurité organisationnelles(Voir chapitre 23)

5. Description des mesures de sécurité techniques (Voir chapitre 23)

6. Tout ce qui concerne le site internet, les pages des réseaux sociaux, le marketing digital(Voir chapitre 20)

7. Les aspects liés aux ressources humaines (Voir chapitre 19)

8. Les droits des personnes concernées (Voir chapitre 17)

9. Le « privacy by design » (Voir chapitre 21)

10. Les vols et pertes de données, la gestion des incidents, le plan catastrophe (Voir chapitre 16)

11. Les relations avec les sous-traitants (Voir chapitre 15)

12. Les cas où nous sommes sous-traitants (Voir chapitre 15)

13. Les analyses d’impact (Voir chapitre 22)

14. Le registre des traitements (Voir chapitre 18)

15. Les avis du DPO (Voir chapitre 10)

16. Les décisions de la direction (Voir chapitre 10)

Chacune de ces rubriques reprendra :

1. les textes rédigés tels que les politiques de confidentialités appelées aussi privacy policies, les clauses de confidentialité, les politiques internes, etc.;

2. les décisions prises par la direction. En effet, c’est la direction du responsable de traitement qui prend les décisions liées au RGPD et ces décisions doivent être documentées.

2.3. Qui a accès au dossier RGPD ?

Le dossier RGPD comprendra des données confidentielles (comme des spécificités des mesures de sécurité, le contrat avec le DPO externe, etc.) et de ce fait l’accès à ce dossier doit être limité, tout comme les données personnelles, à ceux qui en ont besoin.Le dossier RGPD sera donc localisé dans un espace informatique partagé entre quelques personnes :

➢ le DPO évidemment, dont nous rappelons que ce n’est pas lui qui va compléter l’ensemble du dossier, son rôle, précisé dans le RGPD, est un rôle de conseil et de contrôle. Mais nous savons que dans bon nombre de petites organisations le rôle du DPO va au-delà de ce rôle;

➢ les correspondants RGPD au sein des différents départements, quel que soit le nom qu’on leur ait donné au sein de l’organisation;

➢ le responsable de la sécurité de l’information, qui aura la charge de documenter les mesures de sécurité et soit de les insérer dans le dossier soit, s’il estime que la sécurité l’exige, de les documenter dans un dossier séparé qui devra être susceptible d’être mis à la disposition des autorités de contrôle ou judiciaires;

➢ la direction de l’entreprise ? Selon nous ce n’est pas indispensable que la direction de l’entreprise ait un accès permanent au dossier RGPD. Néanmoins, une présentation périodique du dossier lors de comités de direction pourrait certainement être utile;

➢ le commissaire au compte ? Son rôle étant aussi de vérifier la conformité légale de l’organisation, lui montrer l’état du dossier lors de son audit sera utile, mais sans qu’il ait un accès permanent.

2.4. On commence par quoi ?

La philosophie du RGPD est basée sur la protection des données personnelles et donc sur la limitation des risques de violation de données. Il est donc recommandé de commencer par ce qui est le plus risqué dans le cadre des traitements réalisés par l’organisation. NOTRE CONSEIL :

au démarrage du dossier RGPD, pensez au pire scénario qui puisse arriver, au pire vol de données, au risque le plus important. La première action sera de commencer à documenter et à sécuriser les traitements de données concernés par ce risque. Si ce traitement nécessite une analyse de risques, réalisez là en invitant les départements concernés (informatique, sécurité de l’information, département opérationnel) ce qui vous permettra déjà de faire passer la « bonne parole ».

2.5. On commence par quel département ?

Il est important de penser à ce qui est le plus visible, comme les documents remis aux personnes avec lesquelles l’organisation est en contact, ou le site internet qui est visible par tous. Et donc le choix des départements concernés s’impose pour que la « partie visible de l’iceberg » soit adaptée de façon que, vue de l’extérieur, l’organisation montre le plus rapidement possible une image de conformité. Pour ce qui concerne les autres départements, soyons pratique! Commencez par le département dans lequel vous sentez que vous serez accueilli favorablement. La mise en conformité au RGPD se fait au fur et à mesure. Les ressources humaines sont souvent un bon choix pour débuter, car la confidentialité des données du personnel et la sécurisation de celles-ci sont dans leur ADN, et il y aura déjà pas mal de choses en place.NOTRE CONSEIL :

nous ne recommandons pas de commencer par le registre des traitements, qui sera perçu par les différents départements comme une obligation sans intérêt. Nous privilégions de commencer par les sujets importants et visibles et de faire compléter le registre au fil de l’eau lors des différents contacts avec les départements concernés.

2.6. Comment et pourquoi trouver des correspondants dans les départements ?

Rappelons-le une fois de plus, le DPO a un rôle de conseil et de contrôle. S’il doit tout faire lui-même, non seulement il sera rapidement débordé, mais il sera en situation de conflit d’intérêt, car comment contrôler objectivement un document ou une procédure qu’on a rédigé soi-même.Il est donc indispensable de chercher à obtenir un allié, une aide au sein des départements, qui aura la charge de la conformité au sein du département mais qui aussi vous informera de ce qu’il s’y passe.NOTRE CONSEIL :

il est important dès le début d’une mission de DPO de rappeler que le DPO a uniquement un rôle de conseil et de contrôle et de signaler qu’un soutien dans les autres départements sera indispensable. La direction a trop souvent tendance à penser que dès qu’un DPO est nommé, le problème est résolu.

2.7. Quand sera-t-on certain que le dossier RGPD est définitivement complet ?

JAMAIS !En effet, nous constatons depuis mai 2018 que cette matière évolue sans cesse au gré des avis, des recommandations, des décisions des autorités nationales, des autorités judiciaires et même de la Cour de justice de l’Union européenne. Il est donc nécessaire de suivre l’actualité afin de pouvoir mettre à jour son dossier au gré des évolutions.De plus les organisations évoluent, de nouvelles activités, de nouveaux traitements se feront jour et nécessiteront une mise à jour permanente du dossier.NOTRE CONSEIL :

n’oubliez pas de rappeler dès le début et périodiquement à la direction que la mise en conformité au RGPD est un processus permanent qui doit être intégré dans tous les processus de l’organisation.

2.8. Comment utiliser le dossier RGPD comme bilan et plan d’actions ?

Le DPO rapporte au plus haut niveau de la hiérarchie de l’entreprise et il doit donc lui rendre des comptes. Le plus simple est, sans doute, de partir de la table des matières du dossier RGPD et de montrer en début de mission du DPO où en est l’organisation. La table des matières du dossier, en indiquant, dans une colonne, ce qui est déjà réalisé, et dans une autre le plan des actions prévues pour l’an prochain permettra au DPO d’informer la direction sur l’état d’avancement de la mise en conformité.En fin d’année ou au début de l’année suivante, un bilan des actions de l’an dernier et les projets d’actions pour l’année suivante seront présentés à la direction.Ce suivi systématique permettra au DPO de montrer à la direction les efforts accomplis, les actions encore nécessaires ou même les blocages éventuels.Il peut même être utile de présenter un plan d’actions réparti sur plusieurs années de façon à montrer que la mise en conformité est un processus long et que les mises à jour sont nécessaires. A titre d’exemple le privacy by design des nouveaux projets, et la mise à jour des analyses d’impact doivent être des actions à reprendre chaque année.

3. Quelques définitions de base

3.1. Qu’est-ce qu’une donnée à caractère personnel ?

« Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée 12”); est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale 13 » Cette définition est très large et il est important de comprendre qu’un très grand nombre de données sont des données personnelles.

Si les noms et prénoms permettent d’identifier directement les personnes concernées, elles peuvent aussi être identifiées indirectement avec certains éléments tels que :

➢ numéro de la plaque de voiture

➢ numéro de téléphone portable

➢ numéro de sécurité sociale

➢ adresse postale

➢ adresse email

➢ adresse IP

➢ numéro de carte d’identité ou de passeport

➢ numéro de membre dans un club sportif

➢ photo

➢ photo d’une maison

➢ photo aérienne d’une maison

➢ adresse postale

➢ enregistrement vocal

➢ etc.

Une personne peut également être identifiée au moyen de la combinaison de plusieurs éléments, à priori sans lien avec une personne, comme le fait qu’une personne vive dans tel village, soit professeur des écoles et conseiller municipal du village en question.Il est important de noter qu’une donnée à caractère personnel ne doit pas nécessairement permettre d’identifier immédiatement une personne. Si un nom de famille et un prénom le permettent, le numéro d’une plaque de voiture, bien que ne permettant pas une identification immédiate de la personne concernée est néanmoins une donnée personnelle car elle permettra d’identifier indirectement la personne concernée.

3.1.1. Une donnée anonyme est-elle une donnée personnelle ?

Comme le précise le considérant 26 du RGPD « Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s’applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche. »Mais, soyons clairs, pour que des données soient vraiment anonymes, il faut qu’il n’y ait absolument aucun moyen, en traitant ces données anonymes, et notamment en les combinant avec d’autres ou en effectuant un traitement informatisé que l’on puisse retrouver des données personnelles. Les données anonymes le sont-elles vraiment?

Une équipe de chercheurs de l’Imperial College London et de l’Université catholique de Louvain a mis au point un site web permettant à toute personne d’évaluer le risque qu’elle court d’être identifiée parmi un ensemble de données anonymes et ce pour un grand nombre de pays.

(Vous pouvez effectuer le test sur le site https://cpg.doc.ic.ac.uk/observatory/explore) NOTRE CONSEIL :

si vous voulez, par exemple, effectuer des statistiques, des travaux historiques ou de recherche scientifique avec des données qui, au départ sont personnelles, vous pouvez utiliser un « tiers de confiance » externe qui les anonymisera de façon à ce que vous ne puissiez pas les attribuer à une personne identifiable.

3.1.2. Une donnée pseudonymisée est-elle une donnée personnelle ?

La pseudonymisation est « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable .14 » (Art. 4,5 RGPD) Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. 15Les données pseudonymisées restent donc des données personnelles.Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci. 16La pseudonymisation des données à caractère personnel peut donc réduire les risques pour les personnes concernées et aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données. 17Comme le RGPD préconise la minimisation des données, (c’est-à-dire limiter au maximum le nombre de données collectées), et l’obligation de sécuriser les données, la limitation de leur usage, et la limitation de durée de conservation, la pseudonymisation permet de limiter l’usage des données personnelles en tant que telles et peut donc faire partie des mesures de sécurité possibles.NOTRE CONSEIL : l’examen de données pseudonymisées pour savoir si elles peuvent permettre d’identifier plus ou moins facilement une personne physique est donc nécessaire. Cet examen devra tenir compte des possibilités techniques, du coût du temps nécessaire pour, éventuellement, rendre ces données personnelles. Cet examen devra se faire avant le traitement, mais éventuellement être réévalué postérieurement si les technologies futures permettaient une transformation en données personnelles plus facile ou moins couteuse.Afin d’encourager la pseudonymisation dans le cadre du traitement des données à caractère personnel, des mesures de pseudonymisation peuvent être envisagées par un responsable du traitement pour les données qu’il traite, tout en permettant une analyse générale, lorsque celui-ci a pris les mesures techniques et organisationnelles nécessaires afin de garantir, pour le traitement concerné, que le RGPD est mis en œuvre, et que les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise soient conservées séparément. Le responsable du traitement qui traite les données à caractère personnel devrait indiquer les personnes autorisées à cet effet chez un même responsable du traitement afin de limiter les risques d’individualisation. 18

3.1.3. Le nom d’une entreprise est-il une donnée personnelle ?

GENERALEMENTLe considérant 14 précise d’ailleurs que le RGPD « ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale. »MAIS…Tout dépend du nom de l’entreprise. En effet, si le nom de l’entreprise permet d’identifier une personne physique, il s’agit alors d’une donnée personnelle. Les noms des auto-entrepreneurs, des titulaires de professions libérales, sont bien des données personnelles et doivent être traitées comme telles, comme l’a précisé la CNIL. Par ailleurs, une adresse email professionnelle comprenant le nom voire même le nom et le prénom d’une personnes physique est une donnée personnelle. En revanche, une adresse générique info@société.com n’est pas une donnée personnelle. 19La constitution d’une base de données comportant des noms et coordonnées d’entreprises est donc, contrairement à ce qui est souvent affirmé, soumis au RGPD.De plus les informations concernant les dirigeants de l’entreprise sont évidemment également considérées comme des données personnelles. Enfin, les données des entreprises qui portent le nom d’une personne physique sont considérés comme des données personnelles comme l’a signalé la Cour de Justice de l’Union Européenne. 20

3.1.4. Qu’est-ce qu’une donnée personnelle « particulière » ou « sensible » ?

Il existe des données à manipuler avec certaines précautions, comme les données des enfants, pour lesquelles il est parfois nécessaire d’avoir le consentement des parents. Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. 21L’article 9,1 du RGPD interdit « Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ».Il s’agit donc d’une interdiction absolue sous réserve des exceptions limitées prévues par l’article 9,2 analysées ci-dessous.

3.1.5. Dans quel cas peut-on traiter des données sensibles ?

Cette interdiction ne s’applique pas dans des cas limités et précis décrits à l’article 9,2.NOTRE CONSEIL :

lorsqu’un traitement de données sensibles doit être réalisé, il est essentiel de documenter le fait que le responsable du traitement a bien identifié le fait que les données soient sensibles et qu’une des exceptions de l’article 9,2 est applicable en l’espèce.

➢ si la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques. Il faut donc un consentement express autorisant le responsable de traitement à traiter ces données. Ce consentement ne peut pas être noyé dans d’autres consentements;Un site promouvant la démocratie directe demande aux citoyens de donner leur avis sur le financement des partis politiques. Afin de crédibiliser le sondage les noms et prénoms des répondants sont demandés. Une question posée concerne la sensibilité politique et un choix du parti politique qui correspond le mieux à leurs aspirations. Cette question est optionnelle et un consentement spécifique doit être demandé lorsque la personne répond à cette question, sans oublier les informations imposées par l’article 13. (voir chapitre 21)

➢ le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée;Les élections des représentants syndicaux et des représentants du personnel, qui sont réalisées en ligne, nécessitent une sécurité spécifique afin de garantir la confidentialité dans le cadre d’une obligation légale et sans doute une analyse d’impact. (voir chapitre 22)

➢ le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement; Il s’agit ici d’une interprétation stricte, et concernant une personne spécifique dont les intérêt vitaux sont en danger. Les autorités nationales ont notamment précisé dans le cadre de la pandémie au Covid 19, qu’une épidémie ne permettait pas d’utiliser cette exception;Un patient amené aux urgences d’un hôpital, dans l’incapacité de s’exprimer ne devra évidemment pas être d’abord ranimé pour signer une politique de vie privée avant que tout soit mis en œuvre pour le sauver.

➢ le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées; Il s’agit ici par exemple d’associations religieuses, de syndicats, de partis, politiques, etc. dans le strict traitement de leurs membres, ancien membres et sympathisants;Un site de communauté religieuse, qui doit évidemment se mettre en conformité par rapport au RGPD, peut évidemment échanger avec ses membres concernant les aspects religieux, et même leur poser des questions par rapport à leurs pratiques religieuses, mais en leur proposant bien sur une politique de vie privée appropriée.

➢ le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;Indiquer dans un article de blog, que le président du parti socialiste est socialiste ne constituerait pas une atteinte à sa vie privée.

➢