RGPD: Le droit à la limitation du traitement

Le droit à la limitation du traitement consiste à conférer à la personne concernée de suspendre le traitement dont elle fait l’objet tout en conservant les données traitées.

Par limitation du traitement, il faut entendre, selon l’article 4, §3 du RGPD, « le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur ».

Il, s’agit, autrement dit, d’enjoindre le responsable du traitement d’adopter des mesures conservatoires en vue de procéder à certaines vérifications.

==> Champ d’application

En application de l’article 18 du RGPD la personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement dans les situations suivantes :

  • L’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;
  • Le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;
  • Le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
  • La personne concernée s’est opposée au traitement en vertu de l’article 21, §1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

==> Principe

L’article 18, §2 du RGPD prévoit que lorsque le traitement a été limité, les données à caractère personnel doit être conservées par le responsable du traitement, sans qu’il puisse les traiter.

Le considérant 67 précise que les méthodes visant à limiter le traitement de données à caractère personnel peuvent consister, entre autres, à déplacer temporairement les données sélectionnées vers un autre système de traitement, à rendre les données à caractère personnel sélectionnées inaccessibles aux utilisateurs, ou à retirer temporairement les données publiées d’un site internet.

Dans les fichiers automatisés, la limitation du traitement doit en principe être assurée par des moyens techniques de façon à ce que les données à caractère personnel ne fassent pas l’objet d’opérations de traitements ultérieures et ne puissent pas être modifiées.

Le fait que le traitement des données à caractère personnel est limité doit être indiqué de manière claire dans le fichier.

==> Limites

L’article 18, §2 du RGPD autorise le responsable du traitement à traiter les données qui font l’objet d’une limitation dans quatre cas :

  • La personne concernée a donné son consentement
  • Les données sont traitées pour la constatation, l’exercice ou la défense de droits en justice
  • Les données sont traitées pour la protection des droits d’une autre personne physique ou morale
  • Les données sont traitées pour des motifs importants d’intérêt public de l’Union ou d’un État membre.

RGPD: Le droit à la portabilité des données

==> Ratio legis

L’article 20 du règlement général sur la protection des données (RGPD) introduit un nouveau droit à la portabilité des données.

Ce droit permet aux personnes concernées de :

  • Recevoir les données à caractère personnel qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine
  • Transmettre les données récupérées sans obstacle à un autre responsable du traitement.

Ce droit, qui s’applique sous réserve de certaines conditions, encourage le choix et le contrôle de l’utilisateur, ainsi que sa responsabilisation.

Les personnes exerçant leur droit d’accès au titre de la directive 95/46/CE relative à la protection des données étaient limitées par le format choisi par le responsable du traitement lors de la fourniture des informations demandées.

Le nouveau droit à la portabilité des données vise à responsabiliser les personnes concernées au sujet de leurs données à caractère personnel, car il facilite leur capacité à déplacer, à copier ou à transmettre facilement des données à caractère personnel d’un environnement informatique vers un autre (qu’il s’agisse de leur propre système, du système de tiers de confiance ou de celui de nouveaux responsables du traitement).

==> Les conditions d’exercice du droit à la portabilité

L’exercice du droit à la portabilité des données est subordonné à la satisfaction de trois conditions cumulatives

  • Première condition
    • Le droit à la portabilité ne peut porter que les données concernant la personne qui l’exerce.
    • Seules les données à caractère personnel peuvent faire l’objet d’une demande de portabilité.
    • Par conséquent, toute donnée anonyme ou ne se rapportant pas la personne concernée est exclue du champ d’application de la portabilité.
    • Toutefois, les données pseudonymisées qui peuvent clairement être liées à la personne concernée (par exemple, lorsque la personne concernée fournit l’identifiant correspondant) relèvent du champ d’application de l’article 20 du RGPD
  • Deuxième condition
    • Le droit à la portabilité ne peut porter que sur des données qui ont été fournies par la personne concernée au responsable du traitement
    • Une distinction peut être opérée entre différentes catégories de données, en fonction de leur origine, afin de déterminer si elles sont couvertes par le droit à la portabilité des données.
    • Les catégories suivantes peuvent être qualifiées de données « fournies par la personne concernée» :
      • Les données activement et sciemment fournies par la personne concernée (par exemple, adresse postale, nom d’utilisateur, âge, etc.) ;
      • Les données observées fournies par la personne concernée grâce à l’utilisation du service ou du dispositif. Ces données peuvent inclure, par exemple, l’historique de recherche, les données relatives au trafic et les données de localisation d’une personne. Elles peuvent aussi inclure d’autres données brutes comme le rythme cardiaque enregistré par un dispositif portable.
    • En revanche, les données déduites et les données dérivées qui sont créées par le responsable du traitement sur la base des données « fournies par la personne concernée», tel que le résultat d’une appréciation relative à la santé d’un utilisateur ou un profil créé dans le contexte des règlementations relatives à la gestion des risques et de la réglementation financière ne peuvent pas être considérés en soi comme ayant été « fournies » par la personne concernée.
    • Bien que ces données puissent faire partie d’un profil conservé par un responsable du traitement et soient déduites ou dérivées d’une analyse des données fournies par la personne concernée (par ses actions, par exemple), ces données ne seront généralement pas considérées comme étant « fournies par la personne concernée» et ne relèveront dès lors pas du champ d’application de ce nouveau droit
  • Troisième condition
    • Les opérations de traitement doivent être fondées :
      • Soit sur le consentement de la personne concernée
      • Soit sur un contrat auquel la personne concernée est partie
  • Quatrième condition
    • La transmission des données doit s’opérer au moyen d’un traitement effectué à l’aide de procédés automatisés
  • Cinquième condition
    • Le droit à la portabilité des données ne doit pas porter atteinte aux droits et libertés de tiers
    • Cette condition vise à empêcher l’extraction et la transmission de données contenant les données à caractère personnel d’autres personnes concernées (non consentantes) à un nouveau responsable du traitement dans le cas où ces données sont susceptibles d’être traitées d’une manière qui porterait atteinte aux droits et aux libertés des autres personnes concernées
    • Une telle atteinte interviendrait, par exemple, si la transmission de données d’un responsable du traitement à un autre empêchait des tiers d’exercer leurs droits en tant que personnes concernées en vertu du règlement général sur la protection des données (comme le droit à l’information, le droit d’accès, etc.).

==> Modalités d’exercice du droit à la portabilité

  • Le destinataire de la demande
    • La demande de portabilité doit être adressé au responsable du traitement qui est le débiteur de l’obligation
    • Il est donc inopérant de formuler cette demande auprès de la CNIL
  • La justification de l’identité
    • L’article 12, §6, dispose que lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne concernée, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.
    • Lorsqu’une personne concernée fournit des informations complémentaires permettant de l’identifier, le responsable du traitement ne peut refuser de donner suite à la demande.
    • Lorsque les informations et données collectées en ligne sont liées à des pseudonymes ou à des identifiants uniques, les responsables du traitement peuvent appliquer des procédures appropriées permettant à une personne de présenter une demande de portabilité des données et de recevoir des données la concernant.
    • En tout état de cause, les responsables du traitement doivent appliquer une procédure d’authentification afin d’établir avec certitude l’identité de la personne concernée demandant ses données à caractère personnel ou, plus généralement, exerçant les droits conférés par le règlement général sur la protection des données.
  • Le coût de la demande
    • L’article 12 du RGPD interdit au responsable du traitement d’exiger un paiement pour fournir les données à caractère personnel, à moins qu’il puisse démontrer que les demandes sont manifestement infondées ou excessives, « notamment en raison de leur caractère répétitif».
    • Ainsi, les coûts totaux liés à la mise en œuvre du système ne devraient pas être imputés aux personnes concernées ni invoqués pour justifier un refus de répondre à des demandes de portabilité.

==> L’exécution de l’obligation

  • L’obligation d’information préalable
    • Afin de respecter le nouveau droit à la portabilité des données, les responsables du traitement doivent informer les personnes concernées de l’existence de ce nouveau droit.
    • Deux situations doivent être distinguées :
      • Lorsque les données à caractère personnel concernées sont collectées directement auprès de la personne concernée, cette information doit avoir lieu « au moment où les données en question sont obtenues».
      • Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, l’article 14, §3 du RGPD, exige que les informations soient fournies dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, au moment de la première communication avec la personne concernée ou lorsque les données à caractère personnel sont communiquées à des tiers
    • Lorsqu’ils fournissent les informations requises, les responsables du traitement doivent veiller à opérer une distinction entre le droit à la portabilité des données et les autres droits.
    • Aussi, le Groupe de l’article 29 recommande-t-il que les responsables du traitement expliquent clairement la différence entre les types de données qu’une personne concernée peut recevoir en exerçant son droit d’accès et son droit à la portabilité.
  • Le délai d’exécution
    • L’article 12, paragraphe 3, requiert que le responsable du traitement fournisse à la personne concernée « des informations sur les mesures prises» « dans les meilleurs délais » et en tout état de cause « dans un délai d’un mois à compter de la réception de la demande ».
    • Ce délai d’un mois peut être prolongé à un maximum de trois mois pour les affaires complexes, à condition que la personne concernée ait été informée des motifs de cette prolongation dans un délai d’un mois à compter de la réception de la demande initiale.
    • Le responsable du traitement qui ne donne pas suite à une demande de portabilité informe la personne concernée, conformément à l’article 12, paragraphe 4, « des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel », dans un délai maximal d’un mois à compter de la réception de la demande.
    • Au bilan, les responsables du traitement doivent respecter l’obligation de répondre à la demande dans les conditions prescrites, même s’il s’agit de signifier un refus.
    • En d’autres termes, le responsable du traitement est tenu de répondre à une demande de portabilité des données.
  • Modalités d’exécution
    • Le RGPD exige du responsable du traitement qu’il fournisse les données à caractère personnel demandées par la personne concernée dans un format qui permet leur réutilisation.
    • Plus spécifiquement, l’article 20, §1 dispose que les données à caractère personnel doivent être fournies « dans un format structuré, couramment utilisé et lisible par machine».
    • Le considérant 68 précise que ce format doit être interopérable, un terme qui est défini comme suit dans l’Union :
      • « La capacité de diverses organisations hétérogènes à interagir en vue d’atteindre des objectifs communs, mutuellement avantageux et convenus, impliquant le partage d’informations et de connaissances entre elles, selon les processus d’entreprise qu’elles prennent en charge, par l’échange de données entre leurs systèmes TIC respectifs. »
    • Les qualificatifs « structuré », « couramment utilisé» et « lisible par machine » constituent une série d’exigences minimales qui devraient faciliter l’interopérabilité du format de données fourni par le responsable du traitement.
    • En ce sens, les termes « structuré, couramment utilisé et lisible par machine» donnent des précisions sur les moyens, tandis que l’interopérabilité est le résultat escompté.
    • Le considérant 21 de la directive 2013/37/UE33 définit le format « lisible par machine» comme suit :
      • « Un format de fichier structuré de telle manière que des applications logicielles puissent facilement identifier, reconnaître et extraire des données spécifiques, notamment chaque énoncé d’un fait et sa structure interne.
      • Les données encodées présentes dans des fichiers qui sont structurés dans un format lisible par machine sont des données lisibles par machine.
      • Les formats lisibles par machine peuvent être ouverts ou propriétaires ; il peut s’agir de normes formelles ou non.
      • Les documents encodés dans un format de fichier qui limite le traitement automatique, en raison du fait que les données ne peuvent pas, ou ne peuvent pas facilement, être extraites de ces documents, ne devraient pas être considérés comme des documents dans des formats lisibles par machine.
      • Les États membres devraient, le cas échéant, encourager l’utilisation de formats ouverts, lisibles par machine. »
    • Compte tenu de la grande variété de types de données potentiels qui pourraient être traités par un responsable du traitement, le règlement général sur la protection des données n’impose pas de recommandations spécifiques quant au format des données à caractère personnel à fournir.
    • Le format le plus approprié différera d’un secteur à l’autre et des formats adéquats peuvent déjà exister, et doivent toujours être choisis de manière à pouvoir être interprétés et offrir à la personne concernée un degré élevé de portabilité.
    • Dès lors, les formats qui sont soumis à des contraintes de licences onéreuses ne sont pas considérés comme relevant d’une approche adéquate.
    • Le considérant 68 précise que « [l]e droit de la personne concernée de transmettre ou de recevoir des données à caractère personnel la concernant ne devrait pas créer, pour les responsables du traitement, d’obligation d’adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles».
    • Dès lors, la portabilité vise à produire des systèmes interopérables, et non des systèmes compatibles.

RGPD: Le droit à l’effacement ou le “droit à l’oubli”

Le droit à l’effacement, dit encore, droit à l’oubli se rattache à la protection classique de la vie privée, mais son intégration dans le RGPD est particulièrement poussée.

Alors que le droit au déréférencement avait été introduit par la CJUE dans un arrêt notoire du 13 mai 2014 (CJUE, GC, 13 mai 2014, Google Spain SL et Google Inc.), le RGPD met en place une double obligation pour les responsables du traitement et les sous-traitants : ils doivent effacer, dans les meilleurs délais, les données à caractère personnel qu’un citoyen leur demande de supprimer mais aussi, compte tenu de leurs capacités techniques et du coût que cela peut représenter, prendre toute mesure raisonnable pour informer, lorsqu’il a rendu les données publiques, les autres responsables de traitement de la demande d’effacement.

Le considérant 65 du RGPD précise à cet égard, que ce droit à l’effacement est pertinent, en particulier, lorsque la personne concernée a donné son consentement à l’époque où elle était enfant et n’était pas pleinement consciente des risques inhérents au traitement, et qu’elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l’internet.

La personne concernée doit donc pouvoir exercer ce droit nonobstant le fait qu’elle n’est plus un enfant.

Afin de renforcer le «droit à l’oubli» numérique, le RGPD pose encore, en son considérant 66, que le droit à l’effacement doit également être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d’informer les responsables du traitement qui traitent ces données à caractère personnel qu’il convient d’effacer tout lien vers ces données, ou toute copie ou reproduction de celles-ci.

Ce faisant, ce responsable du traitement doit prendre des mesures raisonnables, compte tenu des technologies disponibles et des moyens dont il dispose, y compris des mesures techniques afin d’informer les responsables du traitement qui traitent les données à caractère personnel de la demande formulée par la personne concernée.

§1 : Le principe du droit à l’effacement

L’article 40 de la LIL dispose que « toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient […] effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. »

Dans le même sens, l’article 17 du RGPD prévoit que « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais […] ».

Il ressort de ces deux textes que c’est un véritable droit à l’oubli qui a été consacré par le législateur.

§2 : Les conditions du droit à l’effacement

Le législateur a entendu limiter l’exercice du droit à l’effacement à certains cas. A cet égard, il ne peut être exercé que lorsque l’un des motifs suivants s’applique :

  • Les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;
  • La personne concernée retire le consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement;
  • La personne concernée s’oppose au traitement, et il n’existe pas de motif légitime impérieux pour le traitement
  • Les données à caractère personnel ont fait l’objet d’un traitement illicite;
  • Les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;
  • Les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information, soit lorsque la personne était mineure au moment de la collecte de ses données

§3 : L’exercice du droit à l’effacement

  • Le destinataire de la demande
    • La demande d’effacement doit être adressée au responsable du traitement qui est le débiteur de l’obligation
    • Il est donc inopérant de formuler cette demande auprès de la CNIL
  • La justification de l’identité
    • Pour accéder à la demande de la personne concernée, le responsable du traitement sera fondé à exiger du demander qu’il justifie son identité.
    • Il ne devra pas, néanmoins, lui imposer des pièces justificatives qui seraient disproportionnées eu égard à la demande formulée

§4 : L’exécution du droit à l’effacement

  • Délai
    • A réception de la demande d’effacement, le responsable du traitement devra s’exécuter dans les meilleurs délais et, au plus tard, dans un délai d’un mois.
    • Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes.
    • En cas de prorogation du délai de réponse, le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande.
    • Dans l’hypothèse où le responsable du traitement ne donnerait pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.
    • En cas de non-exécution de l’effacement des données à caractère personnel dans un délai d’un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation.
  • Preuve
    • L’article 40, I de la LIL prévoit que lorsque l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées.
    • En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord.
  • Cas particuliers des données rendues publiques
    • L’article 17 du RGPD prévoit que lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
    • L’obligation est ici, non pas de résultat, mais de moyen

§5 : Les limites du droit à l’effacement

Le législateur européen a assorti le droit à l’effacement de plusieurs limites énoncées à l’article 17 du RGPD.

Ainsi, le droit à l’oubli ne s’applique pas :

  • A l’exercice du droit à la liberté d’expression et d’information ;
  • Pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
  • Pour des motifs d’intérêt public dans le domaine de la santé publique ;
  • A des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement ;
  • A la constatation, à l’exercice ou à la défense de droits en justice.

RGPD: le droit de rectification

Tandis que pèse sur le responsable du traitement un certain nombre d’obligations, la personne concernée jouit de plusieurs droits qui lui conférés par la loi informatique et libertés et le RGPD.

Au nombre de ces droits figurent le droit de rectification des données à caractère personnel.

Le droit de rectification est le pendant de l’obligation qui échoit au responsable du traitement de traiter, en application de l’article 6, 4° de la LIL, des données à caractère personnel « exactes, complètes, si nécessaire, mises à jour ».

Pour assurer le respect de cette obligation, il appartient au responsable du traitement de « prendre les mesures appropriées pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ».

A cet égard, dans une délibération du 1er mars 2016, la CNIL a précisé que « l’article 6-4° consiste sans ambiguïté en une obligation de résultat en ce qu’il impose au responsable de traitement de garantir l’exactitude des données à caractère personnel qu’il traite en prenant toutes les mesures utiles afin de rectifier ou d’effacer les données inexactes. Le droit pour les personnes concernées d’obtenir du responsable de traitement la rectification ou l’effacement de données inexactes, énoncé à l’article 40 de la loi Informatique et Libertés, est le corollaire de cette obligation. Il s’agit ainsi pour ce dernier d’atteindre un objectif déterminé et non de déployer ses meilleurs efforts afin d’y parvenir » (CNIL Délib. 2016-053 du 1 mars 2016).

Reste qu’il s’infère du RGPD que l’exigence d’un traitement portant sur des données exactes et complètes est une obligation, non pas de résultat mais de moyen.

Le texte prévoit, en effet, que « toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ».

Dans l’hypothèse où les données traitées par le responsable du traitement ne seraient pas complètes, exactes ou non actualisées, la personne concernée dispose d’un droit de rectification.

==> Le contenu du droit de rectification

L’article 16 du RGPD prévoit en ce sens que « la personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire ».

De son côté, l’article 40 de la LIL dispose que « toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. »

Il ressort de cette disposition que le droit de rectification est entendu par les textes dans un sens large.

Cette rectification peut, en effet, consister à appliquer plusieurs traitements sur les données visées.

Elles peuvent, en effet, être :

  • Rectifiées
  • Complétées
  • Mises à jour
  • Verrouillées

Pour ce faire, il est cependant nécessaire que ces données soient :

  • Inexactes
  • Incomplètes
  • Équivoques
  • Périmées

Dans l’hypothèse où les données visées par la demande de rectification seraient parfaitement exactes et n’auraient pas été collectées en contravention de la LIL, le responsable du traitement sera légitimement en droit de refuser de procéder à la rectification sollicitée.

==> L’exercice du droit de rectification

  • Le destinataire de la demande
    • La demande de rectification doit être adressé au responsable du traitement qui est le débiteur de l’obligation
    • Il est donc inopérant de formuler cette demande auprès de la CNIL
  • La justification de l’identité
    • Pour accéder à la demande de la personne concernée, le responsable du traitement sera fondé à exiger du demander qu’il justifie son identité.
    • Il ne devra pas, néanmoins, lui imposer des pièces justificatives qui seraient disproportionnées eu égard à la demande formulées
  • Le coût de la demande
    • L’exercice du droit de rectification est gratuit, de sorte que le demandeur ne saurait supporter aucune charge.
    • A cet égard, l’article 40, I, al. 4 de la LIL prévoit que lorsqu’il obtient une modification de l’enregistrement, l’intéressé est en droit d’obtenir le remboursement des frais correspondant au coût de la copie

==> L’exécution du droit de rectification

  • Délai
    • A réception de la demande de rectification, le responsable du traitement devra s’exécuter dans les meilleurs délais et, au plus tard, dans un délai d’un mois.
    • En cas d’absence de réponse du responsable du traitement dans le délai d’un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation.
  • Preuve
    • L’article 40, I de la LIL prévoit que lorsque l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa précédent.
    • En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord.

RGPD: le droit d’accès aux données à caractère personnel

Tandis que pèse sur le responsable du traitement un certain nombre d’obligations, la personne concernée jouit de plusieurs droits qui lui conférés par la loi informatique et libertés et le RGPD.

Au nombre de ces droits figurent le droit d’accès aux données à caractère personnel.

Il ressort des textes qu’il convient de distinguer le droit d’accès direct du droit d’accès indirect.

Tandis que dans le premier cas, le droit d’accès s’exerce directement auprès du responsable du traitement, dans le second, il s’exerce par l’entremise d’un tiers.

§1 : Le droit d’accès direct

A) Le principe du droit d’accès

  1. La reconnaissance d’un droit d’accès

==> La loi informatique et libertés

Dès 1978, le droit d’accès aux données à caractère personnel avait été envisagé par le législateur.

L’ancien article 35, al. 1er de la loi informatique et libertés prévoyait en ce sens que « le titulaire du droit d’accès peut obtenir communication des informations le concernant. La communication, en langage clair, doit être conforme au contenu des enregistrements ».

==> La directive du 24 octobre 1995

Ce droit d’accès a, par suite, été reconnu et précisé par le législateur européen lors de l’adoption de la directive du 24 octobre 1995.

L’article 12 de ce texte prévoyait, en effet, que :

« Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement:

 a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs:

– la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

– la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données,

– la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l’article 15 paragraphe 1 ».

==> Le RGPD

Le RGPD a poursuivi dans cette voie en énonçant au considérant 63 que la personne concernée doit avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité.

Cela inclut le droit des personnes concernées d’accéder aux données concernant leur santé, par exemple les données de leurs dossiers médicaux contenant des informations telles que des diagnostics, des résultats d’examens, des avis de médecins traitants et tout traitement ou intervention administrés.

Le législateur européen en a tiré la conséquence que toute personne concernée par un traitement devait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage.

2. Le contenu du droit d’accès

Désormais, l’article 15 du RGPD prévoit que la personne concernée a le droit d’obtenir du responsable du traitement :

  • D’une part, la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et,
  • D’autre part, lorsque les données la concernant font l’objet d’un traitement, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
    • Les finalités du traitement ;
    • Les catégories de données à caractère personnel concernées ;
    • Les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
    • Lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
    • L’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
    • Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
    • Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
    • L’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ;
    • Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.

3. Les modalités d’exercice du droit d’accès

==> Qui ?

Le droit d’accès est un droit personnel qui s’exerce à la demande par la personne concernée par le traitement ou ses ayants droit.

Il peut être observé que le titulaire de ce droit d’accès n’a pas à motiver sa demande. Il lui faudra simplement justifier son identité.

Par ailleurs, l’exercice du droit d’accès est gratuit de sorte qu’il ne saurait être subordonné à la fourniture d’une contrepartie de quelque nature que ce soit.

==> Auprès de qui ?

Le droit d’accès s’exerce directement auprès du responsable du traitement et non auprès de l’autorité de contrôle (la CNIL).

Pour identifier la personne ou le service à contacter, il conviendra de se reporter aux mentions légales du site web du responsable du traitement et, plus précisément, à sa politique de confidentialité.

==> Comment ?

Le droit d’accès peut dans tous les cas s’exercer par écrit. Il peut également s’exercer sur place.

  • Par écrit
    • L’exercice du droit d’accès peut être effectué par courrier ou par voie électronique
    • Il conviendra d’adresser le courrier directement au service ou à la personne concernée et de définir une adresse de réponse.
  • Sur place
    • Il conviendra de se munir d’une pièce d’identité
    • Lorsque le responsable du traitement permet la consultation des données sur place, celle-ci n’est possible que sous réserve de la protection des données personnelles des tiers.
    • Une copie des données à caractère personnel du demandeur peut être obtenue immédiatement.
    • Afin que le demandeur puisse en prendre pleinement connaissance, le responsable de traitement met à la disposition de l’intéressé toutes les données qui le concernent et pendant une durée suffisante.
    • Lors de la délivrance de la copie demandée, le responsable de traitement atteste, le cas échéant, du paiement de la somme perçue à ce titre.

==> Délivrance d’une copie

L’article 39 de la loi informatique et libertés prévoit qu’une copie des données à caractère personnel est délivrée à l’intéressé à sa demande.

Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d’une somme qui ne peut excéder le coût de la reproduction.

Dans le même sens l’article 15 du RGPD dispose que le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée.

Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

==> Cas de dissimulation ou de disparition des données

L’article 39 de la loi informatique et libertés prévoit que, en cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.

B) Les limites au droit d’accès

Le législateur a assorti le droit d’accès de deux limites.

  1. Les demandes manifestement abusives

L’article 39, II de la loi informatique et libertés dispose que le responsable du traitement peut s’opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique.

En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées.

Ainsi, lorsque l’exerce du droit d’accès est abusif, le responsable du traitement peut opposer un refus à la personne concernée, sans s’exposer à des sanctions.

Il en irait ainsi d’une demande de copie intégrale d’un enregistrement tous les trois mois.

2. Les finalités statistiques, scientifiques ou historiques

L’article 39, II de la loi informatique et liberté prévoit que le responsable du traitement peut refuser d’accès à la demande de la personne concernée lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée des personnes concernées et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de recherche scientifique ou historique.

Reste que ce refus ne sera fondé qu’à la condition que le responsable du traitement ait porté à la connaissance de la CNIL son intention de limiter le droit d’accès.

II) Le droit d’accès indirect

L’accès à certaines données spécifiques n’est pas sans soulever, dans certains cas, des difficultés, en ce que les données ou les finalités du traitement sont sensibles par rapport aux intérêts de la puissance publique ou de la personne elle-même.

Aussi, pour ces cas très particuliers, le législateur a-t-il institué une procédure spécifique qui impose à la personne concernée de s’adresser à un tiers, la CNIL, pour exercer son droit d’accès, lequel devient alors indirect.

Ce droit d’accès, dit indirect, concerne notamment :

  • Les fichiers qui intéressent la sûreté de l’État, la défense ou la sécurité publique
  • Le fichier relatif au Traitement des Antécédents Judiciaires (TAJ)
  • Les fichiers des services de renseignement des ministères de l’intérieur
  • Le fichier de gestion informatisée des détenus en établissement pénitentiaire (GIDE)
  • Le fichier des comptes bancaires dénommé FICOBA
  • Le fichier du service TRACFIN

Lorsque le droit d’accès porte sur l’un de ces fichiers (liste non exhaustive, la personne concernée doit d’adresser à la CNIL qui sera son seul interlocuteur.

Cette dernière ne détenant pas les fichiers visés, elle n’a pas connaissance des informations qui y figurent.

Aussi, est-ce un magistrat de la CNIL qui exercera au nom et pour le compte de la personne concernée son droit d’accès.

A cet égard, il pourra demander à ce que les informations incomplètes, obsolètes ou non conformes aux textes régissant le fonctionnement des fichiers en cause soient complétées, mises à jour ou supprimées.

RGPD: le droit à être informé de la mise en œuvre d’un traitement de données à caractère personnel

Tandis que pèse sur le responsable du traitement un certain nombre d’obligations, la personne concernée jouit de plusieurs droits qui lui conférés par la loi informatique et libertés et le RGPD.

Au nombre de ces droits figurent, le droit à être informé du traitement.

Il convient ici de distinguer selon que la collecte des données est directe ou indirecte

§1 : La collecte directe de données à caractère personnel

==> L’obligation d’informer la personne concernée

  • Principe
    • Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités.
    • Aussi, le responsable du traitement a-t-il pour obligation de fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées.
    • Les informations qui doivent être communiquées à la personne concernée en cas de collecte directe de ses données, soit lorsque ladite collecte a été effectuée auprès de la personne, ont été définies à l’article 13 du RGPD.
  • Exception
    • L’obligation d’informer la personne concernée en cas de collecte directe est assortie d’une exception
    • Le RGPD prévoit que le responsable du traitement est dispensé de cette obligation lorsque la personne concernée dispose déjà de des informations qui doivent lui être communiquées
    • Il appartiendra alors au responsable de prouver que la personne concernée disposait de ces informations pour s’exonérer de sa responsabilité.

==> Le contenu de l’information à fournir à la personne concernée

L’article 13 du RGPD prévoit que le responsable du traitement doit fournir à la personne concernée les informations suivantes :

  • L’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
  • Le cas échéant, les coordonnées du délégué à la protection des données ;
  • Les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
  • Lorsque le traitement est fondé sur la poursuite d’un intérêt légitime, ceux poursuivis par le responsable du traitement ou par un tiers ;
  • Les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ;
  • Le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ;
  • La durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • L’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
  • Lorsque le traitement est fondé sur le consentement l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
  • Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • Des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
  • L’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

==> Le moment de la fourniture de l’information à la personne concernée

La fourniture de l’information doit intervenir au moment où les données à caractère personnel de la personne concernée sont collectées

A cet égard lorsque le responsable du traitement a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, il doit fournir, au préalable, à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente

§2 : La collecte indirecte de données à caractère personnel

==> L’obligation d’informer la personne concernée

  • Principe
    • La collecte est indirecte lorsqu’elle n’est pas directement réalisée auprès de la personne concernée, soit lorsqu’elle intervient par l’entremise d’une tierce personne.
    • Il en va ainsi en cas d’achat d’un fichier de données ou de collecte sur une plateforme numérique.
    • En effet, de nombreuses entreprises achètent, cèdent ou revendent des fichiers de données à caractère personnel, qui sont ainsi collectées de façon indirecte.
    • Dans cette hypothèse, pour ne pas être considérée comme déloyale, la collecte indirecte doit nécessairement s’accompagner d’une information à la personne concernée de l’existence d’un traitement de ses données ainsi que de ses droits qui en découlent (droit d’accès, d’opposition etc.).
    • Le fait que la personne dont les données sont collectées indirectement ait déjà consenti au traitement de ses données ne dispense pas l’auteur d’une collecte indirecte de satisfaire à son obligation d’information.
    • L’article 14 du RGPD prévoit ainsi que lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement doit fournir à celle-ci un certain nombre d’informations
  • Exceptions
    • L’exigence d’informer la personne concernée en cas de collecte indirecte de ses données à caractère personnel est assortie de plusieurs exceptions :
      • La personne concernée dispose déjà de ces informations ;
      • La fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l’article 89, paragraphe 1, ou dans la mesure où l’obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles ;
      • L’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ;
      • Les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit de l’Union ou le droit des États membre, y compris une obligation légale de secret professionnel.

==> Le contenu de l’information à fournir à la personne concernée

Au nombre des informations qui doivent être communiquées à la personne concernée en cas de collecte indirecte de ses données à caractère personnel figurent :

  • L’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
  • Le cas échéant, les coordonnées du délégué à la protection des données ;
  • Les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
  • Les catégories de données à caractère personnel concernées ;
  • Le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;
  • Le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ;
  • La durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • Lorsque le traitement est fondé sur la poursuite d’un intérêt légitime, ceux poursuivis par le responsable du traitement ou par un tiers ;
  • L’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données ;
  • Lorsque le traitement est fondé sur le consentement, l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
  • Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • La source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ;
  • L’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

==> Le moment de la fourniture de l’information à la personne concernée

  • Principe
    • L’article 14 du RGPD prévoit que les informations communiquées à la personne concernée doivent lui être fournies dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées
  • Tempéraments
    • Si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, elles doivent lui être communiquées, au plus tard, au moment de la première communication à ladite personne
    • S’il est envisagé de communiquer les informations à un autre destinataire, elles doivent lui être communiquées, au plus tard, lorsque les données à caractère personnel sont communiquées pour la première fois.

RGPD: le régime d’interdiction

==> La loi du 6 janvier 1978

Dans sa version initiale, la loi informatique et libertés prévoyait des formalités préalables différentes selon la qualité du responsable du traitement

  • Principe
    • Les traitements automatisés de données à caractère personnel opérés pour le compte de l’Etat, des établissements publics, des collectivités territoriales et des personnes morales de droit privé gérant un service public étaient présumés dangereux et requéraient, à ce titre, un avis de la CNIL, puis un acte réglementaire d’autorisation.
      • Cet avis était réputé favorable au terme d’un délai de deux mois, renouvelable une fois.
      • S’il était défavorable, il ne pouvait être passé outre que par un décret pris sur avis conforme du Conseil d’Etat ou, s’agissant des collectivités territoriales, en vertu d’une décision de l’organe délibérant approuvée par décret pris sur avis conforme du Conseil d’Etat (article 15)
  • Exception
    • Les traitements des autres personnes morales (notamment les sociétés civiles ou commerciales et les associations) étaient soumis à un simple régime de déclaration associé à un engagement de conformité du traitement aux exigences de la loi.

==> La loi du 6 août 2004

Transposant la directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, la loi du 6 août 2004 a mis un terme à la distinction fondé sur le critère organique (secteur public / secteur privé) quant à déterminer les formalités à accomplir préalablement à la mise en œuvre d’un traitement.

Désormais, la loi établit une distinction, fondée sur un critère matériel, entre les données, en prévoyant que les formalités peuvent être allégées pour « les catégories les plus courantes de traitements à caractère public ou privé, qui ne comportent manifestement pas d’atteinte à la vie privée ou aux libertés ».

Ainsi, ce qui est pris en considération, c’est le risque que représente le traitement à l’égard du droit des personnes.

Tandis que les traitements de données non sensibles sont soumis à un régime de déclaration, les traitements de données sensibles sont soumis à un régime d’autorisation.

  • Principe : le régime de déclaration
    • Pour les données non sensibles, une simple déclaration de conformité aux normes simplifiées élaborées par la CNIL était exigée.
    • La LIL est allée plus loin en prévoyant qu’une dispense de déclaration pouvait être accordée en cas de désignation, par le responsable du traitement, d’un correspondant chargé d’assurer « d’une manière indépendante», l’application de la loi en matière de données à caractère personnel et garantissant que les traitements ne sont pas « susceptibles de porter atteinte aux droits et libertés des personnes concernées. »
    • La dispense de déclaration ainsi introduite était néanmoins soumise à certaines conditions censées en garantir l’efficacité tout en contrôlant sa portée :
      • Le champ d’application de l’exonération ne s’applique pas dans l’hypothèse où un transfert de données à destination d’un État non membre de l’union européenne est envisagé mais concerne, en revanche, les traitements relevant de la procédure de l’autorisation préalable, ce qui ne semble pas souhaitable compte tenu de leur nature et de leurs risques, supposés ou réels, pour les libertés individuelles.
      • Le correspondant avait pour obligation de « tenir un registre des traitements effectués immédiatement accessibles à toute personne en faisant la demande». L’intérêt de l’introduction de ce correspondant était de limiter les fichiers clandestins puisque la tenue du registre conduirait à « révéler » à l’autorité de contrôle les fichiers auparavant non déclarés ;
      • Le correspondant ne pouvait faire l’objet « d’aucune sanction de la part de l’employeur du fait de l’accomplissement de ses missions», bien qu’il ne s’agisse pas juridiquement d’un salarié « protégé » au sens du droit du travail
      • Le correspondant pouvait saisir la CNIL des difficultés qu’il rencontrait dans l’exercice de sa mission, celle-ci devant se voir notifier toute désignation d’un correspondant
      • En cas de manquement à ses devoirs, le correspondant pouvait être révoqué « sur demande ou après consultation» de la CNIL.
  • Exception : le régime d’autorisation
    • Lorsque le traitement concernait des données à caractère personnel pouvant être qualités de sensibles, celui-ci était soumis à un régime d’autorisation :
      • La mise en œuvre de traitements d’informations relatives aux origines raciales, opinions politiques, philosophiques ou religieuses, appartenances syndicales ou mœurs était subordonnée au consentement exprès de l’intéressé ou à l’existence d’un motif d’intérêt public sur proposition ou avis conforme de la CNIL après décret en Conseil d’Etat ;
      • L’utilisation à des fins de traitement nominatif du numéro de sécurité sociale était soumise à autorisation par décret en Conseil d’Etat, après avis de la CNIL
      • Les informations sur les condamnations pénales ne pouvaient être utilisées que par des juridictions et autorités publiques agissant dans le cadre de leurs attributions légales ou par des personnes morales gérant un service public sur avis conforme de la CNIL (article 30) ;
      • Les données médicales, bien que ne constituant pas des données sensibles interdites, étaient soumises à des régimes particuliers.

==> La loi du 20 juin 2018

Transposant le Règlement général sur a protection des données (RGPD), la loi du 20 juin 2018 simplifie, en les supprimant la plupart du temps, les formalités préalables imposées par la loi de 1978, qu’il s’agisse des obligations de déclaration ou d’autorisation.

Ces formalités sont remplacées par l’obligation, pour le responsable du traitement, d’effectuer préalablement une analyse d’impact en cas de risque élevé pour les droits et libertés de la personne concernée et, le cas échéant, de consulter la CNIL.

Toutefois, comme l’autorise le règlement, la loi maintient des formalités préalables pour certains traitements.

Pour les données les plus sensibles, leur traitement est purement et simplement interdit par la loi informatique et libertés

Au bilan, trois sortes de régimes juridiques sont applicables aux traitements de données à caractère personnel :

  • Un régime de responsabilité
  • Un régime d’autorisation
  • Un régime de d’interdiction

S’agissant de ce dernier régime, deux catégories de données à caractère personnel ne peuvent, par principe, faire l’objet d’un traitement :

  • Les données sensibles
  • Les données d’infraction

I) Les données sensibles

==> Principe

Les données sensibles, au sens de la loi informatique et libertés, sont de deux ordres :

  • D’une part, il s’agit des données qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique
  • D’autre part, il s’agit des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Pour ces données dites sensibles, le principe posé à l’article 8 de la loi informatique et libertés c’est l’interdiction du traitement. Une justification à cette interdiction est avancée au considérant 51 du RGPD.

Aux termes de ce considérant, il est précisé que les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits.

==> Exceptions

Le principe d’interdiction de traitement des données sensibles est assorti de plusieurs exceptions :

  • Les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit que l’interdiction visée au I ne peut être levée par le consentement de la personne concernée ;
  • Les traitements nécessaires à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement par suite d’une incapacité juridique ou d’une impossibilité matérielle ;
  • Les traitements mis en œuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical :
    • Pour les seules données mentionnées au I correspondant à l’objet de ladite association ou dudit organisme ;
    • Sous réserve qu’ils ne concernent que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ;
    • Et qu’ils ne portent que sur des données non communiquées à des tiers, à moins que les personnes concernées n’y consentent expressément ;
  • Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ;
  • Les traitements nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice ;
  • Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé, ou par une autre personne à laquelle s’impose en raison de ses fonctions l’obligation de secret professionnel prévue par l’article 226-13 du code pénal ;
  • Les traitements statistiques réalisés par l’Institut national de la statistique et des études économiques ou l’un des services statistiques ministériels dans le respect de la loi n° 51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques, après avis du Conseil national de l’information statistique ;
  • Les traitements comportant des données concernant la santé justifiés par l’intérêt public
  • Les traitements conformes aux règlements types mentionnés au b du 2° du I de l’article 11 mis en œuvre par les employeurs ou les administrations qui portent sur des données biométriques strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires ;
  • Les traitements portant sur la réutilisation des informations publiques figurant dans les jugements et décisions mentionnés, respectivement, à l’article L. 10 du code de justice administrative et à l’article L. 111-13 du code de l’organisation judiciaire, sous réserve que ces traitements n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées ;
  • Les traitements nécessaires à la recherche publique au sens de l’article L. 112-1 du code de la recherche, mis en œuvre dans les conditions prévues au 2 de l’article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, après avis motivé et publié de la Commission nationale de l’informatique et des libertés rendu selon les modalités prévues à l’article 28 de la loi informatique et libertés.
  • Les traitements portant sur des données sensibles qui sont appelées à faire l’objet, à bref délai, d’un procédé d’anonymisation préalablement reconnu conforme à la loi informatique et libertés par la CNIL.
  • Les traitements, automatisés ou non, justifiés par l’intérêt public et autorisés par la CNIL.

II) Les données d’infraction

==> Le RGPD

L’article 10 du RGPD prévoit que le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un ‘État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées.

Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.

==> La loi informatique et libertés

Aux termes de l’article 9 de la loi informatique et libertés les traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent être effectués que par :

  • Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ainsi que les personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, dans la mesure strictement nécessaire à leur mission ;
  • Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi
  • Les personnes physiques ou morales, aux fins de leur permettre de préparer et, le cas échéant, d’exercer et de suivre une action en justice en tant que victime, mise en cause, ou pour le compte de ceux-ci et de faire exécuter la décision rendue, pour une durée strictement proportionnée à ces finalités. La communication à un tiers n’est alors possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite de ces mêmes finalités ;
  • Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d’atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d’assurer la défense de ces droits ;
  • Les réutilisateurs des informations publiques figurant dans les jugements mentionnés à l’article L. 10 du code de justice administrative et les décisions mentionnées à l’article L. 111-13 du code de l’organisation judiciaire, sous réserve que les traitements mis en œuvre n’aient ni pour objet ni pour effet de permettre la réidentification des personnes concernées.

==> Conseil constitutionnel

La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles transposant l’article 10 du RGPD, a été censurée par le Conseil constitutionnel dans sa décision n° 2018-765 DC du 12 juin 2018, en son article 9, al. 1.

Après avoir rappelé que l’article 10 du RGPD n’autorise le traitement de données à caractère personnel en matière pénale ne relevant pas de la directive du même jour que dans certaines hypothèses, parmi lesquelles figure la mise en œuvre de tels traitements « sous le contrôle de l’autorité publique », le Conseil constitutionnel a jugé : « Le législateur s’est borné à reproduire ces termes dans les dispositions contestées, sans déterminer lui-même ni les catégories de personnes susceptibles d’agir sous le contrôle de l’autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d’un tel traitement de données.

En raison de l’ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, il a été jugé que ces dispositions affectaient, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques.

Dès lors, les mots « sous le contrôle de l’autorité publique ou » ont été considérés comme entachés « d’incompétence négative » (paragr. 45).

Pour rappel, le principe d’incompétence négative signifie qu’il échoit au législateur d’exercer pleinement sa compétence pour fixer les règles relatives aux garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques

A cet égard les dispositions déférées au contrôle du Conseil constitutionnel avaient ceci de spécifique qu’elles autorisaient la mise en œuvre d’un traitement de données en matière pénale, sans préciser en rien quelles personnes pouvaient bénéficier de cette autorisation, ni au nom de quelles finalités.

Dans ses observations devant le Conseil constitutionnel, le Premier ministre, afin de défendre la constitutionnalité de la disposition figurant au 1° de l’article 13, faisait valoir qu’elle « reprenait les termes mêmes des dispositions précises et inconditionnelles de l’article 10 du RGPD et ne saurait donc être utilement contestée ».

Toutefois, d’une part, d’une manière générale, ainsi que cela résultait de la jurisprudence du Conseil constitutionnel en matière de transposition de directives, les exigences constitutionnelles découlant de l’article 88-1 ne priment pas sur les règles de compétence fixées dans la Constitution et, dès lors, ne limitent pas le pouvoir du juge constitutionnel de s’assurer que le législateur n’est pas resté en deçà de sa propre compétence, y compris lorsqu’il s’est borné à tirer les conséquences nécessaires de dispositions européennes.

D’autre part, en l’espèce, le Conseil constitutionnel a considéré que l’article 10 du RGPD, qui autorise, par exception, les États membres à prévoir des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions et aux mesures de sûreté, ne limite pas les garanties qui peuvent, dans ce cas, être adoptées par chaque État, en plus de celles énoncées par le RGPD.

Or, au regard des exigences de l’article 34 de la Constitution, le Conseil constitutionnel a jugé que le législateur ne pouvait se borner à reproduire à l’identique les termes « sous le contrôle de l’autorité publique » figurant à l’article 10 du RGPD, sans préciser les catégories de personnes susceptibles de mettre en œuvre, sous un tel contrôle, des traitements de données personnelles en matière pénale, et sans préciser les finalités d’un tel traitement.

Compte tenu de leur portée indéterminée, le Conseil constitutionnel a souligné, dans le sillage de sa décision n° 2004-499 DC, que les dispositions contestées affectaient les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques, qui relèvent de la compétence du législateur, en raison de l’ampleur que pourraient revêtir ces traitements et de la nature des informations traitées.

Il a donc censuré ces dispositions comme entachées d’incompétence négative.

Compte tenu de cette censure, dès lors que l’article 10 du règlement européen dispose qu’un tel traitement de données personnelles en matière pénale ne peut – notamment – « être effectué que sous le contrôle de l’autorité publique », il revient donc au législateur, s’il souhaite adapter le droit interne à ces dispositions, de préciser quelles catégories de personnes pourraient en bénéficier et au nom de quelles finalités.

RGPD: l’obligation de sécurisation des données à caractère personnel

L’apport majeur du RGPD est d’avoir renforcé les droits des personnes concernées par un traitement de données à caractère personnel au moyen d’un bouleversement des principes s’imposant aux acteurs.

Ainsi, a-t-on assisté au passage d’une logique de formalités préalables (déclarations et autorisations) à une logique de conformité et de responsabilité.

Le changement de paradigme ainsi opéré combiné à l’appel à des outils de droit souple tels que les référentiels, les codes de bonne conduite et les packs de conformité, est un gage d’allègement des démarches administratives et de réduction des délais de mise en œuvre pour les entreprises.

Cet allègement des formalités introduit par le RGPD a pour contrepartie l’établissement de nouvelles obligations pesant sur les responsables de traitements et sous-traitants telles que :

  • La mise en œuvre d’outils de protection des données personnelles dès la conception du traitement ou par défaut (article 25)
  • L’obligation de tenir une documentation, en particulier au travers d’un registre des activités de traitement (article 30)
  • La notification des violations de données personnelles à l’autorité de protection et, dans certains cas, à la personne concernée (articles 33 et 34)
  • La désignation d’un délégué à la protection des données (article 37)
  • L’adhésion à des codes de bonne conduite (articles 40 et 41)
  • La participation à des mécanismes de certification (articles 42 et 43)

Ainsi le RGPD se fonde-t-il sur une logique de responsabilisation des acteurs qui mettent en œuvre des traitements de données à caractère personnel en introduisant le principe d’accountability.

Bien qu’il soit difficile de définir avec précision le sens de ce principe dans la pratique, on peut toutefois avancer qu’il met l’accent, en substance, sur la manière dont la responsabilité (responsability) est assumée et sur la manière de le vérifier.

En anglais, les termes « responsibility » et « accountability » sont comme l’avers et le revers d’une médaille et sont tous deux des éléments essentiels de la bonne gouvernance.

On ne peut inspirer une confiance suffisante que s’il est démontré que la responsabilité (responsability) est efficacement assumée dans la pratique.

Au fond, le principe d’« accountability » s’articule autour de deux axes :

  • D’une part, la nécessité pour le responsable du traitement des données de prendre des mesures appropriées et efficaces pour mettre en œuvre les principes de protection des données
  • D’autre part, la nécessité pour le responsable du traitement de démontrer, sur demande, que des mesures appropriées et efficaces ont été prises.

Pour atteindre ces deux objectifs, il appartient au responsable du traitement de se doter d’une politique de gestion de la conformité, ce qui doit se traduire par la mise en œuvre de procédures internes visant à mettre en application les principes de la protection des données.

Dans cette perspective, les mesures prises par le responsable du traitement doivent être adaptées aux circonstances. En somme, les mesures spécifiques à appliquer doivent être arrêtées selon les faits et circonstances de chaque cas particulier, compte tenu, en particulier, du risque associé au traitement et aux types de données.

L’adéquation des mesures doit donc être établie au cas par cas et plus précisément selon le niveau de risque : plus le traitement de données est sensible et plus les mesures prises pour assurer la protection des personnes concernées devront être renforcées.

Afin d’orienter le responsable du traitement dans cette voie et de lui permettre de définir et mettre en œuvre les mesures requises pour garantir la conformité de ses opérations avec les principes et obligations du RGPD et en fassent vérifier l’efficacité de manière périodique, le législateur a mis à sa charge un certain nombre d’obligations, dont l’obligation de sécurisation des données.

I) La définition de la politique de sécurité

==> Le contenu du dispositif

L’une des exigences du RGPD est que les données à caractère personnel soient traitées de façon à garantir un niveau de sécurité approprié desdites données, et notamment à les protéger contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.

Cette exigence rejoint celle posée à l’article 34 de la loi informatique et libertés qui énonce que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

A cet égard, l’article 32, 1 du RGPD prévoit que le responsable du traitement et le sous-traitant ont l’obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque encouru.

Ces mesures doivent être prises en considération de :

  • L’état des connaissances
  • Des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement
  • Des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques

Surtout, il est par ailleurs précisé que lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

Les mesures techniques et organisationnelles prises par le responsable du traitement peuvent notamment consister en :

  • La pseudonymisation et le chiffrement des données à caractère personnel ;
  • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

==> La finalité du dispositif

D’abord, le considérant 39 du RGPD prévoit que les données à caractère personnel doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement.

Ensuite, il ressort du considérant 87 que, s’il doit être vérifié que toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en œuvre, c’est pour établir immédiatement si une violation des données à caractère personnel s’est produite, ce qui déterminera si l’obligation de notification s’applique.

Au fond, l’un des éléments clés de toute politique de sécurité des données est d’être en mesure de prévenir toute violation dans la mesure du possible et, lorsqu’une telle violation se produit malgré tout, d’y réagir dans les meilleurs délais.

==> Méthodologie

L’article 32 du RGPD prévoit, pour rappel, que le responsable du traitement et le sous-traitant ont l’obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque encouru.

Pour la CNIL, une telle approche permet en effet une prise de décision objective et la détermination de mesures strictement nécessaires et adaptées au contexte. Il est cependant parfois difficile, lorsque l’on n’est pas familier de ces méthodes, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été mis en œuvre.

Aussi, afin de permettre aux responsables de traitements de données de définir leur politique de gestion des risques, la CNIL a-t-elle mis au point une métrologie qui repose sur les précautions élémentaires qui devraient être mises en œuvre de façon systématique.

Cette méthodologie consiste en une démarche à suivre qui comporte six étapes :

  • Première étape
    • Elle consiste à recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées (ex : fichiers client, contrats) et les supports sur lesquels elles reposent :
      • Les matériels (ex : serveurs, ordinateurs portables, disques durs) ;
      • Les logiciels (ex : système d’exploitation, logiciel métier) ;
      • Les canaux de communication (ex : fibre optique, Wi-Fi, Internet) ;
      • Les supports papier (ex : document imprimé, photocopie).
  • Deuxième étape
    • Elle consiste à identifier les impacts potentiels sur les droits et libertés des personnes concernées, pour les trois évènements redoutés suivants :
      • Accès illégitime à des données (ex : usurpations d’identités consécutives à la divulgation des fiches de paie de l’ensemble des salariés d’une entreprise) ;
      • Modification non désirée de données (ex : accusation à tort d’une personne d’une faute ou d’un délit suite à la modification de journaux d’accès) ;
      • Disparition de données (ex : non détection d’une interaction médicamenteuse du fait de l’impossibilité d’accéder au dossier électronique du patient).
  • Troisième étape
    • Elle consiste à identifier les sources de risques (qui ou quoi pourrait être à l’origine de chaque évènement redouté ?), en prenant en compte des sources humaines internes et externes (ex : administrateur informatique, utilisateur, attaquant externe, concurrent), et des sources non humaines internes ou externes (ex : eau, matériaux dangereux, virus informatique non ciblé).
  • Quatrième étape
    • Elle consiste à identifier les menaces réalisables (qu’est-ce qui pourrait permettre que chaque évènement redouté survienne ?). Ces menaces se réalisent via les supports des données (matériels, logiciels, canaux de communication, supports papier, etc.), qui peuvent être :
      • Utilisés de manière inadaptée (ex : abus de droits, erreur de manipulation) ;
      • Modifiés (ex : piégeage logiciel ou matériel – keylogger, installation d’un logiciel malveillant) ;
      • Perdus (ex : vol d’un ordinateur portable, perte d’une clé USB) ;
      • Observés (ex : observation d’un écran dans un train, géolocalisation d’un matériel) ;
      • Détériorés (ex : vandalisme, dégradation du fait de l’usure naturelle) ;
      • Surchargés (ex : unité de stockage pleine, attaque par dénis de service).
  • Cinquième étape
    • Elle consiste à déterminer les mesures existantes ou prévues qui permettent de traiter chaque risque (ex : contrôle d’accès, sauvegardes, traçabilité, sécurité des locaux, chiffrement, anonymisation).
  • Sixième étape
    • Elle consiste à estimer la gravité et la vraisemblance des risques, au regard des éléments précédents (exemple d’échelle utilisable pour l’estimation : négligeable, modérée, importante, maximale).

II) La notification des violations de données à caractère personnel

L’un des principaux apports du RGPD est qu’il généralise l’obligation de notifier les violations de données à caractère personnel à l’autorité de contrôle et aux personnes concernées.

==> Notion

Le RGPD définit en son article 4, 12 la violation de données à caractère personnel comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »

Sensiblement dans le même sens, l’article 34 bis de la loi informatique et libertés prévoit que « on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques. »

Il ressort de ces deux définitions que, pour qu’une violation de données à caractère personnel soit caractérisée, deux éléments doivent être réunis :

  • Un traitement de données à caractère personnel doit avoir été mis en œuvre
  • Les données ont fait l’objet d’une violation laquelle consiste
    • Soit en la destruction, la perte, l’altération, la divulgation non autorisée de données
    • Soit en l’accès non autorisé à ces données

Dans son avis 03/2014 sur la notification des violations, le G29 considérait que les violations pouvaient être classées selon trois principes de sécurité de l’information bien connus :

  • Violation de la confidentialité: la divulgation ou l’accès non autorisés ou accidentels à des données à caractère personnel
  • Violation de l’intégrité: l’altération non autorisée ou accidentelle de données à caractère personnel
  • Violation de la disponibilité: la destruction ou la perte accidentelles ou non autorisées de l’accès15 à des données à caractère personnel

Il convient également de noter qu’en fonction des circonstances, une violation peut concerner à la fois la confidentialité, l’intégrité et la disponibilité de données à caractère personnel ou une combinaison de ces éléments.

S’il est relativement facile de déterminer si une violation de la confidentialité ou de l’intégrité s’est produite, il peut être moins évident de déterminer l’existence d’une violation de la disponibilité. Une violation sera toujours considérée comme une violation de la disponibilité en cas de perte ou de destruction permanente de données à caractère personnel.

==> Enjeux

Comme relevé pour le Groupe de l’article 29, une violation de données à caractère personnel peut potentiellement avoir, pour les personnes concernées, toute une série de conséquences négatives, susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral.

Le RGPD indique que ces dommages et préjudices peuvent inclure une perte de contrôle sur leurs données à caractère personnel, la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation ou une perte de confidentialité de données à caractère personnel protégées par le secret professionnel. Ils peuvent également comprendre tout autre dommage économique ou social important pour les personnes concernées.

Pour ces raisons, le RGPD exige donc du responsable du traitement qu’il notifie toute violation à l’autorité de contrôle, à moins qu’elle ne soit pas susceptible d’engendrer le risque que de telles conséquences négatives ne se produisent. Lorsqu’en revanche, ce risque est élevé, le RGPD exige du responsable du traitement qu’il communique la violation aux personnes concernées dans les meilleurs délais.

Deux sortes de notifications sont ainsi envisagées par le texte :

  • La notification à l’autorité de contrôle
  • La notification aux personnes concernées

A) La notification des violations de données à l’autorité de contrôle

  1. Principe

==> Exigence de notification

L’article 33 du RGPD dispose que en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente, soit à la CNIL lorsque la violation intervient sur le territoire français.

Quant au sous-traitant, il a l’obligation de notifier au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

Plus encore, en application de l’article 28, 3, f, il doit, aider le responsable du traitement à garantir le respect de l’obligation de notification, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant.

==> Contenu de la notification

La notification dont est destinataire l’autorité de contrôle doit :

  • Décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • Communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • Décrire les conséquences probables de la violation de données à caractère personnel ;
  • Décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

==> Le délai de notification

  • La notification à bref délai
    • L’article 33, 1 du RGPD prévoit que la notification de la violation de données doit intervenir dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
    • Cette exigence soulève la question de savoir quand un responsable du traitement peut être considéré comme ayant pris « connaissance » d’une violation.
    • Le Groupe de l’article 29 considère qu’un responsable du traitement doit être considéré comme ayant pris « connaissance » lorsqu’il est raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des données à caractère personnel.
    • Au vrai, le moment exact où un responsable du traitement peut être considéré comme ayant pris « connaissance » d’une violation spécifique dépendra des circonstances de la violation en question.
    • Dans certains cas, il sera relativement clair dès le début qu’une violation s’est produite, tandis que dans d’autres, un certain temps pourrait être nécessaire avant de pouvoir déterminer si des données à caractère personnel ont été compromises.
    • Après avoir pris connaissance d’un incident, le responsable du traitement doit notifier toute violation soumise à l’obligation de notification dans les meilleurs délais, et, si possible, dans les 72 heures.
    • Pendant cette période, il appartient au responsable du traitement d’évaluer le risque probable pour les personnes concernées afin de déterminer si l’obligation de notification s’applique et quelle ou quelles mesures doivent être prises afin de remédier à cette violation.
  • La notification échelonnée
    • En fonction de la nature de la violation, il peut être nécessaire que le responsable du traitement effectue une enquête complémentaire afin d’établir tous les faits pertinents liés à l’incident.
    • Aussi l’article 33, 4, dispose-t-il que « si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu. »
    • Cela signifie que le RGPD reconnaît que les responsables du traitement ne disposeront pas toujours de toutes les informations nécessaires concernant une violation dans les 72 heures après en avoir pris connaissance, dès lors que l’ensemble des détails de l’incident peuvent ne pas être systématiquement disponibles au cours de cette période initiale.
    • Il autorise donc une notification échelonnée.
    • Une telle notification interviendra plus probablement dans le cas de violations plus complexes, telles que certains types d’incidents de cybersécurité nécessitant par exemple une enquête approfondie et détaillée afin d’établir pleinement la nature de la violation et la mesure dans laquelle des données à caractère personnel ont été compromises.
    • Dans de nombreux cas, le responsable du traitement devra ainsi poursuivre son enquête et fournir des informations complémentaires à l’autorité de contrôle par la suite.
    • Il y est autorisé à condition de justifier son retard conformément à l’article 33, 1.
    • Le Groupe de l’article 29 recommande que, si le responsable du traitement ne dispose pas encore de toutes les informations nécessaires, il en informe l’autorité de contrôle dans le cadre de sa notification initiale et précise qu’il fournira des informations plus détaillées par la suite.
  • La notification tardive
    • L’article 33, 1 du RGPD prévoit que « lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. »
    • Cette disposition reconnaît, au même titre que le concept de notification échelonnée, qu’un responsable du traitement peut ne pas toujours être en mesure de notifier une violation dans ce délai, et qu’une notification tardive pourrait être autorisée.
    • Un tel scénario pourrait par exemple se produire lorsqu’un responsable du traitement constate, sur une courte période, plusieurs violations similaires affectant de façon identique de grandes quantités de personnes concernées.
    • Un responsable du traitement pourrait prendre connaissance d’une violation et, en entreprenant son enquête et avant la notification, détecter d’autres violations similaires dont la cause diffère.
    • En fonction des circonstances, il pourrait falloir un certain temps au responsable du traitement pour établir la portée des violations et pour élaborer une notification constructive comprenant différentes violations très similaires, mais aux causes potentiellement différentes, plutôt que de notifier chaque violation individuellement.
    • La notification à l’autorité de contrôle peut par conséquent avoir lieu plus de 72 heures après la prise de connaissance de ces violations par le responsable du traitement.

==> La documentation de la violation

Que la violation de données doive ou non être notifiée à l’autorité de contrôle, le responsable du traitement a l’obligation de documenter toutes les violations, comme exigé à l’article 33, 5 du RGPD.

Le texte prévoit que « le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article. »

Cette obligation de documentation est liée au principe de responsabilité du RGPD figurant à l’article 5 2.

Cette exigence de tenir des registres des violations, qu’elles soient sujettes à notification ou non, est également liée aux obligations du responsable du traitement au titre de l’article 24, et l’autorité de contrôle peut demander à voir lesdits registres.

Les responsables du traitement sont donc encouragés à établir un registre interne des violations, qu’ils soient tenus de les notifier ou non.

S’il appartient au responsable du traitement de déterminer la méthode et la structure à utiliser pour documenter une violation, certaines informations clés doivent être incluses en toutes circonstances.

Comme requis à l’article 33, 5, le responsable du traitement doit reprendre des informations concernant la violation, y compris les causes, les faits et les données à caractère personnel concernées. Il doit également inclure les effets et les conséquences de la violation ainsi que les mesures prises par le responsable du traitement pour y remédier.

Outre ces informations, le Groupe de l’article 29 recommande que le responsable du traitement documente également le raisonnement justifiant les décisions prises en réaction à la violation.

En particulier, lorsqu’une violation n’est pas notifiée, la justification de cette décision doit être documentée.

Cette justification doit inclure les raisons pour lesquelles le responsable du traitement considère que la violation est peu susceptible d’engendrer un risque pour les droits et libertés des individus.

2. Exception

L’article 33, 1 prévoit clairement qu’une violation qui n’est « pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques » n’a pas à être notifiée à l’autorité de contrôle.

Tel pourrait par exemple être le cas lorsque les données à caractère personnel sont déjà disponibles pour le public et qu’une divulgation desdites données n’est pas susceptible d’engendrer un risque pour les personnes concernées.

Ceci contraste avec les obligations de notification s’appliquant aux fournisseurs de services de communications électroniques accessibles au public en vertu de la directive 2009/136/CE, qui dispose que toutes les violations pertinentes doivent être notifiées à l’autorité compétente.

A cet égard, dans son avis 03/2014 sur la notification des violations, le Groupe de l’article 29 expliquait qu’une violation de la confidentialité de données à caractère personnel qui ont été cryptées à l’aide d’un algorithme de pointe constitue, malgré tout, une violation de données à caractère personnel, et que celle-ci devait être notifiée.

Néanmoins, si la confidentialité de la clé de cryptage est intacte – soit que la clé n’a été compromise dans aucune violation de sécurité et a été générée de façon à ne pouvoir être trouvée, par aucun moyen technologique existant, par quelqu’un qui n’est pas autorisé à l’utiliser –, les données sont en principe incompréhensibles.

La violation n’est donc pas susceptible de porter atteinte aux personnes concernées et n’aurait donc pas besoin de leur être communiquée.

Toutefois, même lorsque les données sont cryptées, une perte ou une altération peut avoir des conséquences négatives pour les personnes concernées lorsque le responsable du traitement ne dispose pas de sauvegardes adéquates.

Dans ce cas de figure, il convient de communiquer la violation aux personnes concernées, même si les données elles-mêmes ont fait l’objet de mesures de cryptage adéquates.

B) La notification des violations de données aux personnes concernées

  1. Principe

==> Exigence de notification

L’article 34 du RGPD dispose que lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

Il ressort de cette disposition que la notification est ainsi exigée dès lorsque que la violation de données « est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ».

Le seuil à atteindre est par conséquent plus élevé pour la communication aux personnes concernées que pour la notification à l’autorité de contrôle, et toutes les violations ne devront donc pas être communiquées aux personnes concernées, ce qui les protège de notifications excessives et non nécessaires.

La question qui alors se pose est de savoir ce que l’on doit entendre par « risque élevé pour les droits et libertés » des personnes.

==> L’appréciation du risque élevé

Le considérant 75 du RGPD indique :

  • D’une part, que, les risques pour les droits et libertés des personnes physiques sont susceptibles de présenter différents degrés de probabilité et de gravité
  • D’autre part, que, des risques pour les droits et libertés des personnes physiques existent en particulier :
    • Lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important
    • Lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel
    • Lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes
    • Lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels
    • Lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants
    • Lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

Le considérant 76 précise qu’il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement.

A cet égard, le risque doit faire l’objet d’une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

Le Groupe de l’article 29 recommande que l’évaluation du risque tienne compte d’un certain nombre de critères :

  • Le type de violation
    • Le type de la violation survenue peut avoir une incidence sur le niveau de risque encouru par les personnes concernées.
    • Par exemple, les conséquences d’une violation de la confidentialité dans le cadre de laquelle des informations médicales ont été divulguées à des parties non autorisées pourraient différer de celles engendrées par une violation dans le cadre de laquelle les informations médicales d’un patient ont été perdues ou ne sont plus disponibles.

  • La nature, le caractère sensible et le volume des données à caractère personnel
    • L’un des facteurs clés dans l’évaluation du risque est le type et le caractère sensible des données à caractère personnel qui ont été compromises par la violation.
    • En général, plus les données sont sensibles, plus le risque de dommage sera élevé pour les personnes concernées, mais il convient également de tenir compte des autres données à caractère personnel qui pourraient déjà être disponibles au sujet de la personne concernée.
    • Par exemple, dans des circonstances normales, la divulgation du nom et de l’adresse d’une personne est peu susceptible d’entraîner un préjudice important.
  • La facilité d’identification des personnes concernées
    • Un facteur important à prendre en compte est la facilité avec laquelle une partie ayant accès à des données à caractère personnel compromises peut identifier des individus spécifiques ou associer les données en question à d’autres informations afin d’identifier ces mêmes individus.
    • Dans certaines circonstances, une identification pourrait être possible directement à partir des données à caractère personnel compromises, sans que des recherches spécifiques ne soient nécessaires pour découvrir l’identité de la personne concernée, tandis que dans d’autres, il pourrait être extrêmement difficile d’attribuer des données à caractère personnel à une personne spécifique, bien que cela puisse toujours être possible dans certaines conditions.
    • Une identification peut être directement ou indirectement possible à partir des données compromises, comme elle peut dépendre des circonstances spécifiques de la violation et de la disponibilité publique de renseignements personnels connexes.
  • La gravité des conséquences pour les personnes concernées
    • En fonction de la nature des données à caractère personnel impliquées dans une violation, par exemple des catégories particulières de données, les dommages potentiels pour les personnes concernées peuvent être particulièrement graves, notamment lorsque la violation pourrait entraîner un vol ou une usurpation d’identité, un préjudice physique, une détresse psychologique, une humiliation ou une atteinte à la réputation.
    • Si la violation concerne des données à caractère personnel de personnes vulnérables, celles-ci pourraient être exposées à un plus grand risque de dommages.
  • Les caractéristiques particulières des personnes concernées
    • Une violation peut toucher des données à caractère personnel concernant des enfants ou d’autres personnes vulnérables, qui pourraient alors être exposés à un risque plus important.
    • D’autres facteurs spécifiques aux personnes concernées pourraient également affecter la gravité des conséquences de la violation pour les personnes en question.
  • Les caractéristiques particulières du responsable du traitement
    • La nature et le rôle du responsable du traitement ainsi que de ses activités peuvent affecter le niveau de risque qu’engendre une violation pour les personnes concernées.
    • Par exemple, dès lors qu’une organisation médicale traite des catégories particulières de données à caractère personnel, le risque pour les personnes concernées sera plus important en cas de violation de données à caractère personnel que s’il s’agissait d’une liste de diffusion d’un journal.
  • Le nombre de personnes concernées
    • Une violation peut toucher uniquement une personne, un nombre restreint de personnes ou des milliers de personnes, voire davantage.
    • En général, plus le nombre de personnes concernées est élevé, plus les conséquences potentielles d’une violation sont nombreuses.
  • Éléments généraux
    • Lorsqu’il évalue le risque susceptible de résulter d’une violation, le responsable du traitement devrait ainsi examiner à la fois la gravité des conséquences potentielles pour les droits et libertés des personnes concernées et la probabilité que ces conséquences se produisent.
    • Il est évident que lorsque les conséquences d’une violation sont potentiellement plus graves, le risque est plus élevé.
    • De même, lorsque la probabilité que celles-ci se produisent est plus importante, le risque s’en verra également renforcé.
    • En cas de doute, le responsable du traitement devrait opter pour la prudence et procéder à une notification.

==> Contenu de la notification

L’article 34, 2 prévoit que la communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d), soit :

  • La communication du nom et des coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • La description des conséquences probables de la violation de données à caractère personnel ;
  • La description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

==> Délai de notification

L’article 34, 1 du RGPD prévoit que la notification de la violation doit intervenir dans les plus brefs délais sans autre précision.

Le 4 précise que si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.

Il appartient donc au responsable du traitement de notifier immédiatement à l’autorité de contrôle, soit à la CNIL, toute violation de données.

2. Exceptions

L’article 34, 3 définit trois conditions dans lesquelles la communication aux personnes concernées n’est pas nécessaire en cas de violation, à savoir :

  • Première condition
    • Le responsable du traitement a mis en œuvre les mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel préalablement à la violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès.
    • Cela pourrait par exemple inclure la protection des données à caractère personnel au moyen d’un chiffrement de pointe ou par tokénisation;
  • Deuxième condition
    • Le responsable du traitement a pris, immédiatement après la violation, des mesures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se concrétiser.
    • Par exemple, en fonction des circonstances du cas d’espèce, le responsable du traitement peut avoir immédiatement déterminé et pris des mesures contre la personne ayant accédé aux données à caractère personnel avant qu’elle n’ait pu les utiliser.
    • Il convient cependant toujours de tenir compte des conséquences potentielles de toute violation de la confidentialité, toujours en fonction de la nature des données concernées.
  • Troisième condition
    • Contacter les personnes concernées exigerait des efforts disproportionnés
    • Par exemple si leurs coordonnées ont été perdues à la suite de la violation ou ne sont tout simplement pas connues.
    • Dans un tel cas, le responsable du traitement doit procéder à une communication publique ou prendre une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.
    • En cas d’efforts disproportionnés, des dispositions techniques pourraient également être envisagées afin que les informations concernant la violation soient disponibles sur demande, ce qui pourrait se révéler utile pour les personnes éventuellement affectées par la violation, mais que le responsable du traitement n’est pas en mesure de contacter par un autre biais.

RGPD: l’analyse d’impact relative à la protection des données (DPIA)

L’apport majeur du RGPD est d’avoir renforcé les droits des personnes concernées par un traitement de données à caractère personnel au moyen d’un bouleversement des principes s’imposant aux acteurs.

Ainsi, a-t-on assisté au passage d’une logique de formalités préalables (déclarations et autorisations) à une logique de conformité et de responsabilité.

Le changement de paradigme ainsi opéré combiné à l’appel à des outils de droit souple tels que les référentiels, les codes de bonne conduite et les packs de conformité, est un gage d’allègement des démarches administratives et de réduction des délais de mise en œuvre pour les entreprises.

Cet allègement des formalités introduit par le RGPD a pour contrepartie l’établissement de nouvelles obligations pesant sur les responsables de traitements et sous-traitants telles que :

  • La mise en œuvre d’outils de protection des données personnelles dès la conception du traitement ou par défaut (article 25)
  • L’obligation de tenir une documentation, en particulier au travers d’un registre des activités de traitement (article 30)
  • La notification des violations de données personnelles à l’autorité de protection et, dans certains cas, à la personne concernée (articles 33 et 34)
  • La désignation d’un délégué à la protection des données (article 37)
  • L’adhésion à des codes de bonne conduite (articles 40 et 41)
  • La participation à des mécanismes de certification (articles 42 et 43)

Ainsi le RGPD se fonde-t-il sur une logique de responsabilisation des acteurs qui mettent en œuvre des traitements de données à caractère personnel en introduisant le principe d’accountability.

Bien qu’il soit difficile de définir avec précision le sens de ce principe dans la pratique, on peut toutefois avancer qu’il met l’accent, en substance, sur la manière dont la responsabilité (responsability) est assumée et sur la manière de le vérifier.

En anglais, les termes « responsibility » et « accountability » sont comme l’avers et le revers d’une médaille et sont tous deux des éléments essentiels de la bonne gouvernance.

On ne peut inspirer une confiance suffisante que s’il est démontré que la responsabilité (responsability) est efficacement assumée dans la pratique.

Au fond, le principe d’« accountability » s’articule autour de deux axes :

  • D’une part, la nécessité pour le responsable du traitement des données de prendre des mesures appropriées et efficaces pour mettre en œuvre les principes de protection des données
  • D’autre part, la nécessité pour le responsable du traitement de démontrer, sur demande, que des mesures appropriées et efficaces ont été prises.

Pour atteindre ces deux objectifs, il appartient au responsable du traitement de se doter d’une politique de gestion de la conformité, ce qui doit se traduire par la mise en œuvre de procédures internes visant à mettre en application les principes de la protection des données.

Dans cette perspective, les mesures prises par le responsable du traitement doivent être adaptées aux circonstances. En somme, les mesures spécifiques à appliquer doivent être arrêtées selon les faits et circonstances de chaque cas particulier, compte tenu, en particulier, du risque associé au traitement et aux types de données.

L’adéquation des mesures doit donc être établie au cas par cas et plus précisément selon le niveau de risque : plus le traitement de données est sensible et plus les mesures prises pour assurer la protection des personnes concernées devront être renforcées.

Afin d’orienter le responsable du traitement dans cette voie et de lui permettre de définir et mettre en œuvre les mesures requises pour garantir la conformité de ses opérations avec les principes et obligations du RGPD et en fassent vérifier l’efficacité de manière périodique, le législateur a mis à sa charge un certain nombre d’obligations, dont l’obligation de réaliser une analyse d’impact.

I) Notion

Lorsque les opérations de traitement sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le RGPD met à la charge du responsable du traitement une obligation de réalisation d’une étude d’impact relative à la protection des données (DPIA – Data Protection Impact Assessment – Analyse d’impact relative à la protection des données – AIPD ou PIA)

En somme, l’analyse d’impact est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face.

Lorsque, par exemple, il ressort d’une analyse d’impact relative à la protection des données que les opérations de traitement des données comportent un risque élevé que le responsable du traitement ne peut atténuer en prenant des mesures appropriées compte tenu des techniques disponibles et des coûts liés à leur mise en œuvre, l’autorité de contrôle doit alors être consultée avant que le traitement n’ait lieu.

De toute évidence, l’analyse d’impact est un outil important au regard du principe de responsabilité, compte tenu de son utilité pour le responsable du traitement non seulement aux fins du respect des exigences du RGPD, mais également en ce qui concerne sa capacité à démontrer que des mesures appropriées ont été prises pour assurer la conformité au règlement

Ainsi, l’analyse d’impact s’apparente-t-elle à un processus qui vise à assurer la conformité aux règles et à pouvoir en apporter la preuve.

II) Étendue de l’obligation

Conformément à l’approche par les risques préconisée par le RGPD, il n’est pas obligatoire d’effectuer une analyse d’impact pour chaque opération de traitement.

Une AIPD n’est requise que lorsque le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».

A cet égard, il ressort de l’article 35 du RGPD qu’il convient de distinguer les cas où l’analyse d’impact est obligatoire et les cas où elle est seulement facultative

A) L’analyse d’impact obligatoire

Il convient de distinguer les traitements qui sont intervenus avant l’entrée en vigueur du RGPD de ceux mis en œuvre après

  1. Les traitements intervenus postérieurement à l’entrée en vigueur du RGPD

Une analyse d’impact doit obligatoirement être mené quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

A cet égard, trois cas doivent être distinguées :

  • Soit le traitement correspond à l’un des cas envisagés par le RGPD
  • Soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact
  • Soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 :

==> Le traitement correspond à l’un des cas envisagés par le RGPD

L’article 35,3 du RGPD prévoit que la réalisation d’une étude d’impact est obligatoire dans trois cas :

  • L’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
  • Le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ;
  • La surveillance systématique à grande échelle d’une zone accessible au public.

Dans ces trois cas, le texte pose une véritable présomption irréfragable de risque élevée d’atteinte aux droits et libertés de la personne concernée par le traitement.

==> Le traitement correspond à l’un des cas envisagés par la CNIL

Comme le laisse entendre la locution « en particulier » dans le 3 de l’article 35 du RGPD, la liste ainsi posée n’est pas exhaustive.

Aussi, même si elles ne figurent pas dans cette liste, d’autres opérations de traitement sont susceptibles de rendre obligatoire la réalisation d’une analyse d’impact, dès lors que le traitement présente un risque élevé.

La question qui alors se pose est de savoir ce que l’on doit entendre par « risque élevé ».

Pour la CNIL, un « risque sur la vie privée » est un scénario décrivant :

  • Un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) ;
  • Toutes les menaces qui permettraient qu’il survienne.

Ce risque est estimé en termes de gravité et de vraisemblance. La gravité doit être évaluée pour les personnes concernées, et non pour l’organisme.

Afin de faciliter la tâche des responsables de traitement, la CNIL a établi une liste des traitements qui sont irréfragablement présumés présenter un risque élevé pour les droits et libertés des personnes concernés. Il en résulte que la réalisation d’une analyse d’impact pour ces traitements est obligatoire, alors même qu’ils ne sont pas expressément visés par le RGPD :

  • Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes
    • Traitements « de santé » mis en œuvre par les établissements de santé (hôpital, CHU, cliniques, etc.) :
      • Dossier « patients »
      • Algorithmes de prise de décision médicale
      • Dispositifs de vigilances sanitaires et de gestion du risque
      • Dispositifs de télémédecine
      • Gestion du laboratoire de biologie médicale et de la pharmacie à usage intérieur, etc.
    • Traitement portant sur les dossiers des résidents pris en charge par un centre communal d’action sociale (CCAS) ou par un établissement d’hébergement pour personnes âgées dépendantes (EPHAD).
  • Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.)
    • Mise en œuvre d’une recherche médicale portant sur des patients et incluant le traitement de leurs données génétiques
    • Traitement utilisé pour la gestion d’une consultation de génétique dans un établissement de santé
  • Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines
    • Traitement de détection et de gestion de « hauts potentiels »
    • Traitement visant à faciliter le recrutement, notamment grâce à un algorithme de sélection
    • Traitement visant à proposer des actions de formations personnalisées grâce à un algorithme
    • Traitement visant détecter et à prévenir les départs de salariés sur la base de corrélations établies entre divers facteurs.
  • Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés
    • Dispositif de cyber surveillance tels que ceux procédant à une analyse des flux de courriels sortants afin de détecter d’éventuelles fuites d’information (dispositifs dits de Data Loss Prevention)
    • Vidéosurveillance portant sur les employés manipulant de l’argent
    • Vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires
    • Chronotachygraphe des véhicules de transport routier.
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire
    • Dispositif de signalement de mineurs en danger
    • Traitement utilisé par une agence sanitaire pour la gestion d’une crise sanitaire ou d’une alerte sanitaire
    • Dispositif de signalement de situations de maltraitance sur des personnes vulnérables (personnes âgées, en situation de handicap, etc.).
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle
    • Dispositif de recueil d’alertes professionnelles pour les organismes privés ou publics concernés
    • Dispositif de recueil de signalements concernant des faits de trafic d’influence ou de corruption commis au sein de l’organisme
    • Dispositif d’alerte mis en œuvre dans le cadre du devoir de vigilance.
  • Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre
    • Entrepôt de données de santé mis en œuvre par un établissement de santé ou une personne privée, pour servir des finalités de recherche.
  • Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci
    • Traitement établissant un score pour l’octroi de crédit
    • Traitement reposant sur une analyse comportementale visant à détecter des comportements « interdits » sur un réseau social
    • Traitement de lutte contre la fraude aux moyens de paiement.
  • Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat
    • Traitement recensant les impayés et souscriptions irrégulières partagé par un secteur d’activité
    • Traitement des résiliations automobiles qui permet aux sociétés d’assurances de vérifier les antécédents d’un futur assuré lors de la demande de souscription d’un contrat d’assurance automobile.
  • Traitements de profilage faisant appel à des données provenant de sources externes
    • Combinaison de données opérée par des courtiers en données (data brokers)
    • Traitement visant à personnaliser les publicités en ligne
  • Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.)
    • Traitement basé sur la reconnaissance de l’empreinte digitale ayant pour finalité le contrôle de l’identité des patients
    • Contrôle d’accès à la cantine scolaire par reconnaissance du contour de la main
  • Instruction des demandes et gestion des logements sociaux
    • Traitement visant à permettre l’instruction des demandes de logement social en location ou en accession à la propriété.
  • Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes
    • Traitement mis en œuvre par un établissement ou une association dans le cadre de la prise en charge de personnes en insertion ou réinsertion sociale et professionnelle
    • Traitement mis en œuvre par les maisons départementales des personnes handicapées dans le cadre de l’accueil, l’hébergement, l’accompagnement et le suivi de ces personnes
    • Traitement mis en œuvre par un centre communal d’action sociale dans le cadre du suivi de personnes atteintes de pathologies chroniques invalidantes en situation de fragilité sociale.
  • Traitements de données de localisation à large échelle
    • Application mobile permettant de collecter les données de géolocalisation des utilisateurs
    • Fourniture d’un service de géolocalisation de mobilité urbaine utilisé par un grand nombre de personnes
    • Base de données « clients » des opérateurs de communication électronique
    • Mise en œuvre d’un système de billettique par des opérateurs de transport.

==> Le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29

Dès lors que le traitement remplit au moins deux des neufs critères posés par le Groupe de l’article 29, il est réputé faire peser un risque élevé pour les droits et libertés de la personne concernée.

Au nombre de ces critères figurent :

  • Évaluation/scoring (y compris le profilage)
    • Sont visées en particulier les activités portant sur des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements
  • Décision automatique avec effet légal ou similaire
    • Il s’agit du traitement ayant pour finalité la prise de décisions à l’égard des personnes concernées produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire
  • Surveillance systématique
    • Est ici notamment visé le traitement utilisé pour observer, surveiller ou contrôler les personnes concernées, y compris la collecte de données via des réseaux ou par la surveillance systématique d’une zone accessible au public
  • Collecte de données sensibles ou données à caractère hautement personnel
    • Il s’agit de catégories particulières de données à caractère personnel visées à l’article 9 du RGPD (informations concernant les opinions politiques des personnes, par exemple) ainsi que des données à caractère personnel relatives aux condamnations pénales ou aux infractions visées à l’article 10
  • Collecte de données personnelles à large échelle
    • Pour déterminer si le traitement est effectué à grande échelle, le GT29 recommande de prendre en compte, en particulier, les facteurs suivants :
      • Le nombre de personnes concernées, soit en valeur absolue, soit en proportion de la population considérée ;
      • Le volume de données et/ou l’éventail des différents éléments de données traitées ;
      • La durée ou la permanence de l’activité de traitement de données ;
      • L’étendue géographique de l’activité de traitement
  • Croisement ou combinaison d’ensembles de données
    • Ils peuvent être issus de deux opérations de traitement de données, ou plus, effectuées à des fins différentes et/ou par différents responsables du traitement, d’une manière qui outrepasserait les attentes raisonnables de la personne concernée
  • Personnes vulnérables (patients, personnes âgées, enfants, etc.)
    • le traitement de ce type de données est un critère en raison du déséquilibre des pouvoirs accru qui existe entre les personnes concernées et le responsable du traitement, ce qui signifie que les premières peuvent se trouver dans l’incapacité de consentir, ou de s’opposer, aisément au traitement de leurs données ou d’exercer leurs droits. P
  • Usage innovant (utilisation d’une nouvelle technologie)
    • Utilisation combinée, par exemple, de systèmes de reconnaissance des empreintes digitales et de reconnaissance faciale pour améliorer le contrôle des accès physiques, etc.
  • Exclusion du bénéfice d’un droit/contrat
    • Ces traitements incluent notamment les opérations visant à autoriser, modifier ou refuser l’accès à un service ou la conclusion d’un contrat

Dans la plupart des cas, le responsable du traitement peut considérer qu’un traitement satisfaisant à deux critères nécessite une analyse d’impact.

D’une manière générale, le Groupe de l’article 29 estime que plus le traitement remplit de critères, plus il est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées et par conséquent de nécessiter une analyse d’impact, quelles que soient les mesures que le responsable du traitement envisage d’adopter.

Néanmoins, dans certains cas, le responsable du traitement peut considérer que même si son traitement ne satisfait qu’à un seul de ces critères, il requiert malgré tout une AIPD.

2. Les traitements intervenus antérieurement à l’entrée en vigueur du RGPD

Lorsque le traitement est intervenu avant l’entrée en vigueur du RGPD, la CNIL considère qu’une étude d’impact ne sera pas exigée pour :

  • Les traitements qui ont fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018, ou qui étaient dispensés de formalité.
  • Les traitements qui ont été consignés au registre d’un correspondant informatique et libertés

Cette dispense d’obligation de réaliser une analyse d’impact, pour les traitements existants et régulièrement mis en œuvre, est limitée à une période de 3 ans.

Cela signifie que, à l’issue de ce délai, les responsables de traitement doivent avoir effectué une telle étude si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

En revanche, l’étude d’impact devra être réalisée, sans attendre l’issue de ce délai de trois ans, dans tous les autres cas, dès lors que le traitement présente un risque élevé, soit :

  • Pour tout nouveau traitement mis en œuvre après le 25 mai 2018
  • Pour les traitements antérieurs n’ayant pas fait l’objet de formalités préalables auprès de la CNIL
  • Pour les traitements, antérieurs au 25 mai et qui ont été dispensés d’étude d’impact en raison de l’accomplissement d’une formalité préalable auprès de la CNIL, mais qui font l’objet d’une modification significative.

B) L’analyse d’impact facultative

Selon la CNIL, l’analyse d’impact n’est pas requise dans les cas suivants :

  • Quand le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées ;
  • Lorsque la nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une AIPD a déjà été menée ;
  • Quand le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public (art 6.1.c 6.1.e), sous réserve que les conditions suivantes soient remplies :
    • Qu’il ait une base juridique dans le droit de l’UE ou le droit de l’État membre ;
    • Que ce droit règlemente cette opération de traitement ;
    • Qu’une AIPD ait déjà été menée lors de l’adoption de cette base juridique ;
  • Quand le traitement correspond à une exception déterminée par la CNIL conformément à l’article 35(5). La CNIL adoptera prochainement la liste de ces exceptions, après consultation du CEPD (Comité européen de protection des données).

III) Le contenu de l’analyse d’impact

En vertu de l’article 35 du RGPD, l’analyse d’impact doit contenir plusieurs éléments que sont :

  • Une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement
  • Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
  • Une évaluation des risques pour les droits et libertés des personnes concernées
  • Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

Le respect d’un code de conduite (article 40) doit être pris en compte (article 35, paragraphe 8) lors de l’évaluation de l’impact d’une opération de traitement de données.

Ceci peut être utile pour démontrer que des mesures adéquates ont été choisies ou mises en place, à condition toutefois que le code de conduite soit approprié pour l’opération de traitement considérée.

Il convient également de prendre en compte les garanties que représentent les certifications, labels et marques destinés à démontrer la conformité au RGPD des opérations de traitement effectuées par les responsables du traitement et les sous-traitants (article 42) ainsi que l’application de règles d’entreprise contraignantes (REC).

IV) La réalisation de l’analyse d’impact

==> Les intervenants à l’analyse d’impact

  • Le responsable du traitement
    • La responsabilité de veiller à ce qu’une analyse d’impact soit effectuée incombe d’abord au responsable du traitement
    • Elle peut également être réalisée par quelqu’un d’autre, à l’intérieur ou à l’extérieur de l’organisation, mais le responsable du traitement reste responsable en dernier ressort de cette tâche.
  • Le délégué à la protection des données
    • Lorsqu’il effectue une analyse d’impact relative à la protection des données, le responsable du traitement a l’obligation de demander conseil au délégué à la protection des données, si un tel délégué a été désigné.
  • Le sous-traitant
    • Le considérant 95 du RGPD précise que, en cas de sous-traitance, le sous-traitant doit aider le responsable du traitement, si nécessaire et sur demande, à assurer le respect des obligations découlant de la réalisation des analyses d’impact relatives à la protection des données et de la consultation préalable de l’autorité de contrôle.
  • Les personnes concernées
    • Le responsable du traitement doit demander l’avis des personnes concernées ou de leurs représentants au sujet du traitement prévu sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement
    • Pour le Groupe de l’article 29, cet avis peut être recueilli par divers moyens, selon le contexte (par ex. une étude générique en lien avec les finalités et les moyens de l’opération de traitement, un questionnaire soumis aux représentants du personnel, ou des enquêtes de type habituel envoyées aux futurs clients du responsable du traitement).
    • En tout état de cause, le responsable du traitement doit s’assurer de s’appuyer sur une base juridique pour le traitement de toutes données à caractère personnel impliquées dans cette collecte d’avis.

A défaut, le responsable du traitement doit justifier toute décision de ne pas recueillir l’avis des personnes concernées s’il juge la démarche inappropriée, en estimant par exemple que cela compromettrait la confidentialité de plans d’affaires ou serait disproportionné ou irréalisable.

==> Objet de l’analyse d’impact

L’article 35 du RGPD prévoit qu’une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.

La CNIL illustre cette règle en prenant deux exemples :

  • Des collectivités qui mettent chacune en place un système de vidéosurveillance similaire pourraient effectuer une seule analyse qui porterait sur ce système bien que celui-ci soit ultérieurement mis en œuvre par des responsables de traitements distincts
  • Un opérateur ferroviaire (responsable de traitement unique) pourrait effectuer une seule analyse d’impact sur le dispositif de la surveillance vidéo déployé dans plusieurs gares.

==> Méthodologie de conduite de l’analyse d’impact

Pour la CNIL, l’analyse d’impact se décompose, au fond, en trois parties :

  • Première partie
    • La description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels
  • Deuxième partie
    • L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;
  • Troisième partie
    • L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

La mise en œuvre de ces trois étapes doit répondre à une certaine méthodologie.

A cet égard, la CNIL préconise de suivre la méthodologie générale suivante :

  • Délimiter et décrire le contexte du (des) traitement(s) considéré(s) ;
  • Analyser les mesures garantissant le respect des principes fondamentaux : la proportionnalité et la nécessité du traitement, et la protection des droits des personnes concernées ;
  • Apprécier les risques sur la vie privée liés à la sécurité des données et vérifier qu’ils sont convenablement traités ;
  • Formaliser la validation de l’analyse d’impact au regard des éléments précédents ou bien décider de réviser les étapes précédentes.

V) La communication de l’analyse d’impact à la CNIL

A) Principe

La communication de l’analyse d’impact à l’autorité de contrôle qu’est la CNIL n’est pas une obligation, à tout le moins le RGPD ne l’exige pas.

Comme tout principe celui-ci n’est, cependant, pas sans être assorti d’exceptions.

B) Exceptions

==> Énoncé des exceptions

L’analyse d’impact doit être communiquée à la CNIL pour consultation dans trois cas :

  • Si le traitement présente un risque élevé d’atteinte aux droits et libertés de la personne concerne
  • La consultation de la CNIL est prévue par un texte spécifique
  • En cas de demande de la CNIL

==> Cas particulier du risque élevé d’atteinte pour les droits et libertés de la personne concernée

  • Principe
    • L’article 36 du RGPD pris en son §1 prévoit que le responsable du traitement doit consulter l’autorité de contrôle préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.
  • Mise en œuvre
    • En cas de consultation de la CNIL sur ce fondement, le responsable du traitement doit lui communiquer :
      • Le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement, en particulier pour le traitement au sein d’un groupe d’entreprises ;
      • Les finalités et les moyens du traitement envisagé ;
      • Les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu du présent règlement ;
      • Le cas échéant, les coordonnées du délégué à la protection des données ;
      • L’analyse d’impact relative à la protection des données prévue à l’article 35 ;
      • Toute autre information que l’autorité de contrôle demande.
  • Décision
    • Lorsque l’autorité de contrôle est d’avis que le traitement envisagé constituerait une violation du RGPD, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, l’autorité de contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l’article 58 (pouvoir d’enquête et d’injonction).
    • Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé.
    • L’autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d’un mois à compter de la réception de la demande de consultation.
    • Ces délais peuvent être suspendus jusqu’à ce que l’autorité de contrôle ait obtenu les informations qu’elle a demandées pour les besoins de la consultation.

RGPD: le registre des activités de traitement

L’article 30 du RGPD dispose que « chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité ».

Ce registre participe de la documentation de la conformité. Document de recensement et d’analyse, il doit refléter la réalité des traitements de données personnelles mis en œuvre par le responsable du traitement et permettre d’identifier précisément :

  • Les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
  • Les catégories de données traitées,
  • A quoi servent ces données (ce que qu’on en fait), qui accède aux données et à qui elles sont communiquées,
  • Combien de temps les données collectées sont conservées,
  • Comment elles sont sécurisées.

Au-delà de la réponse à l’obligation prévue par l’article 30 du RGPD, le registre est un outil de pilotage et de démonstration de la conformité au RGPD. Il permet de documenter les traitements de données

I) Les personnes chargées de tenir le registre

Il ressort de l’article 30, 5 du RGPD que l’obligation de tenue d’un registre des activités de traitement ne s’applique pas à toutes les structures.

==> Principe

L’obligation de tenue d’un registre des activités de traitement incombe à toutes les structures qui comportent plus de 250 salariés.

Dès lors que ce seuil est dépassé, le responsable du traitement a l’obligation de constituer ce registre, quand bien même aucun DPD n’a été désigné.

Par ailleurs, l’obligation de tenir un registre s’applique, tant au responsable du traitement, qu’au sous-traitant.

L’article 30, 2 du RGPD énonce en ce sens que chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement.

==>Exception

Par exception à l’obligation qui s’impose au responsable du traitement et au sous-traitant, l’article 30, 5 du RGPD prévoit que l’obligation de tenue d’un registre ne s’applique pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si :

  • Le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel

OU

  • Le traitement porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions.

II) Le contenu du registre

Avant l’entrée en vigueur du RGPD, la loi Informatique et Libertés imposait aux responsables de traitements de données personnelles, sauf exceptions, d’accomplir des formalités déclaratives auprès de la CNIL.

A cet égard, cette dernière recommande que le registre tenu par le responsable du traitement, en application de la nouvelle réglementation, fasse état, tant des traitements qui avaient donné lieu, avant l’entrée en vigueur du RGPD, à des déclarations préalables que de ceux intervenus après son adoption.

A) Les traitements antérieurs au 25 mai 2018

Pour les traitements intervenus avant le 25 mai 2018, il est possible d’intégrer au registre prévu par les formalités accomplies lors de la déclaration de ces traitements, soit :

  • Les déclarations simplifiées ;
  • Les déclarations ordinaires ;
  • Les déclarations normales ;
  • Les demandes d’avis ;
  • Les demandes d’autorisation ;
  • Les demandes d’autorisation recherches médicales ;
  • Les demandes d’autorisation évaluation de pratiques de soins.

Il peut être observé que les listes qui concernent les formalités accomplies entre 1979 et le 25 mai 2018 par les responsables publics et privés mettant en œuvre des fichiers, dispositifs ou applications traitant des données relatives à des personnes physiques sont mises à disposition pour une durée de 10 ans à compter du 25 mai 2018 : https://www.cnil.fr/fr/les-formalites-prealables-accomplies-aupres-de-la-cnil-avant-le-25-mai-2018

Reste que dans certains cas, le responsable du traitement était dispensé d’accomplir des formalités :

  • Les organismes, publics ou privés, qui avaient désigné un Correspondant Informatique et Libertés (CIL) étaient ainsi dispensés, depuis octobre 2005, d’accomplir certaines formalités (déclarations) auprès de la CNIL.
  • La CNIL avait également dispensé de déclaration certains traitements de données personnelles courants.

D’autres traitements étaient encore dispensés, non pas de déclaration, mais de la publication de l’acte réglementaire qui les autorise :

  • Les données relatives à certains traitements mis en œuvre par l’Etat (article 26 III de la loi Informatique et Libertés en vigueur avant le 25 mai 2018) étaient également dispensées de publication.
  • Les traitements mis en œuvre par des particuliers (ex. : vidéosurveillance de leur habitation dans laquelle interviennent des employés à domicile), susceptibles de comporter des informations relatives à leur vie privée, ne sont pas concernés par cette publication.

Pour ces traitements dispensés de déclaration ou de publication, s’il n’est pas nécessaire d’en faire mention sur le registre des activités, il doit, en revanche, être fait état de l’exemption dont ils bénéficient.

B) Les traitements postérieurs au 25 mai 2018

  1. Le registre du responsable du traitement

L’article 30, 1 du RGPD prévoit que le registre des activités de traitement doit mentionner les informations suivantes :

  • Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
  • Les finalités du traitement ;
  • Une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
  • Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées ;
  • Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.

2. Le registre du sous-traitant

S’agissant du registre tenu par le sous-traitant, en application de l’article 30, 2 du RGPD il doit comporter :

  • Le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données ;
  • Les catégories de traitements effectués pour le compte de chaque responsable du traitement (par exemple : pour la catégorie « service d’envoi de messages de prospection », il peut s’agir de la collecte des adresses mails, de l’envoi sécurisé des messages, de la gestion des désabonnements, etc.)
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.

III) Les modalités de tenue du registre

Compte tenu des informations qui doivent figurer sur le registre, celui-ci doit nécessairement prendre la forme d’un écrit.

L’article 30, 3 prévoit en ce sens que 3 le registre se présente « sous une forme écrite y compris la forme électronique. »

Pour faciliter la tenue de ce registre, la CNIL propose un modèle de registre de base, destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures (TPE-PME, associations, petites collectivités, etc.).

La CNIL recommande, dans la mesure du possible, d’enrichir le registre de mentions complémentaires afin d’en faire un outil plus global de pilotage de la conformité.

Le registre doit être mise à jour régulièrement au gré des évolutions fonctionnelles et techniques des traitements de données.

En pratique, toute modification apportée aux conditions de mise en œuvre de chaque traitement inscrit au registre (nouvelle donnée collectée, allongement de la durée de conservation, nouveau destinataire du traitement, etc.) doit être portée au registre.

IV) La mise à disposition du registre

==> La communication du registre à la CNIL

L’article 30, 4 du RGPD prévoit que le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant doivent metttre le registre à la disposition de l’autorité de contrôle sur demande.

Elle pourra en particulier l’utiliser dans le cadre de sa mission de contrôle des traitements de données.

==> La communication du registre aux personnes

La CNIL rappelle que selon que le registre est tenu par un organisme public ou privé, sa communication peut être autorisée ou interdite

  • S’agissant des organismes du secteur public
    • Ils sont tenus de communiquer le registre à toute personne qui en fait la demande, car il s’agit d’un document administratif, communicable à tous, au sens du code des relations entre le public et l’administration.
    • Toutefois, le registre communiqué doit être occulté de toute information dont la divulgation pourrait en particulier porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d’information.
  • S’agissant des organismes privés
    • Ils ne sont pas tenus de communiquer le registre au public.
    • Néanmoins, ils peuvent, s’ils l’estiment opportun, le communiquer aux personnes qui en font la demande.