RGPD #2 - Connaître les principes qui rendent un traitement de données personnelles conforme

27.09.17
traitement-donnees-personnelles

Comme détaillé précédemment, le RGPD est le nouveau Règlement européen qui s’appliquera pour la protection des données personnelles à compter du 25 mai 2018.
Avant d’aborder les rôles des acteurs de cette réforme et les outils que le Règlement leur propose, il est important de comprendre les définitions de base et les principes qui doivent s’appliquer lors d’un traitement de données.

En effet, si le nouveau Règlement impose aux responsables des traitements de mettre en œuvre des mécanismes (que nous décrirons dans les articles suivants et dont certains sont très novateurs), ils doivent d’abord et à tout moment appliquer des principes précis qu’il faut connaître et avoir à l’esprit pour aborder tout ce qui concerne les données personnelles.

Rappel des définitions de base dans le cadre du RGPD

Dans tous les cas, on va se trouver en présence d’un traitement de données personnelles, mis en œuvre par un responsable du traitement, pour traiter les données de ceux qui seront les personnes concernées.

Un traitement de données personnelles peut être toute opération ou ensemble d'opérations qui portent sur ce type de données. Il peut s'agir de collecte, d'enregistrement, de conservation, d'adaptation … Une simple consultation ou même une suppression est un traitement de données.

Le responsable du traitement est la personne, l’autorité publique, le service ou l'organisme qui détermine les finalités et les moyens de ce traitement de données. Donc, par défaut, c’est le dirigeant de l’entreprise, le dirigeant de la collectivité ou le président de l’association. La rédaction des délégations de pouvoir sera l’un des sujets fondamentaux.

La personne concernée est celui auquel les données appartiennent, une personne physique identifiable.

Pour être en mesure de justifier de la conformité des traitements, le nouveau Règlement apporte une logique radicalement différente : l’accountability. Elle sera expliquée dans un prochain article mais ce changement de paradigme, pourtant fondamental, ne bouleverse pas les grands principes qu’il faut d’abord connaître.


Les principes à respecter pour construire et administrer un traitement de données

Les grands principes qui existaient déjà avec la loi « Informatique et libertés » de 1978 et la Directive européenne de 1994, dont est issu le régime légal qui s'applique encore aujourd'hui jusqu’à l’entrée en vigueur du Règlement le 25 mai 2018, demeurent. Mais ils sont réaffirmés, revisités et complétés.

Les trois principaux principes qui régissent le traitement de données sont la loyauté, la licéité et la transparence.

La loyauté signifie que les traitements ne peuvent porter que sur des données à caractère personnel qui sont collectées et traitées sans chercher, même par omission, à tromper la personne dont les données sont collectées.

La licéité signifie qu'une collecte de données à caractère personnel ne doit heurter aucune disposition législative ou réglementaire contraire. Le Règlement est un régime autonome et homogène mais pas un écran pour se protéger des autres obligations légales sur le seul critère d’un respect formel de ses règles.

Un traitement de données personnelles doit respecter le Règlement et toutes les législations applicables, quels que soient les objectifs qu’elles poursuivent.

La transparence, c'est la finalité qui est poursuivie par le traitement. Elle doit concerner tous ses aspects tels que les catégories de données collectées ou la durée de conservation.

Le Règlement indique que les données doivent être collectées pour des finalités déterminées, explicitées, légitimes et ne pas être traitées ultérieurement en contradiction avec ce pour quoi elles avaient été collectées. On parle aussi de « proportionnalité à la finalité ».

Les fondements sur lesquels doit s’appuyer un traitement de données personnelles

Le traitement doit aussi reposer sur un des fondements que le Règlement autorise et donc avant de démarrer un traitement de données personnelles, il faut s’assurer qu’il peut correspondre à l’un d’entre eux.

  • Avoir le consentement de la personne concernée est ce qui va permettre de traiter des données issues d’un accord direct de la personne, sans justification externe à cet accord.
  • Etre nécessaire pour l’exécution d’un contrat signifie que le traitement ne va pas être l’objectif principal de l’accord. Les données sont nécessaires aux objectifs du contrat qui ne porte pas principalement sur leur traitement.

  • Respecter une obligation légale est le cas où le traitement ne trouve pas son fondement dans un accord mais dans l’application d’une règle.

  • Il peut aussi servir à protéger les intérêts vitaux d’une personne, là encore sans consentement préalable.

  • Le fondement pourra exister si le traitement de données est nécessaire pour exécuter une mission d’intérêt public ou qu’il relève de l’exercice de l’autorité publique.

  • Si la plupart de ces définitions sont claires, la dernière, être réalisé aux fins d’intérêts légitimes, est plus complexe et nécessite d’être appréciée au cas par cas. Ce pourra être, par exemple, l’utilisation de données personnelles pour se défendre en justice ou faire valoir un droit fondamental.

Le droit des données personnelles est issu du droit au respect à la vie privée qui est lui-même un des droits protégés par la Convention Européenne du droit de l’Homme. Sa protection sera donc « mise en balance » par les juridictions, à chaque fois qu’il sera confronté à l’un des autres droits fondamentaux.


La mise en application d’un traitement de données personnelles 

Les données traitées doivent aussi être adéquates, pertinentes et limitées à ce qui est nécessaire, au regard des finalités pour lesquelles elles sont traitées.

C'est la notion de minimisation des données.

Les données doivent, bien entendu, être exactes et pour cela elles doivent être tenues à jour. C’est une obligation qui va être renforcée par la nouvelle législation.

En termes de gestion dans le temps, et c’est un apport fondamental du nouveau Règlement, tout traitement doit avoir une durée. Les données ne doivent pas être conservées pendant un délai qui irait au-delà de ce qui est nécessaire.

Ce n’est pas obligatoirement une date mais au minimum il faut que soit fixée une fin, liée à l’objectif poursuivi. Les données personnelles ne doivent pas être conservées sans limite, sans justification.

Aussi, les données doivent être traitées de façon à garantir une sécurité appropriée, y compris pour leur protection contre des traitements non autorisés ou illicites. Elles doivent être protégées contre la perte, la destruction ou les dégâts d'origine accidentelle ; cela inclut, bien sûr, tous les piratages et autres conséquences des failles dans la sécurité.


C'est la valeur des données qui nécessite d'assurer la sécurité des traitements

La philosophie du Règlement c'est que les données personnelles sont précieuses.

Si la législation européenne autorise de traiter des données personnelles, cela ne doit être fait qu'en ayant conscience que pour leur titulaire, elles ont une valeur !

Les responsables de traitement doivent donc conserver et traiter cette « valeur immatérielle » avec précaution et avec la sécurité nécessaire. La mise en œuvre du nouveau Règlement est autant du droit que de la sécurité informatique, l’un n’allant pas sans l’autre.


Les droits des titulaires des données

Les derniers de ces principes concernent les droits que possède le titulaire des données. Ils sont, pour la plupart, connus du grand public, qui en prend connaissance dans les « mentions CNIL », à chaque fois qu'on lui demande de s’identifier.

Les principes (listés dans l’article précédent) qui étaient déjà fixés la loi de 1978 demeurent, c’est surtout leur mise en œuvre qui va être renforcée par le Règlement.

De nouveaux principes apparaissent comme le droit à l’oubli, la portabilité des données ou celui d'être informé des atteintes à sa sécurité des traitements.

Souvent initié par les tribunaux ou des réformes précédentes, le nouveau Règlement les intègre dans un régime global et unique pour toute l’Union Européenne.


Le nouveau Règlement : un outil et des moyens pour tous les citoyens de l’Union

Le Règlement a pour but de fournir à l'ensemble des citoyens de l'Union Européenne les moyens de garder ou de reprendre le contrôle de leurs données personnelles mais il n’a pas été conçu pour protéger les gens contre eux-mêmes.

Il n’empêche pas les citoyens de l’Union de laisser réaliser des traitements (ou de les subir lorsque le fondement ne dépend pas de leur volonté), il leur donne les moyens de les contrôler.

La première loi, en 1978, avait principalement été écrite, au début de la diffusion de l’outil informatique, pour protéger les citoyens des traitements de leurs données par les administrations, à une époque où les technologies nécessaires n’étaient accessibles que pour bien peu d’acteurs du secteur privé.

Le nouveau Règlement est l’aboutissement d’une adaptation progressive à l’évolution de l’informatique et des communications, pour permettre que les traitements de données personnelles existent mais dans un cadre maîtrisé, alors que des outils informatiques toujours plus puissants sont désormais à la disposition de tous.

La défense des principes fondamentaux qui ont guidé les rédacteurs du Règlement avaient été particulièrement bien expliqués par Isabelle Falque-Pierrotin, Présidente de la CNIL, lors d’une conférence en avril 2014 dont vous pourrez retrouver un court extrait ci-dessous*.

Pour faire de cet objectif une réalité, le nouveau Règlement place à la disposition des responsables de traitement de nouveaux outils que nous étudierons dans le prochain article.

*L'ensemble de l'intervention de madame Falque-Pierrotin est accessible ici.