Table of Contents
L’étendue géographique
Le RGPD s’applique aux traitements de données à caractère personnel mais dans quelle zone géographique ?
Le RGPD représente le plus haut niveau de protection des données à caractère personnel dans le monde. Cette réglementation s’applique aux traitements ciblant les personnes physiques.
Ce niveau se doit d’être garanti quel que soit le lieu où sont réalisés les traitements de données, c’est pourquoi le RGPD s’applique aux organismes basés dans l’Union européenne mais également à leurs sous-traitants, peu importe leur localisation.
Pour les organismes, ou leurs sous-traitants, basés en dehors de l’UE, le critère à prendre en compte est soit la fourniture de biens ou services à des consommateurs de l’UE, soit un suivi comportemental de citoyens de l’UE, que le traitement soit basé ou non dans l’UE.
Ces critères étant à prendre parmi un ensemble de critères tels que la présence d’un site Internet, la vente de biens ou services dans une langue de l’Union, etc.
À noter que tout sous-traitant d’un organisme de l’Union européenne, ou sous-traitant d’un organisme hors UE qui est soumis au RGPD, est soumis au RGPD.
Les personnes physiques vs les personnes morales
Le RGPD ne s’applique qu’aux personnes physiques. Mais qu’est-ce qu’une personne physique ?
Il arrive souvent, dans le monde professionnel, d’avoir accès à des personnes physiques ou à des personnes morales. Comment les distinguer ? En effet, le RGPD ne s’applique qu’aux personnes physiques et n’est pas applicable aux personnes morales. La distinction se base sur l’identification de la personne. Pouvons-nous cibler une personne physique ou plusieurs personnes ? Si une adresse e-mail contient un nom et un prénom, elle est sûrement nominative et dans ce cas il faut appliquer la réglementation. Le premier exemple ci-dessus répond à cette problématique.
A contrario, une adresse e-mail comportant un nom de service ou le mot contact ne cible aucune personne précise et le RGPD n’est pas applicable. Ceci se démontre par notre second exemple ci-dessus. Il convient d’être vigilant dans la constitution de fichiers mixant personnes physiques et personnes morales. Les actions autorisées sur ces fichiers ne seront par conséquent pas les mêmes !
Un exemple de tels fichiers est la constitution de listes de prospection commerciale en B2B : si les noms des entreprises ne sont pas des données soumises au RGPD, les noms de leurs dirigeants le sont ! Les salariés d’une entreprise seront à considérer, par les employeurs et services habilités à la manipulation de ces données, comme des personnes physiques.
Qu’est-ce qu’une donnée personnelle ?
La notion de données à caractère personnel est au cœur du texte du RGPD. Mais qu’est-ce qu’une donnée à caractère personnel ?
Qu’est-ce qu’une donnée à caractère personnel ? Au sens du RGPD, une donnée personnelle est une donnée qui peut identifier directement ou indirectement une personne : son nom, son visage, voire un signe distinctif tel un tatouage ou une particularité physique sont directement identifiants.
Les données indirectement identifiantes sont plus larges, cela peut être un numéro d’identification (NIR ou numéro d’inscription au répertoire, numéro de client…), un numéro de téléphone, de carte bancaire voire une adresse IP, dès que l’on peut identifier une personne par recoupement. Ce sont ces données qui seront au cœur des traitements mis en œuvre dans les organismes, et leurs usages, qui sont protégées par le RGPD. Une certaine catégorie de données est dite sensible et dispose de restrictions dans sa gestion. Ce sont par exemple les données médicales. Ces données sont abordées à la rubrique suivante Les données sensibles.
À noter que le RGPD reconnaît l’usage domestique et privé. Ainsi, toute donnée utilisée dans un cadre strictement privé n’est pas soumise à la réglementation. En tant que particulier, il est possible de tenir un carnet d’adresses sans avoir à se conformer au RGPD. Cependant, si ces données sont utilisées dans un traitement en lien avec une activité professionnelle, extraprofessionnelle ou commerciale, le RGPD sera d’application. Il convient d’être vigilant sur des données personnelles utilisées dans le cadre associatif, données soumises au RGPD.
Les données sensibles
Les données sensibles doivent être traitées avec précaution et sous certaines conditions. Quelles sont-elles ?
Certaines données sont, par leur nature et impacts sur les droits et libertés des personnes, interdites de traitement. La précision de ces types de données est spécifiée par les articles 9 et 10 du RGPD.
Certes, les éléments financiers sont importants et les personnes n’aiment pas les divulguer, mais, au sens du RGPD, les données financières sont des données comme les autres et n’entrent pas dans la catégorie des données sensibles. Les données médicales touchent l’individu et leur gestion peut avoir des conséquences sur leurs droits ou libertés. Le RGPD reconnaît le caractère sensible de certaines données dans deux articles distincts.
L’article 9 porte sur les données qui concernent : l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, le traitement des données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle.
L’article 10 est relatif aux données d’infraction. Les traitements des données décrites par l’article 9 sont interdits par défaut. Toutefois, l’article 9, paragraphe 2 liste une série d’exceptions permettant leur traitement. Il est impératif de se reporter à ce paragraphe 9.2 du RGPD pour l’exhaustivité des exceptions prévues. Il est important de noter que le consentement de la personne est l’une des exceptions prévues pour le traitement de ces données.
À noter que les données biométriques, génétiques et de santé sont les rares cas où une déclaration préalable à la CNIL reste obligatoire. Le traitement des données d’infraction (article 10) est plus restrictif car il n’est autorisé que sous contrôle de l’autorité publique. Le but étant d’éviter la constitution de casiers judiciaires par les organismes privés. Cependant, il peut arriver que des organismes privés, sous mission de service public ou non, aient besoin de traiter ce genre de données.
C’est le cas des associations de victimes, par exemple. Dans la sphère des entreprises privées, il peut arriver d’avoir à gérer un contentieux prud’homal ou des contraventions routières. Dans ce cas, les traitements mis en œuvre auront pour finalité le suivi de l’action judiciaire (de sa préparation à son exécution). Le temps de conservation des données sera également limité à la durée de cette action, plus recours éventuels.
Qu’est-ce qu’un traitement de données ?
Un traitement de données est un ensemble d’opérations. À qui s’applique-t-il ?
L’article 4.2 définit explicitement la notion de traitement de données comme : « Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. »
Il devient évident que cette notion est très large. Une simple liste de noms, prénoms et adresses e-mails présente dans un tableur, comme il est souvent d’usage dans les entreprises et associations, devient un traitement de données soumis au RGPD ! On s’aperçoit ainsi que la notion de support n’entre pas en ligne de compte. L’exemple donné ci-dessus reste applicable à une même liste gérée uniquement via un annuaire papier.
Les documents au format papier peuvent contenir des données personnelles, par exemple, des formulaires d’inscription. Ils sont donc soumis au RGPD ! Les documents numériques peuvent également contenir des données personnelles et sont également éligibles au RGPD. La facilité de leur transmission, par exemple par e-mail, oblige à être attentif à leur diffusion. Que vos processus soient informatisés ou non, il convient d’être vigilant sur les données manipulées quel que soit le support de celles-ci !
La licéité du traitement
Un traitement doit être explicite et justifié par des finalités légales. Quelles sont ces finalités ?
Tout traitement de données se doit d’être licite pour pouvoir exister. Cette licéité ne peut reposer que sur les six bases légales suivantes reconnues dans l’article 6 :
- – Consentement préalable de la personne concernée pour une ou plusieurs finalités spécifiques.
- – Nécessité pour l’exécution d’un contrat ou mesures précontractuelles auquel la personne concernée est partie.
- – Obligation légale du responsable de traitement.
- – Sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
- – Mission de service d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement.
- – Intérêts légitimes du responsable de traitement ou d’un tiers.
Un traitement indique également sa finalité, c’est-à-dire les buts poursuivis par le responsable de traitement. La finalité est importante car elle conditionne la collecte des données et l’information aux personnes concernées. Elle engage aussi la responsabilité pénale du responsable de traitement. Un traitement ne peut être couvert que par une seule base légale pour une finalité donnée. Si un traitement couvre plusieurs finalités, alors une base légale par finalité devra être définie.
La base légale définissant le traitement doit toujours être communiquée à la personne via les mentions d’information (voir aussi Le droit à l’information). Lorsque le traitement mis en œuvre se fonde sur « l’intérêt légitime du responsable de traitement », il convient d’expliquer les buts ou « intérêts légitimes » poursuivis. Par exemple, la lutte contre la fraude. À noter, le RGPD autorise une même collecte de données pour répondre à plusieurs objectifs différents, pour autant que les finalités sont compatibles.
Mais, utiliser les mêmes données pour des finalités différentes est interdit et le responsable de traitement risque de se voir poursuivi pour détournement de finalité. Ainsi, par exemple, il n’est pas possible de collecter les données d’inscription ou d’abonnement pour ensuite les utiliser à des fins de sollicitation commerciale ou politique. Il reste recommandé de documenter le choix de vos bases légales pour les traitements mis en œuvre.
Conclusion : Ce qu’il faut retenir
Sur l’étendue géographique
Le RGPD ne protège que les personnes physiques.
Il s’applique à tout responsable de traitement ou sous-traitant situé sur le territoire de l’Union européenne, que le traitement ait lieu ou non dans l’Union.
Par effet extraterritorial, il s’applique aux responsables de traitement ou sous-traitants non basés dans l’Union européenne dès lors que ces traitements ciblent des citoyens situés dans l’Union européenne.
Sur les personnes physiques et morales
Le RGPD s’applique aux personnes physiques dès qu’il est possible de les identifier, directement ou indirectement.
Cela s’applique notamment aux adresses e-mail utilisées dans les entreprises et pour la prospection commerciale.
En tant que salarié, vos données personnelles restent personnelles !
Sur la définition d’une donnée personnelle
La notion de donnée personnelle est vaste et on distingue deux types de données :
– Les données directement identifiantes.
– Les données indirectement identifiantes.
L’usage domestique est reconnu mais attention à l’utilisation de ces données dans toute activité professionnelle, extraprofessionnelle ou associative.
Sur les données sensibles
Les données sensibles font l’objet d’une déclaration particulière dans le RGPD aux articles 9 et 10. Leurs collectes et traitements sont encadrés par des dispositions spécifiques.
Sur les traitements de données
La notion de support n’entre pas en ligne de compte : papier ou numérique, les données personnelles sont soumises au RGPD. La notion de traitement de données est large.
Sur la licéité du traitement
Le RGPD reconnaît six bases légales pour qu’un traitement soit licite. Un traitement ne peut reposer que sur une base légale. Le responsable de traitement veillera à ne pas collecter des données pour répondre à des finalités différentes.
Discussion about this post