La protection des données personnelles - Les obligations

Les clés de la mise en oeuvre

Avant toute mise en place de traitement de données, il faut s’interroger. Voici en ce sens les principales questions à se poser en gardant à l’esprit qu’il faut que les données soit collectées en pensant en l’intérêt légitime de la collecte et à l’information des personnes concernées.

Quelles sont les données que je collecte ?

Il faut choisir les données personnelles qui vont être collectés, il existe en ce sens un critère de proportion. En effet, demander un grand nombre d’informations personnelles sur une personne physique lorsque l’activité n’a pas de rapport avec les produits ou les services proposés, fait porter un risque accru de contrôle de la CNIL . Il est donc nécessaire de limiter la collecte d’information à ce qui sera nécessaire pour assurer la qualité de votre prestation sans toutefois aller trop loin dans la collecte de données à caractères personnels.

Comment je collecte les données personnelles ?

Lors d’une collecte de données le support importe peu, il est cependant indispensable et obligatoire d’informer des personnes sur l’existence d’une collecte. En effet, il faut informer sur l’ensemble des collectes, comme c’est le cas notamment pour les cookies qui sont une source d’information particulièrement importante lorsqu’elle est croisé avec les données de l’utilisateur personne physique. Il faut donc que la personne en charge du traitement et de la récolte des données soit totalement transparente sur le traitement et ses finalités et informe la personne de ses droits et notamment des raisons et but du traitement. La simple récupération de ses données par un tiers et leur utilisation ou leur simple archivage ne doit se faire dans le respect proportionné du but recherché.

Les obligations renforcées

Le Règlement Général sur la Protection des Données (RGPD) a précisé que certaines données devaient faire l’objet d’une attention particulière.

Les données sensibles

Le règlement fixe des données qui sont indiquées comme étant des données sensibles, qui sont différentes de celles touchant simplement à la vie privée. Sont des données sensibles, les données qui font apparaître directement, ou indirectement :

• les origines raciales ou ethniques,
• les appartenances syndicales,
• les opinions politiques, philosophiques ou religieuses, ou qui sont relatives à la santé,
• les données génétiques, les données biométriques,
• les données concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Attention, la jurisprudence adopte une interprétation large de ces notions, ainsi les juges tendent à étendre le champ d’application de ces notions aussi largement que faire se peut.

Que faire avec ces données sensibles ?

Dans la mesure du possible et dès que cela n’est pas nécessaire, il ne faut pas collecter ces données. En effet, si la finalité de l’activité n’est pas directement en lien avec l’information sensible collectée, il faut choisir de ne pas demander l’information à la personne. Le principe est d’être conforme à la finalité du traitement. Dans tous les cas il faut que le responsable du traitement qui met en place la politique de gestion des données traitées, il veille à la sécurité des données mais également à la durée de conservation de celle-ci.

Le traitement n’est autorisé que si la personne a donné son consentement exprès et clair, si ces données sont nécessaires dans un but médical ou pour la recherche dans le domaine de la santé, si leur utilisation est justifiée par l'intérêt public et si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale. Toute collecte de données nécessite une réflexion globale en amont et durant la durée du traitement.