Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Les 22 & 23 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. Guide Juridique du RGPD (3e édition)
  3. Identifier les traitements
Extrait - Guide Juridique du RGPD (3e édition) La réglementation sur la protection des données personnelles
Extraits du livre
Guide Juridique du RGPD (3e édition) La réglementation sur la protection des données personnelles Revenir à la page d'achat du livre

Identifier les traitements

Introduction

Une donnée est la représentation d’une information sous une forme permettant de la stocker, de la transmettre et de l’analyser. Matières premières de la révolution numérique, les datas font émerger de nouveaux rapports entre les citoyens, les états et les entreprises. Selon Serge Abiteboul « une donnée est une description élémentaire d’une réalité. C’est par exemple une observation ou une mesure. La donnée est dépourvue de tout raisonnement, suppositions, constatations, probabilités. Étant indiscutable ou indiscutée, elle sert de base à une recherche ou à un examen quelconque ». (Sciences des données. De la logique du premier ordre à la Toile, leçon inaugurale à la chaire Informatique et sciences numériques du Collège de France, prononcée le jeudi 8 mars 2012). La croissance vertigineuse de leur production justifie qu’on s’intéresse tout particulièrement à elle.Constituent des données personnelles toutes les informations « se rapportant à une personne physique identifiée ou identifiable ».

Comment identifier une donnée personnelle ?

Constitue une donnée à caractère personnel « toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » (RGPD, 4, 1).

Que retenir de cette définition ?

  • Première observation : ne peuvent être des données à caractère personnel que les données permettant d’identifier des personnes physiques. Remarquons que la « personne physique identifiée ou identifiable » est dénommée « personne concernée » dans le RGPD. Dans le cadre de cet ouvrage, nous reprendrons cette dénomination.

    De ce fait, les personnes morales, y compris les associations, ne sont pas concernées par le RGPD.

    En revanche, les nom et prénom du dirigeant d’une entreprise sont des données à caractère personnel concernées par le RGPD.

  • Deuxième observation : le caractère personnel d’une donnée est intimement lié à...

Les cas où la donnée personnelle perd son pouvoir identifiant

Comme nous l’avons vu, ce qui caractérise une donnée « personnelle », c’est son pouvoir identifiant. Autrement dit, c’est la capacité de la donnée à isoler un individu parmi d’autres de façon suffisamment précise pour que, directement ou par recoupement, on puisse remonter jusqu’à l’individu personne physique.

Cependant, il est des cas où une donnée, qui originairement caractérisait un individu, perd son pouvoir identifiant, ou du moins que ce dernier devienne moins fort et donc moins sujet à des recoupements. Il s’agit de l’anonymisation et de la pseudonymisation.

L’anonymisation est un « traitement » de données à caractère personnel dont le but consiste à empêcher irréversiblement l’identification de la personne concernée, que ce soit par le responsable de traitement ou par un tiers. Il n’existe dès lors plus aucune table de correspondance permettant de remonter jusqu’à la personne concernée et il n’est plus possible d’individualiser une personne ou de relier entre elles des données résultant de plusieurs enregistrements la concernant (Conseil d’État, 10ème - 9ème chambres...

Interdiction de traitement de certaines données personnelles

Le RGPD interdit le traitement de certaines données personnelles : ce sont celles qui révèlent l’origine raciale ou ethnique des personnes, leur opinion politique, leurs orientations religieuses ou philosophiques, leur appartenance syndicale, leur santé, leur vie ou leurs orientations sexuelles. Cette liste doit être complétée par les « données génétiques » ainsi que par les « données biométriques aux fins d’identifier une personne physique de manière unique ».

images/01-page9.png

Les données dites « sensibles »

Ces données peuvent faire l’objet d’un traitement uniquement si (RGPD, art. 9, 2) :

  • la personne concernée a explicitement donné son consentement pour une ou plusieurs finalités spécifiques ;

  • le traitement est nécessaire à l’exécution des obligations et à l’exercice des droits propres au responsable du traitement ou à la personne concernée ;

  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, lorsque la personne concernée est dans l’incapacité de donner son consentement ;

  • le traitement est effectué dans le cadre des activités d’une organisation à but non lucratif ;

  • la personne concernée a manifestement rendu publiques ses données à caractère personnel ;

  • le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ;

  • le traitement est nécessaire pour des motifs d’intérêt public importants ;

  • le traitement est nécessaire à des fins médicales ou relatives au droit du travail ;

  • le traitement est nécessaire pour des motifs d’intérêt public en matière de santé publique ;

  • le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

À raison de l’intérêt...

Comment identifier un traitement de données personnelles ?

Le RGPD reprend mot pour mot la définition issue de la loi Informatique et Libertés. Ainsi, constitue un traitement « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » (RGPD, art. 4, 2). Cette définition est extrêmement large. Un traitement est donc toute opération ou ensemble d’opérations portant sur des données à caractère personnel, quel que soit le procédé utilisé. À titre d’exemple, la constitution d’un fichier clients/prospects est un traitement de données personnelles classique au sein d’une entreprise.

D’une manière générale, il semble pratiquement impossible d’échapper aux différents...

Les obligations du responsable de traitement de données

Trois acteurs essentiels sont consacrés par le nouveau texte européen : le responsable de traitement, le sous-traitant et la personne concernée par les données du traitement. Lorsqu’une entreprise participe à un traitement, elle devra définir le rôle qu’elle va jouer dans ce traitement. Cette détermination n’est pas anodine puisqu’elle conditionnera, comme nous allons le voir, l’ensemble du régime de responsabilité et les obligations qui pèseront sur l’entreprise.

À retenir

Les lignes directrices du Comité européen de la protection des données (CEPD) livrent des lignes d’interprétations précieuses pour opérer une qualification des acteurs du traitement suivant la méthode du faisceau d’indices (Lignes directrices 07/2020).

1. Qui est le responsable du traitement ?

Le RGPD, reprenant la définition de la loi Informatique et Libertés, indique que le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement » (RGPD, art. 4, 7).

Il s’agit le plus souvent d’une personne morale qui :

  • décide de collecter et traiter des données personnelles ;

  • décide des finalités pour lesquelles elles sont collectées (ex : campagne publicitaire par e-mail) ;

  • décide des moyens essentiels du traitement dont le caractère sensible est fondamental pour la licéité du traitement : il s’agit des moyens aussi bien techniques qu’organisationnels (nature des données collectées, personnes habilitées à y accéder, etc.) (Avis 01/2010 du G29 adopté le 16 février 2010 sur les notions de responsable du traitement et de sous-traitant ; Lignes directrices 07/2020) ;

  • réalise cette collecte ;

  • utilise les données ;

  • est chargée de faire respecter les règles de protection des données.

Par exemple, le responsable du traitement peut être :

  • une entreprise qui vend des vêtements en ligne ;...

Le sous-traitant

Notion

Le sous-traitant est la personne physique ou morale, l’autorité publique, le service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement. L’existence d’un sous-traitant dépend donc de la volonté du responsable de traitement de déléguer tout ou partie de ses activités de traitement à une organisation externe.

À cet égard, le considérant 81 du règlement précise que « afin que les exigences du présent règlement soient respectées dans le cadre d’un traitement réalisé par un sous-traitant pour le compte du responsable du traitement, lorsque ce dernier confie des activités de traitement à un sous-traitant, il ne devrait faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement ».

L’article 28 du règlement précise les principales obligations applicables spécifiquement au sous-traitant.

Par souci de cohérence, l’article 60 de la loi Informatique et liberté rappelle que la qualité de sous-traitant n’exonère en rien du respect des dispositions applicables du RGPD.

En pratique : le sous-traitant doit donc remplir deux conditions essentielles pour être qualifié comme tel :

  • Être une entité juridique distincte du responsable de traitement ;

  • Traiter des données personnelles pour le compte du responsable de traitement.

Une très grande variété des prestataires de services peut avoir la qualité de sous-traitant au sens du règlement et notamment les prestataires de services informatiques, les intégrateurs de logiciels, les sociétés de sécurité informatique, les services du numérique, les agences de marketing et de communication qui traitent des données personnelles pour le compte de clients, etc.

Notons qu’une entreprise qui a la qualité de sous-traitant...

Le Délégué à la protection des données

Le Délégué à la protection des données (Data Protection Officer - DPO en anglais) est un nouvel acteur consacré par le règlement européen.

Garant de la conformité des traitements réalisés au sein d’un organisme, le rôle du DPO est multiple : il conseille et informe le responsable de traitement, accueille les demandes des personnes concernées et est l’interlocuteur privilégié de la CNIL.

De par ses fonctions, le DPO possède des compétences techniques et juridiques précieuses permettant au responsable de traitement et au sous-traitant de s’assurer de leur conformité avec la réglementation (voir sur ce point le référentiel de certification des compétences du DPO - Délib. CNIL n° 2018-318, 20 sept. 2018 : JO, n° 235, 11 oct.).

La désignation d’un DPO n’exonère toutefois pas le responsable de traitement et le sous-traitant de leur responsabilité. Aussi, la responsabilité du DPO ne peut être engagée en cas de manquements à la réglementation informatique et libertés.

Le respect de la protection des données relève de la responsabilité du responsable de traitement et du sous-traitant....