Portail RGPD - Wiki
Rechercher…
⌃K

Les principes fondateurs

La réglementation tourne autour de principes fondateurs, qui sont déclinés dans les différentes règles du RGPD ou de la Loi Informatique et Libertés. Il est en conséquence important de bien avoir en tête ces principes lorsque l'on met en œuvre un traitement de données à caractère personnel.
Ces principes sont énumérés par l'article 5 du RGPD, et peuvent être synthétisés de la manière suivante :
  • Le principe de licéité
  • Le principe de finalité
  • Le principe de minimisation, aussi appelé principe de proportionnalité
  • Le principe de transparence

Le principe de licéité

Tout traitement de données à caractère personnel doit être juridiquement fondé et doit respecter les règles de la protection des données, sans quoi il est susceptible d'être illicite. Dans cette partie, seuls les fondements juridiques des traitements seront étudiés.

La mise en œuvre d'un traitement (article 6 du RGPD)

Selon ce principe, il n'est possible de mettre en œuvre un traitement de données à caractère personnel que dans la mesure où le responsable d'un traitement remplit une des 6 conditions prévues par le RGPD:
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;
e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
La CNIL a produit une série d'articles explicitant de manière très claire la manière dont il convient d'utiliser chacune de ces 6 bases légales. N'hésitez pas à vous y reporter pour savoir quelle base légale il vous faut privilégier : https://www.cnil.fr/fr/les-bases-legales.

Le traitement de données sensibles (article 9 du RGPD)

Si jamais votre traitement comprend des données dites "sensibles", fonder son traitement de données personnelles sur l'une des 6 bases légales développés ci-dessus n'est pas suffisant. Par principe, le traitement de données sensibles est interdit. Son utilisation est conditionnée au bénéfice d'une des exceptions prévues, parmi lesquelles :
a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;
b) le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée;
[...]
e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;
f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;
g) le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un 'État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;
[...]
En pratique, cela signifie que pour traiter des données personnelles sensibles, il faut pouvoir justifier de 2 fondements juridiques :
  1. 1.
    Une base légale pour le traitement de données personnelles
  2. 2.
    Une exception à l'interdiction de traiter des données sensibles

Le principe de finalité

Ce principe posé par l'article 5, b) du RGPD signifie, de manière très concrète, qu'il ne faut pas que le responsable de traitement utilise des données à caractère personnel parce qu'il le peut, mais plutôt parce qu'il y a un objectif , déterminé, légal et légitime.
Quelques exemples de bonnes et mauvaises pratiques (étant admis que les autres principes sont respectés) :
  • Je traite des données pour mettre en œuvre une lettre d'information (newsletter)
  • Je traite les données de mes employés afin de gérer leur paie
  • J'établis un fichier visant à pointer mes employés les plus souvent absents
  • J'établis une liste des personnels infectés par le COVID-19
  • J'installe une caméra filmant les entrées et sorties de mon commerce afin d'éviter les vols de marchandise

Le principe de minimisation

En matière de protection des données personnelles, le principe de minimisation (ou de proportionnalité) a plusieurs sens pratiques :
  • Le responsable d'un traitement ne doit traiter que les données pertinentes à la réalisation de la finalité définie (article 5, c). A ce titre, les données doivent être exactes et, le cas échéant, mises à jour (article 5, d). Il est interdit de collecter toute autre donnée qui ne serait pas strictement nécessaire .
  • Les données strictement nécessaires doivent être conservées pendant une durée définie de manière fixe, ou par le biais de critères, qui ne doit pas dépasser la durée nécessaire pour atteindre l'objectif du traitement (article 5, e).
  • Des mesures de sécurité adaptées au niveau de risque du traitement doivent être mises en œuvre. Plus un traitement est risqué, plus il doit être sécurisé (article 5, f).
Quelques exemples de bonnes et mauvaises pratiques (étant admis que les autres principes sont respectés) :
  • Pour ma newsletter, je collecte uniquement l'adresse mail. Les personnes qui le souhaitent peuvent également m'indiquer un nom afin de personnaliser les mails.
  • Je conserve mes données client dans une vieille base de données qui n'est plus maintenue : on ne sait jamais, ça pourrait servir !
  • Je collecte le numéro de sécurité sociale pour permettre à mes usagers d'obtenir des tarifs réduits pour visiter mon musée, et je les mets en clair dans une base de données.
  • Je garde les données le temps de traitement du dossier, et les conserve 5 années de plus en archivage afin de prévenir les risques de contentieux.
  • Je conserve indéfiniment mes données de journalisation des évènements (logs) : cela permet de s'assurer de pouvoir remonter à l'origine du problème informatique rencontré !

Le principe de transparence (article 5)

Enfin, selon le principe de transparence, il est au préalable obligatoire d'informer les personnes concernées par le traitement de l'existence de celui-ci, de ses caractéristiques, et de leurs droits. Le considérant 39 du Règlement précise par ailleurs que :
Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples.
Il ne faut donc pas seulement informer les personnes, il faut que cette information soit très simple à trouver et que le langage soit adapté au public ciblée par le dispositif. Il conviendra par exemple d'utiliser un langage plus simple lorsque des mineurs sont visés : c'est d'ailleurs ce que précise l'article 48 de la Loi Informatique et Libertés.