Plan de travail 1
Plan de travail 1

Politique de confidentialité

A titre préliminaire, il convient de délimiter le champ d’application de ce règlement, c’est-à-dire les entreprises concernées par son application.

Ainsi, le règlement évoque la notion de responsable du traitement. Il s’agit de la personne physique ou morale (entreprise), qui réalise la collecte et le traitement de données à caractère personnel.

Il est également fait référence à la personne concernée c’est-à-dire celle dont les données sont collectées et traitées.

Le règlement s’applique aussi à toutes les personnes physiques ou morales qui effectuent des traitements automatisés de données à caractère personnel ainsi que le traitement non automatisé de ces mêmes données (Article 2.1 du règlement).

Il convient de rappeler que le traitement de données est défini par le règlement comme :

« toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensemble de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » (Article 4.2 du règlement).

Sont ainsi concernées toutes les formes de traitement des données personnelles, que ce traitement soit automatisé (grâce à l’utilisation, par exemple, de logiciels et programmes informatiques dédiés) ou non automatisé (par exemple, par la collecte réalisée par un salarié d’une entreprise qui rassemble dans un tableur des données à caractère personnel et que ledit tableur puisse être modifié).

  • Définition des données à caractère personnel

La notion de données à caractère personnel concerne toutes les informations « se rapportant à une personne physique identifiée ou identifiable».

 

Est identifiable :

« une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou encore par référence à un ou plusieurs éléments spécifiques propres à l’identité physique, psychologique, génétique, psychique, économique, culturelle ou sociale » (article 4.1 du règlement).

Le règlement rappelle qu’au sens de la jurisprudence de la Cour de Justice de l’Union Européenne, les adresses IP et les témoins de connexion ( « cookies ») constituent des données personnelles.

Il s’agit également de données qui ne sont pas instinctivement pensées comme étant des données personnelles, par exemple le numéro de sécurité sociale, l’identifiant du salarié au sein de l’entreprise, le numéro de téléphone ou encore des données de localisation.

En d’autres termes, toutes les entreprises qui collectent et traitent des données à caractère personnel permettant l’identification de personnes physiques sont concernées par cette règlementation et ce indépendamment de la manière dont ces données sont collectées et traitées.

Les dispositions du RGPD concernent la protection des données personnelles rattachées à des personnes physiques, de sorte que les entreprises qui traitent des données relatives à des personnes morales ne sont pas concernées.

Cependant, si des données personnelles sont collectées sur les représentants des personnes morales, par exemple les dirigeants, dans ce cas, vous êtes soumis aux dispositions du RGPD.

Ainsi, la collecte de données personnelles sur les représentants d’une entreprise (à partir de cartes de visites, par exemple) entre dans le champ d’application du RGPD. En revanche, la collecte d’informations sur l’entreprise (dénomination sociale, objet social, numéro de TVA, SIRET, etc.) en est exclue.

  • La notion de données sensibles

Certaines données à caractère personnel sont considérées comme sensibles et imposent des obligations complémentaires à la charge du responsable du traitement.

Il en est ainsi, par exemple, des données de santé.

Ainsi, lorsqu’un traitement de données de santé est susceptible d’engendrer un « risque élevé » pour les droits et libertés des personnes, le responsable du traitement doit effectuer, avant sa mise en œuvre, une analyse d’impact.

Le traitement présente un « risque élevé » au sens de la réglementation s’il est répondu de manière positive à au moins deux des questions ci-dessous:

– le traitement comporte-t-il une évaluation relative à la personne concernée, par exemple, une évaluation de l’état de santé ?
– Y-a-t’il une décision automatique avec effet juridique ou affectant la personne de manière significative ?
– une surveillance systématique est-elle mise en place ?
– le traitement comporte-Hl des données sensibles, telles que par exemple des données de santé?
– est-ce un traitement à grande échelle ?
– Y a-t ‘il un croisement des données ?
– le traitement concerne-t-il des personnes vulnérables ?
– s’agit-il d’un usage innovant ?
– le traitement peut-il entraver l’exercice d’un droit ou l’exécution d’un contrat ?
  L’étude d’impact est un process relativement lourd à mettre en œuvre et dès lors le traitement de données de santé s’il peut être évité en l’absence d’intérêt légitime et manifeste, doit être privilégié.
LES DISPOSITIONS ISSUES DU RGPD APPLICABLES AUX RESPONSABLES DE TRAITEMENT
Dans le cadre de votre activité, votre Société est amenée à collecter des données personnelles de ses clients.
Le règlement a institué de nouveaux droits pour les particuliers avec un contrôle strict par ces derniers des données collectées et traitées par les entreprises (1) et de plus lourdes sanctions étant prévues en cas de non-respect de ces règles (Il).

I    Sur les nouvelles protections des données à caractère personnel et leur traitement

A   Les nouvelles protections des données personnelles: le consentement renforcé des personnes concernées et le contrôle des informations par ces mêmes personnes

A titre préliminaire, il convient de préciser que le règlement européen a énoncé six principes fondamentaux qui doivent être impérativement respectés dans le cadre de la collecte et du traitement des données à caractère personnel

-La limitation des finalités ; les données personnelles doivent être collectées à des fins déterminées, explicites et légitimes, sans qu’elles puissent ultérieurement faire l’objet d’un traitement incompatible avec ces finalités (par exemple, des données collectées afin de se constituer un fichier du personnel d’une entreprise ne peut pas être utilisé à des fins commerciales);
– Les données doivent être traitées de manière licite, loyale et transparentes au regard de la personne concernée ;
– Les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement ;
– Les données doivent être exactes et si nécessaire tenues à jour ;
– Les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle qui est nécessaire au regard des finalités du traitement ;
– Les données doivent être traitées de façon à garantir une sécurité appropriée en assurant notamment leur protection contre les traitements non autorisés ou illicites, ainsi que contre la perte, la destruction ou les dégâts d’origine accidentelle.

1)  Le consentement de la personne concernée

Le traitement des données à caractère personnel est subordonné au consentement du traitement desdites données par la personne concernée.

Le règlement définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif claire, que des données à caractère personnel fassent l’objet d’un traitement» (Article 4.1 ).

Il convient de souligner que dans le cadre d’un traitement automatisé, la pratique actuelle dite de la « case à cocher » doit suffire à démontrer le consentement de la personne. Cette pratique est très courante, notamment sur internet, lors de l’achat de produits où l’acheteur accepte les conditions générales de vente en cochant une simple case.

Ainsi, lors de la collecte de données à caractère personnel sur internet, une case à cocher devrait suffire pour démontrer le consentement des personnes concernées.

Il convient donc de vous assurer que votre site internet comprend une case validant le consentement de vos clients au traitement des données à caractère personnel.

Néanmoins, dans le cadre d’un traitement non-automatisé, il conviendra également de s’assurer du consentement des personnes concernées. Ainsi, si vous êtes amenée à collecter des données personnelles hors un cadre automatisé (par exemple, sur un formulaire papier de satisfaction), ce formulaire doit expressément prévoir une case à cocher par laquelle votre client consent expressément au traitement des données à caractère personnel.

Dans tous les cas, c’est au responsable du traitement, c’est-à-dire votre Société, qu’il revient de démontrer que le consentement a été effectivement donné et vous devez donc en conserver la preuve.

A défaut de consentement, le traitement des données reste licite dans plusieurs cas et lorsque le traitement est nécessaire :

– A l’exécution d’un contrat auquel la personne concernée est partie ;

– Au respect d’une obligation légale incombant au responsable du traitement ;

– A la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique (il peut s’agir de la collecte de données à caractère personnel d’une personne dans le coma et qui ne peut y consentir) ;

– A l’exécution d’une mission d’intérêt public.

Néanmoins, et dans tous les cas, la personne concernée par la collecte de ses données à caractère personnel, peut, à tout moment, retirer son consentement au traitement de ses données.

Le règlement européen a également institué des règles particulières concernant le consentement des enfants dans le cadre d’une« offre directe de service de la société d’information ».

Il s’agit des « services prestés normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services ».

A titre d’exemple, il peut s’agir de journaux, de bases de données, de services financiers, services professionnels (avocats, médecins, experts comptables, agents immobiliers), services de divertissement comme la vidéo à la demande, prestation de publicité et de marketing direct proposés sur internet ou les services proposant un accès à la toile.

Ainsi, dès lors que de tels services sont proposés à des enfants de moins de 16 ans, le traitement des données personnelles est licite dès lors que le titulaire de la responsabilité parentale a donné son consentement.

Par exemple, l’achat de musique en streaming par un enfant de moins de 16 ans doit obligatoirement avoir été consenti par la personne titulaire de la responsabilité parentale dès lors que les données à caractère personnel de l’enfant font l’objet d’un traitement.

Dans cette hypothèse, il est impératif de mettre en place les moyens permettant de s’assurer que c’est effectivement la personne titulaire de la responsabilité parentale qui a donné un tel consentement.

2)   Le contrôle des données collectées par les personnes concernées

Il convient tout d’abord de souligner que le responsable de la collecte et du traitement des données, qui a reçu le consentement de la personne concernée, est tenu de transmettre à cette dernière un certain nombre d’informations.

Ces informations doivent porter sur :

  • L’identité et les coordonnées du responsable du traitement ;
  • Les finalités du traitement ;
  • Le cas échéant les destinataires ou catégories de destinataires des données personnelles ;
  • La durée de conservation des données ou, à défaut, les critères utilisés pour déterminer cette durée ;
  • L’existence des différents droits ouverts à la personne concernée (cf. infra);
  • L’existence du droit au retrait du consentement ;
  • Le droit d’introduire une réclamation auprès de l’autorité de contrôle ;
  • L’existence d’une prise de décision automatisée.

Cette information est alors distincte de l’ensemble des informations transmises rappelées ci­dessus.

Dans tous les cas, la transmission de ces informations doit être effectuée de manière claire et intelligible pour la personne concernée.

a)  Le droit d’accès

Outre les informations qui doivent lui être transmises, la personne concernée par la collecte et le traitement de ses données peut demander à avoir accès auxdites données et recevoir certaines informations.

Ainsi, la personne concernée a notamment accès aux finalités du traitement, aux catégories de données à caractère personnel concernées, aux destinataires ou catégories de destinataires desdites données.

La personne concernée a également accès à la source des données si ces dernières n’ont pas été directement collectées auprès d’elle.

D’ailleurs, cette personne peut obtenir gratuitement la copie des données personnelles la concernant.

b)  Le droit à la portabilité

La personne concernée dispose d’un droit à la portabilité qui lui permet de récupérer auprès d’un responsable de traitement les données qu’elle a fournies la concernant dans un format structuré, couramment utilisé et lisible par machine et de les transmettre à un autre responsable de traitement ou de demander la transmission directement d’un responsable de traitement à un autre responsable de traitement.

c)  Le droit de rectification

La personne concernée peut obtenir la rectification des données qui font l’objet d’un traitement.

Le droit de rectification porte sur des données inexactes, compte tenu des finalités du traitement, ou sur des données incomplètes.

La personne concernée peut ainsi fournir une déclaration complémentaire.

d)  Le droit d’opposition

– Le règlement a permis la mise en place d’une opposition au traitement des données dès lors que le traitement de ces données concerne (Article 21 du règlement):

– L’exécution d’une mission d’intérêt public ou relevant de l’autorité publique dont est investi le responsable du traitement ;
Dans le cas d’intérêts légitimes poursuivis par le responsable du traitement ou un tiers (par exemple, constitue un intérêt légitime, la création par une entreprise d’un fichier relatif à son personnel. Dans ce cas, les personnes concernées peuvent faire opposition à la collecte).

Par ailleurs, la personne concernée par la collecte de ses données peut toujours s’opposer au traitement de ses données à des fins commerciales.

e)  Le droit à l’oubli

Le règlement innove en matière de collecte et traitement des données en consacrant un droit à l’oubli, également appelé droit à l’effacement.

Ce droit permet d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, et au plus tard un mois après la demande, de certaines données à caractère personnel lorsque l’une des conditions suivantes est accomplie :

– Les données ne sont plus nécessaires pour la finalité du traitement pour lesquelles elles ont été collectées ;
– La personne a retiré son consentement au traitement et ledit traitement est illicite ;
– Dans le cadre d’une opposition aux traitements des données ;
– Dans le cadre d’un traitement illicite des données ;
– Lorsque le consentement au traitement a été donné à l’époque où la personne était enfant et souhaite, à l’âge adulte, obtenir la suppression de ses données.

Par ailleurs, si les données ont été rendues publiques et que la personne concernée fait valoir son droit d’oubli, le responsable du traitement desdites données doit « compte tenu des technologies disponibles et des coûts de mise en œuvre prendre des mesures raisonnables pour faire connanre aux autres responsables traitant ces données que la personne concernée a demandé qu’ils effacent tout lien avec elle ou encore toute copie ou reproduction de ces données» (Article 17.2 du règlement).

f)  La limitation du traitement

Le règlement a également innové en permettant aux personnes dont les données personnelles sont collectées d’en limiter le traitement dans certaines circonstances (Article 18.1 du règlement). Ainsi, le traitement peut être limité si :

– L’exactitude des données est contestée par la personne concernée de sorte que la limitation doit s’appliquer pendant une durée permettant au responsable du traitement d’opérer les vérifications nécessaires ;
– Les données font l’objet d’un traitement illicite, mais la personne concernée s’oppose à leur effacement en exigeant, à la place de celui-ci, une limitation de leur utilisation ;
– Les données ne sont plus utiles au responsable du traitement mais elles restent nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
– La personne concernée s’est opposée au traitement, de sorte que la limitation des données doit s’appliquer pendant que le responsable du traitement vérifie si les intérêts légitimes qu’il poursuit peuvent faire échec à l’opposition.

Ainsi, dès lors que l’une de ces conditions est remplie, les données conservées ne peuvent plus être traitées.

B  Le traitement des données collectées

Le règlement européen a pour objectif de rendre les entreprises responsables du traitement des données qu’elles collectent de sorte qu’il n’est plus nécessaire de déclarer préalablement à la CNIL la collecte des données.

Dorénavant, la collecte de données à caractère personnel et son traitement sont libres.

Néanmoins, les entreprises qui collectent de telles données doivent impérativement mettre en œuvre les mesures techniques et organisationnelles permettant de s’assurer que le traitement est réalisé conformément aux obligations du règlement.

Ainsi, les mesures techniques concernent notamment la protection desdites données pour éviter qu’elles soient subtilisées par des tiers. Les mesures organisationnelles quant à elles concernent les mesures d’encadrement, au sein de la Société, pour s’assurer que les personnes qui utilisent ces données aient toutes les compétences nécessaires, notamment en matière de secret professionnel.

Sur ce point, dans la mesure où à l’heure actuelle vous êtes seule au sein de votre Société, sans salariés, il n’y a pas de mesures organisationnelles spécifiques à prévoir. A l’inverse, si vous deviez engager des salariés, de telles mesures devront être prévues.

Pour ce faire, le règlement a prévu que le responsable du traitement doit tenir un registre des activités exercées sous sa responsabilité.

Ce registre des activités, qui doit nécessairement exister sous forme écrite, pourra être remis aux autorités compétentes à leur demande.

La tenue d’un tel registre est obligatoire pour toutes les entreprises de plus de 250 employés.

Cette obligation s’applique également, et ce indépendamment du nombre d’employés, si le traitement :

1. comporte un risque pour les droits de la personne concernée ;
2. ne présente pas un caractère exceptionnel (ainsi, si le traitement des données fait partie de l’activité exercée par l’entreprise) ;
3. porte sur des données sensibles ( collecte de données sur l’origine raciale, ethnique, opinions politiques, orientations sexuelles, données génétiques, biométriques … ) ou relative aux condamnations pénales et infractions commises.
Il apparaît que dans le cadre de votre activité, vous pouvez être amenée à traiter des données que vous collectées.
En conséquence, le traitement de telles données ne présente pas un caractère exceptionnel et vous répondez dès lors à l’exception n°2 susvisée.
En outre, il convient de préciser que la Commission Belge pour la Protection de la Vie Privée (qui est l’autorité compétente en Belgique et qui est soumise aux mêmes obligations que la CNIL en France) a publié une recommandation, le 14 juin 2017, s’agissant du registre des activités de traitement.
Aux termes de cette recommandation, la Commission préconise pour les PME d’établir un tel Registre.
La CNIL ne s’est pas encore prononcée à ce jour sur cette obligation.
Toutefois, l’article 24 du Règlement prévoir que « le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement». Une telle obligation ne peut être satisfaite que par la mise en place d’un registre qui permet d’apporter une telle preuve. L’article 5 du même règlement au regard des critères posés impose également la tenue d’un registre indépendamment du nombre de salariés.
Ce registre écrit doit impérativement contenir les informations suivantes :
– la finalité du traitement ;
– la description des catégories de personnes concernées et les catégories de données personnelles collectées ;
– les catégories de destinataires à qui ces données seront communiquées;
– le délai prévu pour l’effacement des données ;
– la description générale des mesures de sécurité techniques et organisationnelles.
II  Le contrôle du respect du règlement européen et les sanctions en cas de manquement
Le règlement européen a pour objectif de responsabiliser les entreprises qui collectent des données à caractère personnel.
C’est pour leur permettre de se responsabiliser et de veiller au respect des normes que le registre d’activité et le Délégué à la Protection des Données ont été instaurés.
La CNIL est en France l’autorité chargée de veiller au respect de cette règlementation.
Ainsi, la CNIL dispose d’un pouvoir d’enquête en effectuant des contrôles auprès des responsables des traitements.
La CNIL peut d’ailleurs être saisie directement par une personne concernée par la collecte de ses données à caractère personnel.
La CNIL peut ainsi rendre des avis sur la manière d’assurer le respect de la règlementation, mais aussi rappeler à l’ordre des responsables du traitement en cas de manquements aux obligations mises à leur charge et leur ordonner de se mettre en conformité.
En cas de manquement à ces règles, la CNIL peut ordonner la rectification ou l’effacement des données à caractère personnel ou encore ordonner la limitation du traitement à la demande de la personne concernée.
La CNIL peut surtout prononcer des sanctions pécuniaires.
Le montant de ses sanctions varie en fonction des manquements et notamment si ceux-ci ont été effectués délibérément ou par négligence.
Le degré de responsabilité du responsable du traitement tient compte également des mesures techniques et organisationnelles qui ont été prises pour éviter ces manquements.
Enfin, il est également tenu compte de la manière dont la CNIL a eu connaissance de ces manquements.
En effet, le responsable du traitement est tenu de notifier à la CNIL toutes les violations qui ont pu survenir dans les 72 heures de l’événement.
Politique de confidentialité - Camille CMP