Les principes fondateurs

La réglementation tourne autour de principes fondateurs, qui sont déclinés dans les différentes règles du RGPD ou de la Loi Informatique et Libertés. Il est en conséquence important de bien avoir en tête ces principes lorsque l'on met en œuvre un traitement de données à caractère personnel.

Ces principes sont énumérés par l'article 5 du RGPD, et peuvent être synthétisés de la manière suivante :

  • Le principe de licéité

  • Le principe de finalité

  • Le principe de proportionnalité

  • Le principe de transparence

Le principe de licéité

Tout traitement de données à caractère personnel doit être juridiquement fondé et doit respecter les règles de la protection des données, sans quoi il est susceptible d'être illicite. Dans cette partie, seuls les fondements juridiques des traitements seront étudiés.

La mise en œuvre d'un traitement (article 6 du RGPD)

Selon ce principe, il n'est possible de mettre en œuvre un traitement de données à caractère personnel que dans la mesure où le responsable d'un traitement remplit une des 6 conditions prévues par le RGPD:

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;

c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;

e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

La CNIL a produit une série d'articles explicitant de manière très claire la manière dont il convient d'utiliser chacune de ces 6 bases légales. N'hésitez pas à vous y reporter pour savoir quelle base légale il vous faut privilégier : https://www.cnil.fr/fr/les-bases-legales.

Le traitement de données sensibles (article 9 du RGPD)

Si jamais votre traitement comprend des données dites "sensibles", fonder son traitement de données personnelles sur l'une des 6 bases légales développés ci-dessus n'est pas suffisant. Par principe, le traitement de données sensibles est interdit. Son utilisation est conditionnée au bénéfice d'une des exceptions prévues, parmi lesquelles :

a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;

b) le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée;

[...]

e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;

f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;

g) le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un 'État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;

[...]

En pratique, cela signifie que pour traiter des données personnelles sensibles, il faut pouvoir justifier de 2 fondements juridiques :

  1. Une base légale pour le traitement de données personnelles

  2. Une exception à l'interdiction de traiter des données sensibles

Le principe de finalité

Ce principe posé par l'article 5, b) du RGPD signifie, de manière très concrète, qu'il ne faut pas que le responsable de traitement utilise des données à caractère personnel parce qu'il le peut, mais plutôt parce qu'il y a un objectif , déterminé, légal et légitime.

Quelques exemples de bonnes et mauvaises pratiques (étant admis que les autres principes sont respectés) :

Le principe de proportionnalité

En matière de protection des données personnelles, le principe de minimisation (ou de proportionnalité) a plusieurs sens pratiques :

  • Le responsable d'un traitement ne doit traiter que les données pertinentes à la réalisation de la finalité définie (article 5, c). A ce titre, les données doivent être exactes et, le cas échéant, mises à jour (article 5, d). Il est interdit de collecter toute autre donnée qui ne serait pas strictement nécessaire.

  • Les données strictement nécessaires doivent être conservées pendant une durée définie de manière fixe, ou par le biais de critères, qui ne doit pas dépasser la durée nécessaire pour atteindre l'objectif du traitement (article 5, e).

  • Des mesures de sécurité adaptées au niveau de risque du traitement doivent être mises en œuvre. Plus un traitement est risqué, plus il doit être sécurisé (article 5, f).

Quelques exemples de bonnes et mauvaises pratiques (étant admis que les autres principes sont respectés) :

Le principe de transparence (article 5)

Enfin, selon le principe de transparence, il est au préalable obligatoire d'informer les personnes concernées par le traitement de l'existence de celui-ci, de ses caractéristiques, et de leurs droits. Le considérant 39 du Règlement précise par ailleurs que :

Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples.

Il ne faut donc pas seulement informer les personnes, il faut que cette information soit très simple à trouver et que le langage soit adapté au public ciblée par le dispositif. Il conviendra par exemple d'utiliser un langage plus simple lorsque des mineurs sont visés : c'est d'ailleurs ce que précise l'article 48 de la Loi Informatique et Libertés.

Dernière mise à jour