Tous les traitements, quel que soit leur fondement de licéité, doivent respecter des principes fondamentaux, listés à l’article 5 du RGPD. Depuis 2018, tout traitement ne respectant pas ces principes peuvent être mis à l’arrêt par la CNIL (on parle de « Limitation du traitement« ) ou donner lieu à une amende adminitstrative. Quels sont les principes que tout traitement doit respecter ?
Combien de principes à respecter existe-t’il ?
L’article 5 du Règlement (UE) 2016/679 (le « Règlement Général sur la Protection des Données », ou « RGPD ») prévoit sept (7) principes qui doivent être respectés pour tout traitement de données, quelles que soient les raisons / les objectifs (les « finalités ») pour lesquelles elles sont traitées.
Pour rappel, un « traitement de données » est un ensemble d’opérations effectuées sur les données, qui commence dès leur récolte, et jusqu’à leur suppression ou anonymisation. A partir du moment où vous détenez (ou faites conserver par un autre organisme) des données personnelles, vous devez donc respecter ces principes.
Qu’est-ce que le principe de licéité, loyauté, et transparence ?
Le principe de licéité, de loyauté et de transparence, est le premier des sept principes à respecter. Comme son appellation le laisse à penser, il se décompose en au moins trois (3) obligations pour l’organisme qui traite les données :
- TRANSPARENCE
L’organisme doit tout d’abord être transparent, auprès de la personne concernée (la personne que concernent les données personnelles), quant aux raisons et aux modalités du traitement des données. Cela implique que l’organisme informe la personne concernée des modalités de traitement.
Afin d’assurer une véritable transparence, les informations devant être partagées à la personne concernées sont prévues aux articles 12 à 14 du RGPD (par exemple : les finalités du traitement, les durées de conservation appliquées aux données, les éventuels transferts de données, l’identité du Responsable du traitement, les droits des personnes, …).
- LOYAUTE
C’est une fois qu’il a informé la personne concernée, que l’organisme devra respecter son obligation de loyauté : il s’agit ici du respect de la parole donnée.
Puisque la personne concernée a été informée des modalités du traitement de ses données, et de ses droits, ces conditions ne doivent pas évoluer durant les activités de traitement, ou ne doivent pas évoluer sans qu’elle n’en soit dûment informée.
- LICEITE
Le principe de licéité, lui, impose que le Responsable de traitement puisse fonder son traitement sur au moins des fondements prévus par l’article 6 du RGPD. Ces fondements sont au nombre de six (6) et sont les bases qui autorisent ou permettent au Responsable du traitement de récolter et de traiter les données.
Parmi ces fondements peuvent être cités le consentement de la personne au traitement de ses données, ou encore la loi qui impose à l’organisme de mettre en oeuvre le traitement.
Pourquoi limiter les usages de la donnée ?
Le deuxième principe est appelé « Limitation des finalités« .
L’article 5 du RGPD nous indique que les données doivent être collectées pour des finalités déterminées, explicites, et légitimes, et ne peuvent pas être traitées ultérieurement pour d’autres finalités. Il s’agit ici du garde-fou principal des traitements, qui rend d’ailleurs fou bon nombre de personnels : une fois les données collectées pour répondre à un ou plusieurs objectifs, on ne peut pas les réutiliser pour d’autres objectifs non prévus originellement, ni les conserver « au cas où ».
Il est donc important d’avoir identifié, avant la collecte des données et l’information des personnes, tous les besoins auxquels les données doivent répondre, et leurs usages, car les faire évoluer par la suite nécessite de ré-informer les personnes, voire parfois de leur demander une extention de consentement.
Puis-je récolter toutes les données que je désire ?
La question revient souvent, et la réponse est bien entendu « non ».
L’article 5 du RGPD prévoit un principe appelé « minimisation des données » qui impose aux organismes de ne récolter que ce qui semble « strictement nécessaire » à l’atteinte des objectifs pour lesquels les données seront traitées.
Ce principe, déjà amplement rappelé dans le domaine des Ressources Humaines (questions interdites à l’embauche, attention portée à la vie personnelle et privée des salariés, interdiction des fichiers de « bashing », …) s’applique à tous les traitements et implique que l’organisme :
- doit identifier, avant la récolte des données, la liste exhaustive des informations dont il aura besoin ;
- doit taguer les données obligatoires pour que le traitement soit mis en oeuvre, et les données purement faculatives, afin que la personne concernée puisse choisir de répondre ou non ;
- doit souvent recueillir le consentement des personnes pour le traitement des données facultatives.
Ce principe impose également aux données d’être nécessaires pour l’atteinte des finalités. Il n’est donc pas possible de récolter, même de manière facultative, des données qui ne serviraient pas directement les finalités qui ont été listées aux personnes.
Que faire des données incorrectes ou dépassées ?
Le prochain principe est celui d’exactitude des données.
L’article 5 du RGPD impose en effet aux organismes de veiller à traiter des données toujours exactes et à jour. Il s’agit, pour sûr, d’un des principes les plus complexes à respecter pour les organismes, puisqu’ici il nécessite que les personnes concernées soient elles-aussi proactives pour le maintien de leurs données à jour.
C’est en raison de ce principe que certains organismes vous rappellent régulièrement, dans leurs publications et prises de contact, qu’il vous appartient de les prévenir si vos données personnelles (adresse postale, numéro de téléphone, RIB, …) changent.
Combien de temps conserver les données ?
La réponse est ici prévisible : jamais « à vie ».
C’est un principe phare et difficile à respecter pour les organismes, appelé « Limitation de la conservation » ou principes des « durées de conservation » : à quelques exceptions près (rencontrées généralement par les organismes publics), toute donnée a une durée de péremption, qui dépendra de la donnée elle-même, mais aussi des finalités pour lesquelles elles sont traitées.
Certaines durées sont prévues par le Code civil, le Code du travail, le Code pénal, etc., d’autres sont conseillées par la CNIL ou divers organismes publics. Il est très important pour les organismes de déterminer les durées de conservation de chacune de leurs données, par traitements, puis de se doter de procédures de suppression (ou d’anonymisation) fréquente des données.
Assurer la sécurité des données
L’avant-dernier principe listé par l’article 5 du RGPD est celui « d’intégrité et confidentialité », plus souvent raccourci en principe de « sécurité« .
Il impose aux organismes qui interviennent dans le traitement de données personnelles de garantir une sécurité appropriée des données contre différentes situations : le traitement non-autorisé des données (qui recouvre l’accès illégitime à la donnée et la modification non désirée), la perte et la destruction des données, ou les dégâts accidentaux sur la donnée.
Ces situations, lorsqu’elles se produisent, sont appelées des « violations de données » et peuvent avoir des conséquences sur les personnes concernées (vol d’identité, fraude, vols, …).
Associé à l’article 32 du RGPD, ce principe impose que le Responsable du traitement prenne des mesures dites « organisationnelles » (procédures, formations, revues régulières, …) et « techniques » (paramétrages, antivirus et parefeux, …) pour protéger les données.
Le principe de responsabilité
Dernier principe listé par l’article 5 du RGPD, le principe « d’Accountability », traduit par le mot français « responsabilité », peut être grossièrement résumé en une obligation de maintien d’une documentation.
Alors qu’il appartenait auparavant aux organismes français de prévenir la CNIL des traitements de données qu’ils comptaient mettre en oeuvre (une obligation peu connue, et peu respectée), le RGPD a opéré un changement de paradigme : les organismes sont maintenant présumés conformes au RGPD, mais ils doivent être en capacité de le démontrer.
Ainsi l’article précise t-il que le Responsable du traitement doit être en mesure de démontrer que les principes vu précédemment sont bien respectés par ses équipes ou ses sous-traitants.
Cela passe par la tenue, par exemple, d’un registre des traitements, d’un registre des demandes d’exercice de droit reçues et des réponses, d’une registre des violations de données personnelles subies et de leurs analyses, de procédures écrites sur les modalités de respect des principes des traitements, des obligations de Privacy By Design, etc.
Comment mettre en oeuvre ces principes ?
La mise en oeuvre des principes de l’article 5 du RGPD nécessite au moins :
- d’avoir identifié au préalable les traitements de données à caractère personnel ;
L’organisme ou son DPO sont ainsi en capacité d’auditer ponctuellement les traitements, d’identifier les marges d’amélioration ou les zones de non-conformité, et d’y remédier.
- de mettre en oeuvre des analyses de protection des données dès la conception (le privacy by design).
A chaque nouveau projet de traitement, ou de modification de traitement, le DPO ou la personne chargée, au sein de l’organisme, de l’analyse, peut ainsi analyser le respect des principes dans le traitement, et proposer des mesures correctives avant même que les données n’aient été récoltées.
_____________________________________
Des questions ? Besoin d’aide ? Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche de conformité et renforcer la confiance de vos clients dans la gestion de leurs données personnelles.