Organiser la protection des données personnelles (RGPD)
RGPD : pour qui, pour quoi ?
Des données personnelles… Lorsque nous utilisons des services en ligne, notre activité est associée à des identifiants en ligne (adresses IP, cookies…). Ces données peuvent servir à créer des profils et à identifier les personnes, notamment pour leur proposer des biens et des services.
Une définition... Toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale est une « donnée personnelle » au sens de la règlementation.
Depuis le 25 mai 2018 et l’entrée en vigueur du RGPD, les obligations déclaratives envers la CNIL ont disparues (quelques exceptions subsistent toutefois). En contrepartie de la fin de ces obligations déclaratives, les entreprises sont responsabilisées : c’est le principe d’« accountability » ou l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de respecter les règles relatives à la protection des données personnelles, d’une part et d’être en mesure d’en justifier, d’autre part.
Les exceptions qui subsistent. Les formalités déclaratives devant être effectuées auprès de la CNIL, supprimée en grande partie par le RGPD, sont maintenues pour les données « sensibles » : données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, données génétiques, données utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques et données de santé.
Traitements de données interdits. Certains traitements de données sont par principe interdits. Ainsi, il est interdit de traiter des données à caractère personnel :
- qui révèlent la prétendue origine raciale ou l’origine ethnique ;
- qui révèlent les opinions politiques,
- qui révèlent les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ;
- qui traitent des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique ;
- qui traitent des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Des exceptions... Ces données peuvent néanmoins faire l’objet d’un traitement dans un nombre limité de cas :
- la personne concernée a donné son consentement ;
- le traitement est nécessaire à l’exécution d’obligations respectives entre la personne concernée et le responsable de traitement ;
- le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne qui n’est pas en mesure de donner son consentement ;
- le traitement est effectué dans le cadre des activités d’un organisme à but non lucratif concernant ses membres ;
- les données sont rendues publiques par la personne concernée ;
- le traitement est nécessaire à l’exercice d’un droit en justice ;
- le traitement est nécessaire pour des motifs d’intérêt public ;
- le traitement est nécessaire à des fins de médecine préventive ou de médecine du travail ;
- le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé ;
- le traitement est nécessaire à des fins archivistiques dans l’intérêt public.
Concernant les numéros de carte bancaire. Par principe, les sites de commerce en ligne ne peuvent collecter les données bancaires de leurs clients que pour une seule transaction, impliquant une interdiction de conservation de celles-ci. Toutefois, cette conservation est possible :
- si la société propriétaire du site a obtenu le consentement préalable et explicite du consommateur ;
- dans le cadre de la souscription d’un abonnement instaurant une relation commerciale régulière entre la société et le client.
Contrôle a posteriori de la CNIL. La CNIL dernière exerce une mission de contrôle. C’est pourquoi, les entreprises doivent garantir une protection optimale des données collectées et être en mesure de justifier la conformité de leur démarche à la réglementation.
Pour la petite histoire. Il a été jugé qu’une société propriétaire d’un moteur de recherche sur Internet qui informe l’utilisateur du traitement de ses données personnelles par une information vague, dont le contenu est éparpillé sur plusieurs pages, ne respecte pas ses obligations. De plus, le fait que le consentement de l’utilisateur au traitement de ses données soit recueilli par le biais d’une case déjà pré-cochée le rend invalide.
Une charte des contrôles. En raison des enjeux particulièrement importants de ces contrôles, il est essentiel que les entités contrôlées comprennent le déroulement de ces investigations et sachent comment la CNIL peut intervenir. À cet effet, la CNIL a publié une charte des contrôles.
=> Pour en savoir plus, consultez la charte des contrôles de la CNIL
Médiateur des entreprises. La Cnil s’est alliée avec le Médiateur des entreprises pour apaiser les tensions liées à la mise en application du RGPD. Pour rappel, le Médiateur des entreprises propose une aide gratuite, confidentielle et neutre, aux entreprises qui rencontrent des difficultés contractuelles ou relationnelles avec un client ou un fournisseur.
Quels sont les domaines concernés ? Cette nouvelle réglementation ne concerne pas seulement les rapports d’affaires mais également le rapport des entreprises avec leurs salariés, ces derniers pouvant alors être considérés comme des « utilisateurs ». Cela implique donc un allègement des déclarations des traitements de données RH.
Les droits des personnes renforcés. Le RGPD renforce les droits des personnes dont les données personnelles sont collectées :
- son consentement devra être « actif », ce que vous devrez prouver (case cochée, déclaration, écrite, etc.) ;
- il aura un droit à la portabilité de ces données.
Droit à la portabilité des données. Les personnes disposent d’un droit à la portabilité des données les concernant, leur permettant de récupérer les données qu’ils ont fournies sous une forme réutilisable, pour éventuellement les transmettre à un tiers.
Droit d’accès, de rectification et droit à l’oubli des utilisateurs. Les personnes doivent pouvoir accéder aux données collectées à leur sujet, les rectifier et, éventuellement, user de leur « droit à l’oubli numérique » (c’est-à-dire à l’effacement de leurs données personnelles).
Modalités d’exercice des droits. Il n’est pas précisé par quel moyen la demande des personnes concernées doit être faite et l’entreprise peut décider elle-même des modalités à mettre en place (il est par exemple possible d’exiger une demande par voie postale).
Responsabilité de l’entreprise. L’entreprise qui détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel (appelée « responsable du traitement des données ») doit être en mesure de prouver qu’elle a obtenu ce consentement.
Page Facebook : la co-responsabilité de l’entreprise. Une société est co-responsable de traitement, avec Facebook, dès lors qu’en tant qu’administratrice de la page « fan » Facebook, elle peut :
- obtenir des statistiques établies par Facebook à partir des visites de cette page à des fins de gestion de la promotion de son activité, lui permettant de connaître, par exemple, le profil des visiteurs qui apprécient sa page « fan » ;
- par la création d’une telle page, placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page « fan », que cette personne dispose ou non d’un compte Facebook ;
- posséder une action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, qui influent sur le traitement de données à caractère personnel aux fins de l’établissement des statistiques établies à partir des visites de la page « fan ».
Le saviez-vous ?
Une société de vente en ligne de vêtements a doté son site Web du bouton « j’aime » de Facebook. Cette insertion a permis à Facebook d’obtenir des données à caractère personnel des visiteurs du site Web de cette société, même s’ils n’ont pas de compte Facebook et sans qu’ils s’en rendent compte. En contrepartie, la société profitait d’une meilleure visibilité sur le réseau Facebook.
Dans une telle situation, la société peut être considérée comme co-responsable de traitement des opérations de collecte de données personnelles avec Facebook. Cependant, Facebook reste seule responsable du traitement ultérieur des données collectées.
Opposition de l’utilisateur. Tout utilisateur peut s’opposer, sans frais et simplement, au traitement de ses données à caractère personnel lorsqu’elles sont traitées à des fins de marketing direct.
Une obligation de transparence et d'information. Les entreprises sont soumises à une obligation d'information et de transparence qui leur impose de délivrer aux utilisateurs au moment de la collecte, une information accessible et facile à comprendre, formulée en termes simples et clairs. Cela doit leur permettre de savoir exactement si des données à caractère personnel les concernant sont collectées, par qui, dans quel but et pour quelle durée.
Le saviez-vous ?
Les mineurs de moins de 16 ans bénéficient d’une protection particulière : l’information portant sur le traitement des données doit être rédigée en termes simples et clairs pour leur permettre de la comprendre. Pour accompagner les entreprises proposant des services en ligne à destination des mineurs, la CNIL a publié des recommandations que vous pouvez retrouver ici.
Les États membres de l’Union Européenne peuvent décider d’abaisser cet âge, sans qu’il ne puisse être inférieur à 13 ans. Notez que la France a décidé d’abaisser cet âge à 15 ans : un mineur français de plus de 15 ans est donc considéré, sur ce point, comme un majeur.
Impact pour votre entreprise. Ces adaptations impliquent, pour beaucoup d’entreprises, des développements informatiques pour se mettre en conformité avec la réglementation et pour leur faciliter le travail d’extraction des données dans le cadre de la portabilité.
Une procédure d’auto-évaluation. Pour aider les différents organismes (entreprises, associations, etc.) à évaluer facilement le degré d’efficacité des actions qu’ils mènent en matière de protection des données personnelles, la CNIL vient de publier une procédure d’auto-évaluation composée de 6 niveaux de maturité. Vous pouvez la consulter ici.
Mise en place d’un délégué à la protection des données : obligatoire ?
Du Correspondant Informatique et Libertés facultatif… Auparavant, toutes les entreprises pouvaient désigner un Correspondant Informatique et Libertés (CIL), leur permettant de s’affranchir des formalités déclaratives, de veiller au respect de la Loi et à la sécurité des données…
… au Délégué à la protection des données obligatoire. Depuis le 25 mai 2018, certaines entreprises doivent impérativement désigner un délégué à la protection des données (DPD ou DPO, pour « Data Protection Officer »). Les entreprises concernées sont celles qui, quelle que soit leur taille, ont une activité de base impliquant des opérations de traitement exigeant un suivi régulier et systématique des personnes ou si le traitement s’effectue à grande échelle, quand bien même il ne s’agit pas du cœur de l’activité de l’entreprise.
Qui est-il ? Le DPO peut être un salarié de l’entreprise ou non, commun à plusieurs entreprises ou non. Il est choisi sur la base de ses qualités professionnelles, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions, parmi lesquelles :
- l’information et le conseil du responsable de traitement ou du sous-traitant ;
- le contrôle du respect de la réglementation ;
- la coopération avec la CNIL ;
- etc.
Comment le désigner ? La désignation du DPO se fait par le biais d’un téléservice sur le site web de la CNIL.
Comment exerce-t-il ses fonctions ? Le responsable du traitement et le sous-traitant veillent à ce que le DPO soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel. Ils aident le DPO à exercer ses missions en lui fournissant les ressources nécessaires, ainsi que l'accès aux données à caractère personnel et aux opérations de traitement, et en lui permettant d'entretenir ses connaissances spécialisées.
Il est indépendant ! Le DPO ne doit recevoir aucune instruction en ce qui concerne l'exercice de ses missions. Il ne peut pas être relevé de ses fonctions ou pénalisé ni par le responsable du traitement, ni par le sous-traitant pour l'exercice de ses missions. Il fait, en outre, directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.
Le saviez-vous ?
La protection de l’indépendance du DPO ne fait pas pour autant bénéficier le salarié désigné de la protection des représentants du personnel : concrètement, l’employeur qui souhaite se séparer d’un salarié exerçant les fonctions de DPO n’a pas à solliciter l’autorisation de l’inspecteur du travail.
La contrepartie. Le DPO est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions.
À noter. Le DPO exécuter d'autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n'entraînent pas de conflit d'intérêts.
Suivez le guide de la CNIL ! Pour accompagner les organismes et aider les DPO dans leur mission, la CNIL a mis en place un guide pratique que vous pouvez consulter ici.
Garantir sa conformité avec le RGPD !
Des sanctions sévères. Le non-respect de la réglementation sur la protection des données peut être sanctionné d’une amende pouvant aller jusqu’à 4 % du chiffre d’affaires mondial annuel de l’entreprise ou 20 millions d'euros (le montant le plus élevé est retenu).
Que devez-vous faire ? Pour que votre entreprise soit conforme avec le RGPD, il est nécessaire de réaliser une cartographie des données qu’elle est susceptible de collecter. Cette étape nécessite de réaliser un inventaire de ses traitements, de les classifier, de déterminer les objectifs poursuivis et d’identifier les acteurs qui traitent ces données.
Étude d’impact. Selon les résultats de cette cartographie, il peut être opportun de réaliser une étude d’impact : cette étude est obligatoire si les données traitées sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes, notamment si le traitement nécessite un profilage ou dans le cadre d’un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et à des infractions. Une analyse d’impact se décompose en 3 parties :
- une description détaillée du traitement mis en œuvre ;
- une évaluation justifiant de la nécessité de mettre en œuvre un traitement (finalité recherchée, nature des données collectées, durée de conservation des données, modalités d’information des personnes dont les données sont collectées, etc.) ;
- une étude technique des risques sur la sécurité des données (mesures de confidentialités des données, modalités de mise à disposition des données, etc.), ainsi que leurs impacts sur la vie privée.
Cas de dispenses ? La réalisation d’une telle analyse d’impact, en principe obligatoire depuis le 25 mai 2018, n’était cependant pas exigé dans certains cas :
- traitements ayant fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018, ou qui étaient dispensés de formalité ;
- traitements ayant été consignés au registre d’un correspondant « informatique et libertés ».
Une analyse définitivement obligatoire ! Cette dispense, d’une durée initiale de 3 ans, est arrivé à sa fin. Depuis le 25 mai 2021, toute personne responsable du traitement des données devra avoir effectué cette analyse, si le traitement envisagé est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.
Un outil d’accompagnement. Un logiciel a été mis en place par la CNIL pour faciliter la conduite d’une analyse d’impact. Celui-ci peut être téléchargé ici.
Une charte. Dans le cadre de sa mission de conseil, la CNIL a décidé de publier une charte d’accompagnement pour les professionnels afin d’apporter de la visibilité sur les différents outils qu’elle a mis en place pour leur permettre de se mettre en conformité avec le règlement. Cette charte s’adresse plus précisément :
- aux responsables de traitement ou leurs sous-traitants ;
- aux fournisseurs de solutions techniques.
À consulter. Pour en savoir plus, vous pouvez consulter et télécharger la charte à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/charte_accompagnement_des_professionnels.pdf
Attention aux arnaques ! Face à la multiplication des arnaques (mails frauduleux, appels utilisant le numéro de la CNIL, etc.) destinées à soutirer de l’argent aux sociétés dans le cadre de leur mise en conformité avec le RGPD, la CNIL rappelle qu’il ne faut jamais :
- répondre à ces messages ;
- communiquer son numéro de carte bancaire pour obtenir un prétendu remboursement ;
- effectuer des paiements en contrepartie d’un service de mise en conformité au RGPD ou dans le cadre d’un prétendu contrôle de la CNIL.
Protection des données personnelles et Chatbots
Les Chatbots, aussi appelés agents conversationnels, sont des systèmes de dialogue disponibles sur un site internet et permettent aux utilisateurs de poser des questions à un programme automatique.
Pour qu’ils puissent fonctionner correctement, certaines données personnelles peuvent être récoltées par ces dispositifs, imposant donc une conformité au règlement général sur la protection des données (RGPD), même si leur accès ne nécessite pas d’inscription.
En plus des dispositions générales, des précautions particulières doivent être prises par les responsables des Chatbots.
Cookie nécessaire à la continuité technique du Chatbot
Pour que l’internaute puisse naviguer sur le site, tout en conservant la conversation avec le Chatbot, un cookie doit être déposé. Deux cas de figure sont possibles :
- le cookie est déposé avant l’activation du Chatbot par l’utilisateur : son consentement libre, spécifique, éclairé et univoque doit être récolté au préalable ;
- le cookie est déposé au moment de l’activation du Chatbot par l’utilisateur qui clique sur la fenêtre : son consentement préalable n’est pas requis.
La conservation des données
La CNIL précise que les données peuvent et doivent être conservées le temps nécessaire à la finalité du traitement. Si l’internaute a pu obtenir une réponse à sa question à la fin du dialogue, les données devront être directement effacées. Si sa question requiert un délai de traitement plus important, les données pourront être conservées jusqu’à la clôture de la demande.
Prises de décisions de l’internaute et collecte de données sensibles
Une décision importante qui entraine des conséquences juridiques pour une personne ne peut être récoltée par l’intermédiaire d’un Chatbot entièrement automatisée sauf si :
- la personne a donné son consentement explicite ;
- la décision est nécessaire à l’exécution d’un contrat entre l’internaute et le responsable de la récolte des données ;
- la décision est autorisée par le droit de l’Union européenne ou le droit d’un Etat membre.
Enfin, le RGPD interdit la récolte des données dites « sensibles » (informations sur la santé, les opinions politiques, la prétendue origine raciale ou ethnique, etc). Cette disposition s’applique également au Chatbot.
Toutefois, il existe deux exceptions à cette règle si :
- la collecte est prévisible et le traitement pertinent : le responsable du traitement devra veiller à ce que les dispositions du RGPD concernant les données sensibles soient scrupuleusement respectées ;
- la collecte est imprévisible : il est nécessaire de mettre en garde l’utilisateur et de mettre en place un système de purge régulier.
Protection des données personnelles : vos obligations en cas de violation de données
En cas de fuite massives de données personnelles, le responsable du traitement de ces données à deux obligations :
- prévenir la CNIL dans les 72 heures après avoir eu connaissance de la fuite des données ;
- informer individuellement les personnes concernées de la publication de leurs données lorsqu’il y a un risque élevé pour leurs droits et libertés ;
En cas de destruction de données personnelles. À la suite d’un incendie qui s'est déclaré dans une partie des locaux d’une société d’hébergement de sites internet, la CNIL rappelle que ce type de destruction de données, même accidentelle, s’apparente à une violation de données selon le RGPD.
Des obligations. À ce titre, les responsables de traitement des données personnelles hébergées dans ces locaux, doivent répertorier cet incident dans un registre tenu en interne. De plus deux situations sont possibles :
- si la continuité des services a pu être assurée ou si la restauration des données a pu être effectuée à partir de sauvegarde et que les conséquences ne sont pas importantes pour les personnes, une notification auprès des services de la CNIL n’est pas nécessaire.
- si les données sont définitivement perdues ou indisponibles pendant une longue période, les responsables des traitements doivent prévenir la CNIL.
Conséquences. De plus, si cette perte est susceptible d’engendrer des conséquences importantes pour les personnes comme, la perte définitive de données de santé d’un patient, le responsable du traitement est dans l’obligation de les prévenir individuellement. Une fois la notification reçue, la CNIL ne fournit que des conseils sur les modalités de communication auprès des personnes concernées, mais n’assure pas de service d’assistance ni d’action permettant de remédier à l’incident.
Registre. Les entreprises doivent tenir un registre de traitement recensant l’ensemble des données collectées. Notez toutefois que la tenue du registre n’est pas obligatoire pour les entreprises de moins de 250 salariés, sauf si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, s’il n’est pas occasionnel ou s’il porte sur des catégories particulières de données.
Contenu du registre. Il doit impérativement être tenu sous la forme écrite et être laissé à la disposition de la CNIL. Il contient les coordonnées du responsable du traitement et, le cas échéant, du DPO, les catégories de données traitées, celles susceptibles de soulever des risques, les objectifs du traitement, la durée de conservation des données et les mesures de sécurité mises en œuvre.
La violation des données... En cas de violation de données à caractère personnel, le responsable du traitement doit contacter la CNIL dans les meilleurs délais et, si possible, par principe, 72h au plus tard après avoir pris connaissance de cette violation. Si la notification de la violation n’a pas eu lieu dans les 72h, il faudra expliquer les raisons de ce retard à la CNIL.
… doit être documentée ! L’indication des faits de violation et les effets de la violation sur les données et mesures prises par l’entreprise pour remédier à la violation doivent être réunis dans un dossier qui sera remis à la CNIL.
Informez ! Lorsqu'une violation de données est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, elles doivent être directement informées de la violation de leurs données dans les meilleurs délais. L’information doit être faite en des termes clairs et simples et comprendre, au minimum :
- le nom et les coordonnées du DPO ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- la description des conséquences probables de la violation de données à caractère personnel ;
- le détail des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Une simple faculté ? La communication à la personne concernée est facultative si le responsable de traitement a pris en amont des dispositions rendant impossible la compréhension des données pour les personnes non autorisées, si le responsable de traitement a pris des mesures ultérieures empêchant la réalisation d’un risque grave ou simplement si la communication aux personnes concernées nécessiterait des efforts disproportionnés. Une communication publique est alors possible.
Une appréciation. Lorsque l’entreprise se dispense de communication aux personnes concernées la CNIL peut apprécier de la validité ou non de ce choix et exiger que l’entreprise procède à la communication.
Faites-vous aider ! En raison des enjeux importants de cette mise en conformité, entourez-vous de développeurs informatiques et de votre conseil.
Bon à savoir. Auparavant, si vous sous-traitiez à une entreprise spécialisée la gestion du traitement des données personnelles que votre entreprise collectait, seule votre entreprise engageait sa responsabilité, vis-à-vis de la personne dont la donnée personnelle avait été violée. Depuis le 25 mai 2018, le sous-traitant engage aussi sa responsabilité.
Le saviez-vous ?
Pour vous aider à vous organiser, la CNIL a publié un document sur son site internet (www.cnil.fr) intitulé : « Règlement européen sur la protection des données personnelles : se préparer en 6 étapes » ainsi qu’un guide pratique pour les PME.
=> Consultez le guide pratique de sensibilisation au RGPD pour les PME
À noter. L’Union nationale des associations familiales (UNAF), en collaboration avec la CNIL, a établi un guide spécifique à destination des professionnels du secteur social et médico-social qui sont susceptibles de collecter des données personnelles et notamment des données dites « sensibles ».
RGPD et gestion locative. Pour aider les organismes du secteur de la gestion locative dans le traitement des données personnelles de candidats à la location, de locataires et de garants, la CNIL a publié un référentiel.
RGPD, gestion commerciale et gestion des impayés. La CNIL a publié 2 nouveaux référentiels pour accompagner les organismes réalisant des traitements de données personnelles dans le cadre de leur gestion commerciale et de la gestion de leurs impayés.
Formez-vous ! La CNIL a lancé une formation en ligne sur le RGPD, intitulée « L’atelier RGPD ». Cette formation, qui est gratuite et accessible à tous, s’adresse surtout aux DPO, aux futurs DPO et aux professionnels amenés à intervenir dans le cadre du RGPD (techniciens, juristes, etc.). Cette formation est accessible à l’adresse suivante : https://atelier-rgpd.cnil.fr.
Contenu de la formation. La formation est composée de 4 modules avec une durée moyenne de 5 heures. Ces modules sont composés de vidéos, de textes, d’illustrations, de cas pratiques et propose des quizz et des évaluations.
Attestation de formation. À l’issue de la formation, l’utilisateur qui a parcouru la totalité du contenu et répondu correctement à 80 % des questions se voit délivrer une attestation de suivi.
Cybersécurité et moyens de paiement : l’outil de la CNIL
Le contexte. La CNIL a publié un Livre blanc destiné à éclairer le public et les professionnels sur les enjeux liés à l’utilisation accrue des données et moyens de paiement, notamment numériques.
Pourquoi ? L’utilisation de ces outils génère des questionnements en matière de vie privée et de protection des données personnelles, notamment au regard de la règlementation RGPD applicable en la matière.
Pour y répondre, le Livre blanc rappelle les principes applicables notamment en matière de protection de la confidentialité et de la sécurité des transactions réalisées ainsi que de protection de l’anonymat. Il établit également diverses pistes de travail et mises en perspective, destinées à nourrir le dialogue entre la CNIL, les professionnels concernés et le grand public.
À retenir
La généralisation de l’utilisation d’internet présente des risques de banalisation. Pourtant, elle n’est pas anodine et les données peuvent être exploitées sans que nous en connaissions le but. Cette nouvelle réglementation impose un certain nombre d’obligations aux entreprises, dont les manquements peuvent être très sévèrement sanctionnés.
J'ai entendu dire
Les données collectées et conservées sur papier sont-elles concernées par le RGPD ?Oui, les données personnelles collectées et conservées sur papier sont aussi concernées par le RGPD : il convient donc, depuis le 25 mai 2018, de respecter les obligations prévues par la réglementation (consentement, droit à la portabilité, destruction, etc.).
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
- Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
- Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
- Réponse ministérielle Raynal, Sénat, du 7 février 2019, n°02896 : « Statut des délégués à la protection des données »
- www.cnil.fr
- Arrêt de la Cour de justice de l’Union Européenne, du 5 juin 2018, n° C-210/16 (Administrateur d’une page « fan » sur Facebook)
- Arrêt de la Cour de Justice de l’Union Européenne, du 29 juillet 2019, n° C-40/17 (bouton « j’aime » de Facebook)
- Délibération n° 2019-118 du 12 septembre 2019 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données n'est pas requise
- Cnil.fr, 22 septembre 2019 : Ce qu'il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD)
- Arrêt du Conseil d’État, 10ème et 9ème chambres réunies, du 19 juin 2020, n° 430810 (tout propriétaire d’un moteur de recherche doit délivrer une information claire et lisible concernant le traitement des données personnelles des utilisateurs)
- Actualité de la CNIL du 16 septembre 2020 (partenariat avec le Médiateur des entreprises)
- Communiqué de presse de la CNIL du 12 février 2021 (création d'une charte d'accompagnement des professionnels)
- Communiqué de presse de la CNIL du 19 février 2021 (protection des données personnelles et Chatbot)
- Communiqué de presse de la CNIL du 24 février 2021(Cyberattaque et fuites massives de données personnelles)
- Communiqué de presse de la CNIL du 1er mars 2021 (Cyberattaque et fuites massives de données personnelles)
- Communiqué de presse de la CNIL du 2 mars 2021 (Cyberattaque et fuites massives de données personnelles)
- Arrêt du conseil d’État du 1er mars 2021, n°437808 (sanction infligée par la CNIL pour non-respect du RGPD)
- Communiqué de presse de la CNIL du 22 mars 2021 (Incendie et destruction données personnelles).
- Communiqué de presse du service public du 3 mai 2021(conservation des numéros de carte bancaire)
- Décision du Conseil d’État du 10 décembre 2020, n° 429571 (conservation des numéros de carte bancaire)
- Communiqué de presse de la CNIL du 25 mai 2021 (guide pour les professionnels du secteur social et médico-social)
- Guide RGPD de l’UNAF (guide pour les professionnels du secteur social et médico-social)
- Communiqué de presse de la CNIL du 27 mai 2021 (référentiel pour les organismes de la gestion locative)
- Communiqué de presse de la CNIL du 9 juin 2021 (recommandations de la CNIL pour les mineurs)
- Communiqué de presse de la CNIL du 17 juin 2021 (CP CNIL sur les recommandation face aux arnaques)
- Actualité du site de la CNIL du 30 juin 2021 (analyse d'impact et logiciel PIA)
- Communiqué de presse de la CNIL du 9 septembre 2021 (Procédure d’auto-évaluation)
- Actualité du site de la CNIL du 6 octobre 2021 (Livre blanc sur les données et moyens de paiement)
- Communiqué de presse de la CNIL du 16 novembre 2021 (guide pratique sur les DPO)
- Actualités du site de la CNIL du 3 février 2022 (Référentiels 'gestion commerciale' et 'gestion des impayés)
- Arrêt de la cour d’appel de Grenoble du 12 janvier 2023, n° 21/03701 (responsabilité retenue du prestataire de services en raison du non-respect par celui-ci des règles sur la protection des données personnelles lors de la création du site web de son client)
- Actualité de la CNIL du 10 juin 2024 « Intelligence artificielle : la CNIL poursuit ses travaux pour une IA innovante et respectueuse de la vie privée »