Quelles sont les conditions de mise en œuvre du traitement?
Home » Comprendre la protection des données » Quelles sont les conditions de mise en œuvre du traitement?

Le traitement des données à caractère personnel à des fins légitimes et licites est donc autorisé, mais seulement sous certaines conditions de mise en œuvre. Ces conditions sont décrites plus en détail ci-après.

La raison d’être de ces conditions est de limiter et d’équilibrer le pouvoir acquis par l’organisation qui traite les données à caractère personnel (les “responsables du traitement“) sur les personnes concernées (les “personnes concernées”).

Pour résumer, cela se fait de la manière suivante :

  • Responsabilité du responsable du traitement,
  • la responsabilisation des personnes concernées,
  • équilibre des pouvoirs par le biais d’une autorité de contrôle,
  • limiter les responsables du traitement à utiliser le pouvoir acquis uniquement pour réaliser les finalités légitimes déclarées,
  • la limitation du pouvoir acquis à ce qui est minimalement nécessaire pour réaliser les finalités légitimes,
  • la protection des investissements et du patrimoinedes personnes concernées,
  • l’interdiction du traitement qui n’est pas adapté à la finalité.
  • Les différents points sont examinés plus en détail dans la suite du document.

Les responsables du traitement sont entièrement responsables

Une première mesure pour limiter le pouvoir des responsables du traitement consiste à les tenir pleinement responsables de l’ensemble de l’activité de traitement. Il s’agit de l’un des principes clés du RGPD (voir l’art. 5(2)). Il va au-delà du simple fait d’obliger les responsables du traitement à rendre leur traitement transparent[1] (pour les personnes concernées et les autorités de contrôle) en obligeant les responsables du traitement à être en mesure de démontrer réellement leur conformité au RGPD. De toute évidence, cela ouvre le traitement à la surveillance. De plus, cela attribue clairement la “charge de la preuve” : ce ne sont pas les personnes concernées ou les autorités de contrôle qui doivent démontrer une violation du RGPD ; la non-transparence qui cache la non-conformité est en soi une violation.

Pour y parvenir, dans un premier temps, le RGPD veille à ce que l’entière responsabilité soit clairement entre les mains du (des) responsable(s) du traitement (conjoint) qui détermine(nt) les finalités et les moyens du traitement[2] . Cela se fait, par exemple, en obligeant les responsables du traitement à exercer un contrôle sur leurs employés[3] et en stipulant des contrats[4] avec d’éventuels services informatiques externes (appelés sous-traitants) qui garantissent un contrôle jusqu’au droit d’audit sur place par le responsable du traitement[5] .

Une fois la responsabilité clarifiée, les responsables du traitement sont tenus de faire preuve d’une transparence totale concernant le traitement. Ils doivent notamment informer de manière proactive les personnes concernées de l’existence et des principales caractéristiques du traitement[6] et fournir d’autres types d’informations sur demande[7] . À cette fin, les responsables du traitement doivent généralement aussi désigner un délégué à la protection des données[8] dont les coordonnées font partie des informations obligatoires[9] et qui sert de point de contact pour les personnes concernées[10] .

Les responsables du traitement doivent en outre notifier les violations de données à l’autorité de contrôle compétente[11] et (si elles sont susceptibles d’être exposées à un risque élevé) aux personnes concernées[12] . En outre, pour les autorités de contrôle, les responsables du traitement doivent tenir des registres de toutes les activités de traitement qui concernent des données à caractère personnel[13] et être en mesure de présenter une analyse d’impact sur la protection des données pour les activités de traitement qui sont susceptibles d’entraîner un risque élevé pour les droits et libertés des personnes concernées[14] . Cette dernière est un instrument de choix pour démontrer la conformité avec le RGPD.

Renforcement du pouvoir des personnes concernées

Étant donné qu’il existe un déséquilibre de pouvoir dans le traitement des données, le RGPD donne le pouvoir à la partie la plus faible, c’est-à-dire les personnes concernées. Les personnes concernées passent ainsi du statut d’observateurs impuissants du traitement à celui de parties prenantes qui peuvent défendre leurs droits et libertés en intervenant.

Le RGPD habilite les personnes concernées principalement par le biais de ce que l’on appelle les droits des personnes concernées[15] . Il s’agit notamment des droits suivants[16] :

  • Le droit d’accès[17] aux données relatives aux personnes concernées qui sont traitées,
  • le droit de rectification[18] qui permet de corriger les données personnelles inexactes et de compléter les données incomplètes,
  • le droit à l’effacement[19] que l’on appelle aussi le droit à l’oubli,
  • le droit à la limitation du traitement[20] qui permet aux personnes concernées d’exiger la suspension du traitement de leurs données dans certaines circonstances[21] .
  • le droit d’opposition[22] qui permet aux personnes concernées d’exiger la cessation du traitement de leurs données dans certaines circonstances.
  • le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé produisant des effets juridiques le concernant ou l’affectant de manière significative de façon similaire[23] qui comprend le droit d’obtenir une intervention humaine de la part du responsable du traitement[24] .

Au-delà de ces droits, les personnes concernées disposent également :

  • le droit de retirer le consentement à tout moment[25] dans le cas où la base légale du traitement est le consentement[26] ,
  • le droit d’être informé par le responsable du traitement de la propagation des invocations des droits des personnes concernées à tous les destinataires[27] .

Équilibrer le pouvoir par l’institution d’autorités de contrôle

Bien que les personnes concernées soient habilitées par les droits susmentionnés, leurs ressources peuvent être insuffisantes pour les faire valoir. En particulier, elles peuvent sembler incapables de faire usage de leur droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant[28] par elles-mêmes. Pour cette raison, le RGPD accorde aux personnes concernées le droit de déposer une plainte auprès d’une autorité de contrôle[29] .

En d’autres termes, le RGPD fournit aux personnes concernées un allié dont le pouvoir est comparable ou supérieur à celui du responsable du traitement et donc suffisant pour faire valoir les droits des personnes concernées.

Le RGPD confère donc des pouvoirs aux autorités de contrôle[30] . Ces pouvoirs vont des pouvoirs d’investigation [31], tels que les audits sur place[32] , aux pouvoirs de correction [33], tels que l’imposition d’amendes administratives[34] , l’ordre de suspendre les flux de données vers les destinataires[35] , et l’interdiction totale du traitement[36] .

Limiter les responsables du traitement à l’utilisation du pouvoir uniquement pour réaliser les finalités légitimes déclarées.

En démontrant que les finalités sont légitimes et licites, un responsable du traitement a justifié le gain de pouvoir qui accompagne l’activité de traitement. Il est évident que l’utilisation de ce pouvoir pour toute autre finalité ne serait pas justifiée. En d’autres termes, l’autorisation de traiter est limitée aux finalités déclarées pour lesquelles les données sont collectées.

Le RGPD appelle ce principe “limitation de la finalité” (voir art. 5(1)(b)).

La manière de mettre en œuvre ce principe sur le plan technique et organisationnel consiste à séparer les différentes activités de traitement.

Comme deuxième ligne de défense, même si des données provenant de différentes activités de traitement étaient de toute façon combinées, des mesures telles que la pseudonymisation peuvent rendre plus difficile leur combinaison effective en reliant des enregistrements de données concernant la même personne.

Il convient de noter que cette règle empêche également l’accumulation de pouvoiren combinant les données provenant de différentes activités de traitement. Une telle combinaison permettrait généralement d’obtenir un aperçu plus approfondi de la vie des personnes concernées, couvrant plus d’aspects, ou une couverture plus large des connaissances comprenant un plus grand nombre de personnes concernées. Dans les deux cas, on peut faire valoir que le pouvoir combiné est supérieur à la somme de ses parties.

Minimisation du pouvoir à ce qui est nécessaire pour réaliser les finalités déclarées.

Si la démonstration de la légitimité et de la licéité des finalités a justifié le traitement en tant que tel, celui-ci doit être mis en œuvre de manière à réduire le gain de pouvoir à ce qui est minimalement nécessaire pour réaliser ces finalités. Cette minimisation du pouvoir concerne les trois aspects suivants :

  • Contenu informatif des données à caractère personnel,
  • le degré d’association des données avec la personne concernée, et
  • la limitation des destinaires qui ont accès au pouvoir.

Ceux-ci sont décrits plus en détail dans ce qui suit.

Minimisation du contenu de l’information (c’est-à-dire du pouvoir)

Puisque savoir c’est pouvoir, la minimisation du pouvoir signifie que les données personnelles collectées doivent être minimisées. Seules les données dont on peut démontrer qu’elles sont nécessaires pour réaliser les finalités déclarées peuvent être légitimement collectées.

Le RGPD appelle ce principe “minimisation des données” (voir art. 5(1)(c)). Plus précisément, il exige que les données collectées soient “adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées”. Dans une perspective temporelle, elle exige également que les données ne soient pas conservées plus longtemps que nécessaire aux fins poursuivies. Dans le cas d’un traitement plus complexe comportant plusieurs phases, chaque phase ne doit comporter que les données réellement nécessaires et le contenu des informations doit être réduit entre les phases.

Minimiser l’association à la personne concernée

La facilité avec laquelle le pouvoir sur la personne concernée peut être exercé dépend de la mesure dans laquelle la personne concernée peut être associée aux données. La force de l’association entre les données et la personne concernée doit donc être réduite au minimum.

Le RGPD distingue trois types de données avec différents degrés d’association :

  • Données identifiantes complètes,
  • des données pseudonymisées, et
  • des données anonymes.

La première permet l'”identification directe[37] de la personne concernée par l’utilisation d’un “identifiant” tel qu’un nom, un numéro d’identification, des données de localisation, [ou] un identifiant en ligne”[38] ; les données pseudonymisées ne permettent l’identification que par l’utilisation d'”informations supplémentaires[39] ; et les données anonymes lorsque “la personne concernée n’est pas ou plus identifiable[40] .

Par analogie avec la minimisation des données, les données doivent être collectées avec le degré minimal d’association avec la personne concernée. En ce qui concerne l’aspect temporel, “les données à caractère personnel sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités”[41] . Dans le cas d’un traitement plus complexe comportant plusieurs phases, chaque phase ne doit comporter que le degré minimal d’association réellement nécessaire et une pseudonymisation ou une anonymisation doit être utilisée entre les phases.

Le RGPD appelle ce principe “limitation du stockage” (voir art. 5(1)(e)).

Limitation de l’accès au pouvoir

Le pouvoir est entre les mains des personnes et des organisations. Si la connaissance est un pouvoir, ce pouvoir n’est disponible que pour les parties auxquelles les données à caractère personnel sont divulguées. Le RGPD appelle ces parties des destinataires[42] . Il peut s’agir d’employés du responsable du traitement ou du sous-traitant, de destinataires tiers prévus ou de parties involontaires telles que des attaquants.

L’accès au pouvoir doit être limité à ce qui est nécessaire pour réaliser les finalités déclarées. Le RGPD appelle ce principe “confidentialité”[43] .

La confidentialité comporte deux aspects :

  • Empêcher l’accès par des parties non autorisées, et
  • restreindre l’accès aux parties autorisées.

Le premier protège dans une large mesure contre les attaquants externes grâce à des mesures telles que le cryptage des données au repos ou des communications et les pare-feu. La seconde est généralement appelée contrôle d’accès. Il permet de s’assurer que la partie accédant aux données est bien autorisée (authentification), de limiter l’accès aux données nécessaires (droits d’accès) et éventuellement de restreindre l’accès aux moments où il est nécessaire.

Protection du patrimoine de la personne concernée

Dans de nombreux types d’activités de traitement, les données à caractère personnel stockées par le responsable du traitement ont également une valeur importante pour la personne concernée. Les collections de photos, les suites bureautiques et les systèmes de gestion de documents basés sur l’informatique dématérialisée, mais aussi les données médicales stockées chez le médecin d’un patient, en sont de parfaits exemples. Nous appelons ces données lepatrimoine.

Ce patrimoine peut avoir une valeur bien moindre pour le responsable du traitement, qui peut être réticent à investir de manière significative dans leur protection. En outre, l’une des façons pour un responsable du traitement d’exercer un pouvoir sur une personne concernée est de subordonner l’accès à son patrimoine à certaines conditions.

Pour empêcher un tel exercice du pouvoir, le RGPD impose aux responsables du traitement de protéger le patrimoine des personnes concernées. En particulier, il exige de protéger ce patrimoine contre :

  • la perte, la destruction ou les dommages accidentels[44] , et
  • refus de laisser la personne concernée utiliser le patrimoine indépendamment du responsable du traitement.

Le premier type de protection est également connu sous le nom de disponibilité et de résilience[45] . La seconde est appelée portabilité des données et constitue l’un des droits de la personne concernée[46] .

Interdiction d’un traitement qui n’est pas adapté à sa finalité

L’obtention d’un pouvoir par le biais d’un traitement qui ne permet pas de réaliser les finalités déclarées est évidemment illégitime.

Le RGPD utilise deux principes pour faire respecter l’adéquation à la finalité :

  • L’intégrité (voir l’art. 5(1)(f)) et
  • La précision(voir art. 5(1)(d)).

La première impose de protéger les données contre les dommages accidentels et les modifications non autorisées ; la seconde impose que les données soient tenues à jour et exactes et que, lorsque ce n’est pas le cas, les données soient effacées ou rectifiées sans délai.

 

 

  1. Notez que la transparence est également un principe du RGPD, comme le stipule l’art. 5(1)(a).
  2. Voir l’art. 4(7) duRGPD.
  3. Voir l’art. 29 et 32(4) du RGPD.
  4. Voir l’art. 28(3) duRGPD.
  5. Voir l’art. 28(3)(h) du RGPD.
  6. Voir l’art. 13 et 14 du RGPD.
  7. Voir par exemple les art. 15 12(3) et 19 du RGPD.
  8. Voir l’art. 37 du RGPD.
  9. Voir l’art. 13(1)(b) et 14(1)(b) du RGPD.
  10. Voir l’art. 38(4) du RGPD.
  11. Voir l’art. 33 du RGPD.
  12. Voir l’art. 34 du RGPD.
  13. Voir l’art. 30 du RGPD.
  14. Voir l’art. 35 du RGPD.
  15. Voir le chapitre 3 du RGPD qui comprend les articles 12 à 23.
  16. Notez que le droit à la portabilité des données est abordé dans la section sur la protection du patrimoine de la personne concernée.
  17. Voir l’art. 15 du RGPD.
  18. Voir l’art. 16 du RGPD.
  19. Voir l’art. 17 du RGPD.
  20. Voir l’art. 18 du RGPD.
  21. Ces circonstances sont énumérées à l’art. 18(1) du RGPD.
  22. Voir l’art. 21 du RGPD.
  23. Voir l’art. 22 RGPD.
  24. Voir l’art. 22(3) duRGPD.
  25. Voir l’art. 7(3) duRGPD.
  26. Voir l’art. 6(1)(a) et 9(2)(a) du RGPD.
  27. Voir l’art. 19 du RGPD, deuxième phrase.
  28. Voir l’art. 79 duRGPD.
  29. Voir l’art. 77 duRGPD.
  30. Voir l’art. 58 duRGPD.
  31. Voir l’art. 58(1) duRGPD.
  32. Voir l’art. 58(1)(b) et (f) du RGPD.
  33. Voir l’art. 58(2) duRGPD.
  34. Voir l’art. 58(2)(i) du RGPD.
  35. Voir l’art. 58(2)(j) du RGPD.
  36. Voir l’art. 58(2)(f) du RGPD.
  37. Ce terme est introduit dans l’art. 4(1) du RGPD.
  38. Ce libellé est extrait de l’art. 4(1) du RGPD.
  39. Notez que ce terme est utilisé dans l’art. 4(5) du RGPD qui fournit la définition de la pseudonymisation.
  40. Cette formulation est extraite de la cinquième phrase du considérant 26 du RGPD.
  41. Ce libellé est extrait de l’art. 5(1)(e) du RGPD.
  42. Voir l’art. 4(9).
  43. Voir l’art. 5(1)(f).
  44. Voir l’art. 5(1)(f) du RGPD.
  45. Voir l’art. 32(1)(b) et (c) du RGPD.
  46. Voir l’art. 20 duRGPD.

 

Aller au contenu principal