Le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 des fins l\u00e9gitimes et licites est donc autoris\u00e9, mais seulement sous certaines conditions de mise en \u0153uvre. Ces conditions sont d\u00e9crites plus en d\u00e9tail ci-apr\u00e8s.<\/p>\n
La raison d’\u00eatre de ces conditions est de limiter et d’\u00e9quilibrer le pouvoir <\/strong>acquis par l’organisation qui traite les donn\u00e9es \u00e0 caract\u00e8re personnel (les “responsables du traitement<\/strong>“) sur les personnes concern\u00e9es (les “personnes concern\u00e9es”<\/strong>).<\/p>\n Pour r\u00e9sumer, cela se fait de la mani\u00e8re suivante :<\/p>\n Une premi\u00e8re mesure pour limiter le pouvoir des responsables du traitement consiste \u00e0 les tenir pleinement responsables de l’ensemble de l’activit\u00e9 de traitement. Il s’agit de l’un des principes cl\u00e9s du RGPD (voir l’art. 5(2)). Il va au-del\u00e0 du simple fait d’obliger les responsables du traitement \u00e0 rendre leur traitement transparent<\/strong>[1]<\/a><\/sup> (pour les personnes concern\u00e9es et les autorit\u00e9s de contr\u00f4le) en obligeant les responsables du traitement \u00e0 \u00eatre en mesure de d\u00e9montrer <\/strong>r\u00e9ellement leur conformit\u00e9 <\/strong>au RGPD. De toute \u00e9vidence, cela ouvre le traitement \u00e0 la surveillance. De plus, cela attribue clairement la “charge de la preuve” : ce ne sont pas les personnes concern\u00e9es ou les autorit\u00e9s de contr\u00f4le qui doivent d\u00e9montrer une violation du RGPD ; la non-transparence qui cache la non-conformit\u00e9 est en soi une violation.<\/p>\n Pour y parvenir, dans un premier temps, le RGPD veille \u00e0 ce que l’enti\u00e8re responsabilit\u00e9 soit <\/strong>clairement entre les mains du (des) responsable(s) du traitement (conjoint) qui d\u00e9termine(nt) les finalit\u00e9s et les moyens du traitement[2]<\/a><\/sup> . Cela se fait, par exemple, en obligeant les responsables du traitement \u00e0 exercer un contr\u00f4le sur leurs employ\u00e9s<\/strong>[3]<\/a><\/sup> et en stipulant des contrats[4]<\/a><\/sup> avec d’\u00e9ventuels services informatiques externes (appel\u00e9s sous-traitants<\/strong>) qui garantissent un contr\u00f4le jusqu’au droit d’audit sur place par le responsable du traitement[5]<\/a><\/sup> .<\/p>\n Une fois la responsabilit\u00e9 clarifi\u00e9e, les responsables du traitement sont tenus de faire preuve d’une transparence <\/strong>totale concernant le traitement. Ils doivent notamment informer de <\/strong>mani\u00e8re proactive les personnes concern\u00e9es <\/strong>de l’existence et des principales caract\u00e9ristiques du traitement[6]<\/a><\/sup> et fournir d’autres types d’informations sur demande[7]<\/a><\/sup> . \u00c0 cette fin, les responsables du traitement doivent g\u00e9n\u00e9ralement aussi d\u00e9signer un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es[8]<\/a><\/sup> dont les coordonn\u00e9es font partie des informations obligatoires[9]<\/a><\/sup> et qui sert de point de contact pour les personnes concern\u00e9es[10]<\/a><\/sup> .<\/p>\n Les responsables du traitement doivent en outre notifier les violations de donn\u00e9es \u00e0 l’autorit\u00e9 de contr\u00f4le <\/strong>comp\u00e9tente[11]<\/a><\/sup> et (si elles sont susceptibles d’\u00eatre expos\u00e9es \u00e0 un risque \u00e9lev\u00e9) aux personnes concern\u00e9es[12]<\/a><\/sup> . En outre, pour les autorit\u00e9s de contr\u00f4le, les responsables du traitement doivent tenir des registres de toutes les activit\u00e9s de traitement qui concernent des donn\u00e9es \u00e0 caract\u00e8re personnel[13]<\/a><\/sup> et \u00eatre en mesure de pr\u00e9senter une analyse d’impact sur la protection des donn\u00e9es pour les activit\u00e9s de traitement qui sont susceptibles d’entra\u00eener un risque \u00e9lev\u00e9 pour les droits et libert\u00e9s des personnes concern\u00e9es[14]<\/a><\/sup> . Cette derni\u00e8re est un instrument de choix pour d\u00e9montrer la conformit\u00e9 avec le RGPD.<\/p>\n \u00c9tant donn\u00e9 qu’il existe un d\u00e9s\u00e9quilibre de pouvoir dans le traitement des donn\u00e9es, le RGPD donne le pouvoir \u00e0 la partie la plus faible, c’est-\u00e0-dire les personnes concern\u00e9es. Les personnes concern\u00e9es passent ainsi du statut d’observateurs impuissants du traitement \u00e0 celui de parties prenantes qui peuvent d\u00e9fendre leurs droits et libert\u00e9s en intervenant.<\/p>\n Le RGPD habilite les personnes concern\u00e9es principalement par le biais de ce que l’on appelle les droits des personnes concern\u00e9es<\/strong>[15]<\/a><\/sup> . Il s’agit notamment des droits suivants[16]<\/a><\/sup> :<\/p>\n Au-del\u00e0 de ces droits, les personnes concern\u00e9es disposent \u00e9galement :<\/p>\n Bien que les personnes concern\u00e9es soient habilit\u00e9es par les droits susmentionn\u00e9s, leurs ressources peuvent \u00eatre insuffisantes pour les faire valoir. En particulier, elles peuvent sembler incapables de faire usage de leur droit \u00e0 un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant[28]<\/a><\/sup> par elles-m\u00eames. Pour cette raison, le RGPD accorde aux personnes concern\u00e9es le droit de d\u00e9poser une plainte aupr\u00e8s d’une autorit\u00e9 de contr\u00f4le<\/strong>[29]<\/a><\/sup> .<\/p>\n En d’autres termes, le RGPD fournit aux personnes concern\u00e9es un alli\u00e9 dont le pouvoir est comparable ou sup\u00e9rieur \u00e0 celui du responsable du traitement et donc suffisant pour faire valoir les droits des personnes concern\u00e9es.<\/p>\n Le RGPD conf\u00e8re donc des pouvoirs aux autorit\u00e9s de contr\u00f4le[30]<\/a><\/sup> . Ces pouvoirs vont des pouvoirs d’investigation [31]<\/a><\/sup>, tels que les audits sur place[32]<\/a><\/sup> , aux pouvoirs de correction [33]<\/a><\/sup>, tels que l’imposition d’amendes administratives[34]<\/a><\/sup> , l’ordre de suspendre les flux de donn\u00e9es vers les destinataires[35]<\/a><\/sup> , et l’interdiction totale du traitement[36]<\/a><\/sup> .<\/p>\n En d\u00e9montrant que les finalit\u00e9s sont l\u00e9gitimes et licites, un responsable du traitement a justifi\u00e9 le gain de pouvoir qui accompagne l’activit\u00e9 de traitement. Il est \u00e9vident que l’utilisation de ce pouvoir pour toute autre finalit\u00e9 ne serait pas justifi\u00e9e. En d’autres termes, l’autorisation de traiter est limit\u00e9e aux finalit\u00e9s d\u00e9clar\u00e9es pour lesquelles les donn\u00e9es sont collect\u00e9es.<\/p>\n Le RGPD appelle ce principe “limitation de la finalit\u00e9” <\/strong>(voir art. 5(1)(b)).<\/p>\n La mani\u00e8re de mettre en \u0153uvre ce principe sur le plan technique et organisationnel consiste \u00e0 s\u00e9parer <\/strong>les diff\u00e9rentes activit\u00e9s de traitement.<\/p>\n Comme deuxi\u00e8me ligne de d\u00e9fense, m\u00eame si des donn\u00e9es provenant de diff\u00e9rentes activit\u00e9s de traitement \u00e9taient de toute fa\u00e7on combin\u00e9es, des mesures telles que la pseudonymisation peuvent rendre plus difficile leur combinaison effective en reliant des enregistrements de donn\u00e9es concernant la m\u00eame personne.<\/p>\n Il convient de noter que cette r\u00e8gle emp\u00eache \u00e9galement l’accumulation de pouvoir<\/strong>en combinant les donn\u00e9es provenant de diff\u00e9rentes activit\u00e9s de traitement. Une telle combinaison permettrait g\u00e9n\u00e9ralement d’obtenir un aper\u00e7u plus approfondi de la vie des personnes concern\u00e9es, couvrant plus d’aspects, ou une couverture plus large des connaissances comprenant un plus grand nombre de personnes concern\u00e9es. Dans les deux cas, on peut faire valoir que le pouvoir combin\u00e9 est sup\u00e9rieur \u00e0 la somme de ses parties.<\/p>\n Si la d\u00e9monstration de la l\u00e9gitimit\u00e9 et de la lic\u00e9it\u00e9 des finalit\u00e9s a justifi\u00e9 le traitement en tant que tel, celui-ci doit \u00eatre mis en \u0153uvre de mani\u00e8re \u00e0 r\u00e9duire le gain de pouvoir \u00e0 ce qui est minimalement n\u00e9cessaire pour r\u00e9aliser ces finalit\u00e9s. Cette minimisation du pouvoir concerne les trois aspects suivants :<\/p>\n Ceux-ci sont d\u00e9crits plus en d\u00e9tail dans ce qui suit.<\/p>\n Puisque savoir c’est pouvoir, la minimisation du pouvoir signifie que les donn\u00e9es personnelles collect\u00e9es doivent \u00eatre minimis\u00e9es. Seules les donn\u00e9es dont on peut d\u00e9montrer qu’elles sont n\u00e9cessaires pour r\u00e9aliser les finalit\u00e9s d\u00e9clar\u00e9es peuvent \u00eatre l\u00e9gitimement collect\u00e9es.<\/p>\n Le RGPD appelle ce principe “minimisation des donn\u00e9es” (<\/strong>voir art. 5(1)(c)). Plus pr\u00e9cis\u00e9ment, il exige que les donn\u00e9es collect\u00e9es soient “ad\u00e9quates, pertinentes et limit\u00e9es \u00e0 ce qui est n\u00e9cessaire au regard des finalit\u00e9s pour lesquelles elles sont trait\u00e9es”. Dans une perspective temporelle, elle exige \u00e9galement que les donn\u00e9es ne soient pas conserv\u00e9es plus longtemps que n\u00e9cessaire aux fins poursuivies. Dans le cas d’un traitement plus complexe comportant plusieurs phases, chaque phase ne doit comporter que les donn\u00e9es r\u00e9ellement n\u00e9cessaires et le contenu des informations doit \u00eatre r\u00e9duit entre les phases.<\/p>\n La facilit\u00e9 avec laquelle le pouvoir sur la personne concern\u00e9e peut \u00eatre exerc\u00e9 d\u00e9pend de la mesure dans laquelle la personne concern\u00e9e peut \u00eatre associ\u00e9e aux donn\u00e9es. La force de l’association entre les donn\u00e9es et la personne concern\u00e9e doit donc \u00eatre r\u00e9duite au minimum.<\/p>\n Le RGPD distingue trois types de donn\u00e9es avec diff\u00e9rents degr\u00e9s d’association :<\/p>\n La premi\u00e8re permet l'”identification directe<\/strong>“[37]<\/a><\/sup> de la personne concern\u00e9e par l’utilisation d’un “identifiant” <\/strong>tel qu’un nom, un num\u00e9ro d’identification, des donn\u00e9es de localisation, [ou] un identifiant en ligne”[38]<\/a><\/sup> ; les donn\u00e9es pseudonymis\u00e9es ne <\/strong>permettent l’identification que par l’utilisation d'”informations suppl\u00e9mentaires<\/strong>“[39]<\/a><\/sup> ; et les donn\u00e9es anonymes <\/strong>lorsque “la personne concern\u00e9e n’est pas ou plus identifiable<\/strong>“[40]<\/a><\/sup> .<\/p>\n Par analogie avec la minimisation des donn\u00e9es, les donn\u00e9es doivent \u00eatre collect\u00e9es avec le degr\u00e9 minimal d’association avec la personne concern\u00e9e. En ce qui concerne l’aspect temporel, “les donn\u00e9es \u00e0 caract\u00e8re personnel sont conserv\u00e9es sous une forme permettant l’identification des personnes concern\u00e9es pendant une dur\u00e9e n’exc\u00e9dant pas celle n\u00e9cessaire \u00e0 la r\u00e9alisation des finalit\u00e9s”[41]<\/a><\/sup> . Dans le cas d’un traitement plus complexe comportant plusieurs phases, chaque phase ne doit comporter que le degr\u00e9 minimal d’association r\u00e9ellement n\u00e9cessaire et une pseudonymisation ou une anonymisation doit \u00eatre utilis\u00e9e entre les phases.<\/p>\n Le RGPD appelle ce principe “limitation du stockage” <\/strong>(voir art. 5(1)(e)).<\/p>\n Le pouvoir est entre les mains des personnes et des organisations. Si la connaissance est un pouvoir, ce pouvoir n’est disponible que pour les parties auxquelles les donn\u00e9es \u00e0 caract\u00e8re personnel sont divulgu\u00e9es. Le RGPD appelle ces parties des destinataires[42]<\/a><\/sup> . Il peut s’agir d’employ\u00e9s du responsable du traitement ou du sous-traitant, de destinataires tiers pr\u00e9vus ou de parties involontaires telles que des attaquants.<\/p>\n L’acc\u00e8s au pouvoir doit \u00eatre limit\u00e9 \u00e0 ce qui est n\u00e9cessaire pour r\u00e9aliser les finalit\u00e9s d\u00e9clar\u00e9es. Le RGPD appelle ce principe “confidentialit\u00e9”<\/strong>[43]<\/a><\/sup> .<\/p>\n La confidentialit\u00e9 comporte deux aspects :<\/p>\n Le premier prot\u00e8ge dans une large mesure contre les attaquants externes gr\u00e2ce \u00e0 des mesures telles que le cryptage des donn\u00e9es au repos ou des communications et les pare-feu. La seconde est g\u00e9n\u00e9ralement appel\u00e9e contr\u00f4le d’acc\u00e8s<\/strong>. Il permet de s’assurer que la partie acc\u00e9dant aux donn\u00e9es est bien autoris\u00e9e (authentification), de limiter l’acc\u00e8s aux donn\u00e9es n\u00e9cessaires (droits d’acc\u00e8s) et \u00e9ventuellement de restreindre l’acc\u00e8s aux moments o\u00f9 il est n\u00e9cessaire.<\/p>\n Dans de nombreux types d’activit\u00e9s de traitement, les donn\u00e9es \u00e0 caract\u00e8re personnel stock\u00e9es par le responsable du traitement ont \u00e9galement une valeur importante pour la personne concern\u00e9e. Les collections de photos, les suites bureautiques et les syst\u00e8mes de gestion de documents bas\u00e9s sur l’informatique d\u00e9mat\u00e9rialis\u00e9e, mais aussi les donn\u00e9es m\u00e9dicales stock\u00e9es chez le m\u00e9decin d’un patient, en sont de parfaits exemples. Nous appelons ces donn\u00e9es lepatrimoine.<\/p>\n Ce patrimoine peut avoir une valeur bien moindre pour le responsable du traitement, qui peut \u00eatre r\u00e9ticent \u00e0 investir de mani\u00e8re significative dans leur protection. En outre, l’une des fa\u00e7ons pour un responsable du traitement d’exercer un pouvoir sur une personne concern\u00e9e est de subordonner l’acc\u00e8s \u00e0 son patrimoine \u00e0 certaines conditions.<\/p>\n Pour emp\u00eacher un tel exercice du pouvoir, le RGPD impose aux responsables du traitement de prot\u00e9ger le patrimoine des personnes concern\u00e9es. En particulier, il exige de prot\u00e9ger ce patrimoine contre :<\/p>\n Le premier type de protection est \u00e9galement connu sous le nom de disponibilit\u00e9 <\/strong>et de r\u00e9silience<\/strong>[45]<\/a><\/sup> . La seconde est appel\u00e9e portabilit\u00e9 des donn\u00e9es <\/strong>et constitue l’un des droits de la personne concern\u00e9e[46]<\/a><\/sup> .<\/p>\n L’obtention d’un pouvoir par le biais d’un traitement qui ne permet pas de r\u00e9aliser les finalit\u00e9s d\u00e9clar\u00e9es est \u00e9videmment ill\u00e9gitime.<\/p>\n Le RGPD utilise deux principes pour faire respecter l’ad\u00e9quation \u00e0 la finalit\u00e9 :<\/p>\n La premi\u00e8re impose de prot\u00e9ger les donn\u00e9es contre les dommages accidentels et les modifications non autoris\u00e9es ; la seconde impose que les donn\u00e9es soient tenues \u00e0 jour et exactes et que, lorsque ce n’est pas le cas, les donn\u00e9es soient effac\u00e9es ou rectifi\u00e9es sans d\u00e9lai.<\/p>\n <\/p>\n <\/p>\n\n
Les responsables du traitement sont enti\u00e8rement responsables<\/h2>\n
Renforcement du pouvoir des personnes concern\u00e9es<\/h2>\n
\n
\n
\u00c9quilibrer le pouvoir par l’institution d’autorit\u00e9s de contr\u00f4le<\/h2>\n
Limiter les responsables du traitement \u00e0 l’utilisation du pouvoir uniquement pour r\u00e9aliser les finalit\u00e9s l\u00e9gitimes d\u00e9clar\u00e9es.<\/h2>\n
Minimisation du pouvoir \u00e0 ce qui est n\u00e9cessaire pour r\u00e9aliser les finalit\u00e9s d\u00e9clar\u00e9es.<\/h2>\n
\n
Minimisation du contenu de l’information (c’est-\u00e0-dire du pouvoir)<\/h3>\n
Minimiser l’association \u00e0 la personne concern\u00e9e<\/h3>\n
\n
Limitation de l’acc\u00e8s au pouvoir<\/h3>\n
\n
Protection du patrimoine de la personne concern\u00e9e<\/h2>\n
\n
Interdiction d’un traitement qui n’est pas adapt\u00e9 \u00e0 sa finalit\u00e9<\/h2>\n
\n
\n