FAQ : Règlement général sur la protection des données

Vous vous interrogez sur la mise en application du RGPD et les implications pour votre organisation ? Adressez vos questions à contact@ressourcial.fr. Nous les étudierons et, dans la mesure du possible, publierons ici nos réponses.

Notez que l’ensemble des informations communiquées ici sont le résultat de notre interprétation des textes en vigueur. Elles ne pourront à aucun moment engager notre responsabilité.

Pour en savoir plus sur l’accompagnement que Ressourcial peut vous proposer dans la mise en conformité de votre organisation avec le RGPD, consultez notre article : Le RGPD et les questions relatives à la protection des données personnelles et notre page : RGPD et Protection des données personnelles


Ressources documentaires

Nous proposons ici en téléchargement des ressources documentaires que nous avons sélectionnées pour leur pertinence.

  • Texte intégral du RGPD commenté par l’AFCDP (Association Française des Correspondants aux Données Personnelles) : lien de téléchargement
  • Lignes directrices du G29, groupe de travail réunissant les 29 autorités de contrôle européennes dont la CNIL (qui sera remplacé le 25 mai 2018 par le Comité Européen de la Protection des Données : CEDP) : lien de téléchargement

Le RGPD en quelques mots

Un acte juridique européen. Le règlement s’impose à tous les sujets de droit : particuliers, États, institutions. Il s’applique à tous : les acteurs français, les acteurs européens, les acteurs étrangers qui traitent des données d’européens.

La date d’entrée en vigueur est le 24 mai 2016 , pour une mise en application à partir du 25 mai 2018.

Le périmètre est large puisqu’il concerne tous les traitements sur support physique ou informatique de données à caractère personnel, relatives aux usagers, salariés, bénévoles, partenaires, fournisseurs, traitées par l’organisme gestionnaire. Par exemple un fichier Excel ou Word contenant des données à caractère personnel est un traitement, une notification MDPH est un traitement, etc.

Parmi les données à caractère personnel certaines nécessitent une attention particulière : les données de santé, les données d’infraction, etc.

Ce règlement s’applique à toute structure (qu’elle soit responsable de traitement des données ou sous-traitant) :

  • ayant un établissement dans l’Union européenne ;
  • ou proposant une offre de biens ou de services visant les personnes qui se trouvent sur le territoire de l’Union européenne. Les actions de profilage visant cette cible sont également concernées.

Il n’y a donc pas de critère de taille d’entreprise, de lieu de stockage des données ou encore de secteur d’activité : toute entreprise qui cible le territoire européen et effectue des traitements de données à caractère personnel est concernée par ce règlement.

L’ensemble des métiers de l’entreprise sont concernés (et non pas seulement, par exemple, la direction générale, le DSI ou la direction juridique).

3 impacts au moins :
• financier : des pénalités lourdes (2 à 4% du CA) et l’indemnisation des victimes,
• juridiques : des condamnations pénales peuvent être encourues,
• image : obligation de notifier les failles de sécurité, actions de groupe.

Cette infographie est issue d’un groupe de travail du Club de la Sécurité de l’Information Français (CLUSIF, www.clusif.fr). Elle résume le Règlement Général sur la Protection des Données. Elle ne peut pas être exhaustive mais offre une grille de lecture graphique et synthétique pour découvrir la portée de la règlementation, puis s’y référer ultérieurement.

Cliquer sur l’image pour télécharger le fichier en haute définition
Attention, document sous licence Creative Commons Attribution BY-NC-ND 3.0 FR (pas d’utilisation commerciale – pas de modification)

4 grands points sont à prendre en considération :

  1. Vous devez, dès à présent, respecter les principes du RGPD. Vous avez de ce point de vue une obligation de moyens renforcés : plus les données sont critiques et plus vous devez prendre des précautions avec les données et avec ceux de vos salariés qui les manipulent.
  2. Vous devez obligatoirement nommer un Délégué à la Protection des Données (DPO).
  3. Vous devez documenter votre conformité : tenir un registre des activités de traitement, mettre en place des procédures pour l’accès au droit des personnes, etc
  4. Vous devez, pour répondre à toutes ces obligations mettre en œuvre un plan d’action.

La mise en conformité avec le RGPD est un processus

Le RGPD concerne 80% de votre activité de traitement de données. Dès lors ce ne sont pas des mesures ponctuelles qui peuvent suffire à vous libérer de vos obligations. Il va être nécessaire que vous lanciez sans tarder votre projet de mise en conformité. Cette démarche peut être longue (fréquemment de 12 à 36 mois), impactante en termes de ressources humaines et de moyens économiques.

Cependant, au-delà des contraintes lourdes que nous venons d’énoncer la mise en œuvre de ce projet peut être aussi l’occasion pour vous de reprendre la main sur la gouvernance de vos données et d’accroître l’efficacité de votre organisation dans ce domaine.

Nous conseillons de phaser ainsi le processus :


Un peu de terminologie

Une donnée personnelle caractérise toute information identifiant directement ou indirectement une personne physique (exemples : nom, numéro d’immatriculation, numéro de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale, etc.).

Le RGPD concerne toutes les données personnelles (et quel que soit leur support, numérique ou physique) que traite l’Organisme Gestionnaire, donc aussi bien les données des usagers que celles des salariés et des bénévoles.

Les données traitées éventuellement pour le compte d’autres organisations sont aussi concernées. Les archives également.

A noter que le RGPD concerne plus les traitements de données que les données en elle-même.

Toute opération, ou ensemble d’opérations, portant sur les données, quel que soit le procédé (automatisé ou manuel) utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …). Le fichier Excel permettant d’organiser les services de restauration, celui qui permet de dispatcher les services de transport, celui qui organise le planning des personnels sont des traitements au sens du RGP.

Ce peut être une personne morale ou une personne physique. La notion est très large et le G29 recommande de chercher plutôt la responsabilité d’une personne morale. Le responsable est celui qui a un pouvoir décisionnel sur les finalités et les moyens du traitement. La notion de responsabilité s’apprécie au cas par cas (responsabilité totale ou responsabilité conjointe avec un sous-traitant). Dans notre secteur les dirigeants élus, les dirigeants salariés, pourront, en fonction des régimes de délégation, être considérés comme responsable des traitements.


Les principales nouveautés engendrées par le RGPD

Le principal changement introduit par le RGPD qui est entré en application le 25 mai 2018 est qu’il fait peser l’entière responsabilité de la conformité à la réglementation en matière de protection des données à caractère personnel sur le Responsable du traitement. Le Responsable du traitement est la personne morale (l’organisme gestionnaire) représentée par son dirigeant élu (Président.e) ou salarié (Directeur.trice Général.e). L’impact en cas de non-conformité est lourd : amende administrative pouvant aller jusqu’à 4% du budget de l’organisme, sanctions pénales pouvant aller jusqu’à 300 000 € d’amende et 5 ans d’emprisonnement.

La réglementation à mettre en œuvre comprend, bien sûr, le Règlement Général sur la Protection des Données (RGPD) mais aussi la loi française Informatique et Libertés qui a été modifiée le 20 juin 2018, les décrets d’application (le dernier en date le 1er août 2018), les directives du Comité Européen de la Protection des Données, les référentiels de la CNIL ainsi que la jurisprudence qui est en train de se constituer. Autrement dit c’est un nouveau droit qui apparaît : le droit de la donnée.

La responsabilisation (dite encore accountability) se traduit essentiellement par la suppression des contrôles a priori (l’autorisation de la CNIL). Tout traitement est dès l’origine réputé conforme et les contrôles ne s’exerceront plus qu’a posteriori. Commanditaire et sous-traitant sont solidairement responsables. En outre il est fait obligation de déclarer à la CNIL (et le plus souvent aux autorités de tarification) toute faille de sécurité connue. Cette obligation est assortie de l’obligation d’informer les personnes dont les données sont susceptibles d’être affectées par la faille.

Ce renforcement se matérialise par 5 dispositions nouvelles :

  • le consentement qui doit être explicite, éclairé et traçable,
  • la portabilité des données : la possibilité, sous réserve du consentement, de transférer les données d’un système informatique à un autre,
  • le droit d’accès et de rectification qui peut être délégué à une association ou une organisation dans le cadre d’actions de groupe,
  • le droit à l’oubli permettant de demander la suppression de toutes les données à caractère personnel,

la protection des mineurs avec l’exigence d’une autorisation parentale pour le recueil de données concernant les mineurs de moins de 16 ans.

La protection des données doit être intégrée dès la conception du traitement (cette notion est quelquefois dénommée « privacy by design »). Tout traitement est réputé assurer la protection des données personnelles (cela est quelquefois dénommé « privacy by default »). La mise en œuvre de tout traitement présentant un risque élevé doit faire l’objet d’une étude d’impact.


Le DPO : délégué à la protection des données

La désignation d’un Délégué est rendue obligatoire dans les cas suivants :

  • Les autorités et organismes publics (par exemple, les ministères, collectivités territoriales, établissements publics).
  • Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Par exemple : les compagnies d’assurance ou les banques pour leurs fichiers clients, les opérateurs téléphoniques ou les fournisseurs d’accès internet.
  • Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

La désignation d’un DPO est une obligation dans le secteur social et médico-social.

Le DPO peut être interne (salarié de l’association), externe ou mutualisé, il doit posséder des connaissances en matière de protection des données et être à l’abri des conflits d’intérêts (il ne peut être responsable de traitements).

  • informer, conseiller et accompagner au sein de sa structure ;
  • sensibiliser aux enjeux de la protection des données personnelles les salariés comme les « clients » ;
  • superviser des audits internes sur la protection des données personnelles ;
  • conseiller le responsable sur l’opportunité de réaliser une analyse d’impact vie privée (PIA) et d’en vérifier l’exécution ;
  • recevoir et répondre aux réclamations relatives à la protection des données ;
  • coopérer avec l’autorité de contrôle (en France, la CNIL) et être son point de contact au sein de sa structure.

S’agissant d’un organisme de formation de travailleurs sociaux indiscutablement oui. Des données personnelles sont en effet traitées à grande échelle, de plus le DPO peut aider à promouvoir la culture de la protection des données auprès des étudiants (les personnes formées).

Aux termes de l’article 37 du RGPD, le DPO est obligatoire :

  • lorsque « le traitement est effectué par une autorité publique ou un organisme public »
  • lorsque « les activités de base […] consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ».
  • « les activités de base […]consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ».

Éclaircissements :

  • par « grande échelle » on peut entendre le volume, le territoire ou la durée du traitement (cas du parcours d’un usager) ;
  • s’agissant de la notion de suivi systématique et régulier : le Considérant 24 du Règlement dispose que pour déterminer s’il y a suivi, il convient « d’établir si les personnes physiques sont suivies sur Internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit. » ;
  • l’article 9 du RGPD définit la notion « Traitement sur des catégories particulières de données à caractère personnel », il s’agit notamment des données de santé ;
  • la notion de suivi implique toutes les formes de suivi y compris ceux qui ne sont pas effectués en ligne.

Chacun des motifs rendant la désignation obligatoire d’un Délégué à la protection des données personnelles est à considérer isolément.

Commentaire :

  • Les IRTS sont des personnes morales de droit privé poursuivant une mission d’intérêt général et financées principalement sur fonds publics si l’on se réfère à l’Ordonnance du 23/7/2015 et à l’Article L311-1 du CASF).
  • L’activité principale d’un IRTS implique de suivre les étudiants et donc de traiter d’un volume important de données personnelles les concernant.

Pour ces motifs il paraît bien que la désignation d’un Délégué à la protection des données personnelles soit obligatoire dans un IRTS. Ajoutons que dans les missions du DPO figure celles de conseil et d’information permettant de développer une culture de la protection des données personnelles dans l’entreprise ce qui s’agissant du rôle des IRTS dans la formation des travailleurs sociaux constitue un apport indéniable.

Il y a très peu d’organismes gestionnaires dont la taille justifie un poste de DPO à temps plein, c’est donc une bonne idée de coupler cette mission avec une autre. Néanmoins, dans ce cas précis, il y a un risque fort de conflit d’intérêt (article 38 alinéa 6 du RGPD). Le DPO ne peut en effet pas être « juge et partie » c’est-à-dire déterminer les finalités et les moyens d’un fichier et se prononcer sur la licéité ou l’impact d’un traitement. La mission d’un analyste décisionnel consiste, entre autres, à croiser les fichiers pour en extraire des représentations (indicateurs, tableaux de bord). Le conflit d’intérêt nous semble ici constitué.


Que faire ?

  • Désigner le Délégué à la protection des données (DPO).
  • Faire l’état des lieux : dresser la cartographie des traitements et évaluer le niveau de sécurité du Système d’Information.
  • Élaborer la feuille de route conduisant à la convergence avec le RGPD

Les traitements de données

Selon nous, la réponse est oui. À partir de là, deux cas de figure :

  • S’il s’agit d’un carnet d’adresse personnel, l’article 2 du RGPD exclut du champ d’application du règlement les traitements réalisés « par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ». Le carnet d’adresse personnel d’un smartphone n’entre donc pas dans le cadre du RGPD.
  • S’il s’agit d’un carnet d’adresse de l’association, il est utilisé par différents collaborateurs et/ou à des usages collectifs (par exemple pour du mailing, de la prospection, de la diffusion d’information, etc.). Nous conseillerions alors de recueillir les consentements explicites et de déclarer cette base de données dans le registre des traitements de l’association.

C’est un point essentiel. Il s’agit bien de traitement tombant dans le champ du RGPD d’où la nécessité de renforcer nos procédures et de former les salariés. Bien sûr il faudra communiquer de manière continue sur le sujet.

Date de rédaction de cette réponse : novembre 2017.

Sans se prononcer sur le fait du bien-fondé pour le prestataire de demander des ordonnances, il y a ici traitement de données personnelles. En effet le croisement du fichier des régimes (anonyme) avec les ordonnances (par essence nominatives) présente un risque d’impact fort. Au delà du traitement de données personnelles, ce sont ici des données sensibles (données de santé) qui sont traitées. La responsabilité du prestataire est ici engagée de même que celle de l’organisme gestionnaire. Il y a lieu de procéder à une étude d’impact et de revoir le contrat qui lie l’organisme gestionnaire avec le prestataire pour s’assurer de sa conformité avec le RGPD (cf. articles 26, 28 et considérant 79 du RGPD).


Le responsable des traitements de données

L’article 4 alinéa 7 du RGPD dispose : « responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».
Le critère de la nature de la personne responsable est très large. Toutefois le G29 recommande qu’une telle qualification soit plutôt appliquée à une personne morale qu’à une personne physique (par exemple un salarié de l’entreprise). On est donc dans l’ordre de la responsabilité de l’association représentée par son Président et, par délégation, le Directeur Général. On entre là dans le champ du contentieux et comme il est assez constant il est probable que le juge aille chercher la responsabilité « là où est l’argent » (penser à l’indemnisation) mais l’action récursoire de l’employeur envers son salarié est envisageable.

Date de rédaction de cette réponse : novembre 2017.


L’obtention du consentement des personnes

Le texte précise que « le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale ».

Le silence de la personne ne vaut donc en aucun cas consentement. Par ailleurs, ce consentement doit pouvoir être retiré aussi simplement qu’il a été donné et la personne informée de cette possibilité de retrait.

Alors que le RGPD érige le droit des personnes les données sont traitées à se voir délivrer des informations relatives aux finalités du traitement, à la durée de conservation des données, au responsable du traitement, etc. il ne requiert pas dans tous les cas le consentement de la personne. Ainsi, si le consentement explicite de la personne est requis lorsque le traitement concerne des données sensibles (telles que les données de santé) le RGPD n’autorise pas moins le traitement sans que le consentement soit nécessaire lorsque :

  • le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective […] ; c’est le cas par exemple pour les données personnelles du salarié traitées dans le cadre de l’exécution du contrat de travail ; c’est le cas aussi pour les données relatives au dossier de l’usager dont la tenue obligatoire a été introduite par la Loi du 2 janvier 2002 rénovant le code de l’action sociale et des familles (CASF) ;
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
  • ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union, au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents ; les données recueillies auprès de l’usager lors de l’admission entrent également de toute évidence dans cette catégorie.

Commentaire :

Pour accomplir leur mission dans l’intérêt de la personne et dans le cadre des obligations règlementaires qui sont les leurs les ESMS sont amenés à recueillir, dès l’admission, des données personnelles auprès de l’usager. Ce recueil ne requiert pas que soit recueilli le consentement de l’intéressé quant à son refus éventuel de voir collectées auprès d’elle des données pour un traitement dont on lui aura expliqué la finalité, la nature, les modalités, le responsable, etc. ainsi que le RGPD en fait obligation, il rendrait impossible la conclusion du contrat de séjour et ipso facto rendrait impossible l’admission de ce même usager au sein de l’ESMS.

Cet article a été rédigé par Myriam Vallin, Consultante et chef d’orchestre chez Handiness.

Beaucoup d’articles traitant du sujet de la mise en œuvre de la Protection des Données Personnelles, mettent en exergue le consentement comme « LE » moyen d’être en conformité avec la réglementation. Certes, le consentement est incontournable dans un certain nombre de cas, tels les démarches marketing, néanmoins il n’est pas le seul choix possible, surtout dans le secteur où j’interviens : le secteur social et médico-social.

LE RGPD reprend en effet 6 bases légales de traitement. Rien de nouveau, elles existaient dés la directive de 1995 :

– L’exécution d’un contrat : lorsque le traitement des données est indispensable à la réalisation du contrat ; par exemple le traitement de l’adresse du client n’est pas nécessaire à l’acte d’achat, mais il l’est afin d’effectuer la livraison de ceux-ci.

– L’obligation légale : le responsable de traitement effectue un traitement de données en vertu d’une obligation légale. L’exemple d’actualité est la collecte des pourcentages d’imposition par l’employeur dans le cadre de la mise en place du prélèvement à la source.

– L’existence d’une mission d’intérêt public : rappelons ici qu’une mission de service public peut être assurée par une personne privée, même si elle n’est pas investie des prérogatives de puissance publique. Autrement dit, lorsque, eu égard à l’intérêt général de son activité, on peut en déduire que l’administration a entendu confier à un acteur privé, une mission de ce type, on va s’attacher à regarder un faisceau d’éléments ; Par exemple, les objectifs fixés et le contrôle exercé par la puissance publique sur la réalisation de ces objectifs.

Le secteur social et médico-social est à cet égard, investi d’une mission de service public envers une partie de la population c’est indéniable ; Certes la puissance publique a choisi de laisser aux associations le rôle d’acteur majeur de ces prises en charge, mais elle finance cette activité et exerce un contrôle : à la fois sur l’admission des personnes et sur les moyens utilisés (par le biais de dispositions telles que les évaluations ou encore les inspections).(1)

– L’intérêt vital : si l’intérêt vital d’une personne physique est en jeu, que ce soit celle concernée par le traitement ou une autre. Mais la menace pesant sur la santé doit être grave et avérée. Par exemple les traitements de données réalisés afin de mesurer la progression des épidémies.

– L’intérêt légitime : ce critère demande à mesurer, d’une part le but poursuivi par le responsable de traitement, et d’autre part les conséquences que ce traitement peut engendrer par la personne concernée. C’est au responsable de traitement de démontrer que le but qu’il poursuit doit être apprécié de manière prioritaire par rapport à l’intérêt de la personne. Par contre la personne doit être avertie des motifs légitimes de la collecte et peut s’opposer à tout moment à un traitement fondé sur cette base.

Et… le consentement :

C’est la première base légale citée dans le texte du RGPD, d’où les nombreux débats sur le sujet.

En droit français, le consentement est défini « comme une manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Tout d’abord, cette définition exclue d’emblée l’utilisation du consentement pour traiter les données à caractère personnel du salarié. En effet, en droit français la signature du contrat de travail place le salarié dans une situation de subordination vis-à-vis de son employeur qui est incompatible avec la liberté requise pour consentir valablement.

Alors bien évidement, on va expliquer quelles sont les données collectées, dans quel cadre elles le sont et apporter la preuve que ces données respectent le principe de minimisation des données, nécessaires dans le cadre de la relation contractuelle entre le salarié et son employeur. On va également démontrer qu’elles sont correctement protégées, que leur utilisation est loyale, et indiquer à qui elle sont accessibles et transmises.

N’oublions pas que le pendant du consentement est le fait qu’il doit pouvoir être retiré à tout moment, et cela aussi facilement qu’il a été donné. En pratique, cette condition est impossible à mettre en œuvre dans l’exemple du salarié puisque l’employeur ne peut exécuter sa part du contrat, le paiement du salaire, sans traiter certaines données personnelles.

D’une façon générale, se demander si le consentement peut être retiré à tout moment sans mettre en péril la finalité du traitement est un bon moyen de savoir si le consentement doit être utilisé comme base légale ou pas.

Donc la base légale de la collecte des éléments nécessaires à la paie est … l’obligation contractuelle, voire l’obligation légale pour certains traitements. Le salarié doit percevoir un salaire en contrepartie de son travail, c’est l’obligation contractuelle et le fait de transmettre les salaires aux autorités compétentes est le résultat d’une l’obligation légale.

Qu’en est-il des personnes accueillies ?

La loi de 2002-2 met le consentement de la personne au centre de son dispositif d’accueil et le consentement aux prestations proposées doit être recherché par tous moyens. Néanmoins, il serait dangereux pour les personnes prises en charge d’appliquer le même principe aux traitements de données personnelles nécessaires.

Déjà, parce-que sans le traitement de ces données la prise en charge ne peut être réalisée !

Plusieurs possibilités peuvent être examinées :

– La réalisation du contrat de séjour implique le traitement de données personnelles donc utilisation de la base contractuelle et oublions les débats qui traitent de savoir si le contrat de séjour est un vrai contrat…

– D’autres traitements effectués tel le traitement de la participation des usagers aux frais de séjours, proviennent d’une obligation légale édictée par les Règlements d’Aide Sociale.

– La prise en charge pour la réalisation de laquelle les données sont collectées est effectuée en vertu de la mission de service public qui a été dévolue au secteur social et médico-social par les pouvoirs publics. L’utilisation de cette base légale est également possible de prime abord.

Laquelle choisir et doit-on choisir ? Je ne le pense pas si on s’en tient à la lecture de l’article 6 relatif à la licéité du traitement qui dispose que « le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie » ;

Ce qui semble vouloir dire que plusieurs conditions peuvent coexister … Alors à vos registres !

(1) : Ordonnance du 23/7/2015 et Article L311-1 du CASF.

Même anonymisées de telles données, croisées entre elles, permettent de lever l’anonymat. Il est en effet envisageable d’anonymiser (par exemple avec un numéro d’enregistrement délivré par le système) puisque le nom n’est ici pas nécessaire ; c’est une mesure de protection de base, mais il sera indispensable de requérir le consentement éclairé des salariés en précisant comment seront présentées les données (notamment l’anonymisation). Il faut aussi être attentif au fait que, dans ce logiciel, toutes les données qui ne sont pas de droit dans l’exécution du contrat de travail pourront faire l’objet, de la part des salariés, de demandes de rectification ou d’effacement, en application de l’article 21 du RGPD.

Oui, c’est envisageable. Il faudra néanmoins s’assurer que le consentement soit explicite et éclairé, donc apporter la preuve que toutes les informations permettant de comprendre, traitement par traitement, à quoi les usagers consentent leur auront été communiquées. Il vous faudra également être attentifs à la vie de ce document dans la durée (par exemple tout nouveau traitement devra faire l’objet d’un nouveau consentement.


L’analyse d’impact

Voici la position de la CNIL sur la question : cliquer ici pour consulter l’article de la CNIL.

Dans un souci de simplicité et d’accompagnement, la CNIL n’exigera pas la réalisation immédiate d’une analyse d’impact pour les traitements :

  • qui ont régulièrement fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018 (récépissé, autorisation, avis de la CNIL),
  • ou qui ont été consignés au registre d’un correspondant informatique et libertés.

De tels traitements ne seront donc pas soumis immédiatement à l’obligation d’analyse d’impact.

Cependant, le RGPD imposant une réévaluation dynamique des risques, une telle analyse d’impact, pour les traitements en cours et qui sont susceptibles de présenter un risque élevé, devra en principe être réalisée dans un délai raisonnable qui peut être estimé à 3 ans à compter du 25 mai 2018.

En revanche, l’analyse d’impact devra être réalisée, sans attendre l’issue de ce délai de trois ans, dans tous les autres cas où un traitement est susceptible de présenter un risque élevé :

  • pour les traitements antérieurs au 25 mai 2018 n’ayant pas fait l’objet de formalités préalables auprès de la CNIL ;
  • pour les traitements, antérieurs au 25 mai 2018 et régulièrement mis en œuvre, mais qui ont fait l’objet d’une modification substantielle depuis l’accomplissement de leur formalité préalable ;
  • pour tout nouveau traitement après le 25 mai 2018.

La CNIL ajoute : en tout état de cause, la réalisation d’une étude d’impact constitue, dans tous les cas, une bonne pratique facilitant la démarche de mise en conformité au RGPD. Pour plus d’informations sur les PIA, et notamment sur les cas dans lesquels une analyse d’impact sera obligatoire.


Questions diverses

Tout à fait. De manière générale, à ce stade c’est l’obligation de moyens qui doit être mise en avant. Cela d’autant plus que les dispositions relatives à l’application du règlement sont, à ce jour, loin d’être toutes publiées. On peut toutefois pointer certaines obligations de résultats : faire droit, dans un délai d’un mois, à toute demande d’une personne, notifier les failles de sécurité, nommer un DPO, etc. La CNIL française a souhaité que, dans la foulée du RGPD, la loi Informatique et Libertés du 6 janvier 1978 soit réécrite. Dans l’immédiat il nous semble surtout nécessaire d’attester que nous nous sommes saisis de la question.

Date de rédaction de cette réponse : novembre 2017.

Le sous-traitant (ici l’éditeur) est conjointement et solidairement responsable. Autrement dit la responsabilité de l’éditeur n’exonère pas celle de son client. Ce dernier doit s’assurer que le sous-traitant présente des garanties suffisantes. La seule exonération de responsabilité du responsable du traitement et du sous-traitant serait liée au fait que le dommage ne leur est pas imputable (ce qu’il faudrait prouver).

Date de rédaction de cette réponse : décembre 2017.

Les principes sont clairement posés dans le règlement et peuvent se résumer ainsi : les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement d’une manière incompatible avec ces finalités :

  • Les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités (article 5, alinéa 1).
  • Les données sont traitées de façon à garantir une sécurité appropriée des données à caractère personnel (article 5, alinéa 1).
  • Le responsable du traitement met en œuvre, à la détermination des moyens du traitement et au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées (article 25, alinéa 1).
  • Il met en œuvre les mesures techniques et organisationnelles pour garantir que seules les données nécessaires au regard de chaque finalité sont traitées (article 25, alinéa 2).
  • Le responsable du traitement tient un registre des activités de traitement avec : – le nom et les coordonnées du responsable du traitement, – les finalités du traitement, – une catégorisation des données (article 30, alinéa 1).

Sur les aspects techniques (sécurité, interopérabilité), c’est la référence à l’état de l’art qui fait foi.

Date de rédaction de cette réponse : janvier 2018.

L’article 17 du RGPD répond à cette interrogation lorsqu’il précise que le droit ne s’applique pas dans la mesure où le traitement est nécessaire, notamment dans ces 2 cas :

« b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

c) pour des motifs d’intérêt public dans le domaine de la santé publique, conformément à l’article 9. »

La notification MDPH est un document nominatif (la personne est identifiée par son nom, son prénom, numéro de dossier, etc.) mais elle est aussi par nature un document qui révèle indirectement des informations relatives au handicap. Ce type d’information est considéré comme une donnée de santé (considérants 35, 54 du RGPD).

Il ne faut cependant pas confondre le document et la donnée. La notification est un document, le handicap est la donnée. Dès lors tous les traitements (fichiers Excel et autres) qui feront référence à la notification seront considérés comme des traitements de données contenant des données de santé. Les données de santé sont rangées dans les catégories particulières de données personnelles (article 9 du RGPD) comme telles elles présentent un risque élevé (considérant 76 du RGPD) et leur traitement justifie une analyse d’impact (article 35 du RGPD). Le responsable du traitement doit procéder à cette analyse. Ce n’est qu’au moyen de cette analyse que l’on peut ensuite envisager les mesures à prendre.

Le déplacement du document d’un dossier à l’autre est une mesure parmi d’autres mais il est nécessaire de procéder à une approche globale du risque avant d’envisager la solution. Dans cette approche par le risque il est également nécessaire de prendre en compte l’ensemble du dossier administratif dont il est probable que son examen révèle la présence plus large de données de santé (qui ne se confondent pas avec des données médicales).

C’est la raison pour laquelle nous conseillons de cartographier, de manière exhaustive, tous les traitements puis de les auditer. Les mesures de correction des écarts ne viendront qu’ensuite. C’est en ce sens que la démarche de conformité RGPD est une démarche de projet.


Études de cas

Fait générateur

Le service RH d’un organisme gestionnaire diffuse à ses structures un courriel contenant, en pièce jointe, la liste des personnels salariés à partir de laquelle a été renseignée la Déclaration obligatoire d’emploi des travailleurs handicapés (DOETH) aux fins de vérification. Ici cette liste de diffusion est relativement large.

Analyse

Nous sommes bien avec ce fichier en présence d’un traitement au sens du RGPD et de la CNIL : « toute opération, ou ensemble d’opérations, portant sur [des] données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …) ».

Ce traitement collationne des données sensibles en vertu du Considérant 35 du RGPD : « Les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l’inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil (9) au bénéfice de cette personne physique; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé; des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro ». Dès lors ce traitement devrait faire l’objet d’une analyse d’impact (EIVP).

Conformité de ce traitement

La Déclaration obligatoire d’emploi des travailleurs handicapés (DOETH) est par essence obligatoire ; dès lors collationner les données pour renseigner la DOETH est licite. Il faudrait vérifier préalablement que ce traitement satisfasse à d’autres principes du RGPD, et notamment : la limitation de la conservation, l’information du salarié, l’analyse d’impact. A noter que le salarié ne peut pas s’opposer à ce que ses données personnelles soient traitées dès lors qu’il a choisi d’informer son employeur du fait qu’il a été l’objet d’une notification administrative reconnaissant sa qualité de travailleur handicapé.

Non-conformité de ce traitement

Ce traitement contrevient à au moins 2 éléments de conformité du RGPD :

  • le principe de confidentialité : les données doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées » (Article 5 du RGPD) ;
  • la sécurité : « lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite. » (Article 32 du RGPD). En l’espèce la sécurité n’est pas assurée en raison :
    • du support de diffusion choisi : un mail non sécurisé ;
    • du nombre très élevé de professionnels auxquels le traitement a été communiqué, le principe de proportionnalité n’est pas ici respecté. On se posera aussi la question de l’obligation de confidentialité de ces salariés : où et comment est-elle documentée ? quelle information/formation a été délivrée à ces salariés quant au traitement des données sensibles ;
    • enfin la transmission en pièce attachée est un élément aggravant du viol de la conformité en matière de sécurité de par la possibilité ainsi laissée à l’un quelconque des destinataires de télécharger le document, à la marge si le traitement a été transmis sous une forme modifiable (fichier Excel par exemple) cela constituerait un élément aggravant supplémentaire.

Convergence RGPD qu’aurait-il fallu faire ?

  1. une analyse d’impact (EIVP) ;
  2. cette analyse aurait sans doute conduit à s’interroger sur l’opportunité de réaliser un traitement ou de rechercher des solutions alternatives, par exemple le collationnement des RQTH ;
  3. si néanmoins le traitement s’était avéré nécessaire il aurait fallu prévoir un accès sécurisé au document (sur un serveur ad hoc par exemple) avec accès en lecture seule, en interdisant la possibilité de télécharger le document et cela pour un nombre d’acteurs strictement proportionné à la finalité du traitement ;
  4. former/informer les acteurs de ce processus ;
  5. l’existence d’une procédure serait un plus ;
  6. enfin s’agissant de données sensibles l’identification du Responsable du traitement (et des délégations qu’il a pu donner) est indispensable ;
  7. le Délégué à la protection des données aurait ici joué son rôle en réalisant l’analyse d’impact et en assistant le Responsable du traitement.

Position du problème

L’activité des structures sociales et médico-sociales peut conduire à la captation, au recueil, à l’utilisation, au traitement d’images fixes ou animées sur lesquelles figurent des personnes physiques : les personnes accueillies ou accompagnées, les membres de leur famille, les salariés, les bénévoles et toute autre personne en relation avec l’organisme.

L’examen du problème conduit à considérer que nous sommes en la matière aux confins de plusieurs droits :

  • Le droit à l’image.
  • Le droit au respect de la vie privée.
  • Le droit de la donnée personnelle.

Les deux premiers droits (droit à l’image et droit au respect de la vie privée) sont proches mais néanmoins distincts. Ainsi un fonctionnaire de police qui avait participé à un tournage et à ce titre autorisé préalablement l’utilisation de son image a pu obtenir réparation au motif du non-respect de sa vie privée dans la mesure où avaient aussi été diffusés son nom et son grade (1). Le droit au respect de la vie privée relève de l’article 9 du Code civil, l’atteinte au droit à l’image qui est d’ordre jurisprudentiel relève de l’article 1382 Code civil (2).

Du point de vue du droit de la donnée personnelle l’image est une donnée à caractère personnel en ce sens que, selon l’article 4 du RGPD elle s’apparente à une « information se rapportant à une personne physique identifiée ou identifiable; est réputée être une «personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». En tant que donnée à caractère personnel l’image est susceptible de faire l’objet d’un traitement défini par l’article 4 du RGPD comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

Ces différents droits vont entraîner des régimes spécifiques d’autorisation et d’usage.

Le droit à l’image

Le droit à l’image n’est consacré par aucun texte juridique particulier il relève de la jurisprudence. En vertu du droit à l’image l’utilisation – quel que soit le support de diffusion (y compris Internet) – procède d’un régime d’autorisation préalable. L’autorisation est donnée pour un usage spécifique. Ainsi une autorisation d’utilisation de l’image pour un usage papier ne vaut pas pour l’utilisation de cette même image sur Internet. Il existe des exceptions à ce régime d’autorisation préalable notamment celle de l’intérêt légitime du public d’être informé. Il n’est pas nécessaire que la personne soit dans un lieu privé pour que le droit à l’image s’établisse, la captation peut avoir intervenir dans un lieu public si la personne identifiable est détachée de son contexte et prise pour elle-même. Autrement dit : plusieurs personnes identifiables photographiées dans un lieu public : pas de droit à l’image ; une personne identifiable prise dans un lieu public et isolée du contexte : droit à l’image.

Ce droit entraîne une double autorisation à obtenir de la part de la personne sont l’image est captée : l’autorisation de captation et l’autorisation d’utilisation (ces deux autorisations pouvant être recueillies dans un même document). L’autorisation de captation précise quand et comment l’image a été obtenue. L’autorisation d’utilisation couvre l’usage précis qui sera fait de la captation. Cette autorisation doit être réitérée si un usage différent de celui pour laquelle l’autorisation a été donnée doit être fait.

Le droit au respect de la vie privée

Ce droit va être actionné particulièrement s’agissant de l’image captée dans un lieu privé (cas d’un usager photographié dans sa chambre). A noter que la jurisprudence propose une conception extensive du lieu privé (par exemple un supermarché). Cette conception pourrait, à l’évidence, être étendue à l’ensemble d’un établissement social ou médico-social.

Les régimes d’utilisation de l’image

Droit à l’image et droit au respect de la vie privée

En vertu des deux droits décrits plus haut l’utilisation de l’image (sauf les exceptions énoncées plus haut : droit du public à être informé) relève d’un régime strict d’autorisation accompagné d’une description de l’usage.

Cas des salariés

En contexte professionnel le droit à l’utilisation de l’image peut être extensif. Une jurisprudence constante considère que les photos de personnes prises sur le lieu du travail ou dans l’exercice de leurs fonctions peuvent être exploitées sans l’accord des intéressés. La seule limite est celle de l’exploitation des images en direction d’un certain public. Ainsi un organigramme sur un site web, un « trombinoscope » à l’usage des résidents pourraient être l’occasion d’utiliser l’image sans autorisation préalable. Dans une décision du 27 août 2015 le Tribunal d’instance de Saint-Denis rappelle que le droit à l’image n’est pas un droit absolu et il juge qu’il ne s’applique pas dans le cadre professionnel. Le tribunal estime que lorsque les photographies « n’excèdent pas l’activité professionnelle consécutive de la finalité de la captation des images litigieuses, les diffusions non préalablement autorisées ne sont pas constitutives d’une atteinte aux droits de la personne en cause (3)» . On prendra garde toutefois de considérer que cette jurisprudence peut être discutable et qu’elle se fonde essentiellement sur le caractère professionnel de l’image et la légitimité de son utilisation en contexte professionnel. Dans les faits une sage précaution serait d’introduire une clause d’utilisation de l’image dans le contrat de travail ou tout autre document du même type.

Cas des personnes accueillies et accompagnées

La double autorisation de captation et d’usage de la captation est requise. Le consentement donné par la personne ou ses représentants légaux doit être éclairé. La pratique qui vise à obtenir l’accord de manière générale et pour tous usages n’est pas conforme.

Droit de la donnée personnelle

Du point de vue du droit de la donnée personnelle l’image est une donnée à caractère personnel, on pourrait même la qualifier, eu égard aux deux droits décrits plus haut, de donnée à caractère hautement personnel, voire de donnée « sensible » si, par exemple, elle est utilisée dans un traitement de reconnaissance faciale ou si elle révèle une situation de handicap.

Le traitement de cette donnée doit répondre aux principes définis dans l’article 5 du RGPD. Cette donnée doit être :

  • traitée de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
  • collectée pour des finalités déterminées, explicites et légitimes, et ne pas être traitée ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;
  • adéquate, pertinente et limitée à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
  • exacte et, si nécessaire, tenue à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;
  • conservée sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
  • traitée de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;

Le Responsable du traitement est responsable du respect de ces principes et doit être en mesure de démontrer que ceux-ci sont respectés.

S’agissant du régime d’utilisation le traitement de la donnée à caractère personnel que constitue l’image est défini par l’article 6 du RGPD qui énumère les conditions dans lesquelles un traitement est licite :

  1. la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
  2. le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
  3. le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
  4. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  5. le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
  6. le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Comme pour tous les autres cas de traitement de données à caractère personnel il s’agira donc de définir la base légale du traitement. On insistera sur 2 points :

  • la base légale du traitement n’est pas nécessairement le consentement (cas des salariés) mais on prendra en compte le régime d’autorisation (droit à l’image),
  • si on retient comme base légale l’intérêt légitime du responsable du traitement on prendra en compte la nécessité de le définir et on accordera une attention particulière pour veiller qu’il ne se heurte pas aux droits et libertés de la personne (enfant ou personne vulnérable).

En conclusion

Il ressort de cette analyse :

  • que la réglementation en matière de protection des données à caractère personnel n’est pas exclusive d’autres dispositions légales qu’il appartient chaque fois de rechercher et d’invoquer,
  • que pour ce qui est de l’image et de son utilisation le RGPD n’est pas en contradiction avec les autres droits mais il est plutôt complémentaire :
    • le consentement équivaut à l’autorisation,
  • les finalités sont à rapprocher de l’utilisation,
  • que le RGPD ajoute des exigences supplémentaires :
    • du point de vue de la durée de conservation,
  • quant au caractère adéquat, pertinent et limité du traitement (on ne collecte pas la photo si on n’en n’a pas besoin),
    • du point de vue de la sécurité de la donnée,
  • que l’approche que le Responsable du traitement doit faire de la question est d’abord une approche par le risque selon le principe d’accountability. Cette approche à caractère itératif conduira à trouver des réponses à chacun des risques identifiés de manière à laisser subsister le moins possible de risques résiduels. In fine il appartient au Responsable du traitement de prendre la décision avec l’aide et les conseils du Délégué à la protection des données (DPO),
  • que cette approche doit se fonder avant tout sur l’intérêt de la personne concernée (la personne dont les données sont traitées).

(1) : Cour de cassation 4/11/2011.
(2) : Article 1382 « Les présomptions qui ne sont pas établies par la loi, sont laissées à l’appréciation du juge, qui ne doit les admettre que si elles sont graves, précises et concordantes, et dans les cas seulement où la loi admet la preuve par tout moyen. »
(3) : Lexing Alain Bensoussan avocat [en ligne : https://www.alain-bensoussan.com/avocats/droit-image/2015/10/16/] consulté le 30 septembre 2018.