FAQ : Règlement général sur la protection des données

Vous vous interrogez sur la mise en application du RGPD et les implications pour votre organisation ? Adressez vos questions à contact@ressourcial.fr. Nous les étudierons et, dans la mesure du possible, publierons ici nos réponses.

Notez que l’ensemble des informations communiquées ici sont le résultat de notre interprétation des textes en vigueur. Elles ne pourront à aucun moment engager notre responsabilité.

Pour en savoir plus sur l’accompagnement que Ressourcial peut vous proposer dans la mise en conformité de votre organisation avec le RGPD, consultez notre article : Le RGPD et les questions relatives à la protection des données personnelles et notre page : RGPD et Protection des données personnelles

Le RGPD en quelques mots

Un acte juridique européen. Le règlement s’impose à tous les sujets de droit : particuliers, États, institutions. Il s’applique à tous : les acteurs français, les acteurs européens, les acteurs étrangers qui traitent des données d’européens.

La date d’entrée en vigueur est le 24 mai 2016 , pour une mise en application à partir du 25 mai 2018.

Ce règlement s’applique à toute structure (qu’elle soit responsable de traitement des données ou sous-traitant) :

  • ayant un établissement dans l’Union européenne ;
  • ou proposant une offre de biens ou de services visant les personnes qui se trouvent sur le territoire de l’Union européenne. Les actions de profilage visant cette cible sont également concernées.

Il n’y a donc pas de critère de taille d’entreprise, de lieu de stockage des données ou encore de secteur d’activité : toute entreprise qui cible le territoire européen et effectue des traitements de données à caractère personnel est concernée par ce règlement.

L’ensemble des métiers de l’entreprise sont concernés (et non pas seulement, par exemple, la direction générale, le DSI ou la direction juridique).

3 impacts au moins :
• financier : des pénalités lourdes (2 à 4% du CA) et l’indemnisation des victimes,
• juridiques : des condamnations pénales peuvent être encourues,
• image : obligation de notifier les failles de sécurité, actions de groupe.

Cette infographie est issue d’un groupe de travail du Club de la Sécurité de l’Information Français (CLUSIF, www.clusif.fr). Elle résume le Règlement Général sur la Protection des Données. Elle ne peut pas être exhaustive mais offre une grille de lecture graphique et synthétique pour découvrir la portée de la règlementation, puis s’y référer ultérieurement.

Cliquer sur l’image pour télécharger le fichier en haute définition
Attention, document sous licence Creative Commons Attribution BY-NC-ND 3.0 FR (pas d’utilisation commerciale – pas de modification)

Un peu de terminologie

Une donnée personnelle caractérise toute information identifiant directement ou indirectement une personne physique (exemples : nom, numéro d’immatriculation, numéro de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale, etc.).

Le RGPD concerne toutes les données personnelles (et quel que soit leur support, numérique ou physique) que traite l’Organisme Gestionnaire, donc aussi bien les données des usagers que celles des salariés et des bénévoles.

Les données traitées éventuellement pour le compte d’autres organisations sont aussi concernées. Les archives également.

A noter que le RGPD concerne plus les traitements de données que les données en elle-même.

Toute opération, ou ensemble d’opérations, portant sur les données, quel que soit le procédé (automatisé ou manuel) utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …). Le fichier Excel permettant d’organiser les services de restauration, celui qui permet de dispatcher les services de transport, celui qui organise le planning des personnels sont des traitements au sens du RGP.

Ce peut être une personne morale ou une personne physique. La notion est très large et le G29 recommande de chercher plutôt la responsabilité d’une personne morale. Le responsable est celui qui a un pouvoir décisionnel sur les finalités et les moyens du traitement. La notion de responsabilité s’apprécie au cas par cas (responsabilité totale ou responsabilité conjointe avec un sous-traitant). Dans notre secteur les dirigeants élus, les dirigeants salariés, pourront, en fonction des régimes de délégation, être considérés comme responsable des traitements.

Les principales nouveautés engendrées par le RGPD

La responsabilisation (dite encore accountability) se traduit essentiellement par la suppression des contrôles a priori (l’autorisation de la CNIL). Tout traitement est dès l’origine réputé conforme et les contrôles ne s’exerceront plus qu’a posteriori. Commanditaire et sous-traitant sont solidairement responsables. En outre il est fait obligation de déclarer à la CNIL (et le plus souvent aux autorités de tarification) toute faille de sécurité connue. Cette obligation est assortie de l’obligation d’informer les personnes dont les données sont susceptibles d’être affectées par la faille.

Ce renforcement se matérialise par 5 dispositions nouvelles :

  • le consentement qui doit être explicite, éclairé et traçable,
  • la portabilité des données : la possibilité, sous réserve du consentement, de transférer les données d’un système informatique à un autre,
  • le droit d’accès et de rectification qui peut être délégué à une association ou une organisation dans le cadre d’actions de groupe,
  • le droit à l’oubli permettant de demander la suppression de toutes les données à caractère personnel,

la protection des mineurs avec l’exigence d’une autorisation parentale pour le recueil de données concernant les mineurs de moins de 16 ans.

La protection des données doit être intégrée dès la conception du traitement (cette notion est quelquefois dénommée « privacy by design »). Tout traitement est réputé assurer la protection des données personnelles (cela est quelquefois dénommé « privacy by default »). La mise en œuvre de tout traitement présentant un risque élevé doit faire l’objet d’une étude d’impact.

Le DPO : délégué à la protection des données

La désignation d’un Délégué est rendue obligatoire dans les cas suivants :

  • Les autorités et organismes publics (par exemple, les ministères, collectivités territoriales, établissements publics).
  • Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Par exemple : les compagnies d’assurance ou les banques pour leurs fichiers clients, les opérateurs téléphoniques ou les fournisseurs d’accès internet.
  • Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

La désignation d’un DPO est une obligation dans le secteur social et médico-social.

Le DPO peut être interne (salarié de l’association), externe ou mutualisé, il doit posséder des connaissances en matière de protection des données et être à l’abri des conflits d’intérêts (il ne peut être responsable de traitements).

  • informer, conseiller et accompagner au sein de sa structure ;
  • sensibiliser aux enjeux de la protection des données personnelles les salariés comme les « clients » ;
  • superviser des audits internes sur la protection des données personnelles ;
  • conseiller le responsable sur l’opportunité de réaliser une analyse d’impact vie privée (PIA) et d’en vérifier l’exécution ;
  • recevoir et répondre aux réclamations relatives à la protection des données ;
  • coopérer avec l’autorité de contrôle (en France, la CNIL) et être son point de contact au sein de sa structure.

S’agissant d’un organisme de formation de travailleurs sociaux indiscutablement oui. Des données personnelles sont en effet traitées à grande échelle, de plus le DPO peut aider à promouvoir la culture de la protection des données auprès des étudiants (les personnes formées).

Il y a très peu d’organismes gestionnaires dont la taille justifie un poste de DPO à temps plein, c’est donc une bonne idée de coupler cette mission avec une autre. Néanmoins, dans ce cas précis, il y a un risque fort de conflit d’intérêt (article 38 alinéa 6 du RGPD). Le DPO ne peut en effet pas être « juge et partie » c’est-à-dire déterminer les finalités et les moyens d’un fichier et se prononcer sur la licéité ou l’impact d’un traitement. La mission d’un analyste décisionnel consiste, entre autres, à croiser les fichiers pour en extraire des représentations (indicateurs, tableaux de bord). Le conflit d’intérêt nous semble ici constitué.

Que faire ?

  • Désigner le Délégué à la protection des données (DPO).
  • Faire l’état des lieux : dresser la cartographie des traitements et évaluer le niveau de sécurité du Système d’Information.
  • Élaborer la feuille de route conduisant à la convergence avec le RGPD

Les traitements de données

Selon nous, la réponse est oui. À partir de là, deux cas de figure :

  • S’il s’agit d’un carnet d’adresse personnel, le fait que les personnes qui y figurent ont donné leurs coordonnées (oralement ou en vous donnant leur carte de visite) témoigne de leur consentement. De votre côté, vous ne pouvez en revanche pas en faire d’autre usage que celui auquel vos correspondants ont consenti (par exemple y ajouter d’autres mentions, notamment des données sensibles) ou encore le céder de quelque manière que ce soit à un tiers.
  • S’il s’agit d’un carnet d’adresse de l’association, il est utilisé par différents collaborateurs et/ou à des usages collectifs (par exemple pour du mailing, de la prospection, de la diffusion d’information, etc.). Nous conseillerions alors de recueillir les consentements explicites et de déclarer cette base de données dans le registre des traitements de l’association.

C’est un point essentiel. Il s’agit bien de traitement tombant dans le champ du RGPD d’où la nécessité de renforcer nos procédures et de former les salariés. Bien sûr il faudra communiquer de manière continue sur le sujet.

Date de rédaction de cette réponse : novembre 2017.

Sans se prononcer sur le fait du bien-fondé pour le prestataire de demander des ordonnances, il y a ici traitement de données personnelles. En effet le croisement du fichier des régimes (anonyme) avec les ordonnances (par essence nominatives) présente un risque d’impact fort. Au delà du traitement de données personnelles, ce sont ici des données sensibles (données de santé) qui sont traitées. La responsabilité du prestataire est ici engagée de même que celle de l’organisme gestionnaire. Il y a lieu de procéder à une étude d’impact et de revoir le contrat qui lie l’organisme gestionnaire avec le prestataire pour s’assurer de sa conformité avec le RGPD (cf. articles 26, 28 et considérant 79 du RGPD).

Le responsable des traitements de données

L’article 4 alinéa 7 du RGPD dispose : « responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».
Le critère de la nature de la personne responsable est très large. Toutefois le G29 recommande qu’une telle qualification soit plutôt appliquée à une personne morale qu’à une personne physique (par exemple un salarié de l’entreprise). On est donc dans l’ordre de la responsabilité de l’association représentée par son Président et, par délégation, le Directeur Général. On entre là dans le champ du contentieux et comme il est assez constant il est probable que le juge aille chercher la responsabilité « là où est l’argent » (penser à l’indemnisation) mais l’action récursoire de l’employeur envers son salarié est envisageable.

Date de rédaction de cette réponse : novembre 2017.

L’obtention du consentement des personnes

Le texte précise que « le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale ».

Le silence de la personne ne vaut donc en aucun cas consentement. Par ailleurs, ce consentement doit pouvoir être retiré aussi simplement qu’il a été donné et la personne informée de cette possibilité de retrait.

Même anonymisées de telles données, croisées entre elles, permettent de lever l’anonymat. Il est en effet envisageable d’anonymiser (par exemple avec un numéro d’enregistrement délivré par le système) puisque le nom n’est ici pas nécessaire ; c’est une mesure de protection de base, mais il sera indispensable de requérir le consentement éclairé des salariés en précisant comment seront présentées les données (notamment l’anonymisation). Il faut aussi être attentif au fait que, dans ce logiciel, toutes les données qui ne sont pas de droit dans l’exécution du contrat de travail pourront faire l’objet, de la part des salariés, de demandes de rectification ou d’effacement, en application de l’article 21 du RGPD.

Oui, c’est envisageable. Il faudra néanmoins s’assurer que le consentement soit explicite et éclairé, donc apporter la preuve que toutes les informations permettant de comprendre, traitement par traitement, à quoi les usagers consentent leur auront été communiquées. Il vous faudra également être attentifs à la vie de ce document dans la durée (par exemple tout nouveau traitement devra faire l’objet d’un nouveau consentement.

Questions diverses

Tout à fait. De manière générale, à ce stade c’est l’obligation de moyens qui doit être mise en avant. Cela d’autant plus que les dispositions relatives à l’application du règlement sont, à ce jour, loin d’être toutes publiées. On peut toutefois pointer certaines obligations de résultats : faire droit, dans un délai d’un mois, à toute demande d’une personne, notifier les failles de sécurité, nommer un DPO, etc. La CNIL française a souhaité que, dans la foulée du RGPD, la loi Informatique et Libertés du 6 janvier 1978 soit réécrite. Dans l’immédiat il nous semble surtout nécessaire d’attester que nous nous sommes saisis de la question.

Date de rédaction de cette réponse : novembre 2017.

Le sous-traitant (ici l’éditeur) est conjointement et solidairement responsable. Autrement dit la responsabilité de l’éditeur n’exonère pas celle de son client. Ce dernier doit s’assurer que le sous-traitant présente des garanties suffisantes. La seule exonération de responsabilité du responsable du traitement et du sous-traitant serait liée au fait que le dommage ne leur est pas imputable (ce qu’il faudrait prouver).

Date de rédaction de cette réponse : décembre 2017.

Les principes sont clairement posés dans le règlement et peuvent se résumer ainsi : les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement d’une manière incompatible avec ces finalités :

  • Les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités (article 5, alinéa 1).
  • Les données sont traitées de façon à garantir une sécurité appropriée des données à caractère personnel (article 5, alinéa 1).
  • Le responsable du traitement met en œuvre, à la détermination des moyens du traitement et au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées (article 25, alinéa 1).
  • Il met en œuvre les mesures techniques et organisationnelles pour garantir que seules les données nécessaires au regard de chaque finalité sont traitées (article 25, alinéa 2).
  • Le responsable du traitement tient un registre des activités de traitement avec : – le nom et les coordonnées du responsable du traitement, – les finalités du traitement, – une catégorisation des données (article 30, alinéa 1).

Sur les aspects techniques (sécurité, interopérabilité), c’est la référence à l’état de l’art qui fait foi.

Date de rédaction de cette réponse : janvier 2018.

L’article 17 du RGPD répond à cette interrogation lorsqu’il précise que le droit ne s’applique pas dans la mesure où le traitement est nécessaire, notamment dans ces 2 cas :

« b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

c) pour des motifs d’intérêt public dans le domaine de la santé publique, conformément à l’article 9. »

Quelques études de cas

Fait générateur

Le service RH d’un organisme gestionnaire diffuse à ses structures un courriel contenant, en pièce jointe, la liste des personnels salariés à partir de laquelle a été renseignée la Déclaration obligatoire d’emploi des travailleurs handicapés (DOETH) aux fins de vérification. Ici cette liste de diffusion est relativement large.

Analyse

Nous sommes bien avec ce fichier en présence d’un traitement au sens du RGPD et de la CNIL : « toute opération, ou ensemble d’opérations, portant sur [des] données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …) ».

Ce traitement collationne des données sensibles en vertu du Considérant 35 du RGPD : « Les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l’inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil (9) au bénéfice de cette personne physique; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé; des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro ». Dès lors ce traitement devrait faire l’objet d’une analyse d’impact (EIVP).

Conformité de ce traitement

La Déclaration obligatoire d’emploi des travailleurs handicapés (DOETH) est par essence obligatoire ; dès lors collationner les données pour renseigner la DOETH est licite. Il faudrait vérifier préalablement que ce traitement satisfasse à d’autres principes du RGPD, et notamment : la limitation de la conservation, l’information du salarié, l’analyse d’impact. A noter que le salarié ne peut pas s’opposer à ce que ses données personnelles soient traitées dès lors qu’il a choisi d’informer son employeur du fait qu’il a été l’objet d’une notification administrative reconnaissant sa qualité de travailleur handicapé.

Non-conformité de ce traitement

Ce traitement contrevient à au moins 2 éléments de conformité du RGPD :

  • le principe de confidentialité : les données doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées » (Article 5 du RGPD) ;
  • la sécurité : « lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite. » (Article 32 du RGPD). En l’espèce la sécurité n’est pas assurée en raison :
    • du support de diffusion choisi : un mail non sécurisé ;
    • du nombre très élevé de professionnels auxquels le traitement a été communiqué, le principe de proportionnalité n’est pas ici respecté. On se posera aussi la question de l’obligation de confidentialité de ces salariés : où et comment est-elle documentée ? quelle information/formation a été délivrée à ces salariés quant au traitement des données sensibles ;
    • enfin la transmission en pièce attachée est un élément aggravant du viol de la conformité en matière de sécurité de par la possibilité ainsi laissée à l’un quelconque des destinataires de télécharger le document, à la marge si le traitement a été transmis sous une forme modifiable (fichier Excel par exemple) cela constituerait un élément aggravant supplémentaire.

Convergence RGPD qu’aurait-il fallu faire ?

  1. une analyse d’impact (EIVP) ;
  2. cette analyse aurait sans doute conduit à s’interroger sur l’opportunité de réaliser un traitement ou de rechercher des solutions alternatives, par exemple le collationnement des RQTH ;
  3. si néanmoins le traitement s’était avéré nécessaire il aurait fallu prévoir un accès sécurisé au document (sur un serveur ad hoc par exemple) avec accès en lecture seule, en interdisant la possibilité de télécharger le document et cela pour un nombre d’acteurs strictement proportionné à la finalité du traitement ;
  4. former/informer les acteurs de ce processus ;
  5. l’existence d’une procédure serait un plus ;
  6. enfin s’agissant de données sensibles l’identification du Responsable du traitement (et des délégations qu’il a pu donner) est indispensable ;
  7. le Délégué à la protection des données aurait ici joué son rôle en réalisant l’analyse d’impact et en assistant le Responsable du traitement.