FAQ : Règlement général sur la protection des données

Vous vous interrogez sur la mise en application du RGPD et les implications pour votre organisation ? Adressez vos questions à contact@ressourcial.fr. Nous les étudierons et, dans la mesure du possible, publierons ici nos réponses.

Notez que l’ensemble des informations communiquées ici sont le résultat de notre interprétation des textes en vigueur. Elles ne pourront à aucun moment engager notre responsabilité.

Pour en savoir plus sur l’accompagnement que Ressourcial peut vous proposer dans la mise en conformité de votre organisation avec le RGPD, consultez notre article : Le RGPD et les questions relatives à la protection des données personnelles et notre page : RGPD et Protection des données personnelles


Ressources documentaires

Nous proposons ici en téléchargement des ressources documentaires que nous avons sélectionnées pour leur pertinence.

  • Texte intégral du RGPD commenté par l’AFCDP (Association Française des Correspondants aux Données Personnelles) : lien de téléchargement
  • Lignes directrices du G29, groupe de travail réunissant les 29 autorités de contrôle européennes dont la CNIL (qui sera remplacé le 25 mai 2018 par le Comité Européen de la Protection des Données : CEDP) : lien de téléchargement

Le RGPD en quelques mots

Un acte juridique européen. Le règlement s’impose à tous les sujets de droit : particuliers, États, institutions. Il s’applique à tous : les acteurs français, les acteurs européens, les acteurs étrangers qui traitent des données d’européens.

La date d’entrée en vigueur est le 24 mai 2016 , pour une mise en application à partir du 25 mai 2018.

Ce règlement s’applique à toute structure (qu’elle soit responsable de traitement des données ou sous-traitant) :

  • ayant un établissement dans l’Union européenne ;
  • ou proposant une offre de biens ou de services visant les personnes qui se trouvent sur le territoire de l’Union européenne. Les actions de profilage visant cette cible sont également concernées.

Il n’y a donc pas de critère de taille d’entreprise, de lieu de stockage des données ou encore de secteur d’activité : toute entreprise qui cible le territoire européen et effectue des traitements de données à caractère personnel est concernée par ce règlement.

L’ensemble des métiers de l’entreprise sont concernés (et non pas seulement, par exemple, la direction générale, le DSI ou la direction juridique).

3 impacts au moins :
• financier : des pénalités lourdes (2 à 4% du CA) et l’indemnisation des victimes,
• juridiques : des condamnations pénales peuvent être encourues,
• image : obligation de notifier les failles de sécurité, actions de groupe.

Cette infographie est issue d’un groupe de travail du Club de la Sécurité de l’Information Français (CLUSIF, www.clusif.fr). Elle résume le Règlement Général sur la Protection des Données. Elle ne peut pas être exhaustive mais offre une grille de lecture graphique et synthétique pour découvrir la portée de la règlementation, puis s’y référer ultérieurement.

Cliquer sur l’image pour télécharger le fichier en haute définition
Attention, document sous licence Creative Commons Attribution BY-NC-ND 3.0 FR (pas d’utilisation commerciale – pas de modification)


Un peu de terminologie

Une donnée personnelle caractérise toute information identifiant directement ou indirectement une personne physique (exemples : nom, numéro d’immatriculation, numéro de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale, etc.).

Le RGPD concerne toutes les données personnelles (et quel que soit leur support, numérique ou physique) que traite l’Organisme Gestionnaire, donc aussi bien les données des usagers que celles des salariés et des bénévoles.

Les données traitées éventuellement pour le compte d’autres organisations sont aussi concernées. Les archives également.

A noter que le RGPD concerne plus les traitements de données que les données en elle-même.

Toute opération, ou ensemble d’opérations, portant sur les données, quel que soit le procédé (automatisé ou manuel) utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …). Le fichier Excel permettant d’organiser les services de restauration, celui qui permet de dispatcher les services de transport, celui qui organise le planning des personnels sont des traitements au sens du RGP.

Ce peut être une personne morale ou une personne physique. La notion est très large et le G29 recommande de chercher plutôt la responsabilité d’une personne morale. Le responsable est celui qui a un pouvoir décisionnel sur les finalités et les moyens du traitement. La notion de responsabilité s’apprécie au cas par cas (responsabilité totale ou responsabilité conjointe avec un sous-traitant). Dans notre secteur les dirigeants élus, les dirigeants salariés, pourront, en fonction des régimes de délégation, être considérés comme responsable des traitements.


Les principales nouveautés engendrées par le RGPD

La responsabilisation (dite encore accountability) se traduit essentiellement par la suppression des contrôles a priori (l’autorisation de la CNIL). Tout traitement est dès l’origine réputé conforme et les contrôles ne s’exerceront plus qu’a posteriori. Commanditaire et sous-traitant sont solidairement responsables. En outre il est fait obligation de déclarer à la CNIL (et le plus souvent aux autorités de tarification) toute faille de sécurité connue. Cette obligation est assortie de l’obligation d’informer les personnes dont les données sont susceptibles d’être affectées par la faille.

Ce renforcement se matérialise par 5 dispositions nouvelles :

  • le consentement qui doit être explicite, éclairé et traçable,
  • la portabilité des données : la possibilité, sous réserve du consentement, de transférer les données d’un système informatique à un autre,
  • le droit d’accès et de rectification qui peut être délégué à une association ou une organisation dans le cadre d’actions de groupe,
  • le droit à l’oubli permettant de demander la suppression de toutes les données à caractère personnel,

la protection des mineurs avec l’exigence d’une autorisation parentale pour le recueil de données concernant les mineurs de moins de 16 ans.

La protection des données doit être intégrée dès la conception du traitement (cette notion est quelquefois dénommée « privacy by design »). Tout traitement est réputé assurer la protection des données personnelles (cela est quelquefois dénommé « privacy by default »). La mise en œuvre de tout traitement présentant un risque élevé doit faire l’objet d’une étude d’impact.


Le DPO : délégué à la protection des données

La désignation d’un Délégué est rendue obligatoire dans les cas suivants :

  • Les autorités et organismes publics (par exemple, les ministères, collectivités territoriales, établissements publics).
  • Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Par exemple : les compagnies d’assurance ou les banques pour leurs fichiers clients, les opérateurs téléphoniques ou les fournisseurs d’accès internet.
  • Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

La désignation d’un DPO est une obligation dans le secteur social et médico-social.

Le DPO peut être interne (salarié de l’association), externe ou mutualisé, il doit posséder des connaissances en matière de protection des données et être à l’abri des conflits d’intérêts (il ne peut être responsable de traitements).

  • informer, conseiller et accompagner au sein de sa structure ;
  • sensibiliser aux enjeux de la protection des données personnelles les salariés comme les « clients » ;
  • superviser des audits internes sur la protection des données personnelles ;
  • conseiller le responsable sur l’opportunité de réaliser une analyse d’impact vie privée (PIA) et d’en vérifier l’exécution ;
  • recevoir et répondre aux réclamations relatives à la protection des données ;
  • coopérer avec l’autorité de contrôle (en France, la CNIL) et être son point de contact au sein de sa structure.

S’agissant d’un organisme de formation de travailleurs sociaux indiscutablement oui. Des données personnelles sont en effet traitées à grande échelle, de plus le DPO peut aider à promouvoir la culture de la protection des données auprès des étudiants (les personnes formées).

Aux termes de l’article 37 du RGPD, le DPO est obligatoire :

  • lorsque « le traitement est effectué par une autorité publique ou un organisme public »
  • lorsque « les activités de base […] consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ».
  • « les activités de base […]consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ».

Éclaircissements :

  • par « grande échelle » on peut entendre le volume, le territoire ou la durée du traitement (cas du parcours d’un usager) ;
  • s’agissant de la notion de suivi systématique et régulier : le Considérant 24 du Règlement dispose que pour déterminer s’il y a suivi, il convient « d’établir si les personnes physiques sont suivies sur Internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit. » ;
  • l’article 9 du RGPD définit la notion « Traitement sur des catégories particulières de données à caractère personnel », il s’agit notamment des données de santé ;
  • la notion de suivi implique toutes les formes de suivi y compris ceux qui ne sont pas effectués en ligne.

Chacun des motifs rendant la désignation obligatoire d’un Délégué à la protection des données personnelles est à considérer isolément.

Commentaire :

  • Les IRTS sont des personnes morales de droit privé poursuivant une mission d’intérêt général et financées principalement sur fonds publics si l’on se réfère à l’Ordonnance du 23/7/2015 et à l’Article L311-1 du CASF).
  • L’activité principale d’un IRTS implique de suivre les étudiants et donc de traiter d’un volume important de données personnelles les concernant.

Pour ces motifs il paraît bien que la désignation d’un Délégué à la protection des données personnelles soit obligatoire dans un IRTS. Ajoutons que dans les missions du DPO figure celles de conseil et d’information permettant de développer une culture de la protection des données personnelles dans l’entreprise ce qui s’agissant du rôle des IRTS dans la formation des travailleurs sociaux constitue un apport indéniable.

Il y a très peu d’organismes gestionnaires dont la taille justifie un poste de DPO à temps plein, c’est donc une bonne idée de coupler cette mission avec une autre. Néanmoins, dans ce cas précis, il y a un risque fort de conflit d’intérêt (article 38 alinéa 6 du RGPD). Le DPO ne peut en effet pas être « juge et partie » c’est-à-dire déterminer les finalités et les moyens d’un fichier et se prononcer sur la licéité ou l’impact d’un traitement. La mission d’un analyste décisionnel consiste, entre autres, à croiser les fichiers pour en extraire des représentations (indicateurs, tableaux de bord). Le conflit d’intérêt nous semble ici constitué.


Que faire ?

  • Désigner le Délégué à la protection des données (DPO).
  • Faire l’état des lieux : dresser la cartographie des traitements et évaluer le niveau de sécurité du Système d’Information.
  • Élaborer la feuille de route conduisant à la convergence avec le RGPD

Les traitements de données

Selon nous, la réponse est oui. À partir de là, deux cas de figure :

  • S’il s’agit d’un carnet d’adresse personnel, l’article 2 du RGPD exclut du champ d’application du règlement les traitements réalisés « par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ». Le carnet d’adresse personnel d’un smartphone n’entre donc pas dans le cadre du RGPD.
  • S’il s’agit d’un carnet d’adresse de l’association, il est utilisé par différents collaborateurs et/ou à des usages collectifs (par exemple pour du mailing, de la prospection, de la diffusion d’information, etc.). Nous conseillerions alors de recueillir les consentements explicites et de déclarer cette base de données dans le registre des traitements de l’association.

C’est un point essentiel. Il s’agit bien de traitement tombant dans le champ du RGPD d’où la nécessité de renforcer nos procédures et de former les salariés. Bien sûr il faudra communiquer de manière continue sur le sujet.

Date de rédaction de cette réponse : novembre 2017.

Sans se prononcer sur le fait du bien-fondé pour le prestataire de demander des ordonnances, il y a ici traitement de données personnelles. En effet le croisement du fichier des régimes (anonyme) avec les ordonnances (par essence nominatives) présente un risque d’impact fort. Au delà du traitement de données personnelles, ce sont ici des données sensibles (données de santé) qui sont traitées. La responsabilité du prestataire est ici engagée de même que celle de l’organisme gestionnaire. Il y a lieu de procéder à une étude d’impact et de revoir le contrat qui lie l’organisme gestionnaire avec le prestataire pour s’assurer de sa conformité avec le RGPD (cf. articles 26, 28 et considérant 79 du RGPD).


Le responsable des traitements de données

L’article 4 alinéa 7 du RGPD dispose : « responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».
Le critère de la nature de la personne responsable est très large. Toutefois le G29 recommande qu’une telle qualification soit plutôt appliquée à une personne morale qu’à une personne physique (par exemple un salarié de l’entreprise). On est donc dans l’ordre de la responsabilité de l’association représentée par son Président et, par délégation, le Directeur Général. On entre là dans le champ du contentieux et comme il est assez constant il est probable que le juge aille chercher la responsabilité « là où est l’argent » (penser à l’indemnisation) mais l’action récursoire de l’employeur envers son salarié est envisageable.

Date de rédaction de cette réponse : novembre 2017.


L’obtention du consentement des personnes

Le texte précise que « le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale ».

Le silence de la personne ne vaut donc en aucun cas consentement. Par ailleurs, ce consentement doit pouvoir être retiré aussi simplement qu’il a été donné et la personne informée de cette possibilité de retrait.

Alors que le RGPD érige le droit des personnes les données sont traitées à se voir délivrer des informations relatives aux finalités du traitement, à la durée de conservation des données, au responsable du traitement, etc. il ne requiert pas dans tous les cas le consentement de la personne. Ainsi, si le consentement explicite de la personne est requis lorsque le traitement concerne des données sensibles (telles que les données de santé) le RGPD n’autorise pas moins le traitement sans que le consentement soit nécessaire lorsque :

  • le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective […] ; c’est le cas par exemple pour les données personnelles du salarié traitées dans le cadre de l’exécution du contrat de travail ; c’est le cas aussi pour les données relatives au dossier de l’usager dont la tenue obligatoire a été introduite par la Loi du 2 janvier 2002 rénovant le code de l’action sociale et des familles (CASF) ;
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
  • ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union, au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents ; les données recueillies auprès de l’usager lors de l’admission entrent également de toute évidence dans cette catégorie.

Commentaire :

Pour accomplir leur mission dans l’intérêt de la personne et dans le cadre des obligations règlementaires qui sont les leurs les ESMS sont amenés à recueillir, dès l’admission, des données personnelles auprès de l’usager. Ce recueil ne requiert pas que soit recueilli le consentement de l’intéressé quant à son refus éventuel de voir collectées auprès d’elle des données pour un traitement dont on lui aura expliqué la finalité, la nature, les modalités, le responsable, etc. ainsi que le RGPD en fait obligation, il rendrait impossible la conclusion du contrat de séjour et ipso facto rendrait impossible l’admission de ce même usager au sein de l’ESMS.

Même anonymisées de telles données, croisées entre elles, permettent de lever l’anonymat. Il est en effet envisageable d’anonymiser (par exemple avec un numéro d’enregistrement délivré par le système) puisque le nom n’est ici pas nécessaire ; c’est une mesure de protection de base, mais il sera indispensable de requérir le consentement éclairé des salariés en précisant comment seront présentées les données (notamment l’anonymisation). Il faut aussi être attentif au fait que, dans ce logiciel, toutes les données qui ne sont pas de droit dans l’exécution du contrat de travail pourront faire l’objet, de la part des salariés, de demandes de rectification ou d’effacement, en application de l’article 21 du RGPD.

Oui, c’est envisageable. Il faudra néanmoins s’assurer que le consentement soit explicite et éclairé, donc apporter la preuve que toutes les informations permettant de comprendre, traitement par traitement, à quoi les usagers consentent leur auront été communiquées. Il vous faudra également être attentifs à la vie de ce document dans la durée (par exemple tout nouveau traitement devra faire l’objet d’un nouveau consentement.


L’analyse d’impact

Voici la position de la CNIL sur la question : cliquer ici pour consulter l’article de la CNIL.

Dans un souci de simplicité et d’accompagnement, la CNIL n’exigera pas la réalisation immédiate d’une analyse d’impact pour les traitements :

  • qui ont régulièrement fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018 (récépissé, autorisation, avis de la CNIL),
  • ou qui ont été consignés au registre d’un correspondant informatique et libertés.

De tels traitements ne seront donc pas soumis immédiatement à l’obligation d’analyse d’impact.

Cependant, le RGPD imposant une réévaluation dynamique des risques, une telle analyse d’impact, pour les traitements en cours et qui sont susceptibles de présenter un risque élevé, devra en principe être réalisée dans un délai raisonnable qui peut être estimé à 3 ans à compter du 25 mai 2018.

En revanche, l’analyse d’impact devra être réalisée, sans attendre l’issue de ce délai de trois ans, dans tous les autres cas où un traitement est susceptible de présenter un risque élevé :

  • pour les traitements antérieurs au 25 mai 2018 n’ayant pas fait l’objet de formalités préalables auprès de la CNIL ;
  • pour les traitements, antérieurs au 25 mai 2018 et régulièrement mis en œuvre, mais qui ont fait l’objet d’une modification substantielle depuis l’accomplissement de leur formalité préalable ;
  • pour tout nouveau traitement après le 25 mai 2018.

La CNIL ajoute : en tout état de cause, la réalisation d’une étude d’impact constitue, dans tous les cas, une bonne pratique facilitant la démarche de mise en conformité au RGPD. Pour plus d’informations sur les PIA, et notamment sur les cas dans lesquels une analyse d’impact sera obligatoire.


Questions diverses

Tout à fait. De manière générale, à ce stade c’est l’obligation de moyens qui doit être mise en avant. Cela d’autant plus que les dispositions relatives à l’application du règlement sont, à ce jour, loin d’être toutes publiées. On peut toutefois pointer certaines obligations de résultats : faire droit, dans un délai d’un mois, à toute demande d’une personne, notifier les failles de sécurité, nommer un DPO, etc. La CNIL française a souhaité que, dans la foulée du RGPD, la loi Informatique et Libertés du 6 janvier 1978 soit réécrite. Dans l’immédiat il nous semble surtout nécessaire d’attester que nous nous sommes saisis de la question.

Date de rédaction de cette réponse : novembre 2017.

Le sous-traitant (ici l’éditeur) est conjointement et solidairement responsable. Autrement dit la responsabilité de l’éditeur n’exonère pas celle de son client. Ce dernier doit s’assurer que le sous-traitant présente des garanties suffisantes. La seule exonération de responsabilité du responsable du traitement et du sous-traitant serait liée au fait que le dommage ne leur est pas imputable (ce qu’il faudrait prouver).

Date de rédaction de cette réponse : décembre 2017.

Les principes sont clairement posés dans le règlement et peuvent se résumer ainsi : les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement d’une manière incompatible avec ces finalités :

  • Les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités (article 5, alinéa 1).
  • Les données sont traitées de façon à garantir une sécurité appropriée des données à caractère personnel (article 5, alinéa 1).
  • Le responsable du traitement met en œuvre, à la détermination des moyens du traitement et au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées (article 25, alinéa 1).
  • Il met en œuvre les mesures techniques et organisationnelles pour garantir que seules les données nécessaires au regard de chaque finalité sont traitées (article 25, alinéa 2).
  • Le responsable du traitement tient un registre des activités de traitement avec : – le nom et les coordonnées du responsable du traitement, – les finalités du traitement, – une catégorisation des données (article 30, alinéa 1).

Sur les aspects techniques (sécurité, interopérabilité), c’est la référence à l’état de l’art qui fait foi.

Date de rédaction de cette réponse : janvier 2018.

L’article 17 du RGPD répond à cette interrogation lorsqu’il précise que le droit ne s’applique pas dans la mesure où le traitement est nécessaire, notamment dans ces 2 cas :

« b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

c) pour des motifs d’intérêt public dans le domaine de la santé publique, conformément à l’article 9. »

La notification MDPH est un document nominatif (la personne est identifiée par son nom, son prénom, numéro de dossier, etc.) mais elle est aussi par nature un document qui révèle indirectement des informations relatives au handicap. Ce type d’information est considéré comme une donnée de santé (considérants 35, 54 du RGPD).

Il ne faut cependant pas confondre le document et la donnée. La notification est un document, le handicap est la donnée. Dès lors tous les traitements (fichiers Excel et autres) qui feront référence à la notification seront considérés comme des traitements de données contenant des données de santé. Les données de santé sont rangées dans les catégories particulières de données personnelles (article 9 du RGPD) comme telles elles présentent un risque élevé (considérant 76 du RGPD) et leur traitement justifie une analyse d’impact (article 35 du RGPD). Le responsable du traitement doit procéder à cette analyse. Ce n’est qu’au moyen de cette analyse que l’on peut ensuite envisager les mesures à prendre.

Le déplacement du document d’un dossier à l’autre est une mesure parmi d’autres mais il est nécessaire de procéder à une approche globale du risque avant d’envisager la solution. Dans cette approche par le risque il est également nécessaire de prendre en compte l’ensemble du dossier administratif dont il est probable que son examen révèle la présence plus large de données de santé (qui ne se confondent pas avec des données médicales).

C’est la raison pour laquelle nous conseillons de cartographier, de manière exhaustive, tous les traitements puis de les auditer. Les mesures de correction des écarts ne viendront qu’ensuite. C’est en ce sens que la démarche de conformité RGPD est une démarche de projet.


Études de cas

Fait générateur

Le service RH d’un organisme gestionnaire diffuse à ses structures un courriel contenant, en pièce jointe, la liste des personnels salariés à partir de laquelle a été renseignée la Déclaration obligatoire d’emploi des travailleurs handicapés (DOETH) aux fins de vérification. Ici cette liste de diffusion est relativement large.

Analyse

Nous sommes bien avec ce fichier en présence d’un traitement au sens du RGPD et de la CNIL : « toute opération, ou ensemble d’opérations, portant sur [des] données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …) ».

Ce traitement collationne des données sensibles en vertu du Considérant 35 du RGPD : « Les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l’inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil (9) au bénéfice de cette personne physique; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé; des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro ». Dès lors ce traitement devrait faire l’objet d’une analyse d’impact (EIVP).

Conformité de ce traitement

La Déclaration obligatoire d’emploi des travailleurs handicapés (DOETH) est par essence obligatoire ; dès lors collationner les données pour renseigner la DOETH est licite. Il faudrait vérifier préalablement que ce traitement satisfasse à d’autres principes du RGPD, et notamment : la limitation de la conservation, l’information du salarié, l’analyse d’impact. A noter que le salarié ne peut pas s’opposer à ce que ses données personnelles soient traitées dès lors qu’il a choisi d’informer son employeur du fait qu’il a été l’objet d’une notification administrative reconnaissant sa qualité de travailleur handicapé.

Non-conformité de ce traitement

Ce traitement contrevient à au moins 2 éléments de conformité du RGPD :

  • le principe de confidentialité : les données doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées » (Article 5 du RGPD) ;
  • la sécurité : « lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite. » (Article 32 du RGPD). En l’espèce la sécurité n’est pas assurée en raison :
    • du support de diffusion choisi : un mail non sécurisé ;
    • du nombre très élevé de professionnels auxquels le traitement a été communiqué, le principe de proportionnalité n’est pas ici respecté. On se posera aussi la question de l’obligation de confidentialité de ces salariés : où et comment est-elle documentée ? quelle information/formation a été délivrée à ces salariés quant au traitement des données sensibles ;
    • enfin la transmission en pièce attachée est un élément aggravant du viol de la conformité en matière de sécurité de par la possibilité ainsi laissée à l’un quelconque des destinataires de télécharger le document, à la marge si le traitement a été transmis sous une forme modifiable (fichier Excel par exemple) cela constituerait un élément aggravant supplémentaire.

Convergence RGPD qu’aurait-il fallu faire ?

  1. une analyse d’impact (EIVP) ;
  2. cette analyse aurait sans doute conduit à s’interroger sur l’opportunité de réaliser un traitement ou de rechercher des solutions alternatives, par exemple le collationnement des RQTH ;
  3. si néanmoins le traitement s’était avéré nécessaire il aurait fallu prévoir un accès sécurisé au document (sur un serveur ad hoc par exemple) avec accès en lecture seule, en interdisant la possibilité de télécharger le document et cela pour un nombre d’acteurs strictement proportionné à la finalité du traitement ;
  4. former/informer les acteurs de ce processus ;
  5. l’existence d’une procédure serait un plus ;
  6. enfin s’agissant de données sensibles l’identification du Responsable du traitement (et des délégations qu’il a pu donner) est indispensable ;
  7. le Délégué à la protection des données aurait ici joué son rôle en réalisant l’analyse d’impact et en assistant le Responsable du traitement.