Le RGPD : menace ou opportunité ? Episode 2

Maître Laurent Winkin, avocat au barreau de Liège

Après avoir planté le décor et abordé les concepts-clé et les grands principes du RGPD lors de l’épisode 1, nous abordons à présent les droits des personnes concernées et le premier volet des responsabilités du Responsable du Traitement.

4. DROITS DES PERSONNES CONCERNEES

Toute personne concernée (data subject) au sens du RGPD à savoir pour rappel, toute personne physique identifiée ou identifiable dont les données sont traitées, dispose des droits suivants : un droit d’information, un droit d’accès, un droit de rectification, un droit à l’effacement (« droit à l’oubli »), un droit à la limitation du traitement dont elle fait l’objet, un droit à la portabilité des données, un droit d’opposition et enfin un droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé.

Le droit à l’effacement et le droit à la portabilité constituant deux nouvelles cordes à l’arc des droits des personnes concernées qui préexistaient déjà dans la législation antérieure, il est utile de s’y arrêter quelques instants.

Le droit à l’effacement implique que la personne concernée peut exiger l’effacement de ses données à caractère personnel, principalement lorsque ce traitement n’est plus nécessaire, lorsqu’elle retire son consentement ou exerce son droit d’opposition.

Ainsi, le data subject doit établir que l’un des motifs suivants s’applique :

• Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été traitées ;
• La personne concernée retire le consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement ;
• La personne concernée s’oppose au traitement et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement fondé sur une prise de décision individuelle automatisée ;
• Les données à caractère personnel ont fait l’objet d’un traitement illicite ;
• Les données à caractère personnel doivent être effacées pour respecter l’obligation légale ;
• Les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information destinée à des enfants.

Pour ce qui est du droit à la portabilité des données, ce dernier offre au data subject la possibilité d’exiger de recevoir ces données ou de les faire transférer dans un format structuré, couramment utilisé et lisible par machine à condition que ces données soient traitées à l’aide de procédés automatisés sur la base du consentement ou de l’exécution d’un contrat.

5. RESPONSABILITE DU RESPONSABLE DU TRAITEMENT

Une entreprise responsable du traitement au sens du RGPD ne sera en pleine adéquation avec ce dernier que moyennant le respect des étapes suivantes :

1. Etablir un registre des activités de traitement

Tout responsable de traitement dont l’organisation compte plus de 250 travailleurs est obligé de tenir un registre des activités de traitement.

Pour les organisations de moins de 250 travailleurs, cette obligation n’existe pas sauf si :

• les traitements opérés comportent des risques pour les droits et libertés des personnes concernées ;
• les traitements opérés sont non-occasionnels ;
• les traitements opérés portent sur des données sensibles ;
• les traitements portent sur des données judiciaires au sens de l’article 10 du RGPD.

Le registre des activités de traitement reprend notamment les informations générales relatives au traitement et non les données elles-mêmes. Il vise ainsi à recenser notamment les types de données traitées, le type de traitement opéré, pour quelle finalité et pour quelle durée…

A cet égard, il est utile de signaler que la Commission pour la Protection de la Vie Privée rebaptisée Autorité de Protection des Données, en sa qualité d’autorité de contrôle au sens du RGPD pour la Belgique, ainsi que la CNIL, en sa qualité d’autorité de contrôle au sens du RGPD pour la France, ont mis à disposition sur leur site respectif de bons modèles de registres d’activités de traitement.

2. Informer les personnes concernées
3. Permettre l’exercice des droits des personnes concernées
4. Garantir l’intégrité et la confidentialité des données

A cet égard, le responsable de traitement a l’obligation de mettre en place les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données qu’il traite adapté au risque.

Ces mécanismes de protection doivent être mis en place dès la conception, ce qui implique de faire en sorte que les processus mis en place soient, dès leur conception, orientés vers une protection maximale des individus dont les données sont traitées.

Le RGPD cite quelques exemples d’outils permettant d’atteindre cet objectif, à savoir :

• la pseudonymisation et le chiffrement des données à caractère personnel ;
• les techniques permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes des services de traitement, …

Ces obligations de garantie d’intégrité et de confidentialité des données impliquent également le respect du concept de « privacy by default » : la protection « par défaut » s’inscrit dans le prolongement du principe de minimisation des données et vise à ce que seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement soient traitées.

Prévoir une protection des données par défaut implique de s’interroger de manière précise sur les points suivants :

• la quantité de données à caractère personnel collectées ;
• l’étendue de leur traitement ;
• leur durée de conservation ;
• leur accessibilité : par qui ? quand ? comment ? pour quel motif ?

Suite au prochain épisode…