Tout utilisateur d'un fichier contenant des données personnelles a des obligations strictes à respecter, qui varient selon la nature et la finalité des informations recueillies.
En effet, le traitement de données personnelles peut concerner la vie privée et porter atteinte aux libertés de chacun : si vous n'hésitez pas à donner votre e-mail, peut-être réfléchissez-vous à deux fois avant de donner votre numéro de téléphone, votre adresse ou... vos mensurations. Tout peut circuler sur la toile !
Voici l'ensemble des bonnes pratiques « Informatique et Libertés » et « RGPD » (règlement européen sur la protection des données personnelles) à adopter.
Sécurité des fichiers
Le détenteur d'informations personnelles doit mettre en place des mesures de sécurité des locaux et des systèmes d’information.
Le but est simple : la protection de ces données. On doit tout faire pour éviter qu'elles soient endommagées, déformées ou accessibles par des tiers qui n'y seraient pas autorisés. L'accès, ou non, à ces contenus est strictement défini.
Confidentialité des données
L'obligation de confidentialité est intimement liée à l’obligation de sécurité. Seules les personnes clairement désignées, les destinataires, ou les tiers autorisés détenant une permission d'accès ponctuelle et justifiée (comme le fisc ou la police, par exemple) sont en droit d'obtenir communication des fichiers contenant des données personnelles.
Information des personnes concernées
L’utilisateur de données personnelles doit impérativement permettre aux personnes concernées par les informations détenues d’exercer pleinement leurs droits : droit d’accès, d'interrogation, de rectification, d’opposition, de référencement, de portabilité des données, d’oubli.
Pour cela, il est dans l'obligation de leur communiquer :
- son identité ;
- la finalité du fichier ;
- les destinataires des informations ;
- l'existence de l'ensemble de ses droits ;
- les transmissions envisagées.
Obligation de finalité
Le traitement du fichier en question doit avoir un but précis et défini et contenir des informations cohérentes par rapport à cet objectif.
C’est à l’utilisateur de mesurer la pertinence des données qu’il collecte.
Déclaration auprès de la CNIL
Depuis le 25 mai 2018, le règlement général sur la protection des données personnelles (RGPD) supprime les formalités de déclaration à la CNIL (règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016).
En revanche, chaque responsable de traitement de données personnelles doit mettre un place un registre sur lequel doit figurer l’ensemble des traitements de données personnelles. Un modèle de registre est disponible sur le site de la CNIL.
Avant le 25 mai 2018, tous les fichiers portant atteinte à la vie privée ou aux libertés (traitement de données relatives aux origines raciales ou aux opinions politiques notamment) devaient être déclarés auprès de la CNIL (Commission nationale de l'informatique et des libertés). Cétait une obligation légale et gratuite qui s’effectuait sur le site de la commission. La finalité elle-même devait être précisée dans cette déclaration.
Désormais seuls doivent faire l’objet d’une déclaration auprès de la CNIL (loin° 2018-493 du 20 juin 2018 relative à la protection des données personnelles) :
- les traitements comportant le numéro d'inscription des personnes au Répertoire national d'identification des personnes physiques (NIR), sauf exceptions ;
- les traitements des données génétiques ou biométriques nécessaires à l'authentification ou au contrôle des personnes mis en oeuvre pour le compte de l'État ;
- les traitements qui intéressent la sûreté de l'État, la défense, la sécurité publique ou qui ont pour objet la prévention et la répression des infractions pénales ;
- les traitements des données de santé justifiés par une finalité d'intérêt public.
Durée de conservation
Le principe est simple : les données personnelles ne peuvent pas être détenues indéfiniment. C'est l’utilisateur de ces informations qui doit fixer une durée « raisonnable » en fonction de l’objectif de chaque fichier.
Ce délai ne doit pas excéder « la durée nécessaire aux finalités pour lesquelles les données ont été collectées ».
Il est d'ailleurs conseillé de se référer aux délibérations de la CNIL et aux usages professionnels dans les secteurs concernés pour se faire une idée des durées couramment fixées.
Ooreka vous en dit plus
Afin de ne prendre aucun risque de sanction, il est essentiel de respecter ces obligations imposées par la loi !
Et pour en savoir davantage sur la protection des données personnelles, nous vous conseillons ces quelques compléments de lecture sur :
- Les grands principes de la protection des données personnelles
- Le refus d'accès à vos données personnelles
- La CNIL et la vidéo-surveillance
- L'effacement des données des moteurs de recherche