Obligations du responsable de site en matière de données personnelles

Obligations du responsable de site en matière de données personnelles

Obligations du responsable de site en matière de protection des données

En matière de protection des données personnelles, de nombreuses obligations pèsent sur le responsable d'un site web. On l'appellera aussi dans ce cadre un responsable de traitement.

Obligations du responsable d'un site internet en matière de données personnelles

En effet, le responsable de traitement est celui qui détermine les moyens et finalités du traitement. C'est-à-dire que, dès lors qu'un traitement de données existe sur un site web (comme un formulaire de contact), celui qui est à l'initiative du traitement et qui décide de son implémentation sur le site sera responsable du devenir des données des utilisateurs transmises à cette occasion.

Les obligations sont énumérées par la loi, et c’est sur la base du respect de ces obligations que l’on peut vérifier le niveau de conformité d’un traitement. A ce sujet, la loi "Informatique et Libertés" a laissé place au désormais célèbre Règlement général sur la protection des données (RGPD).

 

I/ Obligations de forme relatives à la protection des données personnelles

Les obligations issues du principe d' "accountability"

Obligations issues du principe d' "accountability"Il s'agit d'un « principe général de responsabilité » ou d' « obligation de documenter sa conformité ». Ainsi, le responsable devra garder des traces écrites des diligences engagées pour démontrer le respect des obligations en matière de protection des données. Cette nouveauté vient contrebalancer la suppression des déclarations CNIL, effectives depuis le 25 mai 2018.

Les documents à établir, à tenir à jour et conserver pour prouver la conformité des traitements au RGPD sont :

  • le registre des traitements : liste des traitements mis en œuvre au sein de la structure avec des fiches permettant de déterminer les finalités du traitement, les destinataires, etc.
  • la documentation contractuelle liée aux partenaires, aux sous-traitants ou plus généralement aux tiers
  • les opérations de sensibilisation et de formation des personnels
  • les procédures internes, rédigées par le délégué à la protection des données, les managers...
  • les études d’impact
  • ...

 

Les obligations issues du principe de l'approche par les risque

Le niveau de protection des données se règle en fonction du risque et de la dangerosité du traitement ainsi que des risques pour la vie privée.
Cela signifie que la personne qui tient à jour la documentation devra aussi évoluer le niveau de sensibilité de chacun des traitements. Et plus le traitement est sensible, plus les niveaux de protection devront être serrées et les exigences renforcées.

 

Obligations liées à la "privacy"

Les obligations issues du principe de protection des données dès la conception, le "privacy by design"

L'idée est que la création d'un outil technologique, le plus souvent informatique, intégrera, dès le début, les problématiques de protection des données.
Ainsi, la dimension de protection des données, au cœur du projet dès sa conception, appréhendera non seulement les aspects techniques mais aussi organisationnels. En effet, tous les process concernant la durée de conservation des données, la gestion des droits des personnes, etc., devront être envisagées d'emblée.

 

 

II/ Obligations de fond relatives à la protection des données personnelles

Les obligations de collectes loyales et licites des données

D'un côté, les données personnelles doivent être collectées directement auprès des personnes concernées, et jamais à leur insu.
De l'autre, le traitement ne doit jamais porter sur un domaine illicite (exemple : fichiers clients pour un trafic de drogue).

 

Les obligations de proportionnalité

Ainsi, un traitement ne peut porter que sur des données personnelles collectées pour des finalités (gestion clients, gestion RH, etc.) déterminées, explicites et légitimes et pour des données adéquates, pertinentes et non excessives.
En effet, en matière de protection des données, on doit se demander à quoi sert le traitement, ne serait-ce que pour évaluer sa sensibilité.

Au sujet des données "non excessives", le RGPD a rajouté l'idée de minimisation des données. Ainsi, le responsable de traitement collecte collecter les données strictement nécessaires à la finalité du traitement.

 

Les obligations relatives à la durée de conservation des données

Par ce principe, il est impossible de garder des données personnelles pour une durée illimitée. En effet, il s'agit du fameux "droit à l’oubli". Il faut donc fixer une durée de conservation à l’issue de laquelle les données vont être détruites.
Ainsi, les données se conservent pour une durée proportionnée au regard de la finalité du traitement :

Durée de conservation = durée de la relation contractuelle avec le client + durée d’archivages.

 

Les obligations de sécurité et confidentialité des données

Obligations d'une durée de conservation des données

Le concept de  sécurité, selon la réglementation, couvre deux situations :

  1. veiller à l’intégrité des données : les données ne doivent pas être altérées, modifiées, détruites de manière inopinée,
  2. empêcher l’accès aux données pour des tiers non autorisés, incluant des tiers au sein d’une même entreprise.

 

Le RGPD créé des obligations de notification des failles de sécurité à la CNIL. Et ce pour tout responsable de traitement lorsqu'il y a un accès non autorisé à des données personnelles. Le responsable doit préciser à l'autorité de contrôle les mesures correctives prises par lui.

 

Les obligations d'interdiction de collecte de certaines données

Dans trois cas, la collecte de données est par principe interdite :

  1. données sensibles : données de santé, biométriques, génétiques, relatives aux orientations sexuelles, politiques, religieuses, et d'appartenance syndicale.
  2. numéros de sécurité sociale : sauf dans les cas où la loi le permet. Cette collecte est par exemple nécessaire pour la gestion de la paye dans une entreprise.
  3. données relatives à des infractions, condamnations ou mesures de sûreté : ce sont les fichiers qui vont contenir des données relatives à des condamnations pénales ou à des qualifications pénales.

 

Transfert de données hors Union Européenne

Les obligations d'encadrement des transferts de données hors de l'Union Européenne

Les transferts de données hors Union Européenne sont en principe interdits. Ce principe est, comme souvent, assorti d’exceptions :

  • principe de libre circulation des données au sein de l’UE : transfert autorisé dans les autres pays de l’Union.
  • transfert autorisé dans les pays de l’espace économique européen qui ont signé un accord avec l’UE.
  • transfert dans des pays hors UE lorsque ces pays bénéficient d’un accord d’adéquation de la part de la Commission Européenne : un pays va adopter une réglementation de protection des données et va demander à l’Union de reconnaître cette réglementation comme équivalente à celle de cette dernière. Les pays ayant obtenu cet accord sont par exemple Andorre, l'Argentine, le Canada, la Nouvelle-Zélande, les Etats-Unis (cf. supra), Israël…
    En cas d’absence d’exception légale, on peut utiliser une exception contractuelle.
  • les BCR (Binding Corporate Rules) : ce sont les chartes d’un groupe d’entreprises dont toutes les filiales et entités du groupe s’engagent à respecter le droit européen de protection des données.
  • transfert dans un pays hors Union sans aucune protection particulière avec l’accord exprès de la personne : c'est toujours possible si le transfert de données est ponctuel et non-systématique, comme l'envoi d’argent à l’international par exemple.

 

Pour aller plus loin