#RGPD : 2- le traitement en 10 questions

Dans un précédent article nous avons fait le point sur le consentement indispensable à la collecte et à l’exploitation des données personnelles. Le consentement acquis, le traitement des données devient possible. Mais lui aussi encadré. Tour d’horizon des exigences en 10 questions-clés.

RGPD

1- Que faut-il entendre par « traitement? »

Le guide réalisé par la CNIL en collaboration avec bpifrance définit le traitement comme « une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé ». Il convient de considérer par prudence qu’aucune opération relative à des données collectées n’échappe à cette définition, donc au champ d’application du RGPD. Et bien entendu, les traitements non informatisés sont tout autant concernés.

2- Quelle est la finalité des règles mises en place?

On peut se référer au 4ème considérant du texte qui stipule « Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité ». Et si le 1er considérant affirme « La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental », ce droit ne doit toutefois pas être considéré comme un droit absolu. Il doit être analysé par rapport à sa fonction et peut être mis en balance avec d’autres droits fondamentaux.

C’est tout l’enjeu du RGPD. Réussir à trouver un équilibre entre la nécessité de mieux protéger les données personnelles tout en ne portant pas atteinte à l’essor de l’économie numérique. Un équilibre sans doute par facile à trouver et qui passe par l’instauration d’un climat de confiance entre les acteurs du numérique.

3- Le traitement obéit-il à une règle de base?

Le principe de base de tout traitement est qu’il doit être licite et loyal. Pour être licite, le traitement reposera obligatoirement sur un consentement obtenu en conformité aux exigences du RGPD. Et pour être loyal, le traitement reposera sur le principe de transparence.

4- Qu’implique le principe de transparence?

Le principe de transparence est assez exigeant. Il nécessite que toutes les informations relatives au traitement des données soient aisément accessibles, faciles à comprendre donc claires. Il exige que les finalités du traitement soient explicites et que les titulaires des données soient informés des risques, de leurs droits et garanties. Les titulaires des données traitées doivent également pouvoir connaître l’identité de la personne responsable du traitement.

Lorsque la collecte des données a pour but un profilage marketing, cela doit être clairement annoncé lors de la sollicitation du consentement. A défaut, le traitement ne pourrait être considéré comme loyal.

5- La finalité détermine-t-elle la nature des données?

Tout à fait. Pour être conforme, ne pourront être traitées – et donc logiquement collectées – que les données conformes à la finalité. Les données collectées doivent être adéquates et pertinentes par rapport à la finalité du traitement.

6- Peut-on parler d’une obligation « qualité » dans le traitement des données?

Même si cette obligation n’est pas expressément formulée dans le texte, on peut considérer qu’elle existe bel et bien. En son article 5 alinéa d), le RGPD exige que les données soient « exactes et si nécessaire tenues à jour ». Cette obligation d’exactitude implique donc la vérification des données, leur effacement ou leur rectification. Le texte précise même « sans tarder ».

7- Existe-t-il une durée de conservation des données?

En effet, un traitement ne peut être loyal que si les données ne sont conservées que sur une durée conforme à la finalité. A quoi serviraient par exemple des données collectées et traitées en vue d’un profilage marketing et conservées sur du long terme? Le respect de la loyauté nécessite que le responsable du traitement réactualise périodiquement les fichiers et procède bien entendu à l’effacement des données qui ne permettent plus d’atteindre la finalité.

8- Peut-on accéder aux données?

Le texte du RGPD prévoit expressément que le titulaire dispose d’un droit d’accès à ses données. Il peut exercer ce doit à « des intervalles raisonnables » afin de « prendre connaissance du traitement et d’en vérifier la licéité ».

9- Et les faire modifier?

Le titulaire des données peut en demander la modification si les données conservées sont inexactes ou obsolètes. Il peut également demander la suppression d’une donnée. L’exercice de ce droit devient une évidence si les données ont été collectées de manière irrégulière ou si elles ne sont plus nécessaires à la finalité du traitement.

10- Et le droit à l’oubli?

Le considérant 65 du texte prévoit bien un droit à l’oubli lorsque la conservation des données constitue une violation du Règlement ou du droit de l’Union Européenne ou d’un État membre. Ce droit à l’oubli entrainera l’effacement de toutes les données en cause.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s