La loi qualifie de donnée à caractère personnel, « toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique ».
Une donnée à caractère personnel est donc une donnée qui permet d’identifier un individu ou une donnée relative à une personne déjà identifiée.Exemple : Nom; prénom; numéro de téléphone; numéro de CNI; voix; image; donnée biométrique; etc.
Constitue un traitement de données à caractère personnel, toute opération de : collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, communication, rapprochement, interconnexion, etc.
La biométrie recouvre l’ensemble des procédés tendant à identifier un individu à partir de la mesure de l’une ou de plusieurs de ses caractéristiques physiques, physiologiques ou comportementales : l’ADN, la rétine, l’iris, l’empreinte digitale, la reconnaissance faciale, la géométrie du contour de la main, la voix, l’écriture manuscrite.
Tous les traitements comportant des données biométriques doivent faire l’objet d’une autorisation préalable de l’ARTCI, Autorité de Protection désignée par la loi.
C’est une personne physique (un médecin, un commerçant…) ou une personne morale, publique ou privée, (une entreprise, une administration, un établissement hospitalier…) ou toute autre organisation ou association (syndicat, fédération…) qui, seul ou conjointement avec d’autres, prend la décision de traiter des données à caractère personnel et en détermine les finalités.
Un responsable du traitement se caractérise donc par son autonomie dans la mise en place et la gestion d’un traitement. C’est lui qui décide de créer ou de supprimer le traitement. Il doit donc veiller au respect de toutes les obligations imposées par la loi. C’est sur le responsable du traitement que pèsent les obligations prévues par la loi.
La finalité d’un traitement est l’objectif poursuivi par le responsable du traitement. La personne concernée doit savoir à quoi serviront ses données. La finalité doit être déterminée, légitime et explicite lors de la collecte.
Le responsable du traitement doit, avant de mettre en œuvre un traitement, s’interroger sur les catégories de données à collecter pour pouvoir atteindre les finalités qu’il s’est fixées.
La collecte des données ne doit pas aller au-delà de ce qui est nécessaire au regard de la ou des finalités poursuivies.
Oui. Il est possible pour un organisme, au sein d’une déclaration unique, de regrouper un ensemble de traitements présentant des finalités identiques ou liées entre elles.
Par exemple, tel peut être le cas de différents traitements liés à la gestion du personnel comme le recrutement, la paie ou la formation.
Les conditions de mise en œuvre d’un traitement sont :
- la légitimité du traitement;
- la loyauté et licéité du traitement;
- la détermination spécifique de la finalité du traitement et des conditions de réutilisation des données ;
- le respect du principe de proportionnalité dans la collecte et le traitement des données, celles-ci devant être pertinentes, adéquates et non-excessives au regard des finalités de la collecte et des traitements ;
- l’exactitude et la mise à jour des données qui doivent être également complètes ;
- la durée de conservation, sous une forme permettant l’identification des personnes concernées, proportionnée à la finalité ;
- la confidentialité et la protection des données traitées.
Le traitement loyal et licite de données suppose que les personnes concernées puissent connaître l’existence des traitements et bénéficier d’une information effective et complète au regard des circonstances de ce traitement.
L’article 21 de la loi de protection des données à caractère personnel pose le principe de l’interdiction de collecter ou de traiter des données sensibles.
Cet article prévoit néanmoins plusieurs exceptions dans les cas suivants, sous réserve de la soumission préalable du traitement à une autorisation délivrée par l’ARTCI :
- les traitements de données à caractère personnel portant sur des données manifestement rendues publiques par la personne concernée;
- les traitements des données génétiques ou relatives à l’état de santé lorsqu’ils sont nécessaires à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement;
- les traitements, notamment des données génétiques, lorsqu’ils sont nécessaires à la contestation, à l’exercice ou à la défense d’un droit en justice de la personne concernée;
- les traitements de données à caractère personnel lorsqu’une procédure judiciaire ou pénale est ouverte mais uniquement lorsque le traitement des données à caractère personnel a pour finalité la constatation des faits ou la manifestation de la vérité;
- les traitements effectués dans le cadre des activités légitimes d’une fondation, d’une association ou de tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse, mutualiste ou syndicale. Le traitement doit toutefois se rapporter aux seuls membres de cet organisme ou aux personnes entretenant avec celui-ci, des contacts réguliers liés à sa finalité. Par ailleurs, les données ne doivent pas être communiquées à des tiers sans le consentement des personnes concernées.
Il convient, par conséquent, de considérer que, sauf si le traitement entre dans l’une de ces exceptions, toute collecte de données sensibles est strictement interdite.
Non. Lorsque la finalité change, il faut revenir vers l’Autorité de Protection pour faire une déclaration ou obtenir une autorisation selon le cas.
Constitue un fichier de données à caractère personnel, tout ensemble structuré de données accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique permettant d’identifier une personne déterminée.
Le responsable du traitement est notamment chargé :
- de veiller au respect des principes de la protection des données personnelles tel que prévu par la Loi du 19 juin 2013 relative à la protection des données personnelles ;
- de procéder à l’accomplissement des formalités auprès de l’Autorité de protection des données personnelles (dépôt des déclarations, demandes d’autorisation …) ;
- d’informer les personnes de l’existence des droits que la loi leur confère (droits d’accès, de rectification et d’opposition) et de répondre aux sollicitations qu’il reçoit d’elles dans ce cadre ;
- de désigner un Correspondant à la protection des données personnelles ;
- d’établir un rapport annuel pour le compte de l’Autorité de protection des données.
Oui. Le responsable du traitement est tenu d’informer l’ARTCI de tout changement affectant les informations figurant dans la déclaration ou demande d’autorisation.
Le responsable du traitement peut décider de déléguer tout ou partie des activités de traitement à une organisation extérieure.
Le sous-traitant est donc, d’une part, une personne physique ou morale distincte du responsable du traitement et, d’autre part, une personne physique ou morale qui traite les données à caractère personnel pour le compte du responsable du traitement, sans possibilité de faire quelque traitement que ce soit que le responsable n’a pas préalablement expressément autorisé.
Le sous-traitant a pour mission d’exécuter des tâches sur les instructions et sous la responsabilité du responsable de traitement, exportateur des données.
En cas de recours à un sous-traitant, le responsable du traitement doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer.
Outre le respect des principes attachés à la licéité de la collecte des données personnelles le responsable du traitement est tenu de faire droit au demande d’accès, de rectification, d’opposition, de suppression et d’effacement des données formulées par les personnes concernées et ce dans les conditions prévues par la Loi.
Obligations de sécurité
Le responsable du traitement est tenu de prendre toute précaution à l’égard des données, notamment d’assurer leur sécurité, et d’empêcher qu’elles soient déformées, endommagées, ou que des tiers y aient accès.
Information des personnes dont les données personnelles font l’objet d’un traitement
Le responsable du traitement est tenu de fournir à la personne dont les données font l’objet d’un traitement, au plus tard, lors de la collecte de différentes informations telles que son identité, les catégories de données concernées, les finalités du traitement, les destinataires, la possibilité de refuser de figurer sur le fichier, l’existence d’un droit d’accès, la durée de conservation des données, l’éventualité de tout transfert de données à destination d’un pays tiers.
Réponse aux sollicitations des personnes dont les données personnelles font l’objet d’un traitement
Le responsable du traitement est tenu de fournir aux personnes concernées :
- les informations permettant de connaître et contester un traitement;
- la confirmation que des données à caractère personnel les concernant font ou non l’objet d’un traitement ;
- la communication des données à caractère personnel les concernant et l’indication de leur origine ;
- les informations sur la finalité du traitement ;
- les informations relatives aux catégories de données et destinataires de celles-ci.
Obligation technique
Le responsable du traitement est tenu de prendre toute mesure utile pour s’assurer que les données à caractère personnel traitées peuvent être exploitées quel que soit le support technique utilisé.
Oui. Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données, et, notamment, empêcher qu’elles ne soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Le correspondant à la protection des données est un interlocuteur spécialisé en matière de protection de données à caractère personnel, tant pour le responsable des traitements que dans les rapports de ce dernier avec l’Autorité de protection.
Son rôle consiste à devenir le relais de l’Autorité de protection dans l’entreprise. A cet effet, il a un rôle de conseil et de suivi dans la légalité de déploiement des projets informatiques et peut réaliser des audits et une certaine médiation.
Le correspondant veille au respect des obligations prévues par la loi de protection des données à caractère personnel pour les traitements au titre desquels il a été désigné.
Les fonctions du correspondant à la protection consistent à :
- tenir à jour la liste des traitements effectuées ;
- détenir une copie des codes et mots de passe pour l’accès aux fichiers relatifs aux traitements effectué ;
- assurer l’accès à ces données à toute personne concernée qui en en fait la demande ;
- veiller au respect de la législation en vigueur ;
- signaler au responsable du traitement, les violations constatées de la législation en matière de protection des données à caractère personnel ;
- notifier à l’ARTCI toute violation de la législation en matière de protection des données à caractère personnel préalablement signalée et non corrigée dans un délai de trois mois à compter du signalement.
Non. Le correspondant à la protection des données doit exercer sa mission en toute indépendance.
Le correspondant ne reçoit aucune instruction pour l’exercice de sa mission. Le responsable des traitements ou son représentant légal ne peut donc pas être désigné comme correspondant.
Non. Le correspondant à la protection des données personnelles ne peut faire l’objet d’aucune sanction ni d’opposition de la part du responsable du traitement du fait de l’accomplissement de ses missions.
Le correspondant à la protection des données à caractère personnel est désigné par le responsable de la mise en œuvre des traitements à caractère personnel.
Cette désignation est notifiée à l’ARTCI.
Oui et non. S’agissant des correspondants à la protection des données à caractère personnel, personne physique, l’ARTCI se prononce sur la désignation du correspondant dans un délai de trente jours. L’ARTCI peut alors faire opposition ou non à la désignation du correspondant.
En revanche, les personnes morales désignées correspondant à la protection des données à caractère personnel doivent être agréées par l’ARTCI.
Toute personne qui fait l’objet d’un traitement de données à caractère personnel.
La loi reconnaît aux personnes dont les données à caractère personnel sont traitées des droits spécifiques suivants :
- le droit à l’information ;
- le droit d’opposition ;
- le droit d’interrogation ;
- le droit d’accès ;
- le droit de rectification ;
- le droit à l’oubli.
Toute personne a le droit de savoir si des données à caractère personnel la concernant font ou non l’objet d’un traitement. Le droit à l’information sur ses propres données à caractère personnel vise aussi bien la collecte des données que leur utilisation.
La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement, au plus tard lors de la collecte et ce, quels que soient les moyens et supports employés :
- de l’identité du responsable du traitement et, le cas échéant, celle de son représentant dûment mandaté ;
- de la ou des finalités déterminées au traitement auquel les données dont destinées ;
- des catégories de données concernées ;
- du ou des destinataires auxquels les données sont susceptibles d’être communiquées ;
- de la possibilité de refuser de figurer sur le fichier en cause ;
- de l’existence d’un droit d’accès aux données concernant la personne et d’un droit de rectification de ces données ;
- de la durée de conservation des données ;
- de l’éventualité de tout transfert de données à destination de pays tiers.
L’information obligatoire délivrée par le responsable du traitement doit l’être de façon claire.
Le droit d’accès est le droit pour une personne concernée d’interroger le responsable d’un traitement pour savoir si des données à caractère personnel la concernant font l’objet ou pas d’un traitement et, dans l’affirmative, de prendre connaissance de ces informations et d’en obtenir la communication.
Le droit d’accès est un droit discrétionnaire. Celui qui l’exerce n’a donc à justifier d’aucun motif.
La durée de conservation des données à caractère personnel ne doit pas excéder ce qui est nécessaire à la finalité du traitement. La loi de protection de données à caractère personnel pose donc un droit à l’oubli.
L’article 33 de la loi dispose ainsi que « la personne concernée a le droit d’obtenir du responsable du traitement, l’effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données, en particulier en ce qui concerne des données à caractère personnel que la personne concernée avait rendues disponibles lorsqu’elle était mineure, ou pour l’un des motifs suivants :
- les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ;
- la personne concernée a retiré le consentement sur lequel est fondé le traitement ou lorsque le délai de conservation autorisé a expiré et qu’il n’existe pas d’autre motif légal au traitement des données ;
- la personne concernée s’oppose au traitement des données à caractère personnel la concernant lorsqu’il n’existe pas de motif légal audit traitement ;
- le traitement des données n’est pas conforme aux dispositions de la loi ;
- pour toute autre motif légitime ».
La loi prévoit des obligations supplémentaires à l’égard des responsables du traitement en ce qu’ils doivent, lorsqu’ils ont rendu les données publiques, prendre toutes les mesures raisonnables, y compris techniques, en vue d’informer les tiers qui traitent lesdites données qu’une personne concernée a demandé leur effacement.
L’effacement des données doit se faire sans délai par le responsable du traitement. Pour ce faire, ce dernier doit mettre en place des mécanismes appropriés assurant la mise en œuvre du respect du droit à l’oubli numérique et à l’effacement des données à caractère personnel, à moins que le responsable du traitement examine régulièrement la nécessité de conserver ces données.
L’ARTCI, dans sa mission d’Autorité de protection des données à caractère personnel, adopte des mesures et des lignes directrices permettant notamment de préciser les conditions de la suppression des liens vers les données devant être effacées, des copies ou des reproductions de celles-ci existant sur des services de communication électroniques accessibles au public.
La loi prévoit cependant des exceptions à l’application du droit à l’oubli lorsque la conservation des données à caractère personnel est nécessaire :
- soit à l’exercice du droit à la liberté d’expression ;
- soit pour des motifs d’intérêt général dans le domaine de la santé publique, conformément à la loi ;
- soit au respect d’une obligation légale de conserver les données à caractère personnel prévue par la législation en vigueur à laquelle le responsable du traitement est soumis.
Toute personne physique, justifiant de son identité, peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou supprimées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.
Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.
De plus, elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées par le responsable du traitement à des fins de prospection, notamment commerciale.
De même, la personne concernée peut s’opposer à la communication ou à l’utilisation de ses données à caractère personnel par un tiers ou pour le compte d’un tiers. Elle devra avoir été au préalable informée par le responsable du traitement de cette communication ou utilisation par un tiers avant la première communication des données à celui-ci.
Il existe donc 3 types d’opposition :
- l’opposition pour motifs légitimes ;
- l’opposition à la prospection, sans avoir à se justifier ;
- l’opposition à la communication ou à l’utilisation de ses données à/par des tiers.