Politique de confidentialité
Date de mise à jour: 02/11/2021
A titre préliminaire, il convient de délimiter le champ d’application de ce règlement, c’est-à-dire les entreprises concernées par son application.
Ainsi, le règlement évoque la notion de responsable du traitement. Il s’agit de la personne physique ou morale (entreprise), qui réalise la collecte et le traitement de données à caractère personnel.
Il est également fait référence à la personne concernée c’est-à-dire celle dont les données sont collectées et traitées.
Le règlement s’applique aussi à toutes les personnes physiques ou morales qui effectuent des traitements automatisés de données à caractère personnel ainsi que le traitement non automatisé de ces mêmes données (Article 2.1 du règlement).
Il convient de rappeler que le traitement de données est défini par le règlement comme :
« toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensemble de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » (Article 4.2 du règlement).
Sont ainsi concernées toutes les formes de traitement des données personnelles, que ce traitement soit automatisé (grâce à l’utilisation, par exemple, de logiciels et programmes informatiques dédiés) ou non automatisé (par exemple, par la collecte réalisée par un salarié d’une entreprise qui rassemble dans un tableur des données à caractère personnel et que ledit tableur puisse être modifié).
Définition des données à caractère personnel
La notion de données à caractère personnel concerne toutes les informations « se rapportant à une personne physique identifiée ou identifiable».
Est identifiable :
« une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou encore par référence à un ou plusieurs éléments spécifiques propres à l’identité physique, psychologique, génétique, psychique, économique, culturelle ou sociale » (article 4.1 du règlement).
Le règlement rappelle qu’au sens de la jurisprudence de la Cour de Justice de l’Union Européenne, les adresses IP et les témoins de connexion ( « cookies ») constituent des données personnelles.
Il s’agit également de données qui ne sont pas instinctivement pensées comme étant des données personnelles, par exemple le numéro de sécurité sociale, l’identifiant du salarié au sein de l’entreprise, le numéro de téléphone ou encore des données de localisation.
En d’autres termes, toutes les entreprises qui collectent et traitent des données à caractère personnel permettant l’identification de personnes physiques sont concernées par cette règlementation et ce indépendamment de la manière dont ces données sont collectées et traitées.
Les dispositions du RGPD concernent la protection des données personnelles rattachées à des personnes physiques, de sorte que les entreprises qui traitent des données relatives à des personnes morales ne sont pas concernées.
Cependant, si des données personnelles sont collectées sur les représentants des personnes morales, par exemple les dirigeants, dans ce cas, vous êtes soumis aux dispositions du RGPD.
Ainsi, la collecte de données personnelles sur les représentants d’une entreprise (à partir de cartes de visites, par exemple) entre dans le champ d’application du RGPD. En revanche, la collecte d’informations sur l’entreprise (dénomination sociale, objet social, numéro de TVA, SIRET, etc.) en est exclue.
La notion de données sensibles
Certaines données à caractère personnel sont considérées comme sensibles et imposent des obligations complémentaires à la charge du responsable du traitement.
Il en est ainsi, par exemple, des données de santé.
Ainsi, lorsqu’un traitement de données de santé est susceptible d’engendrer un « risque élevé » pour les droits et libertés des personnes, le responsable du traitement doit effectuer, avant sa mise en œuvre, une analyse d’impact.
Le traitement présente un « risque élevé » au sens de la réglementation s’il est répondu de manière positive à au moins deux des questions ci-dessous:
I Sur les nouvelles protections des données à caractère personnel et leur traitement
A Les nouvelles protections des données personnelles: le consentement renforcé des personnes concernées et le contrôle des informations par ces mêmes personnes
A titre préliminaire, il convient de préciser que le règlement européen a énoncé six principes fondamentaux qui doivent être impérativement respectés dans le cadre de la collecte et du traitement des données à caractère personnel
-La limitation des finalités ; les données personnelles doivent être collectées à des fins déterminées, explicites et légitimes, sans qu’elles puissent ultérieurement faire l’objet d’un traitement incompatible avec ces finalités (par exemple, des données collectées afin de se constituer un fichier du personnel d’une entreprise ne peut pas être utilisé à des fins commerciales);
– Les données doivent être traitées de manière licite, loyale et transparentes au regard de la personne concernée ;
– Les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement ;
– Les données doivent être exactes et si nécessaire tenues à jour ;
– Les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle qui est nécessaire au regard des finalités du traitement ;
– Les données doivent être traitées de façon à garantir une sécurité appropriée en assurant notamment leur protection contre les traitements non autorisés ou illicites, ainsi que contre la perte, la destruction ou les dégâts d’origine accidentelle.
1) Le consentement de la personne concernée
Le traitement des données à caractère personnel est subordonné au consentement du traitement desdites données par la personne concernée.
Le règlement définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif claire, que des données à caractère personnel fassent l’objet d’un traitement» (Article 4.1 ).
Il convient de souligner que dans le cadre d’un traitement automatisé, la pratique actuelle dite de la « case à cocher » doit suffire à démontrer le consentement de la personne. Cette pratique est très courante, notamment sur internet, lors de l’achat de produits où l’acheteur accepte les conditions générales de vente en cochant une simple case.
Ainsi, lors de la collecte de données à caractère personnel sur internet, une case à cocher devrait suffire pour démontrer le consentement des personnes concernées.
Il convient donc de vous assurer que votre site internet comprend une case validant le consentement de vos clients au traitement des données à caractère personnel.
Néanmoins, dans le cadre d’un traitement non-automatisé, il conviendra également de s’assurer du consentement des personnes concernées. Ainsi, si vous êtes amenée à collecter des données personnelles hors un cadre automatisé (par exemple, sur un formulaire papier de satisfaction), ce formulaire doit expressément prévoir une case à cocher par laquelle votre client consent expressément au traitement des données à caractère personnel.
Dans tous les cas, c’est au responsable du traitement, c’est-à-dire votre Société, qu’il revient de démontrer que le consentement a été effectivement donné et vous devez donc en conserver la preuve.
A défaut de consentement, le traitement des données reste licite dans plusieurs cas et lorsque le traitement est nécessaire :
– A l’exécution d’un contrat auquel la personne concernée est partie ;
– Au respect d’une obligation légale incombant au responsable du traitement ;
– A la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique (il peut s’agir de la collecte de données à caractère personnel d’une personne dans le coma et qui ne peut y consentir) ;
– A l’exécution d’une mission d’intérêt public.
Néanmoins, et dans tous les cas, la personne concernée par la collecte de ses données à caractère personnel, peut, à tout moment, retirer son consentement au traitement de ses données.
Le règlement européen a également institué des règles particulières concernant le consentement des enfants dans le cadre d’une« offre directe de service de la société d’information ».
Il s’agit des « services prestés normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services ».
A titre d’exemple, il peut s’agir de journaux, de bases de données, de services financiers, services professionnels (avocats, médecins, experts comptables, agents immobiliers), services de divertissement comme la vidéo à la demande, prestation de publicité et de marketing direct proposés sur internet ou les services proposant un accès à la toile.
Ainsi, dès lors que de tels services sont proposés à des enfants de moins de 16 ans, le traitement des données personnelles est licite dès lors que le titulaire de la responsabilité parentale a donné son consentement.
Par exemple, l’achat de musique en streaming par un enfant de moins de 16 ans doit obligatoirement avoir été consenti par la personne titulaire de la responsabilité parentale dès lors que les données à caractère personnel de l’enfant font l’objet d’un traitement.
Dans cette hypothèse, il est impératif de mettre en place les moyens permettant de s’assurer que c’est effectivement la personne titulaire de la responsabilité parentale qui a donné un tel consentement.
2) Le contrôle des données collectées par les personnes concernées
Il convient tout d’abord de souligner que le responsable de la collecte et du traitement des données, qui a reçu le consentement de la personne concernée, est tenu de transmettre à cette dernière un certain nombre d’informations.
Ces informations doivent porter sur :
– L’identité et les coordonnées du responsable du traitement ;
– Les finalités du traitement ;
– Le cas échéant les destinataires ou catégories de destinataires des données personnelles ;
– La durée de conservation des données ou, à défaut, les critères utilisés pour déterminer cette durée ;
– L’existence des différents droits ouverts à la personne concernée (cf. infra);
– L’existence du droit au retrait du consentement ;
– Le droit d’introduire une réclamation auprès de l’autorité de contrôle ;
– L’existence d’une prise de décision automatisée.
Cette information est alors distincte de l’ensemble des informations transmises rappelées ci-dessus.
Dans tous les cas, la transmission de ces informations doit être effectuée de manière claire et intelligible pour la personne concernée.
a) Le droit d’accès
Outre les informations qui doivent lui être transmises, la personne concernée par la collecte et le traitement de ses données peut demander à avoir accès auxdites données et recevoir certaines informations.
Ainsi, la personne concernée a notamment accès aux finalités du traitement, aux catégories de données à caractère personnel concernées, aux destinataires ou catégories de destinataires desdites données.
La personne concernée a également accès à la source des données si ces dernières n’ont pas été directement collectées auprès d’elle.
D’ailleurs, cette personne peut obtenir gratuitement la copie des données personnelles la concernant.
b) Le droit à la portabilité
La personne concernée dispose d’un droit à la portabilité qui lui permet de récupérer auprès d’un responsable de traitement les données qu’elle a fournies la concernant dans un format structuré, couramment utilisé et lisible par machine et de les transmettre à un autre responsable de traitement ou de demander la transmission directement d’un responsable de traitement à un autre responsable de traitement.
c) Le droit de rectification
La personne concernée peut obtenir la rectification des données qui font l’objet d’un traitement.
Le droit de rectification porte sur des données inexactes, compte tenu des finalités du traitement, ou sur des données incomplètes.
La personne concernée peut ainsi fournir une déclaration complémentaire.
d) Le droit d’opposition
– Le règlement a permis la mise en place d’une opposition au traitement des données dès lors que le traitement de ces données concerne (Article 21 du règlement):
– L’exécution d’une mission d’intérêt public ou relevant de l’autorité publique dont est investi le responsable du traitement ;
Dans le cas d’intérêts légitimes poursuivis par le responsable du traitement ou un tiers (par exemple, constitue un intérêt légitime, la création par une entreprise d’un fichier relatif à son personnel. Dans ce cas, les personnes concernées peuvent faire opposition à la collecte).
Par ailleurs, la personne concernée par la collecte de ses données peut toujours s’opposer au traitement de ses données à des fins commerciales.
e) Le droit à l’oubli
Le règlement innove en matière de collecte et traitement des données en consacrant un droit à l’oubli, également appelé droit à l’effacement.
Ce droit permet d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, et au plus tard un mois après la demande, de certaines données à caractère personnel lorsque l’une des conditions suivantes est accomplie :
– Les données ne sont plus nécessaires pour la finalité du traitement pour lesquelles elles ont été collectées ;
– La personne a retiré son consentement au traitement et ledit traitement est illicite ;
– Dans le cadre d’une opposition aux traitements des données ;
– Dans le cadre d’un traitement illicite des données ;
– Lorsque le consentement au traitement a été donné à l’époque où la personne était enfant et souhaite, à l’âge adulte, obtenir la suppression de ses données.
Par ailleurs, si les données ont été rendues publiques et que la personne concernée fait valoir son droit d’oubli, le responsable du traitement desdites données doit « compte tenu des technologies disponibles et des coûts de mise en œuvre prendre des mesures raisonnables pour faire connanre aux autres responsables traitant ces données que la personne concernée a demandé qu’ils effacent tout lien avec elle ou encore toute copie ou reproduction de ces données» (Article 17.2 du règlement).
f) La limitation du traitement
Le règlement a également innové en permettant aux personnes dont les données personnelles sont collectées d’en limiter le traitement dans certaines circonstances (Article 18.1 du règlement). Ainsi, le traitement peut être limité si :
– L’exactitude des données est contestée par la personne concernée de sorte que la limitation doit s’appliquer pendant une durée permettant au responsable du traitement d’opérer les vérifications nécessaires ;
– Les données font l’objet d’un traitement illicite, mais la personne concernée s’oppose à leur effacement en exigeant, à la place de celui-ci, une limitation de leur utilisation ;
– Les données ne sont plus utiles au responsable du traitement mais elles restent nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;
– La personne concernée s’est opposée au traitement, de sorte que la limitation des données doit s’appliquer pendant que le responsable du traitement vérifie si les intérêts légitimes qu’il poursuit peuvent faire échec à l’opposition.
Ainsi, dès lors que l’une de ces conditions est remplie, les données conservées ne peuvent plus être traitées.
B Le traitement des données collectées
Le règlement européen a pour objectif de rendre les entreprises responsables du traitement des données qu’elles collectent de sorte qu’il n’est plus nécessaire de déclarer préalablement à la CNIL la collecte des données.
Dorénavant, la collecte de données à caractère personnel et son traitement sont libres.
Néanmoins, les entreprises qui collectent de telles données doivent impérativement mettre en œuvre les mesures techniques et organisationnelles permettant de s’assurer que le traitement est réalisé conformément aux obligations du règlement.
Ainsi, les mesures techniques concernent notamment la protection desdites données pour éviter qu’elles soient subtilisées par des tiers. Les mesures organisationnelles quant à elles concernent les mesures d’encadrement, au sein de la Société, pour s’assurer que les personnes qui utilisent ces données aient toutes les compétences nécessaires, notamment en matière de secret professionnel.
Sur ce point, dans la mesure où à l’heure actuelle vous êtes seule au sein de votre Société, sans salariés, il n’y a pas de mesures organisationnelles spécifiques à prévoir. A l’inverse, si vous deviez engager des salariés, de telles mesures devront être prévues.
Pour ce faire, le règlement a prévu que le responsable du traitement doit tenir un registre des activités exercées sous sa responsabilité.
Ce registre des activités, qui doit nécessairement exister sous forme écrite, pourra être remis aux autorités compétentes à leur demande.
La tenue d’un tel registre est obligatoire pour toutes les entreprises de plus de 250 employés.
Cette obligation s’applique également, et ce indépendamment du nombre d’employés, si le traitement :
– Comporte un risque pour les droits de la personne concernée ;
– Ne présente pas un caractère exceptionnel (ainsi, si le traitement des données fait partie de l’activité exercée par l’entreprise) ;
– Porte sur des données sensibles ( collecte de données sur l’origine raciale, ethnique, opinions politiques, orientations sexuelles, données génétiques, biométriques … ) ou relative aux condamnations pénales et infractions commises.
– la finalité du traitement ;
– les catégories de destinataires à qui ces données seront communiquées;
– le délai prévu pour l’effacement des données ;
– la description générale des mesures de sécurité techniques et organisationnelles.
II Le contrôle du respect du règlement européen et les sanctions en cas de manquement