2 min de lecture
15 éléments à prendre en compte après 2 ans d'application du RGPD
RGPD Blockproof
Nous célébrons les deux ans de l'application du RGPD. A cette occasion, la CNIL a publié deux chiffres qui reflètent une prise de conscience de la protection des données personnelles dans la société.
- +27% de plaintes déposées par rapport à 2018
- 64 900 organismes ont désigné un délégué à la protection des données
Naturellement, les avis, sanctions et jugements liés au RGPD ont augmenté. Après avoir parcouru ces publications des autorités compétentes de 28 pays membres de l'UE, nous avons constaté quelques éléments à prendre en compte :
Sur le champ d'application du RGPD
- l'utilisation de la langue d'une personne concernée dans le cadre qui lui donne la possibilité de commander des biens et des services dans cette langue indique que le responsable a l'intention d'offrir des biens ou des services à des personnes dans l'Union. Ainsi, une telle activité relève du champ d'application du RGPD, indépendamment du fait que l'entreprise soit basée ou non sur le territoire de l'UE.
Sur l'identification du rôle du responsable du traitement ou des co-responsables du traitement
- lorsqu'une personne appartient à un organisme mais agit de manière indépendante, lorsque un traitement est effectué par ses soins, même si les informations sont détenues par l'organisme, ce dernier ne doit pas être tenu pour responsable du traitement des données ou co-responsable du traitement.
- la qualité de responsable du traitement découle d'une décision de fait sur les moyens et les finalités du traitement et non d'une simple appréciation juridique du propriétaire de l'entité qui traite les données personnelles en question.
- dans une activité de traitement de données, si plusieurs organismes participent à la réalisation et au résultat final, par exemple toutes les entités publiques impliquées dans un processus de sollicitation, sont co-responsables du traitement
Sur les principes de minimisation des données et des finalités
- une base légale existante pour une utilisation spécifique des données personnelles ne donne pas le droit de réutiliser les informations à des fins supplémentaires. Une base légale doit être établie pour toute autre réutilisation.
Sur consentement
- il importe de recueillir le consentement de manière spécifique et libre, après avoir fourni les informations correspondantes de façon transparente et univoque.
Sur la validité du consentement dans les relations présentant des inégalités de force
- les inégalités de force inhérentes entre l'employeur et l'employé n’est pas favorable au recours au consentement ou au contrat comme base légale pour le traitement des données personnelles peut être problématique.
- en cas de traitement des données biométriques des enfants lors de l'utilisation de la cantine scolaire. le consentement donné par les parents n'est pas valable notamment en raison du déséquilibre des parties, de sorte que le traitement des données biométriques qui en découle est dépourvu de base légale valable.
Sur l'utilisation de l'intérêt légitime
- l'utilisation de l'intérêt légitime comme base légale devrait envisager une analyse en trois parties : Analyses de l'intérêt légitime, de la nécessité et de la mise en équilibre.
Sur les informations à fournir et les modalités
- des informations claires sur les traitements doivent être fournies aux personnes concernées par la publication d'une politique de confidentialité actualisée et conforme, au moins sur le site web, en veillant à ce que les informations soient fournies dès la première interaction ( en personne ou sous forme électronique) avec la personne et sans que cette communication d'informations ne se fasse en plusieurs étapes.
Sur le droit d'effacement
- l'envoi de courriers électroniques à une entreprise cliente après qu'il lui ait demandé de supprimer son fichier est contraire au RGPD
Sur les limites du droit d'opposition à un traitement
- il a été imposé que le droit de s'opposer au traitement suivi n'est pas absolu. Les données peuvent toujours être traitées si le responsable du traitement peut démontrer qu'il existe un motif légitime et impérieux de poursuivre le traitement, comme une obligation légale.
Sur l'utilisation d'algorithmes
- le responsable du traitement doit être en mesure de fournir des preuves suffisantes pour démontrer que les décisions n'ont pas été prises uniquement sur la base des résultats d'un algorithme.
Sur le respect de la vie privée lors de la conception et par défaut
- lors du développement d'un dispositif technique, il doit contenir par défaut des paramètres de protection de la vie privée. Par exemple, l'utilisation d'un système d'archivage pour stocker les données personnelles, sans possibilité de supprimer les données personnelles car le système d'archivage de la société était structurellement incapable de supprimer les données inutiles, sera contraire aux principes de protection de la vie privée par défaut et de conception.
Sur la relation entre le responsable du traitement et le sous-traitant
- tout responsable de traitement doit établir les obligations en termes de responsabilité envers ses sous-traitants sous la forme d'un contrat formalisant le traitement des données et prévoyant les fonctions et les instructions du responsable du traitement.
Sur le registre du traitement des données
- il faut que tout responsable du traitement des données respecte l'obligation de créer un registre des activités de traitement. Par exemple, un registre devrait être tenu sur l’activité de vidéosurveillance, car il s'agit d'un traitement susceptible d'entraîner un risque pour les droits et libertés, même si la taille de l'organisme est petite.
Sur la réaction en cas de violation de données
- lorsqu'une violation de données se produit, élaborer et documenter les méthodes internes d'évaluation des risques nécessaires, ainsi qu'évaluer l'efficacité des procédures et mesures qu'il a mises en place au moyen d'audits externes annuels, sont nécessaires.
- en outre, l'objectif de la notification aux personnes concernées d'un risque pour la sécurité est de leur donner des informations spécifiques sur les mesures qu'elles peuvent prendre pour se protéger contre les conséquences éventuelles de la violation des données personnelles.
Sur les analyses d'impact en matière de protection des données
- une évaluation d'impact sur la protection des données doit démontrer la conformité avec le règlement en mettant en place des mesures, des garanties et des mécanismes pour atténuer ce risque.
- l'analyse d'impact sur la protection des données doit être effectuée avant le traitement, mais elle doit également être mise à jour après le lancement effectif du traitement afin de garantir que les risques pour les droits et libertés des personnes physiques dont les données personnelles sont traitées sont toujours dûment pris en compte.
- l'avis de l'Autorité doit être demandé lorsque les résultats de son analyse d'impact sur la protection des données (AIPD) indiquent que, malgré l'adoption de mesures d'atténuation des risques, le traitement, par la simple publication de catégories particulières de données, pourrait encore entraîner un risque élevé pour les droits et libertés des personnes.
Ces articles pourraient vous intéresser :
Kumudithe Perera