conditions-diffusion-donnees-personnelles-aux-autorites conditions-diffusion-donnees-personnelles-aux-autorites

Dans quelles conditions mes données personnelles peuvent être diffusées aux autorités ?

La protection des données personnelles est devenue un des sujets centraux parmi les préoccupations de chacun.

Le Cabinet Avomedias est spécialisé dans ce domaine et vous propose un accompagnement efficace et de qualité adapté à vos besoins.

La diffusion des données personnelles est un traitement de données qui rentre dans le cadre de la réglementation européenne. En effet, lorsque vous diffusez vos données personnelles aux autorités, celles-ci doivent respecter la réglementation européenne en particulier les principes fondamentaux du règlement général sur la protection des données (RGPD). Les organismes publics ou privés qui détiennent vos données doivent respecter les principes et les obligations énoncés par le RGPD. Cela implique l’établissement d’un fondement légal (I), le respect du principe de proportionnalité (II), ainsi que le respect des droits des personnes concernées par le traitement (III) et la mise en conformité au RGPD (IV).

La nécessité de déterminer un fondement légal

La diffusion de vos données doit être fondée sur une base légale. À cet égard, le RGPD énonce une liste non cumulative de plusieurs fondements sur lesquels l’auteur du traitement peut s’appuyer notamment :

  • le consentement de la personne concernée au traitement de ses données personnelles ;
  • le traitement doit être nécessaire à l’exécution de mesures contractuelles ou précontractuelles prises à la demande de la personne concernée ;
  • le traitement doit être nécessaire afin de respecter une obligation légale s’imposant au responsable du traitement ;
  • le traitement doit être nécessaire pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
  • le traitement doit être nécessaire pour la sauvegarde des intérêts fondamentaux de la personne concernée ;
  • le traitement doit être nécessaire pour préserver les intérêts légitimes poursuivis par le responsable du traitement.

Le consentement est un fondement primordial. Il doit être libre, spécifique, éclairé et univoque. Un consentement libre suppose que la personne concernée par le traitement soit en mesure de refuser ou de retirer son consentement sans subir un préjudice tel qu’un coût supplémentaire. Le consentement est spécifique à partir du moment où la personne concernée par le traitement a la possibilité de donner un consentement spécifique à chaque finalité du traitement. Pour que le consentement soit éclairé, la personne doit être informée préalablement au recueil de son consentement afin de pouvoir le donner en toute connaissance de cause.

Enfin, le consentement est univoque lorsqu’il est donné par un acte positif clair qui peut prendre la forme d’une déclaration écrite, orale ou d’une case à cocher.

L’obligation de respecter le principe de proportionnalité

Pour être licite, un traitement doit respecter le principe de proportionnalité qui se compose de deux exigences. Tout d’abord, il faut respecter un principe de minimisation selon lequel les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Deuxièmement, les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard desfinalités pour lesquelles elles sont traitées. Cette durée doit être proportionnée à la finalité du traitement. En conséquence, le responsable du traitement doit être en mesure d’établir des procédures aptes à gérer des durées de conservation distinctes selon les types de données qu’il collecte, et être en mesure d’effectuer, le cas échéant, toute purge ou destruction sélective de données.

Les obligations de respecter les droits de la personne concernée par le traitement

1/ Le respect d’une obligation d’information préalable

Chaque individu a le droit d’être informé avant que les données ne soient pour la première fois communiquées à des tiers. Autrement dit, le responsable du traitement doit, au moment de la collecte des données, porter à votre connaissance les informations précises sur le traitement de vos données, comme l’identité et les coordonnées du responsable du traitement, la finalité poursuivie par le traitement, la durée de conservation des données, le droit de demander une limitation du traitement ou l’existence d’une prise de décision automatisée.

Les informations doivent être transmises d’une façon concise, transparente, compréhensible et suffisamment accessible, en des termes clairs et simples. Elles doivent être écrites et fournies dans un délai déterminé.

2/ Une obligation de notification en cas de violation

Lorsqu’une violation de données à caractère personnel est susceptible de causer un risque élevé pour vos droits et libertés, le responsable du traitement est tenu de vous informer sur cette violation dans les meilleurs délais, en des termes clairs et simples. Il doit indiquer les noms et coordonnées du délégué à la protection des données, les conséquences probables de la violation ainsi que les mesures prises par le responsable du traitement pour remédier à la violation.

Le responsable du traitement devra également notifier la violation à l’autorité compétente dans un délai de soixante-douze heures au plus tard après en avoir pris connaissance.

Le responsable du traitement doit également veiller au respect de nombreux autres droits.

En premier lieu, le responsable du traitement doit respecter le droit d’accès qui permet à la personne concernée de demander à celui-ci si des données à caractère personnel la concernant sont traitées. Dans l’affirmative, la personne concernée peut accéder et obtenir des informations relatives à leur traitement.

En second lieu, le responsable du traitement doit respecter le droit de rectification par lequel la personne concernée peut obtenir la rectification des données à caractère personnel qui sont inexactes dans les meilleurs délais.

En outre, le responsable du traitement doit respecter le droit à la portabilité selon lequel la personne concernée peut s’extraire d’un traitement de données en sollicitant la restitution de vos données dans un format structuré, couramment utilisé et lisible afin de pouvoir les réutiliser ultérieurement et librement.

Le droit à l’effacement doit aussi être respecté par le responsable du traitement. Ce droit permet d’obtenir l’effacement des données inexactes, inadéquates, non pertinentes ou excessives au regard des finalités du traitement, ou encore lorsqu’elles ne sont pas mises à jour ou qu’elles sont conservées pendant une durée excessive.

Par ailleurs, le responsable du traitement à l’obligation de respecter votre droit d’opposition par lequel la personne concernée peut s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel vous concernant fassent l’objet d’un traitement.

Votre droit à la limitation doit également être pris en compte par le responsable du traitement.

Grâce à ce droit, il est possible d’interdire l’utilisation de certaines données pendant le délai d’examen de la demande d’annulation.

Enfin, le responsable du traitement doit respecter le droit au déréférencement qui permet de demander qu’une information ne soit plus liée au nom de la personne concernée par le traitement.

La nécessité de documenter la mise en conformité au RGPD

La mise en conformité au RGPD nécessite de respecter un certain nombre d’obligations techniques et matérielles.

1/ L’obligation de tenir un registre des activités de traitement

Chaque responsable de traitement doit tenir à jour un registre des traitements. Ce registre doit comprendre l’ensemble des traitements de l’organisme afin de lui permettre de disposer d’une vue d’ensemble de toutes les activités de traitement de données, à savoir :

  • le nom et les coordonnées du responsable du traitement ;
  • les finalités du traitement ;
  • la description des catégories de personnes concernées et des données à caractère personnel ;
  • la catégorie de destinataires auxquels les données seront communiquées ;
  • le transfert des données vers un pays tiers à l’Union européenne et les garanties appropriées ;
  • les délais prévus pour l’effacement des données ;
  • une description générale des mesures de sécurité techniques et organisationnelles.

2/ L’obligation de désigner un délégué à la protection des données (DPD)

Les organismes publics et privés qui traitent des données sensibles doivent désigner un délégué à la protection des données (DPD) ayant la charge de veiller au respect du RGPD ainsi que d’informer et conseiller les responsables de traitement. Cette désignation est obligatoire dans trois circonstances :

  • lorsque les traitements sont effectués par une autorité publique ou un organisme public ;
  • lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • lorsque les activités de base du responsable du traitement ou du sous-traitent consistent en un traitement à grande échelle des données sensibles et de données relatives à des condamnations pénales.

3/ L’obligation de conduire des analyses d’impact pour les traitements à risque

Dans certains cas, des analyses d’impact (privacy impact assessment) sont nécessaires dès lors que les traitements sont risqués pour la vie privée des personnes concernées. Ces études ont pour but de mesurer les risques encourus par les personnes dont les données personnelles pourraient être menacées. Les analyses d’impact sont requises :

  • en cas d’évaluations systématiques et approfondies d’aspects personnels ;
  • en cas de traitements à grande échelle de catégories particulières de données ;
  • en cas de surveillance systématique à grande échelle d’une zone accessible au public.

4/ La prise en compte du principe de responsabilité (accountability) et privacy by design

Le RGPD impose au responsable du traitement de prendre en compte le principe de responsabilité (accountability) selon lequel le responsable du traitement doit mettre en œuvre des mesures techniques et opérationnelles appropriées afin de s’assurer que le traitement est effectivement conforme au RGPD.

En outre, le responsable du traitement doit prendre en compte le principe de privacy by design (protection de la vie privée dès la conception).

Selon ce principe, le responsable du traitement doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir que seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. De manière plus concrète, le responsable doit adopter des mesures internes permettant de garantir que la mise en œuvre de tout nouveau projet de traitement comprendra, au stade de la conception du projet ou de l’outil, une réflexion relative à la protection des données qui seront collectées ou traitées, sur la base d’une « check-list informatique et libertés ».

5/ L’interdiction de collecter des données sensibles

Le RGPD prévoit un principe d’interdiction de collecter des « données sensibles » telles que celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, biométriques, des données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Cependant, il existe des exceptions à ce principe d’interdiction. Par exemple, des données sensibles peuvent être diffusées lorsque la personne concernée a donné son consentement explicite au traitement de ses données à caractère personnel, mais aussi quand le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou pour des motifs d’intérêt public importants.

6/ L’obligation d’assurer la sécurité et la confidentialité des données

Le responsable du traitement doit s’assurer de la sécurité et la confidentialité des données.

À cet égard, il doit garantir que les données personnelles collectées ne seront pas endommagées ou détruites, et qu’elles ne seront pas communiquées à des tiers non autorisés. Le RGPD mentionne plusieurs mesures à mettre en place comme :

  • la pseudonymisation et le chiffrement des données,
  • des moyens garantissant la confidentialité des systèmes et des services de traitement,
  • des moyens permettant de rétablir la disponibilité des données à caractère personnel,
  • l’élaboration d’une procédure en vue de tester, analyser et évaluer l’efficacité des mesures techniques et opérationnelles.

Cette liste n’est pas exhaustive.

Le responsable du traitement peut aussi rédiger des procédures à l’attention des services opérationnels ou services supports concernant les conditions de collecte et d’utilisation de données personnelles.

Les professionnels sont également incités à réaliser des opérations d’audit afin de vérifier si les règles issues du RGPD sont bien respectées en pratique.

7/ des formalités préalables à accomplir auprès de la CNIL

Le RGPD prévoit l’obligation de respecter des règles internes aux entreprises (binding corporate rules) qui définissent la politique interne d’un groupe en matière de transferts de données personnelles en dehors de l’Union européenne.

Si vous estimez qu’il existe une violation par des autorités dans le traitement de vos données personnelles, vous pouvez exercer un recours juridictionnel contre elles. Le cabinet juridique

Avomedias est en mesure de défendre vos intérêts en la matière. L’expérience et les qualifications de nos Avocats vous proposent des prestations à la hauteur de vos objectifs.

Nous vous remercions de votre confiance et nous restons à votre entière disposition.

Me Steve OUTMEZGUINE

Me Steve OUTMEZGUINE

Fondateur du Cabinet Avomedias

Contactez nous

[email protected]
01 84 14 52 02

Notre adresse

47 Avenue Hoche
75008 Paris

Prendre rendez-vous

Prenez rendez-vous par téléphone
Du lundi a vendredi de 9h a 19h

Nous écrire
01 84 14 52 02

Avec votre consentement nous utilisons des cookies pour faciliter votre expérience avec nos services et analyser notre trafic. Vous pouvez gérer ou retirer votre consentement à tout moment. Vous pouvez paramétrer les cookies en cliquant sur le bouton ci-dessous. Pour plus d’informations sur l’utilisation des cookies, vous pouvez consulter notre Politique des cookies.