Aperçu de la législation sur la protection des données
Quand faut-il respecter la législation sur la protection des données ?
Le droit de la protection des données doit toujours être respecté lorsque des données à caractère personnel sont disponibles. Les données à caractère personnel sont des données qui se rapportent à une personne physique identifiée ou identifiable et sont donc disponibles beaucoup plus rapidement qu'on ne le pense souvent. Prenons un exemple à cet égard : L'entreprise de production U du secteur automobile enregistre sur la plateforme SaaS d'un tiers les moments où certains collaborateurs utilisent la machine de production de U. Toutefois, U n'enregistre pas le nom des employés sur la plateforme SaaS, mais utilise des identifiants tels que "M1" et "M2". Pour que U puisse elle-même attribuer le marquage à un nom de collaborateur donné, U tient à jour une table d'attribution. Ce tableau d'attribution n'est pas enregistré sur la plateforme SaaS. La plateforme SaaS contient-elle des données à caractère personnel et doit-elle donc être intégrée conformément aux exigences du RGPD ? Oui - U doit respecter intégralement la législation sur la protection des données dans le cas d'exemple. Le fournisseur de la plateforme SaaS n'a certes pas accès au tableau d'attribution. Toutefois, cela n'a pas d'importance. En effet, les données disponibles sur la plateforme SaaS peuvent être associées à des personnes, ne serait-ce qu'à l'aide des connaissances supplémentaires de U. En raison de l'identification par "M1" et "M2", etc. Ce n'est qu'en cas d'anonymisation que la législation sur la protection des données ne serait plus à respecter. Dans le cas d'une anonymisation, il faudrait au moins supprimer les désignations "M1" et "M2", etc.
Quelles sont les principales conséquences de l'application du RGPD ?
Si le droit de la protection des données doit être respecté, il faut tout d'abord tenir compte de deux conséquences principales en ce qui concerne les traitements de données :
Trouver et respecter une norme d'autorisation
Respect des obligations d'information
Détection et respect d'une norme d'autorisation
S'il existe des données à caractère personnel, leur traitement est tout d'abord interdit en vertu de l'article 6, paragraphe 1, et de l'article 9, paragraphe 1, du RGPD. L'interdiction ne s'applique pas si l'une des rares dispositions d'exception s'applique. Ces dispositions d'exception se trouvent principalement à l'article 6, paragraphe 2 du RGPD, à savoir :
La personne concernée a donné son consentement au traitement des données à caractère personnel la concernant pour une ou plusieurs finalités déterminées ;
le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée ;
le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent la protection des données à caractère personnel, ne s'y opposent.
Si des données sensibles (plus précisément : des catégories particulières de données à caractère personnel) sont concernées, des règles différentes s'appliquent. De telles données sensibles sont
Les données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données relatives à la santé ou des données relatives à la vie sexuelle ou à l'orientation sexuelle d'une personne physique.
Les données relatives à la santé, telles que les arrêts maladie ou le simple fait qu'une personne porte des lunettes, sont donc des données sensibles. Si de telles données existent, il doit y avoir un motif d'autorisation au sens de l'article 9, paragraphe 2, du RGPD. Les motifs d'autorisation de l'article 9, paragraphe 2, du RGPD se distinguent des motifs d'autorisation de l'article 6, paragraphe 2, du RGPD mentionnés ci-dessus sur plusieurs points essentiels.
Ainsi, le consentement est également possible dans le domaine des données sensibles. Il doit toutefois être explicite. Les consentements implicites ne sont donc pas - ou en tout cas guère - possibles.
En outre, il est particulièrement important que, pour les données "simples" selon l'article 6, paragraphe 2 du RGPD, un traitement soit possible sur la base d'un intérêt légitime (article 6, paragraphe 2, point f du RGPD). Il convient donc de procéder à une mise en balance des intérêts. Si l'issue de cette mise en balance des intérêts est positive, le traitement des données peut avoir lieu. Dans la pratique, de nombreux traitements sont fondés sur ce motif d'autorisation, par exemple l'installation de cookies pour le panier d'une boutique en ligne ou l'intégration organisationnelle de représentants commerciaux. Toutefois, si des données sensibles sont concernées, par exemple des données relatives à l'appartenance religieuse, à un arrêt maladie ou à une disposition médicale, il convient d'appliquer en priorité l'article 9, paragraphe 2, du RGPD, qui ne prévoit pas une telle mise en balance des intérêts. Si aucun autre motif d'autorisation de l'article 9, paragraphe 2, du RGPD n'intervient, l'octroi d'un consentement explicite peut rapidement s'avérer nécessaire. Les consentements présentent toutefois divers inconvénients, raison pour laquelle ils devraient en principe être évités. Il s'agit notamment de la charge organisationnelle, du caractère volontaire du consentement, de l'interdiction de lier le consentement à certaines prestations, de l'obligation de documenter le consentement et de la révocabilité du consentement.
En présence de données à caractère personnel, il convient donc tout d'abord de trouver une norme d'autorisation la plus pratique possible pour le traitement des données et de respecter ses prescriptions.
Respect des obligations d'information
En cas de traitement de données, les personnes concernées doivent en principe être informées. Ce devoir incombe même à celui qui n'a pas de contact direct avec la personne concernée. Ainsi, si une entreprise reçoit par exemple des données personnelles d'un client final dans le cadre d'un recours, elle doit informer la personne concernée en matière de protection des données.
Les informations à fournir sont énumérées en douze points à l'article 13 du RGPD et en treize points à l'article 14 du RGPD. Ces deux normes sont à l'origine de la "déclaration de confidentialité" requise sur presque tous les sites web.
Parmi les informations à fournir, on trouve des points plus simples comme la mention du responsable de la protection des données, c'est-à-dire généralement le nom de l'entreprise, et l'indication éventuelle des coordonnées d'un délégué à la protection des données. La compilation d'autres informations peut nécessiter plus de travail. Par exemple, la norme d'autorisation pour le traitement (voir ci-dessus) doit également être mentionnée. Il convient également d'indiquer la durée de conservation et, le cas échéant, la source des données. Ce dernier point en particulier peut avoir des conséquences économiques importantes, car il peut également impliquer la mention de sous-traitants. Or, l'identité des sous-traitants doit souvent être tenue secrète - par exemple vis-à-vis des concurrents.
Autres thèmes liés à la protection des données
Les points précédents visent à illustrer le spectre plus large du droit de la protection des données. Seuls les points qui surviennent directement lors du traitement des données ont été abordés. Nous n'avons donc pas abordé ci-dessus, par exemple, les obligations étendues en ce qui concerne l'organisation interne de l'entreprise. Par ailleurs, de nombreux autres thèmes standard et spéciaux doivent être pris en considération.
Citons à titre d'exemple quelques autres thèmes standard:
gestion des pannes de données (obligation de notification dans les 72 heures)
conclusion en bonne et due forme des opérations de sous-traitance
responsabilité du sous-traitant
respect des principes de privacy-by-design et de privacy-by-default lors de la conception technique
Concepts d'effacement
désignation d'un délégué à la protection des données
Droit à la portabilité des données ("data portability")
A titre d'exemple, on peut citer quelques thèmes spéciaux:
Conception de produits en réseau constitués d'un portail SaaS ou d'un portail client, d'une application et de nouveaux appareils.
Prise en compte des exigences découlant de l'e-privacy, selon lesquelles des règles similaires à celles du droit de la protection des données doivent être respectées, sans qu'il soit toutefois nécessaire de se référer à des personnes. Il suffit par exemple que de simples informations soient consultées à partir du terminal d'un utilisateur.
Intégration d'intermédiaires de vente, par exemple d'agents commerciaux
Respect des réglementations spéciales en matière de protection des données, par exemple la protection des données sociales.
Protection des données et photos
Bannière de cookies
Conception interne à l'entreprise et à l'échelle du groupe en matière de protection des données