Collecte et traitement des données personnelles

Les données personnelles doivent être:
  • traitées de manière licite, loyale et transparente au regard de la personne concernée ;
  • collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités (le traitement historique ou à des fins statistiques est accepté);
  • adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées;
  • exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données personnelles qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder;
  • conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (la conservation historique ou à des fins statistiques est accepté, pour autant que soient mises en œuvre des « mesures techniques et organisationnelles appropriées »);
  • traitées de façon à garantir une sécurité appropriée des données.

A ce stade, il est important de souligner que, comme précédemment, ne peuvent être utilisées que des données qui respectent ces principes. Cela induit que les bases de données / datalakes utilisées doivent comprendre des données dont on peut certifier la traçabilité et les conditions de collecte. Ce point est essentiel et il est toujours contrôlé par l’autorité de protection des données personnelles.

 

La finalité déclarée est absolument fondamentale.

En revanche, désormais, si les finalités déclarées sont vagues et/ou semblent permettre d’utiliser les données personnelles pour n’importe quelle finalité, le GDPR donne des indications nouvelles et enjoint le responsable du traitement de tenir compte, entre autres :

  • de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données personnelles ont été collectées et les finalités du traitement ultérieur envisagé;
  • du contexte dans lequel les données personnelles ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;
  • de la nature des données personnelles, en particulier si le traitement porte sur des données sensibles;
  • des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;
  • de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou l’anonymisation.

De même, le traitement en lui-même n’est licite que si :

  • soit la personne concernée a consenti au traitement de ses données pour des finalités spécifiques;
    Le consentement doit être donné dans un cadre spécifique. Il doit s’agir, par exemple, d’une case spécifique à cocher le cas échéant ou d’un texte distinct, spécifique, très clair.
    C‘est au responsable du traitement de démontrer que l’utilisateur a donné son consentement. En d’autres termes, pour ceux qui ont besoin de recueillir le consentement, il sera nécessaire de mettre en place des procédures d’identification de la personne et de son acceptation, comme font aujourd’hui les sites marchands pour l’acceptation des Conditions Générales d’Utilisation / Conditions Générales de Vente.
    En France, les enfants peuvent donner leur consentement à partir de 15 ans (le GDPR prévoit que certains Etats peuvent descendre jusqu’à 13 ans).
  • soit le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie, ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;
  • soit le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis (dans son propre pays, là où il offre ses services, pas n’importe où);
  • soit le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;
  • soit le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
  • soit le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.

 

Enfin, les traitements qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les traitements de données génétiques, de données biométriques aux fins d’identifier une personne physique de manière unique, de données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique doivent :

  • soit être explicitement consentis par la personne concernée pour des finalités spécifiques ;
  • soit le responsable du traitement doit exécuter une mission d’intérêt public ou une obligation légale (par ex, médecine du travail ou « la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ») ;
  • soit le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données personnelles ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées;
  • soit le traitement porte sur des données personnelles qui sont manifestement rendues publiques par la personne concernée.