Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Guide Juridique du RGPD (3e édition)
  3. S’assurer de la licéité de vos traitements
Extrait - Guide Juridique du RGPD (3e édition) La réglementation sur la protection des données personnelles
Extraits du livre
Guide Juridique du RGPD (3e édition) La réglementation sur la protection des données personnelles Revenir à la page d'achat du livre

S’assurer de la licéité de vos traitements

Introduction

La licéité constitue le grand principe des grands principes issus du RGPD. Les données personnelles doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée.

Alors que la loyauté et la transparence sont davantage des principes moraux, bien qu’ils aient, comme nous allons le voir, des répercussions importantes sur des notions pratiques, la licéité du traitement conditionne à elle seule le déclenchement de tout le processus juridique venant encadrer spécifiquement le traitement de données à caractère personnel.

Dans ces développements, nous vous proposons de suivre le cycle de licéité du traitement, de sa conception à sa réalisation. Imaginez-vous avoir identifié un besoin métier pour lequel vous devez procéder à un traitement de données à caractère personnel.

Nous allons voir ici étape par étape quelles sont les questions clés que vous devrez vous poser dans la mise en œuvre de ce traitement.

images/02-page2.png

Cycle de licéité du traitement

Les étapes clés en amont du traitement

Un traitement de données à caractère personnel obéit à un certain nombre de principes directeurs définis par le RGPD.

Il faudra, dans un premier temps, penser le traitement en amont de sa mise en place. La première étape consiste à définir la finalité du traitement, c’est-à-dire la raison pour laquelle vous avez besoin de procéder à une collecte de données à caractère personnel.

Ensuite, vous devrez définir quelles seront les données collectées et ainsi pré-qualifier la qualité des données qui vous sont nécessaires.

Une fois les métriques du traitement définies, il vous faudra inscrire le traitement dans votre registre des activités de traitement.

1. Les finalités du traitement

L’analyse de la finalité des traitements repose sur le fait que chaque traitement de données à caractère personnel doit avoir une finalité déterminée, explicite et légitime (RGPD, art. 5, b). Autrement dit, le traitement de données doit répondre à un but ou à un besoin défini. On ne peut pas collecter les données d’autrui sans raison particulière.

Une fois que les données sont collectées pour une finalité, il n’est, par principe, plus possible de les utiliser pour la réalisation d’un traitement ayant une finalité différente, sous peine de procéder à un détournement de finalité, infraction pénalement sanctionnée (Code pénal, art. 226-21). En clair, les données collectées ne peuvent être traitées ultérieurement de manière incompatible avec les finalités initiales, c’est-à-dire pour une finalité différente que celle pour laquelle le consentement initial a été donné. Il s’agit d’une règle essentielle dont le but est bien évidemment d’empêcher les détournements de consentement.

À titre d’exemple, la collecte de l’adresse électronique des adhérents pour la gestion de leur compte ne peut pas être détournée pour de la prospection...

La mise en œuvre du traitement

Une fois le traitement défini, vous devez le mettre en œuvre dans le respect des principes définis par le RGPD. Si certains existaient déjà sous l’empire de la loi Informatique et Libertés et ont simplement été renforcés, d’autres ont été consacrés par le RGPD. Vigilance !

1. Le principe de transparence

Principe incontournable du RGPD, l’information des personnes concernées par le traitement et l’obtention de leur consentement le cas échéant sont des éléments déterminants dans l’appréciation de la licéité du traitement.

La simple fourniture de cette information brute apparaît néanmoins insuffisante, et des exigences de forme sont posées, exigences chapeautées par le principe de transparence.

L’information délivrée et le recueil du consentement doivent être réalisés de façon claire, intelligible et accessible afin qu’il n’y ait plus aucun doute possible sur le sort des données que la personne concernée confie à l’entreprise.

images/02-page15.png

Transparence de l’information

Le principe de transparence (RGPD, art. 12) impose que toute information et communication relative au traitement de données à caractère personnel soit aisément accessible, facile à comprendre, et formulée en des termes clairs et simples.

Le principe de transparence se matérialise par la fourniture d’une information qui peut être effectuée sous trois formes : écrite (papier), orale ou électronique (e-mail, site internet, etc.).

Attention toutefois lorsque l’information est recueillie par voie orale car des problématiques relatives à la preuve de la délivrance de cette information peuvent en découler. Il faudra alors, pour éluder toute difficulté, faire signer une décharge à la personne concernée où celle-ci atteste avoir été informée oralement de ses droits et des obligations qui pèsent sur le responsable de traitement conformément aux dispositions du RGPD.

Précision d’importance : le recueil par voie orale du consentement est impossible, il...