Le RGPD expliqué ligne par ligne (articles 1 à 23)

Le RGPD expliqué ligne par ligne (articles 1 à 23)

RGPD S01E01

Avatar de l'auteur
Marc Rees

Publié dans

Droit

21/02/2018 27 minutes
88

Le RGPD expliqué ligne par ligne (articles 1 à 23)

Le  25 mai 2018, s'appliquera le fameux Règlement général sur la protection des données personnelles. Ses 99 dispositions suscitent interrogations et inquiétudes. Pour tenter d'y voir plus clair, Next INpact vous propose une explication ligne par ligne du RGPD. Nous débutons cette série avec les articles 1 à 23.

Un texte unique pour les régenter toutes. Voilà le credo du RGPD. L’acronyme est désormais un juteux argument commercial dans les salons dédiés à la sécurité, puisqu’on ne compte plus le nombre de sociétés de conseil spécialisées dans la mise en conformité. Il est vrai cependant que le règlement correspond bien à une révolution en Europe et au-delà, avec des points névralgiques que ne devront pas ignorer les sociétés qui brassent de la donnée.

D’abord, pourquoi un règlement et non une directive ? Tout simplement parce que le règlement est juridiquement d’application directe. Il n’exige donc pas de loi de transposition pour être adapté au climat de chaque État membre. Un tel véhicule assure l’uniformisation bien loin de la simple harmonisation. Dit autrement, un règlement évite la fragmentation des législations, et les opportunités de forum shopping, alors que les services en ligne se soucient si peu des frontières.

Voilà en tout cas pour la théorie puisque le RGPD a ses particularités. Le texte ouvre en effet plusieurs options sur certains axes, afin de laisser du mou à chaque législation. Une forme de droit souple.

C’est d’ailleurs l’objet du projet de loi actuellement discuté en France qui, outre une adaptation de l’environnement juridique, active plusieurs des interrupteurs facultatifs programmés par le texte européen. Un exemple parmi d’autres : la question de l’âge à partir duquel un mineur peut consentir à voir ses données personnelles traitées par Facebook et les autres acteurs en ligne. La marge de manœuvre des États se situe entre 16 ans, la norme, et 13 ans, le seuil qui sied tant aux géants américains.

Mais délaissons ces propos introductifs et plongeons-nous maintenant dans les méandres de ce fameux RGPD, article par article en débutant avec les article 1 à 23, à savoir les dispositions générales (chapitre 1), les principes (chapitre 2) et les droits des personnes physiques (chapitre 3).

Notre dossier sur le RGPD :

Chapitre I. Dispositions générales

Un droit fondamental (article 1)

D’entrée, le règlement rappelle plusieurs considérations de principe. La protection des données personnelles est clairement un droit fondamental. Son objectif ? « Contribuer à la réalisation d'un espace de liberté, de sécurité et de justice et d'une union économique, au progrès économique et social, à la consolidation et à la convergence des économies au sein du marché intérieur, ainsi qu'au bien-être des personnes physiques ».

Ces paroles n’ont pas seulement une beauté philosophique alors que géants du Net et institutions publiques engloutissent chaque jour toujours plus de données personnelles, jusque dans les méandres de l’intimité. 

Elles guideront les pas du juge lorsqu’il devra ausculter un dossier épineux où seront nécessairement en confrontation des intérêts divergents. La protection des données n’est d’ailleurs pas érigée en droit absolu, mais devra être mise en balance avec d’autres dispositions de même rang, comme la liberté d’entreprendre. Un travail classique d’arbitrage, mais où les rampes d’interprétation sont d’une utilité manifeste.

Champ d’application du règlement (article 2)

Le règlement disponible au Journal officiel européen s'applique donc à tous les traitements de données à caractère personnel, sauf exception.

Quelles exceptions ? Avant tout, les fichiers de sécurité restent de la compétence des États membres. De même, sont exclus les traitements réalisés par une personne physique dans le cadre d'une activité strictement personnelle ou domestique (un répertoire téléphonique dans un domicile privé...). Le RGPD ne s’occupe pas davantage des traitements relatifs à la prévention et la détection des infractions pénales, lesquels font l’objet d’un texte à part, une directive cette fois.

Le règlement, pose l’article 1, établit « des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données ».

Cette notion de libre circulation des données est importante : elle ne pourra être limitée ou interdite « pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ». Le sacro-saint marché unique ne doit donc pas sortir affaibli de cette législation qui concerne toutes les personnes physiques, « indépendamment de leur nationalité ou de leur lieu de résidence ».

En somme, l’exercice périlleux du règlement sera d’assurer une parfaite fluidité de la donnée, tout en blindant sa protection contre les abus mesurés en fonction de principes classiques et des nouvelles règles.

Le champ d’application territorial (article 3)

Quels sont les traitements qui tomberont sous le coup du règlement ? C’est justement l’une des grandes nouveautés de ce texte.

D’une part, il va s’appliquer à toutes les manipulations de données à caractère personnel effectuées « dans le cadre de l’exercice effectif d'un établissement d’un responsable (…) ou d’un sous-traitant sur le territoire de l'Union ».

Derrière ces mots, on doit comprendre que le lieu du traitement n’a plus aucune incidence. Il ne sera plus possible d’échapper aux griffes de cette législation en faisant héberger son système d’information loin des frontières européennes.

Le critère qui l’emporte est celui de « l’établissement », qui selon la définition apportée par le RGPD « suppose l'exercice effectif et réel d'une activité au moyen d'un dispositif stable ». Soit un joli champ à contentieux.

Ce critère de l’établissement n’est pas le seul à être pris en compte. Le RGPD s'applique d’autre part aux transferts et traitements concernant des personnes se trouvant en UE quand bien même le responsable (ou un sous-traitant) n'est pas établi dans l'Union.

Plus exactement, toutes les offres de biens ou services, avec ou sans paiement, mais également le suivi de comportements (profilage, prédiction, etc.) repérés au sein de l’Union seront encadrés dès lors qu’ils ciblent des personnes physiques se trouvant dans l’Union.

Plusieurs indices permettront aux autorités de justifier cette emprise : langue utilisée, monnaie... Si un prestataire américain veut éviter d’avoir à respecter le RGPD, il devra bien s’atteler à ne pas laisser pareilles traces sur son site.

Cette portée est importante puisque d’une certaine manière, elle va assurer la propagation de ces valeurs à l’échelle planétaire, du moins chez ceux qui envisagent de cibler le marché européen. Les arguties liées à la territorialité, déployées par force de conviction par des armées d’avocats n’auront qu’un intérêt théâtral à l’avenir.

Qu’est-ce qu’une donnée personnelle ? (article 4)

Le règlement définit les « données à caractère personnel », comme « toute information se rapportant à une personne physique identifiée ou identifiable ».

Le texte reste très ambitieux puisqu’une « personne physique identifiable » sera celle « qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Autant dire que les juridictions auront plusieurs leviers pour faire entrer un traitement dans ce champ matériel.

Autre précision, les données qui ont fait l'objet d'une pseudonymisation « et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable ».

Chapitre II. Principes

Les principes que doivent respecter tous les traitements de données (article 5)

L’article 5 est l’un des autres pivots du RGPD. C’est lui qui définit le niveau de qualité attendu de tous les traitements de données à caractère personnel. Et c’est à partir de lui que pourront être prises diverses sanctions contre les responsables qui n’auraient pas respecté ces fondamentaux.

Pas de surprise à prévoir pour notre législation. On retrouve en effet plusieurs principes déjà inscrits dans la loi CNIL de 1978. Les données à caractère personnel doivent être :

  • « traitées de manière licite, loyale et transparente au regard de la personne concernée ».
  •  « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ».
  • « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».
  • « exactes et, si nécessaire, tenues à jour », sachant que toutes les mesures raisonnables seront prises pour corriger les inexactitudes.
  • « conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées  (sauf hypothèse d’archivage dans l’intérêt public, de recherche scientifique, historique ou statistique).
  • « traitées de façon à garantir une sécurité appropriée »

En somme : licéité, loyauté, transparence, finalités limitées, données minimisées, exactes, dont la conservation est réduite dans le temps, et dont sont assurées l’intégrité et la confidentialité.

Un dernier alinéa prévient que le responsable du traitement sera « responsable du respect » de ces critères. Mieux, il devra être en mesure de « démontrer » que ceux-ci sont respectés et donc assumer la charge de la preuve.

Ce principe de responsabilité est fondamental dans la logique du RGPD. Le règlement conduit en effet les États membres à sortir d’un régime d’autorisation ou de déclaration que connaissent bien ceux en contact avec la CNIL par exemple. Les entreprises gagneront en liberté, avec des formalités en moins auprès des autorités de contrôle, mais devront aussi assumer les conséquences d’une violation de ces dispositions, ou s’ils ne parviennent pas à apporter la démonstration attendue.

Le caractère licite du traitement (article 6)

Cet article s’attache à définir à partir de quand un traitement est considéré comme « licite ». Pour cela, les responsables devront respecter au moins l’une des conditions énumérées :

  • La personne a consenti au traitement
  • Le traitement est nécessaire à l'exécution d'un contrat
  • Le traitement est nécessaire au respect d'une obligation légale
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique
  • Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique
  • Le traitement est nécessaire aux fins des intérêts légitimes (et privés) poursuivis par le responsable du traitement ou par un tiers.

Ce critère de « l’intérêt légitime » sera aussi le creuset d’un important contentieux, mais pour éviter un déséquilibre manifeste, il est précisé que cet « intérêt légitime » peut ne pas prévaloir sur les intérêts, les libertés et droits fondamentaux de la personne (par exemple un enfant). Dans ces hypothèses, sa protection l’emportera toujours.

Les propos liminaires ne sont pas explicites sur ce qui se cache derrière ces blocs. On apprend ainsi que l’intérêt légitime s’arrêtera lorsque des données « sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur ».

Néanmoins, la prévention de la fraude, la sécurité des systèmes d’information (dont la lutte contre les attaques DDoS), ou les traitements à des fins de prospection sont considérés par défaut comme « des intérêts légitimes » (point 47 de l’introduction).

Un détail important : les traitements des autorités publiques ne sont pas concernés par cette notion, tout simplement parce qu’« il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques ».

Malgré la grande uniformisation attendue dès mai 2018, les États conservent plusieurs facultés d’adaptation de leur droit. L’article 6 prévient que chaque pays aura la possibilité de prévoir ou maintenir des dispositions spécifiques pour les traitements relatifs à une obligation légale ou ceux concernés par l'intérêt public. Mais la logique est plutôt celle du cliquet anti retour, en ce sens que ces textes devront toujours être plus précis et garantir un traitement licite et loyal.

Cette logique de finalité n’est enfin pas absolue. Le RGPD accepte que les traitements soient effectués pour d’autres finalités que celles qui ont piloté la collecte initiale. Néanmoins, il devra toujours y avoir « compatibilité ».

Le considérant 50 indique à titre d’exemple que « le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être considéré comme une opération de traitement licite compatible ».

Si on veut résumer, il pourra y avoir extension des finalités, mais jamais un détournement auquel les personnes ne pouvaient pas s’attendre raisonnablement. Là aussi, ce sujet de la compatibilité risque d’être un beau nid à questionnement pour les tribunaux lorsqu’une entreprise lancera un traitement pour des finalités qui n’avaient pas été prévues à l’origine.

Remarquons enfin que le fait pour le responsable du traitement « de révéler l'existence d'éventuelles infractions pénales ou de menaces pour la sécurité publique et de transmettre à une autorité compétente les données à caractère personnel concernées dans des cas individuels » sera considéré comme relevant de « l'intérêt légitime ». Sauf bien sûr si le responsable est soumis à un secret quelconque (médecins, journalistes, etc.).

Le consentement (article 7)

Comme déjà précisé, dans une logique de responsabilité, le responsable devra toujours pouvoir être en mesure de démontrer que la personne a donné son consentement, du moins dans les cas où ce recueil était nécessaire.

Certes, il y a une astuce bien connue : noyer cette demande de collecte dans des conditions générales d’utilisation ou dans un flot de questions. Une astuce sans détour repoussée par le RGPD lorsqu’il prévient que la demande devra « être présentée sous une forme qui la distingue clairement », « compréhensible et aisément accessible, et formulée en des termes clairs et simples ».

Le texte insiste : il sera aussi simple de retirer que de donner son consentement. Ce retrait pourra avoir lieu à tout moment. Bien entendu, « le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait ». Enfin, « la personne concernée en est informée [de cette liberté] avant de donner son consentement ».

Un point névralgique : si l'exécution d'un contrat est subordonnée au consentement de la personne, alors que celui-ci n’est pas nécessaire à une telle démarche, alors le critère de la liberté sera présumé ne pas avoir été respecté.

Lorsqu’un site voudra aspirer vos données personnelles, il devra requérir « un acte positif clair » afin de s’assurer que la personne concernée « manifeste de façon libre, spécifique, éclairée et univoque son accord ».

Idéalement, cela doit se faire par une déclaration écrite, mais une simple case à cocher lors de la consultation d'un site pourra suffire voire « un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte »

En toute hypothèse, pas de consentement en cas de silence, de cases précochées par défaut ou encore d'inactivité durant un laps de temps.

Des lignes directrices et explicatives finalisées seront bientôt disponibles sur le site de la CNIL.

Les enfants (article 8)

Les enfants sont mieux protégés, très logiquement « parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ».

La question centrale est de déterminer à partir de quel âge un enfant est en capacité de consentir seul par exemple pour que Facebook puisse traiter ses données. L’article 8 fixe ce seuil à 16 ans, mais il laisse aux États membres la liberté de descendre jusqu’à 13 ans.

Faute de mieux, Facebook et les autres devront s'efforcer « raisonnablement » de vérifier que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, « compte tenu des moyens technologiques disponibles ». Des propos qui ne sont pas bien utiles, tant cette phase de vérification est impossible à distance, sans moyens extrêmement intrusifs.

Le considérant 38 ajoute une précision utile : même sous le seuil, le consentement des parents ne sera jamais nécessaire « dans le cadre de services de prévention ou de conseil proposés directement à un enfant ». On pense ici aux services liés par exemple à la consommation de drogue ou aux moyens de contraception...

Les données sensibles (article 9)

Cet article pose une interdiction de principe des traitements relatifs à l'origine raciale ou ethnique, aux opinions politiques, convictions religieuses ou philosophiques ou à l'appartenance syndicale. Sont ajoutées les données génétiques, et les données biométriques si elles servent à identifier une personne physique de manière unique. Enfin, les données de la santé ou concernant la vie ou l'orientation sexuelle.

Ces traitements sont toutefois autorisés dans une série de cas limitatifs :

  • En cas de consentement de la personne
  • En matière de sécurité sociale, protection sociale ou droit du travail.
  • Lorsque des intérêts vitaux sont en jeu,
  • Pour les associations à finalité politique, philosophique, religieuse ou syndicale,
  • Quand les données ont été rendues publiques par la personne
  • Dans le secteur de la justice
  • Si sont en jeu des « motifs d'intérêt public importants » qui doivent néanmoins respecter « l’essence du droit à la protection de la donnée ».
  • Dans le secteur de la santé (médecine, etc.)
  • Pour l’archivage, la recherche scientifique ou historique, etc.

Les États membres pourront introduire des conditions supplémentaires pour les données génétiques, biométriques ou de santé. Remarquons que les motifs d’intérêt public importants ne pourront jamais autoriser que des traitements soient envisagés « à d'autres fins par des tiers, tels que les employeurs ou les compagnies d'assurance et les banques ». Il y a des précisions de rigueur qui s’imposent, compte tenu de l’appétit de ces secteurs.

Les traitements liés aux condamnations pénales (article 10)

Selon le RGPD, ces traitements sensibles ne peuvent être en principe envisagés « que sous le contrôle de l'autorité publique », soit la CNIL en France. Rappelons ici le contentieux sur le terrain du droit à l’oubli où Google a porté un dossier devant la CJUE alors que plusieurs requérants lui reprochent d’avoir référencé des condamnations pénales.

Traitement sans identification (article 11)

Une mesure de bon sens : lorsque des données à caractère personnel traitées par une entreprise par exemple ne permettent pas à celle-ci d'identifier une personne physique (anonymisation), le responsable « ne devrait pas être tenu  d'obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement » (conservation, etc.)

Dans ce cas, si « le responsable du traitement est à même de démontrer qu'il n'est pas en mesure d'identifier la personne concernée, il en informe la personne concernée ». Si cela lui est possible... par exemple avec une information générique sur un site Internet. En cas d’anonymisation, les droits de la personne disparaissent (droit d’accès, etc.) sauf le droit d’opposition, curieusement.

Chapitre III. Droits de la personne concernée

Transparence et modalités d’exercice des droits à l’information (articles 12, 13, 14)

Toute collecte devra être accompagnée d’une série d’informations obligatoire. La liste est longue, mais citons l’identité du responsable du traitement, celle du délégué à la protection des données s’il existe, les finalités du traitement, les données concernées, la base juridique…

La personne physique devra également connaitre les « intérêts légitimes » avancés par le collecteur, outre les destinataires de ces données. Il devra être éclairé de la volonté de transférer les données hors UE.

Seront également soufflés la durée de conservation du traitement, le droit à la rectification ou l'effacement, le droit d’opposition, le droit de saisir l’autorité de contrôle.

Les informations à communiquer pourront être fournies accompagnées « d'icônes normalisées » afin « d'offrir une bonne vue d'ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu ». Par délégation, la Commission européenne sera chargée de déterminer les informations présentées sous cette forme.

Ce droit est une des pierres angulaires puisque les intéressés devront être informés également « si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ».

Enfin, en cas de décision automatisée (précédée par exemple d’un profilage), la personne physique devra se voir livrer « des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement ».

Le considérant 62 pose qu’« il n'est pas nécessaire d'imposer l'obligation de fournir des informations lorsque la personne concernée dispose déjà de ces informations [ou] lorsque l'enregistrement ou la communication des données à caractère personnel est expressément prévu par la loi ou lorsque la communication d'informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés ». Un dernier point qui devrait servir de brèche.

L’article 14 évoque le scénario où des données n’ont pas été collectées auprès de la personne concernée. Là encore surgit l’obligation d’information (identité, finalité, etc.) qui doit intervenir dans le délai d’un mois, avec en particulier mention de la source. Il devra lui-même dire « s'il est envisagé de communiquer les informations à un autre destinataire », histoire d’assurer une traçabilité pleine et entière.

Tout pareillement, cette obligation d’information dérivée n’aura pas à être organisée si le concerné a déjà ces infos ou si leur fourniture « se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l'intérêt public ».

Les droits d’accès et de rectification (articles 15 et 16)

Si le responsable dispose d’une obligation d’information, la personne concernée a, elle, le droit d'obtenir la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées. C’est le droit d’accès qui lui permettra d’avoir un éclairage individualisé de ces traitements.

Fait notable, le responsable doit sur demande lui fournir une copie des données faisant l'objet d'un traitement, mais le cas échéant, il peut exiger le paiement « de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée ».

Mais comment s’assurer que celui qui fait cette demande est bien celui qui se prétend être ? Sur ce point, le considérant 64 explique que le responsable « devrait prendre toutes les mesures raisonnables pour vérifier l'identité d'une personne concernée qui demande l'accès à des données, en particulier dans le cadre des services et identifiants en ligne ». Nous voilà bien avancés.

Évidemment, en cas d’erreur, le demandeur dispose du droit, « dans les meilleurs délais », d’obtenir rectification des données inexactes ou incomplètes.

Droit à l’effacement ou à l’oubli (article 17)

Ce droit à l’effacement a été consacré à destination des moteurs dans le fameux arrêt Costeja de la Cour de justice de l’Union européenne. Il devient ici un droit à l’oubli, précisé, détaillé et expliqué dans le marbre du RGPD, conditionné à la vérification d’un des motifs suivants : des données qui ne sont plus nécessaires (principe de minimisation), le consentement de l’intéressé a été retiré, ou le traitement initial était illicite, ou concernait des enfants sans autorisation, etc.

Une fois l’une de ces conditions respectée, le site, le moteur ou autre devra prendre « des mesures raisonnables » pour informer tous les autres prestataires utilisant ces mêmes données qu’une demande d’effacement a été exprimée.

Ce droit n’est pas absolu : il ne s’applique pas lorsque le traitement est nécessaire à la liberté d’expression ou d’information ou est consécutif au respect d’une obligation légale. Impossible ainsi de demander son effacement du fichier TES des titres sécurisés, géré par le ministère de l’Intérieur. Des motifs d’intérêt public dans le domaine de la santé, de l’archivage, de la recherche ou historique pourront être avancés. Enfin, le droit à l’effacement ne percera pas dans le secteur de la justice.

Droit à la limitation du traitement (article 18)

Lorsque l’exactitude du traitement est contestée ou que ce même traitement est illicite, la personne physique peut demander la limitation de l’utilisation des données. Cette demande vaudra également lorsque les données ne sont plus nécessaires, mais qu’elles doivent être pour partie conservées afin de permettre l’exercice des droits. Les données limitées ne peuvent alors être exploitées qu’avec le consentement des intéressés.

Cet article pourra se matérialiser par un déplacement des données vers un autre système de traitement, au moins temporairement, histoire de les sanctuariser sans les rendre accessibles aux tiers.

Obligation de notification (article 19)

Les rectifications et effacements de données devront faire l’objet d’une notification aux différents destinataires auxquelles ces informations ont été communiquées, « à moins qu'une telle communication se révèle impossible ou exige des efforts disproportionnés ».

Droit à la portabilité des données (article 20)

C’est l’un des éléments les plus médiatisés du règlement, qui fait l'objet de lignes directrices. En quoi consiste-t-il ? Quiconque a fourni des données chez X ou Y aura le droit dès le 25 mai d’y accéder et de les récupérer. Et pas n’importe comment : même s’il est un peu brumeux, l’article 20 prévient que ce transfert se fera « dans un format structuré, couramment utilisé et lisible par machine ». Et même interopérable, insiste le considérant 68.

Ce droit en emporte un autre : celui de transmettre « son » stock de données à un autre prestataire, sans que le premier détenteur ne puisse y faire obstacle. Mieux, il sera également possible d’exiger un déport des données du premier au second prestataire, du moins « lorsque cela est techniquement possible ».

Cette dernière incise est un appel du pied pour que des acteurs spécialisés émergent sur le marché afin d’aider à la suppression de ces barrières (voir à ce titre l’exemple de Cozy Cloud).

Ce droit n’est toutefois pas absolu. Il suppose que le traitement initial ait été fondé sur le consentement ou un contrat ou à l'aide de procédés automatisés. Néanmoins, ces trois motifs sont suffisamment vastes pour assurer la petite révolution espérée. 

Le périmètre exclut en tout cas les traitements nécessaires à l'exécution d'une mission d'intérêt public, relevant de l'exercice de l'autorité publique et ceux répondant à une obligation légale.

Droit d’opposition (article 21)

Toute personne pourra s’opposer à n’importe quel moment à un traitement de données, « pour des raisons tenant à sa situation particulière ».

Ce droit exercé, le responsable du traitement devra alors s’abstenir, sauf à démontrer l’existence de « motifs légitimes et impérieux » suffisamment lourds pour prévaloir « sur les intérêts et les droits et libertés de la personne concernée » ou bien parce que cette poursuite est utile « pour la constatation, l'exercice ou la défense de droits en justice ».

En attendant cette démonstration, le traitement devra nécessairement être interrompu. Ce droit pourra par exemple s’exercer dans toute sa plénitude en cas de prospection commerciale accompagnée ou non d’un profilage.

Pour le blinder davantage encore, le responsable de traitement devra explicitement porter à l'attention de l’individu l’existence de ce droit, « clairement et séparément de toute autre information ». Inutile encore de tenter de noyer le poisson dans les CGU.

Ajoutons qu’à l’égard des services en ligne, une personne pourra exercer son droit d’opposition de manière automatique (via des services en ligne dédiés par exemple).

Décision individuelle automatisée, profilage (article 22)

Cette interdiction se retrouvait déjà dans la loi CNIL. Il sera interdit dans toute l’Europe le 25 mai de fonder une décision – peu importe sa nature dès lors qu’elle affecte ou produit des effets juridiques – exclusivement sur un traitement automatisé, en particulier un profilage. Cela concerne à titre d’illustration « le rejet automatique d'une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine ».

Des exceptions : lorsque ces traitements sont autorisés par la loi (lutte contre la fraude, etc.), ou encore en matière de droit des contrats ou enfin lorsque la personne a donné son consentement explicite.

Dans ces deux derniers cas, l’individu aura cependant toujours la possibilité « d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision ». Les données sensibles sont en principe exclues sauf cas particulier.

Sur le profilage, on pourra retenir que des lignes directrices sont disponibles en l'état de projet sur le site de la CNIL.

Les limitations aux droits de la personne (article 23)

Différents motifs peuvent venir limiter l’ensemble des droits exposés par le RGPD (rectification, information, accès, effacement…). Ce sont des éléments tenant par exemple à la sécurité ou la défense nationale, la sécurité civile (catastrophes naturelles),

Ces limitations doivent toujours respecter « les exigences énoncées par la Charte et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ».

88

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Chapitre I. Dispositions générales

Un droit fondamental (article 1)

Champ d’application du règlement (article 2)

Le champ d’application territorial (article 3)

Qu’est-ce qu’une donnée personnelle ? (article 4)

Chapitre II. Principes

Les principes que doivent respecter tous les traitements de données (article 5)

Le caractère licite du traitement (article 6)

Le consentement (article 7)

Les enfants (article 8)

Les données sensibles (article 9)

Les traitements liés aux condamnations pénales (article 10)

Traitement sans identification (article 11)

Chapitre III. Droits de la personne concernée

Transparence et modalités d’exercice des droits à l’information (articles 12, 13, 14)

Les droits d’accès et de rectification (articles 15 et 16)

Droit à l’effacement ou à l’oubli (article 17)

Droit à la limitation du traitement (article 18)

Obligation de notification (article 19)

Droit à la portabilité des données (article 20)

Droit d’opposition (article 21)

Décision individuelle automatisée, profilage (article 22)

Les limitations aux droits de la personne (article 23)

Commentaires (88)


Super initiative, c’est tellement inhabitable ce texte !



Aura-t-on un éclaircissement sur les spécificités de la partie HADS de ce texte ?


Je n’ai pas prévu de partie spécifique sur les HADS, je suis resté “scotché” au seul texte qui est déjà monstrueux. L’idée est d’avoir une base de départ, que j’espère assez solide, pour permettre ensuite à chacun, en fonction des spécificités, de savoir où aller.


Beau boulot Marc <img data-src=" />


merci !&nbsp;


Merci pour cet article qui éclaire et décrypte ce texte. Vivement la suite!


Top boulot Marc <img data-src=" />



On va enfin capté quelque chose


Merci pour ce travail !


Merci, au top !


Excellent, merci !

J’ai enfin une chance d’y comprendre quelque chose (ou pas) <img data-src=" />


Merci beaucoup pour cet article Marc,



une remarque cependant, il est écrit pour l’Article 7&nbsp; : “le responsable devra toujours pouvoir être en mesure de démontrer que la personne a donné son consentement.”



Hors je comprends des Articles 6 et 7 que le consentement n’est pas toujours nécessaire pour que le traitement soit licite (exemple si d’intérêt public) et donc, comme écrit dans l’Article 7, que le responsable doit pouvoir être en mesure de démontrer que la personne a donnée son consentement “dans les cas où le traitement repose sur le consentement”.



Pierre




Mais comment s’assurer que celui qui fait cette demande est bien celui

qui se prétend être ? Sur ce point, le considérant&nbsp;64 explique que le

responsable «&nbsp;devrait prendre toutes les mesures raisonnables pour

vérifier l’identité d’une personne concernée qui demande l’accès à des

données, en particulier dans le cadre des services et identifiants en

ligne&nbsp;». Nous voilà bien avancés.



Effectivement, ce n’est pas plus simple ou plus clair que la loi informatique et liberté qui stipule que le demandeur doit justifier de son identité, sans plus de précision.


Merci beaucoup pour l’article.



Mais même avec toutes ces explications, il me manque un point : qu’est ce qu’un “traitement de données” ? J’ai un service où je me sers uniquement de l’adresse email de la personne pour d’évenutelles tâches que je qualifierait de “traitement” (services liés au compte comme connexion et réinitialisation de mot de passe, newsletter). Ensuite je stocke d’autres données personnelles comme le nom et le prénom mais uniquement pour personnaliser l’affichage et la personne peut mettre ce qu’elle souhaite ou rien et encore d’autres données liés à l’activité d’une entreprise (mon service est de type CRM/ERM).

Je ne partage aucune donnée personnelle avec des services tiers, pas même avec des outils “analytics”.



Est-ce que le simple fait de stocker ces données peut-être qualifié de “traitement” ? Car si c’est le cas et que je dois donc demander à mes utilisateur leur consentement au “traitement” de leurs données, ils ont vite fait de me mettre dans le même panier que les GAFAM sans que j’ai le temps de m’expliquer sur ce que je fais avec leurs données (qui grosso modo se résumerait à “rien”).


Merci beaucoup ! <img data-src=" />








Rush a écrit :



Super initiative, c’est tellement inhabitable ce texte !





En même temps, habiter dans un texte, il faut vraiment en avoir envie… <img data-src=" />



<img data-src=" /> :jesuisdéjàdehors:









pzwsk a écrit :



Merci beaucoup pour cet article Marc,



une remarque cependant, il est écrit pour l’Article 7&nbsp; : “le responsable devra toujours pouvoir être en mesure de démontrer que la personne a donné son consentement.”



Hors je comprends des Articles 6 et 7 que le consentement n’est pas toujours nécessaire pour que le traitement soit licite (exemple si d’intérêt public) et donc, comme écrit dans l’Article 7, que le responsable doit pouvoir être en mesure de démontrer que la personne a donnée son consentement “dans les cas où le traitement repose sur le consentement”.



Pierre





toujours = dans les cas exigés. Mais tu as raison, Pierre, je vais éclairer ce passage ;)&nbsp;



Marc a encore frappé.

Gros gros boulot là, bravo.<img data-src=" />



Tu sors un bouquin “le RGPD pour les nuls” du coup? <img data-src=" />








Shywim a écrit :



Merci beaucoup pour l’article.



Mais même avec toutes ces explications, il me manque un point : qu’est ce qu’un “traitement de données” ? J’ai un service où je me sers uniquement de l’adresse email de la personne pour d’évenutelles tâches que je qualifierait de “traitement” (services liés au compte comme connexion et réinitialisation de mot de passe, newsletter). Ensuite je stocke d’autres données personnelles comme le nom et le prénom mais uniquement pour personnaliser l’affichage et la personne peut mettre ce qu’elle souhaite ou rien et encore d’autres données liés à l’activité d’une entreprise (mon service est de type CRM/ERM).

Je ne partage aucune donnée personnelle avec des services tiers, pas même avec des outils “analytics”.



Est-ce que le simple fait de stocker ces données peut-être qualifié de “traitement” ? Car si c’est le cas et que je dois donc demander à mes utilisateur leur consentement au “traitement” de leurs données, ils ont vite fait de me mettre dans le même panier que les GAFAM sans que j’ai le temps de m’expliquer sur ce que je fais avec leurs données (qui grosso modo se résumerait à “rien”).





Bonne question. Je te recommande d’aller voir l’article 4, 2) qui s’intéresse aux définitions :&nbsp;

&nbsp;

« Traitement », toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.



En particulier, tu&nbsp;vois que l’enregistrement est un traitement.



une grosse usine à gaz cette loi quand je vois tout ce qu’il faut faire/vérifier (en tant qu’admin) comme si on avaient pas assez de boulot comme ça








MarcRees a écrit :



Je n’ai pas prévu de partie spécifique sur les HADS, je suis resté “scotché” au seul texte qui est déjà monstrueux. L’idée est d’avoir une base de départ, que j’espère assez solide, pour permettre ensuite à chacun, en fonction des spécificités, de savoir où aller.






  Super boulot Marc ! Et oui c'est un texte monstrueux.       






  Tu remarqueras que la RGPD incorpore la collecte dans la définition du traitement. Là où notre Loi distingue finalité du traitement et finalité de la collecte. Néanmoins, la Directive précédente faisait comme la RGPD et pourtant notre Loi de 2004 a maintenu la distinction entre finalité de la collecte et finalité du traitement.       






 Courage pour la suite! Lorsque tu vas arriver à l'article 37 du n'a pas fini de t'arracher les cheveux pour clairement distinguer les critères d'application du DPO (tu as néanmoins la ligne directrice du G29 (en anglais) qui donne de bonne indication, ainsi que celle sur le DPIA). Curieux de voir si on arrive aux mêmes conclusions<img data-src=">  






 &nbsp;


Merci pour l’article et pour la précision.

La question que je me pose, surtout à l’heure de la dématérialisation, concerne les bases de données de devis et de facturation qui comportent forcément un minimum d’informations personnelles (adresse et objet de la facturation ou du devis). Sont-elles aussi concernées, sachant qu’on ne demande pas aux personnes à qui l’on facture un bien ou un service leur autorisation explicite pour entrer dans la base de données.








numerid a écrit :



Merci pour l’article et pour la précision.

La question que je me pose, surtout à l’heure de la dématérialisation, concerne les bases de données de devis et de facturation qui comportent forcément un minimum d’informations personnelles (adresse et objet de la facturation ou du devis). Sont-elles aussi concernées, sachant qu’on ne demande pas aux personnes à qui l’on facture un bien ou un service leur autorisation explicite pour entrer dans la base de données.





Reprends la RGPD j’ai pas le texte sous les yeux mais tu as un passage qui donne une explication qui est la suivante: si s’appliquent les principes d’accès, rectifications etc… le consentement n’est pas requis car l’information est nécessaire à la prestation demandée (en revanche tu ne peux collecter que ce qui est strictement nécessaire à la prestation)



#NXiEmpowerment&nbsp;



Merci Marc


Super, Merci pour ces articles !


Merci. Bon en fait ça simplifie plutôt si je comprends bien.

Je vais m’y plonger.


Merci pour ce vrai travail de fond et de pédagogie.


Belle initiative !



Merci


Dans le “qu’est ce qu’une donnée personnelle ?” on a une définition qui semble englober pas mal de choses.



Dans ce genre de projet il faut se méfier des définition initiales. J’explique:

Si la définition est large elle nécessitera donc un besoin de contrôle serré. Bien évidement cela va à l’encontre des intérêt des géants du secteur (FB, Google etc..). Si elle ne l’est pas cela officialise l’open bar. Et donc légitime des pratiques plus ou moins douteuses.

&nbsp;

Donc de deux choses l’une. Soit c’est pour contrôler et donc monétiser le passe droit histoire de renflouer les caisse. Soit cela reviendra a pisser dans un violon car cela sera inapplicable (mais surtout démontrera en pratiqu le baissage de froc de nos gouvernements).

&nbsp;

Je ne suis pas juriste mais un “digest” sur les potentielles conséquences, usages et potentiels abus serait très appréciable. Comment l’état s’équipe pour identifier les contrevenants, combien; ça va couter? etc…&nbsp; Ce n’est pas une critique sur l’article mais une suggestion de réflexion.





&nbsp;


La définition est assez large, cf. : https://www.cnil.fr/fr/definition/donnee-personnelle



combien ça va couter ?&nbsp; pas tellement si l’on attribue les amendes délivrés au budget de la CNIL :)

Cf : jusqu’à 20 millions d’euros ou 4% du CA mondial de l’entreprise au montant le plus élevé. Donc pour les grosses entreprises, ça peut se chiffrer en centaines de millions voir au milliard d’amende. D’ailleurs les grosses entreprise américaine l’ont bien comprisà la vue de l’impact sur leur business … dixit Julien Blanchez Global Security & Compliance Strategist chez Google il y a 3 jours de ça.


Donner des informations privées à des entreprises et administrations cupides, quelle idée stupide <img data-src=" />








ProFesseur Onizuka a écrit :



Donner des informations privées à des entreprises et administrations cupides, quelle idée stupide <img data-src=" />







ça va plus loin cette loin, ça concerne aussi les données dans ton entreprise



C’est quoi une administration cupide ?


C’est peut-être de l’humour mais… une entreprise, quelle qu’elle soit, manie des infos privées en fonction de ses objectifs notamment l’identité (faut bien facturer), cela peut être l’âge (certains produits ou prestations sont vendues selon des critères d’âge, parfois règlementairement définis) ou encore le niveau de formation ou la fonction (données que le dispositif règlementaire ou législatif peut imposer à l’entreprise prestataire de recueillir) et j’en passe.


Celle qui revend le fichier des cartes grises aux plus offrants (=riches) par exemple <img data-src=" />


Aux plus offrants, vraiment ?

Tu as un lien prouvant ces enchères ?



EDIT : Et si tu as aussi un lien pour dire combien ça rapporte, on verra si c’est vraiment de la cupidité.


Merci mille fois ! <img data-src=" />


Merci pour ce résumé très clair ;)



Je me pose quand même une question en ce qui concerne la revente de données personnelles. C’est évoqué dans les prochains articles du RGPD ou du moment où on accepte de confier nos données à une entreprise elle a le droit de les revendre à un tier ?


Doublon


Pas sans que cela soit signalé clairement de toute façon.


Ca signifierai donc, théoriquement malheureusement, la fin du démarchage publicitaire. Ces boites n’ayant plus le droit de récupérer nos adresses mails, postales ou numéro de téléphone, considérés comme des données personnelles par le RGPD, sans notre consentement.

Après, c’est peut-être que c’est déjà interdit par la loi de recueillir ces informations mais qu’ils s’en tamponnent le coquillard.








Rush a écrit :



La définition est assez large, cf. : https://www.cnil.fr/fr/definition/donnee-personnelle



combien ça va couter ?&nbsp; pas tellement si l’on attribue les amendes délivrés au budget de la CNIL :)





De quelles amendes parles-tu ?

J’ai engagé 2 plaintes auprès de la CNIL contre la même société à quelques mois d’intervalle. La première fois, la CNIL a froncé les sourcils. La deuxième fois, bien que j’aie rappelé que c’est une récidive, la CNIL a fait les gros yeux. J’ai écrit à la présidente de la CNIL pour réclamer une sanction financière. C’était début décembre et je n’ai toujours pas de nouvelles.



Fais donc un peu de publicité à cette société en citant son nom.



Et donne nous les 2 décisions de la CNIL, c’est intéressant.


Ben alors mark, il est où (DTC proff) le TLDR de 3 lignes ?



Merci pour le travail, je le lis en détail ce WE !


C’est une société locale, un concessionnaire automobile d’une marque étrangère. Dévoiler son nom n’a aucun intérêt. Comme ce n’étaient pas les premières plaintes que j’engageais auprès de la CNIL, je savais que la CNIL ne prendrai aucune mesure coercitive. J’ai donc aussi écrit au DG de la société qui détient les droits d’utilisation de la marque en France pour lui dire que l’attitude du gérant/propriétaire de la concession en question portait préjudice à la marque. C’est le Président m’a répondu, en recommandé avec AR, que j’avais raison : l’attitude de cette personne nuit à la marque et qu’il allait lui rappeler ses obligations.



Quant aux décisions de la CNIL, de mémoire c’est : nous avons rappelé à la société “truc” les termes de la loi et si jamais vous recevez à nouveau des emails et/ou SMS publicitaires dans les 2 mois, veuillez nous les signaler et nous interviendrons.



Depuis le courrier au DG de la société mère française, la boîte en question me fout une paix royale…


Les amendes lié à la loi informatique et liberté n’ont strictement rien à voir avec celles prévu par le RGPD (jusqu’à 20 millions d’€ ou 4% du CA mondial de l’entreprise, à la somme la plus élevée).

Après, je ne sais pas du tout comment et ou déposer plainte pour les infractions à la RGPD après le 25 mai (date d’entrée en vigueur de la RGPD).


La CNIL m’a montré à plusieurs reprises son inefficacité en matière de respect des droits des particuliers (voir mes autres posts) en n’infligeant jamais aucune amende, pas même à un récidiviste, au point que j’ai écrit à sa présidente pour m’en plaindre en qualifiant son organisation de parasite puisqu’elle vit au crochet du contribuable qu’elle ne défend pas suffisamment.


Excellent !

Vivement les saisons 2 et 3 …

Merci beaucoup


Top cet article, merci pour ces éclaircissements Marc !


La suite arrive demain (part2) et après demain (part 3). En tout 75 000 caractères dédiés au sujet ;)

&nbsp;








numerid a écrit :



Merci. Bon en fait ça simplifie plutôt si je comprends bien.

Je vais m’y plonger.





En réalité sur ce point, la RGPD ne change pas grand chose tu étais déjà dans le cadre des logiciels strictement métiers lesquels en principe ne relèvent pas d’un consentement préalable.



En revanche, si tu veux réemployer ces infos pour par la suite faire du démarchage, là tu as besoin d’un consentement express à cette finalité du traitement (qui n’est donc plus simplement établir le cout financier de ta prestation).



Excellent article, merci pour tout le travail !


Je ne pensais pas au consentement préalable, mais aux déclarations auprès de la CNIL en fait. Si je comprends bien, ce n’est plus nécessaire, je parle toujours des fichiers et des données indispensables à l’activité de la structures (en gros fichiers clients et éventuellement prospect).








fate1 a écrit :



Ca signifierai donc, théoriquement malheureusement, la fin du démarchage publicitaire. Ces boites n’ayant plus le droit de récupérer nos adresses mails, postales ou numéro de téléphone, considérés comme des données personnelles par le RGPD, sans notre consentement.

Après, c’est peut-être que c’est déjà interdit par la loi de recueillir ces informations mais qu’ils s’en tamponnent le coquillard.





Non ca ne veut pas dire la fin du démarchage publicitaire, mais que cette finalité doit être clairement indiquée à la personne physique qui va consentir au moment de la collecte, ce qui est déjà le cas depuis 2004 dans notre Loi.



En revanche, le projet de Directive ePrivacy va effectivement vers des entraves très fortes (et parfois inégalitaires) envers les publicitaires et les pros du marketing (perso cela me convient très bien, en revanche, je comprends que cela soit pas la même pour des personnes qui bossent dedans ou tirent des revenus au travers de la pub.).









numerid a écrit :



Je ne pensais pas au consentement préalable, mais aux déclarations auprès de la CNIL en fait. Si je comprends bien, ce n’est plus nécessaire, je parle toujours des fichiers et des données indispensables à l’activité de la structures (en gros fichiers clients et éventuellement prospect).






 Ca marche aussi, pas de déclaration préalable pour les softs métiers (sauf domaines spécifiques).&nbsp;      






En revanche, tu as raison ; la RGPD va simplifier les choses sur ce point puisque le principe n'est plus la déclaration préalable et par exception pas de déclaration, mais l'inverse (la déclaration préalable devenant l'exception) en posant le principe de la responsabilisation du maître du traitement (qui doit cartographier ses traitements, s'assurer de la sécurisation des infos etc...).      






C'est d'ailleurs pas sans risque, si certains prétendent que la RGPD est un progrès, en reversant le principe de la déclaration, le texte est nécessairement d'inspiration plus libérale et donc moins protecteur, au moins en amont.       






Perso, pour bosser régulièrement sur le sujet depuis plus de 10 ans, la Loi de 1978 devait être un progrès, elle n'a rien empêcher des dérives que nous connaissons.&nbsp; la Directive de 1996 devait être un progrès... elle ne sera transposée péniblement qu'avec la Loi de 2004, qui là encore devait être un progrès et qu'on allait voir ce qu'on allait voir. Ben Facebook &amp; Co en rigolent encore...       






Alors maintenant, grande surprise; la RGPD serait un progrès (air connu...). Je peux me planter mais à mon avis,&nbsp; à l'image du bilan très light de la CNIL en 40 ans, rien ne changera et lorsqu’arrivera la directive ePrivacy&nbsp; on nous refera le coup du "c'est un progrès"...


juste un hs, ça met combien de un partage à s’activer ?


Ah super !!

Depuis que je vois ce mot RGPD écrit partout, je ne prends jamais la peine de m’y pencher à fond dessus.

Merci pour cet article, qui plus est est très clair !


Merci pour ce document qui nous laisse beaucoup de travail pour les TPE.

Une question :

Si nous sommes tenus, à la demande d’un client, de faire disparaitre les données le concernant, qu’en est il de la facture qui, selon la dernière loi SAPIN, nous oblige à conserver en l’état et donc sans modification les données inscrites sur cette facture ( nom client, adresse, date d’émission, montant et type de paiement).

merci de votre réponse








Rush a écrit :



Super initiative, c’est tellement inhabitable ce texte !




 Aura-t-on un éclaircissement sur les spécificités de la partie HADS de ce texte ?








Sauf erreur la Loi sur les données de santé (2016) borde les obligations spécifiques des Hébergeur Agréé de Données de Santé, notamment sur les obligations d'agrément, de sécurisation etc... (par contre on manque de décret d'application...).     





En revanche, la RGPD impose aux HADS des obligations “nouvelles” mais qui ne sont pas spécifiques aux données de santé (ce qui est prévu dans la RGPD strictement sur la santé me semble déjà prévu dans l’état actuel de notre réglementation) : cartographie & sécurité (il me semble difficile d’être un HADS en conformité avec la Loi de 2016 sans avoir fait ça, indépendamment de la RGPD), et obligation de désigner DPO dans l’essentiel des cas.



Sur le DPO en revanche, la désignation pose au moins deux difficultés: celle liée au DPO dans les administrations publiques (là c’est un bordel noir de savoir qui peut être DPO d’administration/établissement public), et celle de la personne qui peut être DPO pour des données de santé (là encore l’interrogation se pose pas que pour la santé, mais plus largement pour toutes les professions où le secret professionnel est légalement reconnu, le professionnel n’étant que le dépositaire du secret, son DPO ne peut y avoir accès, mais uniquement à la cartographie des traitements sans les données, démontrant au passage que dans bien des domaines le DPO ne servira strictement à rien…).&nbsp;









crocodudule a écrit :



C’est d’ailleurs pas sans risque, si certains prétendent que la RGPD est un progrès, en reversant le principe de la déclaration, le texte est nécessairement d’inspiration plus libérale et donc moins protecteur, au moins en amont.



&nbsp;

Si je comprends bien, c’est largement compensé par une plus grande responsabilité des gestionnaires de fichier, a priori c’est un progrès.



Mais c’est comme tout, la CNIL n’avait pas suffisamment de moyens et, si elle n’en a pas plus, il ne faut pas attendre des miracles d’une part, d’autre part, il ne faut pas s’attendre non plus à ce que tout connaisse tout d’un coup toutes les obligations et droits des uns et des autres dans ce domaine.



La facture, même dématérialisée même traitée dans une base de données, est un document fini pas une donnée sur laquelle on peut faire des traitements informatiques.








spax a écrit :



Merci pour ce document qui nous laisse beaucoup de travail pour les TPE.

Une question :

Si nous sommes tenus, à la demande d’un client, de faire disparaitre les données le concernant, qu’en est il de la facture qui, selon la dernière loi SAPIN, nous oblige à conserver en l’état et donc sans modification les données inscrites sur cette facture ( nom client, adresse, date d’émission, montant et type de paiement).

merci de votre réponse





L’exception est prévue, la conservation de l’information (en l’espèce 10 ans pour de la doc comptable) est légalement imposée de sorte qu’il ne faut pas effacer (art17 RGPD). Tu peux ajouter que certains paiement sont le point de départ des assurances il faudra là encore les conserver (1, 2 voire 10 ans selon l’assurance concernée) etc…









numerid a écrit :



&nbsp;

Si je comprends bien, c’est largement compensé par une plus grande responsabilité des gestionnaires de fichier, a priori c’est un progrès.



Mais c’est comme tout, la CNIL n’avait pas suffisamment de moyens et, si elle n’en a pas plus, il ne faut pas attendre des miracles d’une part, d’autre part, il ne faut pas s’attendre non plus à ce que tout connaisse tout d’un coup toutes les obligations et droits des uns et des autres dans ce domaine.





Tu as tout compris, la CNIL est ce qu’elle est, on peut augmenter ses moyens ou les diminuer, elle ne peut prétendre dans tous les cas gérer tous les litiges et remplacer le Juge seul gardien de nos libertés. Précisément depuis 40 ans les textes en ce domaine réduisent le “Juge” au Tribunal correctionnel (ou CRPC éventuellement etc…), mais rien s’agissant des contentieux classiques (l’adoption d’une action collective en ce domaine pour faire cesser un trouble (qu’il faudra démontrer) n’y changera rien, même si symboliquement on aura deux ou trois affaires médiatisées).



En revanche, là où la CNIL peut faire la différence c’est en fournissant un corpus juridique et des commentaires cohérents et précis sur les obligations de chacun. On est à un peu plus de trois mois de l’entrée en vigueur de la RGPD et, sauf des paraphrases et vidéo kikoolol, et du discours vaporeux sur le site de la CNIL, on a rien de sérieux pour renseigner les acteurs économiques (dire en boucle que le consommateur peut faire ça ou si, on le sait depuis des lustres, l’objectif est de savoir ce que doit faire chaque boite ou établissement public et comment, et ça devient urgent…).



Merci pour ce résumé, c’est tellement compliqué à tout assimiler.


S’il y en a qui se questionnent sur l’intérêt de l’abonnement à NextINpact, cet article le justifie en une fois ! Et tous les autres articles sont en bonus !


+1



Sinon en passant, vous voulez pas vous mettre aussi aux articles en biologie ? nan c’est juste parce que là bon disons qu’il y a un paquets de baffes qui se perdent en ce moment chez certains de vos “confrères”, ça permettrait de remonter un peu le niveau. <img data-src=" />



En tout cas vivement la suite et fin ;)


J’apprécie d’autant plus le travail de Marc que je me plonge dedans. Rien qu’avec les considérants, qu’on ne peut pas mettre de côté, il y en a une sacrée tartine à la lisibilité, ne serait-ce que visuelle, douteuse. Le problème c’est qu’on ne peut pas les shunter parce que les considérants définissent les orientations et les optiques du texte.



Je m’y replonge.


A Marc Rees



“Article 6, dernier paragraphe :

Remarquons enfin que le fait pour le responsable du traitement « de révéler l’existence d’éventuelles infractions pénales ou de menaces pour la sécurité publique et de transmettre à une autorité compétente les données à caractère personnel concernées dans des cas individuels » sera considéré comme relevant de « l’intérêt légitime ». Sauf bien sûr si le responsable est soumis à un secret quelconque (médecins, journalistes, etc.).”



Est-ce que cela signifie un début de protection/reconnaissance des lanceurs d’alerte, ou cela n’a rien à voir ?


Beaucoup de sites génèrent la facture à la volée lorsqu’on la demande. Je me demande si c’est bien légal comme manière de faire ? Il devrait y avoir systématiquement archivage de l’ensemble des factures à mon sens, le tout au format pdf par exemple.

Et puis le site change les offres/produits proposés changent, la TVA aussi et au bout de quelques années les factures deviennent totalement farfelues.

Par exemple, mon historique d’abonnement et de factures est totalement bidon sur le site du monde.fr .


Merci, c’est pour ce genre d’analyses que je suis abonné. C’est vraiment un travail d’utilité publique.


Et pour ma balance connectée, qui balance mes poids, taille, sexe age et autre sur un serveur chinois, je fais comment pour m’assurer que le fabricant respecte ma vie privée ? <img data-src=" />


A partir du 25 mai 2018, c’est un peu sur ses épaules que reposera cette charge de la preuve ;)&nbsp;


Merci beaucoup pour cet article ! =)

Entreprises vs humains, je crois que les résultats seront pires que ce à quoi j’imagine =x


Normalement une facture est un document figé et doit être fait en deux exemples identiques, un pour le client, un pour l’émetteur.

Une facture à la volée qui change au fil du temps me laisse dubitative et à mon avis ce n’est pas très légal et c’est le résultat d’une mauvaise programmation.


Bravo, et merci!


C’est ce que je me dis.

D’ailleurs en regardant l’historique de celles de NXI dans mon espace à première vue c’est très étrange. <img data-src=" /> Les règles de calcul/modalités d’abonnement ne semblent pas conservées et rattachées à un paiement.


Une adresse IP étant une donnée à caractère personnel, quelles sont les conséquences de la RGPD ?



Je pense notamment à la HADOPI, qui utilise des entreprises privées afin de traquer les méchants “pirates” à l’aide de leurs adresses IP…



(Et je suppose qu’une empreinte de navigateur est aussi une donnée à caractère personnel ?)


Pour ce qui concerne la suppression des données :



Qu’en est-il pour le stockage basé sur des transistors (mémoire flash) tels que les clefs USB et les disques SSD, dont les données ne peuvent pas en pratique être véritablement effacées à moins de détruire physiquement le stockage en question ?

(Et est-ce qu’encrypter les données et détruire ensuite la clef compte pour le RGPD comme une suppression des dites données?)



Je pense en particulier à la situation d’une personne demandant la suppression de ses données stockées parmi des données de nombreux autres utilisateurs sur un même disque…


Sans vouloir abuser, il y a un truc qui me chiffonne un peu :



J’ai bien compris qu’on parlait dutraitement de donnéesdès qu’un ordinateur ou un document papier étaient impliqués

(même s’il ne s’agit que de quelque chose de temporaire comme un processeur convertissant une addresse IP stockée en binaire en coordonnées de pixels à allumer/éteindre sur un écran),



mais est-ce que ça ne s’appliquerait pas aussi aux êtres humains (et autres êtres vivants) comme êtres étant dotés de sens et pouvant traiter et stocker des informations dans leur cerveau ?!



(Ca me rappelle d’ailleurs pas mal d’épisodes de Black Mirror…)



Il me semble évident que la loi ne comptait pas aller aussi loin, mais j’aurais quand même préféré que cette exception soit clairement énoncée…








BlueTemplar a écrit :



Sans vouloir abuser, il y a un truc qui me chiffonne un peu :



J’ai bien compris qu’on parlait dutraitement de donnéesdès qu’un ordinateur ou un document papier étaient impliqués

(même s’il ne s’agit que de quelque chose de temporaire comme un processeur convertissant une addresse IP stockée en binaire en coordonnées de pixels à allumer/éteindre sur un écran),



mais est-ce que ça ne s’appliquerait pas aussi aux êtres humains (et autres êtres vivants) comme êtres étant dotés de sens et pouvant traiter et stocker des informations dans leur cerveau ?!



(Ca me rappelle d’ailleurs pas mal d’épisodes de Black Mirror…)



Il me semble évident que la loi ne comptait pas aller aussi loin, mais j’aurais quand même préféré que cette exception soit clairement énoncée…





Il ne faut pas se formaliser sur les définitions de la RGPD (tout comme avant elle la Directive de 96). Il s’agit d’un joyeux fourre tout.&nbsp;



L’explication de ces définitions très large est double:

. la première vient de la définition de 78 trop restrictive, chose que la CNIL tentera de faire évoluer par quelques décisions mais qui sera surtout rectifié par la Directive de 1996 et la Loi de transposition de 2004,

. ensuite ce règlement est l’exemple même de la rédaction à l’anglo-saxonne; plutôt que de poser un principe clair, on va accumuler des éléments de définition, en faisant exemple par exemple en à lieu et place d’une définition.



L’exemple le plus net est la définition de ce qu’est un traitement, celle-ci incluant la collecte. Pourtant notre droit distingue finalité du traitement et finalité de la collecte, prouvant une incohérence dans la définition.



Au final, c’est toute la faiblesse de cette réglementation, en ne voulant pas dès l’origine être une nouvelle porte d’entrée vers le droit au respect de la vie privée, la protection des données perso n’est qu’un brouillard administratif tendant vers l’inefficacité ^^



Et pour reprendre ton exemple volontairement absurde, tu peux en prendre un autre quotidien. Ton smartphone, si tu l’utilises (même que partiellement) à titre professionnel, ben son répertoire relève strictement de la RGPD… Et là on comprend l’absurdité du texte qui se trompe totalement de cible …


Merci beaucoup pour l’excellent traitement (de données) de cet énorme règlement !


Pourtant cet article dit bien :







De même, sont exclus les traitements réalisés par une personne physique dans le cadre d’une activité strictement personnelle ou domestique (un répertoire téléphonique dans un domicile privé…).



Sous-entendu : un répertoire téléphonique dans une entreprise (sur papier ou dans un smartphone) est concerné par la RGPD

(et séparer les numéros de téléphone personnels et professionnels est quand même en général une bonne pratique…)



Et je trouve ça assez compréhensible, si ce n’était pas le cas, de quel droit devrait-on obliger des publicitaires ou Facebook d’effacer notre nom/prénom/numéro de téléphone de leurs bases de données?



Pour en revenir à l’exemple du carnet d’adresses, il me semble que même aujourd’hui, il soit assez poli d’en effacer une personne qui nous le demanderait, en particulier dans un cadre professionnel !








BlueTemplar a écrit :



Pourtant cet article dit bien :




 De même, sont exclus les traitements réalisés par une personne physique dans le cadre d'une activité strictement personnelle ou domestique (un répertoire téléphonique dans un domicile privé...).       






 Sous-entendu : un répertoire téléphonique dans une entreprise (sur papier ou dans un smartphone) est concerné par la RGPD       

(et séparer les numéros de téléphone personnels et professionnels est quand même en général une bonne pratique...)






 Et je trouve ça assez compréhensible, si ce n'était pas le cas, de quel droit devrait-on obliger des publicitaires ou Facebook d'effacer notre nom/prénom/numéro de téléphone de leurs bases de données?       






 Pour en revenir à l'exemple du carnet d'adresses, il me semble que même aujourd'hui, il soit assez poli d'en effacer une personne qui nous le demanderait, en particulier dans un cadre professionnel !








 Non comme tu le dis le texte vise l'usage strictement perso. S'il ne l'est plus strictement = RGPD... Donc tu devrais mener un audit de mise en conformité, lister les traitements faits, éventuellement cloisonner les contacts pros et persos, décrire les process de sécurisation de ton tél etc... Et oui c'est brillant, comme tu le dis intuitivement on veut viser Facebook &amp; co , mais on a rédigé ça avec les pieds donc si tu&nbsp; entres un contact pro dans téléphone perso, ben tu devras te mettre en conformité.   





Naturellement, je n’imagine pas un instant la CNIL intervenir dans ce cadre. Mais le texte sur un pur plan théorique le permet…



Et j’ajoute qu’en cas de perte/vol, tu devras faire les différentes notifs aux contacts concernés sauf chiffrement du téléphone, c’est pas beau ? ^^


Et le RGPD il en pense quoi de l’application Photo menu contacts de Windows 10 1709 ?

Pour ce qui ne connaissement pas je vous conseille d’aller voir… C’est effrayant.


Qu’est ce qui se passe si dans ma boutique j’ai un perroquet qui finit par apprendre le nom/prénom des clients et un client s’en offusque? Je dois me “débarrasser” du perroquet? <img data-src=" />








BlueTemplar a écrit :



Qu’est ce qui se passe si dans ma boutique j’ai un perroquet qui finit par apprendre le nom/prénom des clients et un client s’en offusque? Je dois me “débarrasser” du perroquet? <img data-src=" />





Tu trolles, néanmoins, si ton perroquet sait également saisir au clavier ces infos ou activer l’assistance vocale, tu devras lui apprendre à demander le consentement aux personnes qui passent ^^



Je crois que l’important est que ton perroquet ne le répète pas à n’importe qui quand tu as le dos tourné…