Toute entreprise collecte des données personnelles, que ce soit celles de leurs utilisateurs, de leurs prospects ou de leurs clients.
Mais savez-vous ce qu’est considéré comme une donnée personnelle et ce qu’implique leur collecte par votre entreprise ?
Récemment, Maître Debora COHEN vous a expliqué les droits dont bénéficient les personnes dont vous collectez les données et comment assurer leur effectivité.
📣 Aujourd’hui, Maître COHEN s’associe à ROBIN pour vous éclairer sur la qualification de données personnelles et sur la titularité des droits octroyés aux personnes.
Toute information se rapportant, directement ou indirectement, à une personne physique identifiée ou identifiable est considérée comme une donnée à caractère personnel.
Une information qui se rapporte directement à une personne est, par exemple, son nom et son prénom.
A contrario, une information qui se rapporte indirectement à une personne est, par exemple, son numéro de téléphone, son numéro de sécurité social ou encore son adresse IP. Cette donnée doit permettre d’identifier la personne par la suite.
En outre, la corrélation de plusieurs données personnelles indirectes ou d’éléments spécifiques propres à la personne peut permettre d’identifier celle-ci alors qu’elle n’aurait été qu’identifiable si chacune de ces données ou chacun de ces éléments avaient été pris individuellement.
Par ailleurs, certaines données personnelles peuvent présenter un caractère sensible. Il s’agit d’informations relevant de la prétendue origine raciale ou ethnique, des convictions religieuses ou philosophiques, de l’appartenance syndicale ainsi que celles relevant de la génétique, de la biométrie et de l’orientation sexuelle.
Le recueillement ou l’utilisation de ce type de données est interdit par le règlement européen sur les données personnelles, à l’exception des cas limitativement énumérés.
Les personnes concernées par le traitement de leurs données personnelles disposent de droits leur permettant d’en garder le contrôle.
Parmi ces droits, on retrouve, par exemple, le droit d’accès, permettant à une personne de demander à une société si cette dernière traite des données qui la concerne et de les lui communiquer.
D’autres droits tels que le droit à la rectification, à l’effacement, à la limitation ; à la portabilité et à l’opposition permettent aux personnes de demander à ce que la société réalise les actions correspondantes sur ces données.
Concernant les personnes décédées, les ayants droit de celles-ci, en ce qu’ils n’ont pas la qualité de personne concernée, ne peuvent accéder aux données à caractère personnel d’un défunt, fussent leurs héritiers.
En ce sens, par un arrêt du 8 juin 2016, le Conseil d’État confirme la décision de la Commission nationale de l’informatique et des libertés refusant l’accès, par les ayants droit, aux données à caractère personnel d’un défunt.
Afin de prévenir une telle situation, toute personne concernée dispose du droit d’établir des directives anticipées, autrement dites post-mortem, afin de décider, en amont, des droits à faire valoir concernant le traitement de ses données personnelles après sa mort.
L’application du Règlement général sur la protection des données personnelles (ci-après, le « RGPD ») ne se borne pas à un traitement conforme des données à caractère personnel.
L’entreprise doit attentivement veiller à ce que les sollicitations de mise en œuvre des droits des utilisateurs soient traitées dans les meilleurs délais, soit dans la majorité des cas dans un délai d’un mois, lorsqu’il s’agit d’une demande simple.
Il est obligatoire pour l’entreprise de mettre à disposition des utilisateurs sur son site Internet une politique de confidentialité reprenant les mentions d’informations obligatoires, dès lors que la société collecte des données personnelles depuis son site internet, par un formulaire de contact par exemple.
Outre une simple obligation réglementaire, il s’agit d’un gage de transparence et de sérieux, à l’égard des utilisateurs.
À ce titre, la désignation d’un délégué à la protection des données (DPO) est parfois rendue obligatoire par le RGPD, mais elle est recommandée pour toutes les entreprises.
💡 A savoir, pour connaître les cas de désignation obligatoire d’un DPO, vous pouvez consulter la fiche n°1 du guide pratique relatif aux DPO, édictée par la Commission nationale de l’informatique et des libertés (ci-après, la « CNIL »).
Il sera d’ailleurs pleinement engagé dans l’exécution de l’analyse d’impact relative à la protection des données (AIPD), lorsque cela sera nécessaire. Cette analyse permet une responsabilisation des organismes amenés à traiter des données personnelles. Celle-ci permet une construction de traitements optimaux et respectueux de la vie privée des utilisateurs et crée un socle démontrant la conformité de la structure au RGPD.
En outre, cette analyse est obligatoire, en matière de traitements de données personnelles susceptibles d’engendrer un risque élevé d’atteinte à la vie privée.
Le recours à un DPO externalisé est, par ailleurs, tout à fait possible. Ce recours se formalise alors par la sous-traitance de la gestion et de la vérification de la conformité au RGPD du traitement des données par l’entreprise.
L'interlocuteur rassurant qui anticipe les problèmes juridiques des entrepreneurs
À l'aide d'une plateforme dédiée numérique et téléphone, disponible 7 jours sur 7, posez votre question avec vos mots, nous vous offrons 20 minutes au téléphone avec un avocat expert pour vous répondre
Pour poser votre première question juridique à ROBIN ou prendre contact avec l'équipe, prenez rendez-vous avec nous.