Current context[1] = Publication Expected = Publication
MainFiche /Publication
//dc:type='Fiche pratique' or //dc:type='Question-réponse'

Obligations en matière de protection des données personnelles

Vérifié le 3 avril 2019 - Direction de l'information légale et administrative (Premier ministre), Ministère chargé de la justice

context[Publication]/child[1] = dc:title
context[Publication]/child[2] = dc:creator
context[Publication]/child[3] = dc:subject
context[Publication]/child[4] = dc:description
context[Publication]/child[5] = dc:publisher
context[Publication]/child[6] = dc:contributor
context[Publication]/child[7] = dc:date
context[Publication]/child[8] = dc:type
context[Publication]/child[9] = dc:format
context[Publication]/child[10] = dc:identifier
context[Publication]/child[11] = dc:source
context[Publication]/child[12] = dc:language
context[Publication]/child[13] = dc:relation
context[Publication]/child[14] = dc:coverage
context[Publication]/child[15] = dc:rights
context[Publication]/child[16] = SurTitre
context[Publication]/child[17] = Audience
context[Publication]/child[18] = Canal
context[Publication]/child[19] = Cible
context[Publication]/child[20] = FilDAriane
context[Publication]/child[21] = Theme
context[Publication]/child[22] = SousThemePere
context[Publication]/child[23] = DossierPere
context[Publication]/child[24] = SousDossierPere
context[Publication]/child[25] = Introduction
context[Publication]/child[26] = Texte
context[Publication]/child[27] = OuSAdresser
context[Publication]/child[28] = Reference
context[Publication]/child[29] = Reference
context[Publication]/child[30] = Reference
context[Publication]/child[31] = Reference
context[Publication]/child[32] = Reference
context[Publication]/child[33] = Reference
context[Publication]/child[34] = Reference
context[Publication]/child[35] = Reference
context[Publication]/child[36] = Reference
context[Publication]/child[37] = Reference
context[Publication]/child[38] = Reference
context[Publication]/child[39] = ServiceEnLigne
context[Publication]/child[40] = ServiceEnLigne
context[Publication]/child[41] = ServiceEnLigne
context[Publication]/child[42] = ServiceEnLigne
context[Publication]/child[43] = PourEnSavoirPlus
context[Publication]/child[44] = PourEnSavoirPlus
context[Publication]/child[45] = PourEnSavoirPlus
context[Publication]/child[46] = PourEnSavoirPlus
context[Publication]/child[47] = PourEnSavoirPlus
context[Publication]/child[48] = PourEnSavoirPlus
context[Publication]/child[49] = PourEnSavoirPlus
context[Publication]/child[50] = PourEnSavoirPlus
context[Publication]/child[51] = Abreviation
context[Publication]/child[52] = Abreviation
MainFiche Content //dc:type='Fiche pratique' or //dc:type='Question-réponse' or //dc:type='Comment faire si...'
Current context[4] = Texte Expected = Texte
Publication/Texte/otherwise
context[5][Texte]/child[1] = Paragraphe

La création et le traitement de données personnelles (numéro d'identifiant, nom, adresse, numéro de téléphone, photo, adresse IP notamment) sont soumis à des obligations destinées à protéger la vie privée et les libertés individuelles. De nouvelles obligations sont à la charge des entreprises, administrations, collectivités, associations ou autres organismes permettant d'accorder des droits plus étendus à leurs clients / usagers. Le régime des sanctions évolue également.

Publication/Texte
Current context[2] = Publication/Texte Expected = Publication/Texte
Current context[4] = Texte Expected = Texte
Publication/ListeSituations/Situation/Texte/Chapitre or Publication/Texte/Chapitre

Current context[5] = Texte/Texte Expected = Texte/Chapitre
match="Chapitre"
Current context[6] =Chapitre Expected = Chapitre
Chapitre #idm52 Titre

Chapitre Content
context[6][Chapitre]/child[1] = Titre
context[6][Chapitre]/child[2] = Paragraphe

Il s'agit de toutes informations se rapportant à une personne physique identifiée ou identifiable, directement ou non, grâce à un identifiant ou à un ou plusieurs éléments propres à son identité.

context[6][Chapitre]/child[3] = Paragraphe

Il peut s'agir par exemple d'un nom, d'un prénom, d'une adresse électronique, d'une localisation, d'un numéro de carte d'identité, d'une adresse IP, d'une photo, d'un profil social ou culturel.

context[6][Chapitre]/child[4] = Paragraphe

Les règles s'appliquent lorsqu'elles sont utilisées, conservées ou collectées numériquement ou sur papier.

match="Chapitre"
Current context[6] =Chapitre Expected = Chapitre
Chapitre #idm58 Titre

Chapitre Content
context[6][Chapitre]/child[1] = Titre
context[6][Chapitre]/child[2] = Paragraphe

Le règlement s'applique à tous les traitements de données à caractère personnel, sauf exceptions (les fichiers de sécurité restent régis par les États et les traitements en matière pénale par exemple).

context[6][Chapitre]/child[3] = Paragraphe

Il concerne :

context[6][Chapitre]/child[4] = Liste
Liste @type = 'puce'
  • Les responsables de traitement (entreprises, administrations, associations ou autres organismes) et leurs sous-traitants (hébergeurs, intégrateurs de logiciels, agences de communication entre autres) établis dans l'Union européenne (UE), quel que soit le lieu de traitement des données.

context[6][Chapitre]/child[5] = Liste
Liste @type = 'puce'
  • Les responsables de traitement et leurs sous-traitants établis hors de l'UE, quand ils mettent en œuvre des traitements visant à fournir des biens ou des services à des résidents européens ou lorsqu'ils les ciblent avec des techniques algorithmiques (technique du profilage).

context[6][Chapitre]/child[6] = Paragraphe

En pratique, le règlement s'applique donc à chaque fois qu'un résident européen, quelle que soit sa nationalité, est directement visé par un traitement de données, y compris par internet ou par le biais d'objets connectés (appareils domotiques, objets mesurant l'activité physique par exemple).

match="Chapitre"
Current context[6] =Chapitre Expected = Chapitre
Chapitre #idm70 Titre

Chapitre Content
context[6][Chapitre]/child[1] = Titre
context[6][Chapitre]/child[2] = SousChapitre
SousChapitre
Current context[7] =SousChapitre Expected = SousChapitre
context[7][SousChapitre]/child[1] = Titre

Consentement renforcé et transparence

context[7][SousChapitre]/child[2] = Paragraphe

Les données personnelles doivent être :

context[7][SousChapitre]/child[3] = Liste
Liste @type = 'puce'
  • Traitées de manière licite, loyale et transparente et collectées pour des finalités déterminées

  • Explicites et légitimes

  • Adéquates, pertinentes et limitées aux finalités du traitement

  • Exactes et tenues à jour

  • Conservées de façon temporaire et sécurisée.

context[7][SousChapitre]/child[4] = Paragraphe

Les clients ont un droit d'accès à leurs données et peuvent les rectifier et s'opposer à leur utilisation.

context[7][SousChapitre]/child[5] = Paragraphe

Sur demande, l'entreprise qui détient des données personnelles doit informer la personne concernée avec les éléments suivants :

context[7][SousChapitre]/child[6] = Liste
Liste @type = 'puce'
  • Identité du responsable du fichier

  • Finalité du traitement des données

  • Caractère obligatoire ou facultatif des réponses

  • Droits d'accès, de rectification, d'interrogation et d'opposition

  • Les obligations induites par les transmissions des données.

context[6][Chapitre]/child[3] = SousChapitre
SousChapitre
Current context[7] =SousChapitre Expected = SousChapitre
context[7][SousChapitre]/child[1] = Titre

Droit à la portabilité des données

context[7][SousChapitre]/child[2] = Paragraphe

Toute personne peut récupérer, sous une forme réutilisable, les données qu'elle a fournies et les transférer ensuite à un tiers (réseau social par exemple).

context[7][SousChapitre]/child[3] = Paragraphe

La portabilité concerne uniquement les données recueillies dans le cadre d'un contrat ou d'un consentement.

context[6][Chapitre]/child[4] = SousChapitre
SousChapitre
Current context[7] =SousChapitre Expected = SousChapitre
context[7][SousChapitre]/child[1] = Titre

Droit à l'oubli

context[7][SousChapitre]/child[2] = Paragraphe

Toute personne a droit à l'effacement de ses données et au déréférencement (droit de demander à un moteur de recherche de supprimer certains résultats associés à ses noms et prénoms).

context[6][Chapitre]/child[5] = SousChapitre
SousChapitre
Current context[7] =SousChapitre Expected = SousChapitre
context[7][SousChapitre]/child[1] = Titre

Droit à notification

context[7][SousChapitre]/child[2] = Paragraphe

En cas de violation de la sécurité des données comportant un risque élevé pour les personnes, le responsable du traitement doit les avertir rapidement, sauf dans certaines situations (données déjà chiffrées par exemple). Il doit également le notifier à la Cnil dans les 72 heures.

context[6][Chapitre]/child[6] = SousChapitre
SousChapitre
Current context[7] =SousChapitre Expected = SousChapitre
context[7][SousChapitre]/child[1] = Titre

Droit à réparation du dommage matériel ou moral

context[7][SousChapitre]/child[2] = Paragraphe

Toute personne qui a subi un dommage matériel ou moral du fait de la violation du règlement européen peut obtenir du responsable du traitement (ou du sous-traitant) la réparation de son préjudice.

context[6][Chapitre]/child[7] = SousChapitre
SousChapitre
Current context[7] =SousChapitre Expected = SousChapitre
context[7][SousChapitre]/child[1] = Titre

Action de groupe

context[7][SousChapitre]/child[2] = Paragraphe

Toute personne peut mandater une association ou un organisme actif dans le domaine de la protection des données pour faire une réclamation ou un recours et obtenir réparation en cas de violation de ses données.

match="Chapitre"
Current context[6] =Chapitre Expected = Chapitre
Chapitre #idm123 Titre

Chapitre Content
context[6][Chapitre]/child[1] = Titre
context[6][Chapitre]/child[2] = SousChapitre
SousChapitre
Current context[7] =SousChapitre Expected = SousChapitre
context[7][SousChapitre]/child[1] = Titre

Obligation générale de sécurité et de confidentialité

context[7][SousChapitre]/child[2] = Paragraphe

Le responsable du traitement des données doit mettre en œuvre les mesures de sécurité des locaux et des systèmes d'information pour empêcher que les fichiers soient déformés, endommagés ou que des tiers non autorisés y aient accès.

context[7][SousChapitre]/child[3] = Paragraphe

Il doit prendre toutes les mesures nécessaires au respect de la protection des données personnelles dès la conception du produit ou du service.

context[7][SousChapitre]/child[4] = Paragraphe

Ainsi, il est tenu de limiter la quantité de données traitée dès le départ (principe dit de « minimisation ») et doit démontrer cette conformité à tout moment.

context[7][SousChapitre]/child[5] = Paragraphe

L'accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts par exemple.).

context[7][SousChapitre]/child[6] = Paragraphe

Le responsable des données doit fixer une durée raisonnable de conservation des informations personnelles.

context[7][SousChapitre]/child[7] = Paragraphe

Les obligations déclaratives sont toutes supprimées, sauf exceptions prévues par le droit national (certains traitements dans le secteur de la santé, ou de la sécurité publique mis en œuvre pour le compte de l’État).

context[6][Chapitre]/child[3] = SousChapitre
SousChapitre
Current context[7] =SousChapitre Expected = SousChapitre
context[7][SousChapitre]/child[1] = Titre

Obligation d'information

context[7][SousChapitre]/child[2] = Paragraphe

L'entreprise qui détient des données personnelles doit informer la personne concernée de :

context[7][SousChapitre]/child[3] = Liste
Liste @type = 'puce'
  • L'identité du responsable du fichier

  • La finalité du traitement des données

  • Le caractère obligatoire ou facultatif des réponses

  • Les droits d'accès, de rectification, d'interrogation et d'opposition

  • Les transmissions des données.

context[7][SousChapitre]/child[4] = Paragraphe

L'exploitant de données personnelles (un commerçant en ligne par exemple) doit respecter certaines obligations, et notamment :

context[7][SousChapitre]/child[5] = Liste
Liste @type = 'puce'
  • Recueillir l'accord des clients

  • Informer les clients de leur droit d'accès, de modification et de suppression des informations collectées

  • Veiller à la sécurité des systèmes d'information

  • Assurer la confidentialité des données

  • Indiquer une durée de conservation des données.

context[7][SousChapitre]/child[6] = Paragraphe

L'objectif de la collecte d'informations doit être précis et les données en accord avec cette finalité.

context[7][SousChapitre]/child[7] = ASavoir

À savoir : la majorité numérique, l'âge à partir duquel un mineur peut consentir seul au traitement de ses données personnelles pour utiliser un service sur internet (les réseaux sociaux par exemple), est fixée à 15 ans. L'autorisation des parents est nécessaire avant cet âge. L'information relative au traitement de données du mineur doit être rédigée en termes clairs et simples.

context[6][Chapitre]/child[4] = SousChapitre
SousChapitre
Current context[7] =SousChapitre Expected = SousChapitre
context[7][SousChapitre]/child[1] = Titre

Analyse d'impact en cas de risque élevé pour les droits et libertés des personnes

context[7][SousChapitre]/child[2] = Paragraphe

Pour les traitements de données présentant un risque élevé pour les droits et libertés des personnes, le responsable du traitement doit mener une analyse d'impact sur la vie privée (PIA) pour évaluer , en particulier, l'origine, la nature, la particularité et la gravité de ce risque.

context[7][SousChapitre]/child[3] = Paragraphe

Cette étude doit être présentée à la Cnil si elle n'a pas permis de diminuer suffisamment le risque pour le rendre acceptable.

context[7][SousChapitre]/child[4] = Paragraphe

Les données concernées doivent porter sur :

context[7][SousChapitre]/child[5] = Liste
Liste @type = 'puce'
  • Les informations sensibles (origine, opinions politiques, religieuses, syndicales), biométriques ou génétiques notamment ;

  • L' évaluation des personnes (profilage par exemple) ;

  • Les fichiers ayant une finalité particulière (études statistiques de l'Insee, traitements de recherche médicale par exemple) ;

  • Les transferts de données hors de l'Union européenne.

context[7][SousChapitre]/child[6] = ANoter

À noter : les transferts de données hors de l'UE ne sont plus interdits mais ils doivent respecter plusieurs conditions, notamment que le pays tiers présente un niveau de protection adapté, selon la Commission européenne. Une autorisation de la Cnil est nécessaire si des clauses contractuelles diffèrent des clauses de la Commission européenne. Les données transférées restent soumises au droit de l'UE non seulement pour leur transfert, mais aussi pour tout traitement / transfert ultérieur.

context[6][Chapitre]/child[5] = SousChapitre
SousChapitre
Current context[7] =SousChapitre Expected = SousChapitre
context[7][SousChapitre]/child[1] = Titre

Délégué à la protection des données

context[7][SousChapitre]/child[2] = Paragraphe

Le responsable de traitement et le sous-traitant doivent désigner un délégué à la protection des données :

context[7][SousChapitre]/child[3] = Liste
Liste @type = 'puce'
  • Si leur activité fait partie du secteur public

  • Si leur activité principale amène un suivi régulier et systématique de personnes à grande échelle

  • Si leur activité principale amène le traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et infractions.

context[7][SousChapitre]/child[4] = Paragraphe

Le délégué est chargé :

context[7][SousChapitre]/child[5] = Liste
Liste @type = 'puce'
  • D'informer et de conseiller le responsable de traitement (ou le sous-traitant) et ses employés

  • De contrôler le respect du règlement européen et du droit français en matière de protection des données

  • De conseiller l'organisme sur la réalisation d'une analyse d'impact et d'en vérifier l'exécution

  • De coopérer avec l'autorité de contrôle et d'être son contact.

context[7][SousChapitre]/child[6] = Paragraphe

Le délégué à la protection des données doit avoir les qualités et compétences suivantes :

context[7][SousChapitre]/child[7] = Liste
Liste @type = 'puce'
  • Communiquer efficacement et exercer ses fonctions en toute indépendance (ne pas avoir de de conflit d'intérêts avec ses autres missions)

context[7][SousChapitre]/child[8] = Liste
Liste @type = 'puce'
  • Une expertise en matière de législations et pratiques (protection des données), acquise notamment par une formation continue

  • Une bonne connaissance du secteur d'activité et de l'organisation de l'organisme (opérations de traitement, systèmes d'information et besoins de l'organisme en matière de protection et de sécurité des données)

  • Une position efficace en interne pour faire un rapport au niveau le plus élevé de l'organisme

  • Animer un réseau de relais au sein des filiales d'un groupe par exemple et/ou une équipe d'experts en interne (expert informatique, juriste, expert en communication, traducteur par exemple).

context[7][SousChapitre]/child[9] = Paragraphe

Le délégué peut être une personne issue du domaine technique, juridique ou autre.

context[6][Chapitre]/child[6] = SousChapitre
SousChapitre
Current context[7] =SousChapitre Expected = SousChapitre
context[7][SousChapitre]/child[1] = Titre

Autres obligations

context[7][SousChapitre]/child[2] = Paragraphe

Tous les organismes (publics comme privés) qui traitent des données personnelles ont l'obligation de tenir un registre de l'ensemble des traitements.

context[7][SousChapitre]/child[3] = Paragraphe

Toutefois les entreprises de moins de 250 salariés doivent seulement inscrire au registre :

context[7][SousChapitre]/child[4] = Liste
Liste @type = 'puce'
  • Les traitements non occasionnels

  • Les traitements susceptibles de comporter un risque pour les droits et libertés des personnes

  • Les traitements qui portent sur des données sensibles.

match="Chapitre"
Current context[6] =Chapitre Expected = Chapitre
Chapitre #idm234 Titre

Chapitre Content
context[6][Chapitre]/child[1] = Titre
context[6][Chapitre]/child[2] = Paragraphe

En cas de violation du règlement, la Cnil peut prononcer des amendes administratives qui peuvent atteindre, selon la catégorie du manquement, 2 % à 4 % du chiffre d'affaires annuel mondial de l'exercice précédent.