|
général |
|
II |
IV |
A - Principes relatifs au traitement des données personnelles
B - Conditions Générales (Art. 6 RGPD)
C - Droits des personnes à l'égard des traitements de données à caractère personnel
1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données); d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, pour autant que soient mises en oeuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);
2. Le responsable du traitement est responsable du respect des dispositions précédentes et doit être en mesure de démontrer que celui-ci est respecté (responsabilité).
Un traitement de données personnelles n'est licite que si et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
(C'est l'objet des "cookies" qui doivent être acceptés par l'internaute pour matérialiser son accord à contrat qu'il ne lit jamais : L'utilisation des traceurs est régie par l'article 32 II de la loi n° 78-17 du 6 janvier 1978, transposant l'article 5.3 de la directive 2002/58/CE du parlement européen et du conseil du 12 juillet 2002 modifiée par la directive 2009/136/CE.
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;
e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Le point f) du premier alinéa ne s'applique pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions.
Le traitement des données à caractère personnel relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 16 ans, ou en cas de consentement donné par le titulaire de la responsabilité parentale. (Art. 8 RGPD)
Article 7 Loi Informatique et libertés : Modifié par la loi n°2018-493 du 20 juin 2018)<
Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée.
"Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Le "clic" sur les conditions générales d'un service Internet ou des cookies qui caractérise cette acceptation. C'est au responsable du traitement de démontrer que la personne concernée a donné son consentement pour un traitement spécifique. la demande de consentement doit être présentée sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. En ce qui concerne les enfants : (Art 8 RGPD - Art. 7-1 Loi I. & L.) un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l'offre directe de services à compter de l'âge de quinze ans. Lorsque le mineur est âgé de moins de quinze ans, le traitement n'est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l'autorité parentale à l'égard de ce mineur. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. Et doit être informée, avant de donner son consentement que, son retrait ne compromet pas la licéité du traitement effectué avant ce retrait. Il doit être aussi simple de retirer que de donner son consentement. Lorsqu'un traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, il ne peut en aucun cas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée. Article 32 Loi Informatique et libertés : Modifié par la loi n°2018-493 du 20 juin 2018 Le responsable du traitement doit fournir, au moment où les données en question sont obtenues, toutes les informations suivantes : Outre ces informations, le responsable de traitement doit fournir des informations « complémentaires » destinées à « garantir un traitement équitable et transparent », à savoir : en précisant toutefois que les données recueillies préalablement au retrait du consentement pourront ne pas être effacées et pourront continuer à être traitées dans les conditions prévues par la recherche (Art. L 1122-1-1 CSP - Art. 17.3 c et 17.3 d RGPD) L'information doit être gratuitement délivrée préalablement à tout consentement, de façon claire, concise, transparente, compréhensible et aisément accessible. Elle doit pouvoir être abordable par le « grand public ». Elle doit être adaptée, en fonction de la pathologie de la personne, de son âge, des circonstances du recueil des données. Une information destinée spécifiquement aux personnes mineures et vulnérables doit être donnée. Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d'une demande formulée en application des articles 15 à 22 du RGPD, dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d'un mois à compter de la réception de la demande. Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d'un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d'introduire une réclamation auprès d'une autorité de contrôle et de former un recours juridictionnel. L'article 34 du règlement dispose que le Responsable de traitement doit désormais informer la personne concernée de toute violation de ses données à caractère personnel dès lors que celle-ci est susceptible d'engendrer « un risque élevé pour les droits et libertés fondamentales » (telle qu'une discrimination, un vol, une usurpation d'identité, une perte financière, une atteinte à la réputation, une perte de confidentialité de données protégées par le secret professionnel). Article 39 Loi informatique et liberté Modifié par LOI n°2018-493 du 20 juin 2018 - Art.15 RGPD : Toute personne physique a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir : Le responsable du traitement ne peut s'opposer à ces demandes que si elles sont manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. Article 40 Loi informatique et Libertés Modifié par LOI n°2018-493 du 20 juin 2018 - Article 16 RGPD La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification de ses données à caractère personnel qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d'obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. 1. La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données dans les meilleurs délais, lorsque l'un des motifs suivants s'applique: a) les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière; b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou à l'article 9, paragraphe 2, point a), et il n'existe pas d'autre fondement juridique au traitement; c) la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 1, et il n'existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 2; d) les données à caractère personnel ont fait l'objet d'un traitement illicite; e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis; f) les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information visée à l'article 8, paragraphe 1. La personne concernée peut demander au responsable du traitement d'effacer ses données à caractère personnel collectées alors qu'elle était mineure. Toutefois, ces droits ne sont pas applicables lorsque le traitement de données à caractère personnel est nécessaire : Ces droits s'éteignent en principe au décès de leur titulaire : Toute personne peut définir des directives relatives à la conservation, à l'effacement et à la communication de ses données à caractère personnel après son décès, lesquelles sont modifiables et révocable à tout moment. A défaut de désignation d'une personne chargée de leur exécution et sauf directive contraire, en cas de décès de la personne désignée, ses héritiers ont qualité pour prendre connaissance des directives au décès de leur auteur et demander leur mise en oeuvre aux responsables de traitement concernés. Article 43 Loi Informatique et Libertés Modifié par Loi n°2004-801 du 6 août 2004 : Lorsque l'exercice du droit d'accès s'applique à des données de santé à caractère personnel, celles-ci peuvent être communiquées à la personne concernée, selon son choix, directement ou par l'intermédiaire d'un médecin qu'elle désigne à cet effet Le responsable du traitement doit notifier à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l'article 16, à l'article 17, paragraphe 1, et à l'article 18 du RGPD, à moins qu'une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. l'effacement des données peut être rendu impossible dans la mesure où elles ont été précédemment "reproduites", "partagées" ou "revendues" à des tiers, de manière à empêcher toute traçabilité. Ces données peuvent avoir été encryptées dans des chaînes de blocs ("blockchain"), rendant toute modification ou suppression matériellement impossible. La preuve d'un éventuel effacement est impossible, compte-tenu de leur "archivage" dans des sauvegardes multiples dans des centres serveurs répartis dans le monde... Il en résulte que l'individu ne peut prétendre qu'à ce que ses données ne soient plus "exploitées" par le responsable désigné d'un traitement, sous peine que la responsabilité de ce dernier soit engagée. Mais rien ne garantit que ces données ne soient pas conservées, et ne "ressortiront" pas un jour... Et ce d'autant plus qu'elles peuvent avoir été incorporées dans des traitements antérieurs à la demande d'effacement. Le "droit à l'oubli" reste ainsi illusoire... En ce qui concerne les référencements de données personnelles par les moteurs de recherche sur Internet, dans son arrêt Google Spain du 13 mai 2014, la CJUE a estimé que : "l'exploitant d'un moteur de recherche est obligé de supprimer de la liste de résultats, affichés à la suite d'une recherche effectuée à partir du nom d'une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l'hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite". Mais ces mêmes données à caractère personnel peuvent avoir été publiées sur d'innombrables pages, en sorte qu'il pourrait être très difficile, voire impossible de repérer et de contacter l'ensemble des éditeurs concernés. 1. La personne concernée a le droit d'obtenir du responsable du traitement la limitation du traitement lorsque : a) l'exactitude des données est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données à caractère personnel; b) le traitement est illicite et la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation; c) le responsable du traitement n'a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice; d) la personne concernée s'est opposée au traitement en vertu de l'article 21, paragraphe 1 du RGPD, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée. Le responsable du traitement ne traite alors plus les données à caractère personnel, à moins qu'il ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice. 2. Lorsque le traitement a été limité, les données à caractère personnel ne peuvent être traitées : Les personnes concernées ont le droit : de se faire communiquer leurs données dans un format lisible, de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque: Loi Informatique et Libertés : Article 38 Modifié par Loi n°2004-801 du 6 août 2004 Principe : La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel. Toutefois, lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques la personne concernée n'a le droit de s'opposer au traitement de ses données que pour des raisons tenant à sa situation particulière, à moins que le traitement ne soit nécessaire à l'exécution d'une mission d'intérêt public. Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement.
Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu'il ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice. Pour limiter le droit à opposition le responsable de traitement doit donc prouver que ses intérêts légitimes impérieux prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée. (Raison 69 du RGPD) (Lorsque le consentement a été donné, il peut être retiré, mais il n'y a pas lieu à opposition.) Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s'opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection. La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire, sauf si cette décision : a) est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement; b) est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou c) est fondée sur le consentement explicite de la personne concernée.
a - Forme du consentement :
b - Conditions applicables au consentement
c - Retrait du consentement
2 - Légitimité d'un traitement de données personnelles
C - Droits des personnes à l'égard des traitements de données à caractère personnel.
1 - Droit d'Information
2 - Droit d'accès à ses données personnelles
3 - Droit de rectification
4 - Droit à l'effacement (Droit à l'oubli) -
a - Principe :
b - Exceptions :
c - Extinction et conservation des droits
d - Problèmes liés au droit à l'oubli
d.1 - Impossibilité d'effacement
d-2 - Problème du référencement par les moteurs de recherche
5 - Droit à la limitation du traitement Article 18 RGPD
6 - Droit à la portabilité des données
7 - Droit d'opposition au traitement de ses données personnelles
8 - Prise de décision individuelle automatisée (Profilage)
général
II
IV