Le Règlement Européen sur la Protection des Données vise à assurer une protection effective des données personnelles. Il régit en effet le traitement des données appartenant aux individus afin d’éviter toute atteinte aux droits et libertés des personnes. Un certain nombre de principes doit ainsi être respecté pour assurer un usage conforme des données. Les droits des personnes concernées et les obligations de ceux qui effectuent les traitements ont été prévus et des process doivent être mis en place pour garantir leur respect. La méconnaissance de ces exigences peut entraîner le prononcé de sanctions. Tel est le cas lorsque les données sont traitées alors qu’elles ne devraient pas l’être. Ces situations sont nombreuses et concernent tout traitement de données de manière non conforme ou encore toute utilisation des données au-delà du périmètre toléré. L’usage de données interdites peut dès lors englober un large spectre de cas.
Des données non nécessaires au regard de la finalité
Un des principes phares du RGPD est le principe de minimisation des données. Aux termes de l’article 5 dudit texte, seules les données adéquates, pertinentes et nécessaires doivent être collectées. Pour garantir le respect de ce principe, le responsable de traitement doit spécifier les données dont il a besoin afin d’assurer les finalités visées. Une donnée dont l’utilisation ne contribue pas à atteindre l’objectif recherché doit être considérée comme n’étant pas nécessaire, voire inutile, et sa collecte est en principe interdite.
A titre d’exemple, dans le cas où l’objectif consiste à transmettre une lettre d’information par voie électronique, seule l’adresse mail du prospect ou du client est pertinente et la collecte du numéro de téléphone ne peut être justifiée dans le cadre de cet envoi.
Ce principe de minimisation des données est en quelque sorte le corollaire du principe relatif à la limitation des finalités. En effet, pour garantir que la collecte soit limitée aux données adéquates et pertinentes, il faudrait au préalable définir les finalités de manière explicite car ces dernières permettent de déterminer si la collecte porte ou pas sur des données interdites.
Des données conservées au-delà de la durée légale
Une autre situation dans laquelle des données interdites peuvent être utilisées est celle du non-respect de l’exigence portant sur la durée de conservation. En effet, afin de garantir un traitement conforme des données, l’organisme responsable de traitement doit définir la durée durant laquelle les données seront conservées. Dans le cas où cette durée ne peut être déterminée au moment de la collecte de la donnée, les informations portant sur les éléments pouvant la définir doivent a minima être mises à disposition des personnes concernées.
Cette durée de conservation doit être respectée et les données ne peuvent en aucun cas être conservées de manière indéfinie. La CNIL distingue trois périodes dans le cycle de vie de la donnée : la conservation en base active, l’archivage en base intermédiaire et l’archivage définitif. Toutes les données traitées ne sont pas forcément concernées par toutes ces étapes et cela dépend de plusieurs paramètres liés tant aux traitements concernés qu’aux obligations légales. L’archivage des données intervient une fois la durée de conservation atteinte et que les données présentent un intérêt pour l’organisme.
A titre d’exemple, des données qui peuvent présenter un intérêt en cas de contentieux doivent être archivées. La CNIL recommande ainsi que les documents nécessaires au calcul de l’assiette soient conservés pendant un mois en base active. Un archivage intermédiaire de ces éléments est aussi nécessaire. L’article L243-16 du Code de la sécurité sociale prévoit une durée de conservation de 6 ans pour ces documents.
Afin de garantir le respect de l’obligation portant sur la durée de conservation, un process doit être défini en interne afin d’éviter de conserver les données au-delà de la durée nécessaire. La suppression des données doit se faire manuellement ou de manière automatique.
Des données appartenant à une catégorie particulière
Parmi les données personnelles qu’un responsable de traitement peut collecter, certaines appartiennent à une « catégorie particulière ». Ces données ne sont en effet pas concernées par l’autorisation générale de traitement des données personnelles et ont pour point commun un degré de sensibilité important. Leur traitement ou encore leur révélation peut ainsi être à l’origine de risques élevés pour les droits et libertés des personnes.
Ce principe d’interdiction vise à limiter autant que possible les risques pouvant découler de l’usage de ces données. Des exceptions existent toutefois. Ainsi, pour pouvoir utiliser ces données, le consentement de la personne doit être collecté au préalable, sinon d’autres exceptions peuvent autoriser leur traitement. Le traitement d’une donnée sensible peut en effet être toléré dans le cadre du respect des obligations légales, de la sauvegarde des intérêts vitaux, pour des motifs d’intérêt public, etc…
Des données sans base légale
Selon le principe de licéité du traitement, les données ne peuvent être traitées que dans le cas où le responsable de traitement a le droit de le faire. Ceci exige de déterminer au préalable la base légale. Ces bases légales sont au nombre de six et sont prévues par le RGPD. Pour choisir la base légale, il faudrait mener une réflexion au regard de la situation spécifique et du contexte. Il peut s’agir des intérêts vitaux de la personne, de l’intérêt légitime poursuivi par le responsable de traitement, de l’exécution d’une mission d’intérêt public, etc…
Par exemple, l’employeur a intérêt à gérer la messagerie électronique professionnelle et les données concernées peuvent être traitées sur ce fondement. Il est ainsi interdit d’utiliser les données dont le traitement ne peut être justifié par une base légale.
Les données ayant fait l’objet d’une demande de suppression/d’opposition
Le RGPD confère aux personnes concernées un certain nombre de droits afin de leur permettre de décider quant au sort de leurs données. L’individu a ainsi un droit de contrôle sur ses données et peut réclamer de pouvoir accéder à ses données, de pouvoir rectifier les données incorrectes, de pouvoir effacer certaines données, de pouvoir s’opposer à un traitement, ou encore de se voir restituer ses données. Ainsi, lorsque la personne concernée effectue une demande de suppression des données, le responsable de traitement doit vérifier que toutes les conditions permettant à la personne de supprimer les données sont réunies.
A titre d’exemple, le droit à la portabilité ne concerne que les traitements dont la base légale est le consentement ou le contrat. Dans l’affirmative, la demande de la personne doit être validée et l’organisme doit procéder à la suppression des données. Dans le cas où les données n’ont pas été supprimées alors qu’elles devraient l’être, l’utilisation des données sera considérée comme portant sur des données interdites, voire sur des données dont le traitement ne doit pas être effectué. Tel serait également le cas lorsque la personne s’oppose au traitement des données et que les conditions d’application du droit sont réunies sans que les mesures permettant de bloquer le traitement ne soient mises en place.
