L’exploitation des données personnelles est un enjeu majeur pour les entreprises. Elle permet en effet de générer une forte activité de marketing. Elle permet aussi la constitution de profils de consommateurs et la cession de fichiers. Stocker ces données, les utiliser, ou les vendre, peut s’avérer très intéressant.
Néanmoins, la mise en œuvre d’un traitement de données impose à toute entreprise qui l’envisage de respecter des conditions d’application non seulement strictes, mais également cumulatives. Et ce, quelle qu’en soit la forme ou la finalité. Il faut donc respecter toutes les conditions.
Valoxy, cabinet d’expertise comptable dans les Hauts de France, fait le point sur la protection des données personnelles.
Les conditions de l’exploitation des données personnelles
Un traitement loyal et licite
Le traitement ne peut porter que sur des données collectées et traitées de manière loyale et licite.
La loyauté se matérialise par une information. Ainsi, tout traitement effectué à l’insu des intéressés, et toute absence d’information à leur égard entraîne la qualification automatique de » collecte déloyale et illicite « . Cette information doit, également, permettre de garantir l’exercice du droit d’opposition à l’usage commercial des données.
De plus, l’entreprise ne peut opérer une collecte de données par tout moyen frauduleux, déloyal ou illicite. Cela suppose de respecter une transparence sur la mise en œuvre du traitement des données personnelles. Cela sous-entend que les personnes concernées doivent connaître l’existence des traitements. Elles doivent bénéficier, lorsque l’entreprise collecte des données auprès d’elles, d’une information effective et complète au regard des circonstances de cette collecte. Ainsi se met en place la protection des données personnelles
Les finalités de la collecte
Une collecte doit être effectuée pour des finalités déterminées, explicites et légitimes, leur traitement ultérieur devant être compatible avec ces finalités, sauf s’il est poursuivi des fins statistiques, scientifiques ou historiques.
Le caractère déterminé de l’objectif suppose que l’entreprise procède à une évaluation précise en interne, qui devra évidemment être effectuée bien en amont de la mise en oeuvre du traitement et, en tout état de cause, avant que la collecte de données elle-même n’ait lieu.
Le caractère explicite de la finalité suppose que l’information donnée soit claire et précise. L’objectif de la collecte doit être exprimé en des termes intelligibles pour tous. Cela suppose une explication préalable, qui interviendra au plus tard au moment où la collecte des données personnelles aura lieu.
Enfin, le caractère légitime de l’objectif suppose que le traitement, à chaque étape et à chaque instant, repose au moins sur le consentement ou, à défaut, sur l’une des conditions qui y dérogent (voir consentement).
La proportionnalité
La loi ajoute que les données à caractère personnel doivent être adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont collectées et leurs traitements ultérieurs.
Le caractère des données
Les données personnelles doivent être exactes, complètes et mises à jour par des mesures appropriées. Le responsable du traitement a donc l’obligation d’effacer ou de rectifier les données inexactes ou incomplètes.
Durée de conservation
La loi pour la protection des données personnelles requiert que la conservation de ces données n’excède pas la durée nécessaire à l’accomplissement de l’objectif pour lesquelles elles ont été collectées et traitées. Cela se justifie avec le droit à l’oubli, et, à l’issue du traitement, les données doivent être :
- effacées
- rendues anonymes sans ré identification possible
- archivées sous certaines conditions
La loi n’impose pas de délai particulier.
Afin de limiter les risques, une solution consiste à se référer aux dispositions législatives ou réglementaires applicables au secteur d’activité concerné. Il n’est, en effet, pas rare que les durées de conservation soient expressément prévues par les textes eux-mêmes.
Il existe des exceptions :
– Les données à caractère personnel conservées en vue d’être traitées à des fins historiques, statistiques ou scientifiques. Cela ne concerne que les archives publiques.
– Il est possible de conserver des données à caractère personnel au-delà de la durée nécessaire au traitement et ce, même si les finalités poursuivies ne présentent pas de caractère historique, statistique ou scientifique sous réserve de 3 conditions :
- Avoir obtenu l’accord exprès de la personne concernée
- En l’absence de consentement exprès, obtenir une autorisation de la CNIL
- En ce qui concerne les données dites « sensibles ». (celles relatives aux origines raciales, ethniques, aux opinions politiques, philosophiques ou religieuses, à l’appartenance syndicale des personnes, à leur santé ou à leur vie sexuelle, ..). La conservation n’est possible que lorsque l’intérêt public l’impose. Mais aussi lorsqu’elle ne s’applique qu’à des traitements ayant fait l’objet :
- soit d’une simple déclaration préalable auprès de la CNIL (et ce, uniquement en cas de situation d’urgence à une alerte sanitaire),
- soit d’une autorisation délivrée directement par la CNIL,
- ou soit après avis motivé et publié de la CNIL.
Le consentement à l’exploitation des données personnelles
À côté de ces cinq conditions de licéité, la loi impose désormais à l’entreprise d’obtenir, avant la mise en œuvre de cette opération, le consentement de la personne concernée, sauf à ce qu’elle ne puisse se prévaloir de l’une des dérogations prévues, sous peine de sanction. Le consentement est, en quelque sorte, une condition supplémentaire. L’obtention d’un consentement n’empêche pas de respecter les obligations concernant l’équité, la nécessité, la proportionnalité et la qualité des données.
Le consentement a plusieurs caractères : il doit être indubitable, c’est-à-dire explicite et indiscutable. Pour être valable, il faut également que le consentement soit donné sans contrainte. Il doit être l’expression du libre choix de la personne concernée.
Le consentement doit être spécifique, cela signifie qu’il ne doit porter que sur le traitement envisagé. Il ne peut être général. Le consentement doit enfin être informé. En pratique, ce critère impose que la personne dont les données font l’objet d’un traitement ait été informée clairement et au préalable, des caractéristiques de ce traitement.
Il existe des exceptions :
- En cas de respect d’une obligation légale sous réserve que la loi impose effectivement l’obligation, et qu’elle ait un caractère véritablement contraignant. Cela signifie de ne pas pouvoir disposer de marges de manœuvre pour décider, ou non, de son application, enfin, l’obligation légale doit, elle-même, être suffisamment claire et précise.
- En vue de la sauvegarde de la vie de la personne concernée,
- Dans le cadre de l’exécution d’une mission de service public,
- En raison de l’intérêt légitime poursuivi,
- Dans un cadre contractuel.
Les interdictions d’exploitation des données personnelles
La loi interdit que les opérations mises en œuvre portent sur des données personnelles jugées « sensibles ». On entend par là celles faisant apparaître directement ou indirectement les origines raciales ou ethniques, les opinions philosophiques ou politiques ainsi que les croyances religieuses, l’appartenance syndicale. Ou celles qui sont relatives à la santé ou à la vie sexuelle des personnes concernées.
Il existe des exceptions :
- En cas de consentement exprès de la personne concernée
- En matière de santé, si cela concerne les traitements nécessaires à la sauvegarde de la vie humaine, à la recherche et aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements et de gestion des services de santé. Et ce, à condition qu’ils soient mis en œuvre par un professionnel de santé ou, à tout le moins, par une personne soumise au secret professionnel.
– Si le responsable est une association ou un organisme à but non lucratif
- En cas de données rendues publiques par la personne concernée
- Les traitements statistiques réalisés par l’INSEE ou l’un des services statistiques ministériels
- Les traitements nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice
- L’interdiction de traiter des données sensibles peut être écartée si les données personnelles traitées sont appelées à faire l’objet à bref délai d’un procédé d’anonymisation
- Les traitements autorisés et justifiés par l’intérêt public. Ces traitements doivent avoir fait l’objet d’une simple déclaration préalable auprès de la CNIL et ce, uniquement en cas de situation d’urgence à une alerte sanitaire ; d’une autorisation délivrée directement par la CNIL ou après avis motivé et publié de la CNIL.
Ainsi, l’entreprise peut disposer d’une mine d’informations sur les particuliers en remplissant toutes ces conditions. Elle pourra les réutiliser :
- pour améliorer son approche client,
- diversifier son panel,
- toucher plus de clients,
- etc..
En cas de doutes sur l’exploitation des données personnelles, n’hésitez pas à contacter notre service juridique. Et retrouvez nos articles sur le blog de Valoxy :