Les données à caractère personnel sont d’après la loi n° 18-07 du 10 juin 2018 relative à la protection des personnes physiques dans le traitement des données à caractère personnel toute information, quel qu’en soit son support, concernant une personne identifiée ou identifiable. Certaines informations et données personnelles peuvent être utilisées et sont généralement gérées par un responsable de traitement qui peut être soit une personne physique, mais aussi une personne morale (entreprise, commune...) qui aura pour rôle de délimiter les moyens et finalités du traitement de ces données. Le responsable de traitement va donc déterminer la façon et l’objectif de gérer les informations collectées.
Mais le traitement des données de ce type doit respecter des standards pour la protection des intérêts de l’organisation et peut également faire l’objet d’abus. Quelles obligations de sécurité et de bonnes pratiques pèsent sur le responsable de traitement ?
Recueil du consentement
L’article 7 de la loi 18-07 prévoit qu’en principe, le traitement des données à caractère personnel ne peut être effectué qu’avec le consentement exprès de la personne concernée. Pour les enfants, il faut l’autorisation du tuteur légal. Et la personne concernée peut, à tout moment, se rétracter.
Les données à caractère personnel objet du traitement ne peuvent être communiquées à un tiers que pour la réalisation de fins directement liées aux fonctions du responsable du traitement et du destinataire et sous réserve du consentement préalable de la personne concernée.
Dérogations au principe de l’accord préalable
Il est des cas où le consentement n’est pas exigé si le traitement est nécessaire :
- au respect d’une obligation légale à laquelle est soumis la personne concernée ou le responsable du traitement ;
- à la sauvegarde de la vie de la personne concernée ;
- à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
- à la sauvegarde d’intérêts vitaux de la personne concernée, si elle est physiquement ou juridiquement dans l’incapacité de donner son consentement ;
- à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées ;
- à la réalisation d’un intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de l’intérêt et/ou des droits et libertés fondamentaux de la personne concernée.
Le devoir de sécurité du responsable de traitement
L’article 9 de la loi 18-07 prévoit que dans le traitement des données, les données personnelles doivent être :
- traitées de manière licite et loyale ;
- collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent être traitées ultérieurement de façon incompatible avec lesdites finalités ;
- adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ou traitées ;
- exactes, complètes et, si nécessaire, mises à jour ;
- conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou traitées.
Toute personne a un droit à l’information, un droit d’accès et un droit de rectification sur ses données propres.
L’obligation de sécurité du responsable de traitement
Au-delà du devoir, la sécurité des données par le responsable de traitement est une obligation posée par la loi.
Le responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.
Ces mesures doivent assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger (article 38 de la loi 18-07).
Lorsque le traitement est effectué pour le compte du responsable du traitement, il doit choisir un sous-traitant qui apporte des garanties suffisantes inhérentes aux mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et doit veiller au respect de ses mesures (article 39 de la loi)
La réalisation de traitement en sous-traitance doit être régie par un contrat ou un acte juridique qui lient le sous-traitant au responsable du traitement et qui prévoient notamment que le sous-traitant n’agit que sous la seule instruction du responsable du traitement et dans le respect des obligations légales.
Enfin, le responsable du traitement est tenu au respect du secret professionnel même après avoir cessé d’exercer ses fonctions, sous peine de sanctions (article 40 de la loi 18-07).
Vous êtes abonné ? Restez à jour en consultant les notes, communiqués et circulaires ainsi que l’ensemble des Codes en vigueur sur Legal Doctrine.
Restez à l’affût des dernières actualités juridiques en vous abonnant à notre newsletter Legal Doctrine.