RGPD mon amour #3 : la collecte des données
C’est le cœur du sujet. Celui qui suscite à la fois craintes et convoitises. Celui que scrute méticuleusement l’autorité nationale compétente — pour nous, la CNIL.
La collecte des données, c’est la partie émergée de l’iceberg, palpable et visible, en particulier des personnes concernées par le traitement de leurs données. Voici ce qu’il faut savoir.
Vous l’avez noté, ce petit « 3 » dans le titre de cet article : il vous révèle (si vous n’avez pas suivi les précédents épisodes), que deux billets ont déjà été consacrés à ce vaste sujet qu’est le RGPD. Le premier, sur ce que désigne (vraiment) une donnée à caractère personnel. Le second, sur les acteurs engagés et leurs responsabilités. À savoir que d’autres suivront prochainement — car nous nous sommes investis de la mission de rendre accessible le RGPD, dense et technique soit, mais pas si complexe que ça.
Alors que retenir de la collecte des données ? Quatre grands axes que nous vous amenons à découvrir avec nous.
Quand le minimalisme est de rigueur
C’est l’un des motto du RGPD : les données personnelles recueillies doivent l’être en respectant le principe de minimisation des données. Un principe qui s’applique à :
- La limitation des finalités, qui doivent être déterminées, explicites et légitimes (j’utilise telle donnée dans tel objectif : pour envoyer ma newsletter, expédier mes produits, identifier des leads, etc. etc.) ;
- La limitation des données, car seules celles servant vos finalités doivent être collectées (pourquoi demander la date de naissance de ce futur abonné à votre newsletter ?) ;
- La limitation de la conservation des données, avec un maximum requis pour chaque finalité (un CV reçu ne peut être conservé au-delà de deux ans par exemple, sauf autorisation expresse de la personne concernée).
« Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Exemple : Collecter et conserver le statut marital d’un salarié n’apparaît pas nécessaire à l’activité RH. »
Ainsi donc, obtenir d’un internaute son consentement pour collecter et traiter ses données n’est pas synonyme de « tout est permis ». Bien au contraire…
La base de la base juridique légale
C’est d’ailleurs le jargon couramment employé pour désigner les différents types d’autorisations au recueil et au traitement des données.
À titre d’exemple, le consentement est une base juridique légale. C’est aussi la plus connue et la plus usitée sur Internet. Elle se matérialise par des cases à cocher par l’internaute (ou dans la vraie vie sur papier) qui stipulent les différentes finalités de la collecte de données renseignées via un formulaire, par exemple.
À noter qu’il doit y avoir autant de cases à cocher que de finalités (pour abonner l’utilisateur à une newsletter, lui faire parvenir sa commande, lui envoyer un mailing commercial à son anniversaire, etc.). On parle d’ailleurs de « consentement actif et éclairé » : la personne en question doit pouvoir choisir de cocher ou non cette case, de lire et comprendre ce que vous ferez de ces données sans avoir dix à chaque œil.
Si le consentement est LA base juridique légale la plus répandue, d’autres peuvent être invoquées, comme l’intérêt légitime : comment envoyer une commande sans adresse postale ? Ou encore procéder au virement du salaire de vos collaborateurs sans avoir accès à leurs coordonnées bancaires ?
Quelle que soit la base juridique légale, celle-ci doit être clairement identifiée en amont de toute collecte — sous peine de sanction en cas de contrôle.
L’indispensable information des personnes concernées
Ce point est en lien avec le précédent, et reste toujours en toile de fond du RGPD : les personnes dont on traite les données doivent pouvoir tout comprendre au moment-même de la collecte.
Ce qu’on fait de leurs données et pourquoi, quels sont les acteurs impliqués et leurs responsabilités.
Elles doivent avoir à leur disposition les coordonnées des différents interlocuteurs (responsable du traitement, sous-traitant, DPO…). Par ailleurs, elles doivent avoir connaissance de leurs droits d’accès, de rectification, de suppression, de limitation du traitement, d’opposition, de portabilité et de réclamation auprès de la CNIL. En bonus, nous vous conseillons de mettre à disposition une page d’information dédiée à la politique RGPD pratiquée, dont le contenu doit être lisible et compréhensible.
Le cas des données sensibles : l’AIPD
Nous vous en parlions dans le précédent chapitre sur les données personnelles : parmi elles, certaines sont qualifiées de sensibles, et font l’objet d’une attention particulière.
Lorsque le traitement de ces données est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées », une AIPD est obligatoirement réalisée (AIPD pour Analyse d’Impact relative à la Protection des Données).
À titre d’exemple, est réputée donnée sensible :
- tout traitement de donnée concernant une personne vulnérable (patient, personne âgée, enfant, etc.),
- un scoring ou une évaluation (qui peut avoir un impact sur la vie professionnelle de la personne)
- une information qui pourrait mener à une exclusion du bénéfice d’un droit ou d’un contrat (comme une maladie chronique).
L’AIPD est, d’après la définition officielle : « un outil important pour la responsabilisation des organismes : elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au Règlement général sur la protection des données (RGPD). »
Cette analyse, qui se matérialise par un document attestant de la conformité du traitement des données sensibles, est avant tout une méthode conçue et partagée pour identifier des failles et y remédier. Mais vous ne serez pas seul dans les méandres de l’AIPD : la CNIL met à votre disposition des documents et articles très fournis en la matière.
On vous l’avait dit, ce sujet est dense dès lors qu’on le traite en profondeur. Mais il reste accessible à tous ceux qui n’ont pas peur des textes juridiques — ou qui suivent ce blog :)
Dans un prochain épisode, vous saurez tout ce qu’il faut savoir sur le suivi des données à caractère personnel et de leur(s) traitement(s). Soit le dernier avant notre épilogue consacré au quotidien de notre DPO. Hasta la vista !