Définition

L’Article 4 du RGPD est consacré aux définitions des notions essentielles du règlement et dans son premier point, il indique notamment que les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable. Un « traitement de données à caractère personnel » est donc une notion très large. Il suffit de prendre connaissance de sa définition légale pour s’en convaincre : « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction »

Cela recouvre aussi bien la constitution d’une base de données que l’utilisation d’un autocommutateur téléphonique, un système d’accès par badge ou un site internet. Il s’agit de toutes les utilisations qui peuvent être faites des données à caractère personnel.

Dit de manière plus simple : dans l’écrasante majorité des situations, tout recueil ou manipulation d’une donnée personnelle, de manière directe ou indirecte constitue un traitement au sens du RGPD. Il est en conséquence presque impossible en pratique d’échapper à l’application de cette nouvelle loi européenne.

Il est donc indispensable de présenter à vos utilisateurs les informations suivantes pour obtenir leur consentement de manière licite :

• Nom du responsable du traitement
• La finalité de la collecte et du traitement (il faut un consentement distinct pour chaque finalité distincte)
• Le type de données recueillies
• L’existence de transfert des collectées données à des tiers et les informations complémentaires s’y rattachant
• L’information relative au retrait du consentement
• L’existence de prise de décision automatisée et les informations complémentaires s’y rattachant

• Le consentement donné est valable pour toutes les activités de traitement ayant la ou les mêmes finalités.

• Le formulaire de configuration du recueil du consentement mis en place par Axeptio permet, sans avoir à maîtriser la règlementation dans le détail, de ne pas commettre d’erreur de droit préjudiciable : soyez simplement attentif aux conseils donnés tout au long de votre parcours et respectez les scrupuleusement.

Vous devez, dans l’expression des finalités de traitement être le plus précis et loyal possible. Cacher les motivations réelles de votre collecte est susceptible d’engager votre responsabilité. L’information relative aux finalités du traitement doit donc être détaillée et précise. Tout information trop vague, équivoque ou évasive peut conduire à une procédure de contrôle de la CNIL.

Configuration

a. La configuration du traitement

Que ce soit pour votre service commercial pour la segmentation client, marketing dans le cadre des newsletters ou IT pour le tracking, il existe de nombreux types de traitements des données personnelles. Nous avons réalisé pour vous les principaux modèles de recueil de consentement en vue d'un traitement de données personnelles. Il va donc falloir identifier tous les traitements que vous souhaitez réaliser de façon à pouvoir les configurer un par un par la suite.
Lors de cette présentation nous prendrons deux exemples pour illustrer en détail la configuration d’un traitement de données.

Exemple 1 : Une newsletter pour présenter de nouveaux produits et des offres promotionnelles
Exemple 2 : Du tracking pour proposer une gestion personnalisée des évènements professionnels et la proposition de sujets en fonction du profil utilisateur

Tout d’abord, vous devrez donner un nom à votre traitement qui vous permettra par la suite de l’identifier. Notamment, dans le cas où vous souhaitez réaliser deux traitements similaires n’ayant, soit pas la même finalité, soit ne traitant pas les mêmes données personnelles, soit permettant à des tiers différents d’accéder aux données.
Définition de la phrase d’acception : elle doit être claire, spécifique et univoque. Pour vous permettre d’être en conformité nous avons donc imposé de débuter la phrase par « En tant qu’utilisateur, j’accepte » et nous vous proposons « de recevoir la newsletter par mail ». Toutefois, vous pourrez modifier celle-ci afin de la détailler plus amplement.

Exemple 1 :



Exemple 2 :



Définition de la finalité du traitement : Cette étape est particulièrement importante puisque vous devez définir l’objectif poursuivi par la collecte des données mise en place. Posez-vous cette question : quel est l’objectif que je poursuis en collectant et en traitant ces données personnelles ?
Sauf dans des cas très particuliers, vous ne pouvez pas utiliser les données récoltées pour un autre objectif que celui qui a été initialement exposé aux personnes dont les données sont collectées.

Exemple 1 :



Exemple 2 :



Nature des données personnelles collectées et utilisées :
La personne qui donne son consentement à la collecte et au traitement de ses données doit connaître avec précisions le type de données collectées.
Les données à caractère personnel sont particulièrement nombreuses et variées : le nom, le prénom, la date de naissance ou indirectement telles que l’adresse IP, numéro de client, les identifiants de réseaux sociaux,… Axeptio en fournit une très longue liste que vous pouvez sélectionner en configurant votre formulaire.

Le règlement européen pose désormais une exigence de limitation de la collecte aux données strictement nécessaires à la finalité de traitement envisagé. C’est la notion de « privacy by default » ou de « minimisation de la récolte de données ». Pour comprendre simplement cette notion posez-vous cette question : de quelles données ai-je besoin pour souhaiter son anniversaire à un ami ? La réponse naturelle consiste à dire : « la date de naissance ». Mais avec le prisme du RGPD et le principe de minimisation de la collecte des données, la bonne réponse est la suivante : le jour et le mois de naissance. L’année est inutile. L’article 5 du règlement européen précise à ce titre que les données personnelles collectées doivent être « (…) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées »
A l’une de ces précisions, choisissez dans la liste proposée par Axeptio les données que vous souhaitez collecter, puis cliquez sur « Ajouter ce type de données personnelles » jusqu’à avoir sélectionné l’ensemble des données dont vous avez besoin.

Exemple 1 :



Exemple 2 :



b. Les tiers auxquels vous allez transférer les données

i. Le transfert des données personnelles à un tiers

Dans de nombreux cas concernant les traitements, vous devez transférer les données que vous avez recueilli à des tiers afin de pouvoir les utiliser que ce soit pour l’envoi de mails, de campagnes publicitaires ou pour la bonne exécution de votre contrat. Il est important de définir l’ensemble des acteurs auxquels vous allez transférer les données et d’encadrer ce partage.

En effet, le Règlement introduit une notion de « co-responsabilité », les co-responsables déterminant contractuellement leur domaine de responsabilité respectifs. Ainsi, de nombreux « sous-traitants » actuels vont devenir co-responsables et réciproquement vous allez devenir co-responsable de vos sous-traitant.

La CNIL recommande à toutes les organisations d’auditer ses contrats commerciaux afin de préparer sa mise en conformité au RGPD également sur le plan contractuel.
Le transfert de données personnelles est une opération sévèrement encadrée par le RGPD et a nécessité de la part d’Axeptio un très lourd travail de collaboration entre nos équipes techniques et le cabinet d’avocat partenaire pour parvenir à une bonne articulation entre expérience utilisateur simplifié et très haut degré d’exigence juridique.

Si vous transférez des données collectées vous devez donc renseigner de manière scrupuleuse les renseignements sollicités par notre formulaire.

En cliquant sur « ajouter un tiers », vous pouvez renseigner les données relatives à l’organisation à laquelle vous transférez des données. Si cette organisation (société, association, organisation quelconque…) est internationale, précisez-le. Vient ensuite l’information relative au pays où siège cette organisation. Ce point fait l’objet des développements visés ci-après.

ii. Cas de l’organisation dont le pays de domiciliation est situé hors Union Européenne

La notion juridique est complexe et Axeptio a travaillé dur pour vous simplifier les démarches. Tout transfert de données organisé à destination d’un pays qui n’est pas situé au sein de l’UE impose à l’auteur du transfert d’informer la personne concernée par la collecte et le transfert de ses données sur la pays concerné et la qualité de sa législation en matière de protection des données. Les pays bénéficiant des meilleurs législations bénéficient d’une « décision d’adéquation » émise par la Commission Européenne. Axeptio vous fournit cette liste dans le formulaire.

Si le pays ne figure pas dans la liste c’est qu’il ne bénéficie pas de cette décision. Le transfert demeure possible mais les informations doivent alors être plus précises.
Pour palier à l’absence de décision d’adéquation, vous pouvez recourir à des mécanismes juridiques protégeant les personnes concernées par la collecte de leurs données.
Là encore Axeptio a mis en place la liste des documents existants. Il vous suffit de sélectionner la bonne mesure.

Enfin, si vous n’avez pris aucune mesure particulière de protection, le transfert est toujours possible, mais vous devez en informer la personne concernée.
Cette absence totale de sécurité juridique n’est donc pas un obstacle au transfert des données collectées, si et seulement si vous avez recueilli le consentement des personnes concernées après leur avoir délivré une information particulièrement précise sur l’absence de garantie de protection de leurs données.

Exemple 1 :



Exemple 2 :



Cas particulier des état Unis

Dans le cas où l’organisation est aux Etats Unis, il est important de vérifier que celle-ci adhère et respecte les obligations et les garanties prévues par le Privacy Shield.

Définition

Le Bouclier de Protection des Données, mieux connu sous le nom de « Privacy Shield », est un mécanisme d’auto-certification pour les organisation établies aux États-Unis qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des organisations établies aux États-Unis. Ce mécanisme est par conséquent considéré comme offrant des garanties juridiques pour de tels transferts de données.

Validation

Axeptio vous permet de vérifier si l’entreprise adhère au privacy shield à l’adresse suivante : https://www.privacyshield.gov/list

Si l’organisation apparait dans la liste vous pouvez cocher la case et passer à l’étape suivante. Dans le cas contraire vous devrez prendre contact avec l’organisation concernée et valider avec elle qu’elle a bien mis en place l’un des mécanismes de protection figurant dans la liste que nous mettons à votre disposition.



La prudence commande de ne pas opérer de transfert vers un pays tiers si aucune mesure n’a été prise pour protéger les données récoltées. Il n’en demeure pas moins que le transfert opéré avec le consentement suffisamment éclairé des personnes concernées demeure autorisé.

Mais encore une fois les transferts hors UE font partie des éléments qui peuvent revêtir un haut niveau de complexité et qui peuvent présenter un haut niveau de risques, et donc qui doivent faire l'objet d'une étude spécifique et minutieuse avant d'être mis en œuvre.

Cet article a-t-il répondu à vos questions ?
Merci !