Les 6 définitions qui comptent
Qu’est-ce que le RGPD ?
Le Règlement général sur la protection des données (RGPD) encadre le traitement des données personnelles sur le territoire de l’Union européenne. Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs. Le RGPD fut précédé, en France, de la Loi informatique et libertés (LIL) du 6 janvier 1978, toujours en vigueur.
Qu’est-ce qu’une donnée à caractère personnel (DCP) ?
Il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable ».
Qu’est-ce qu’un traitement ?
Un traitement est toute opération qui porte sur ce type de données, de façon automatisée ou non. Cela va de la collecte de ces données jusqu’à leur destruction, en passant par leur simple consultation. Sont inclus dans la définition les fichiers de données stockées sur un support électronique ou sur papier.
Qui est le responsable de traitement ?
Le Département est responsable de traitement, ce qui signifie qu’il détermine la finalité et les moyens essentiels de ses traitements de données à caractère personnel. Il traite avec prudence et avec soin les données qu’il collecte ou que vous lui confiez.
Qu’est-ce qu’un destinataire de DCP ?
Le destinataire de DCP est la personne habilitée à obtenir communication de données enregistrées dans un fichier ou un traitement en raison de ses fonctions. Le destinataire n’est ni le responsable de traitement, ni son sous-traitant, ni les personnes qui, en raison de leurs fonctions, sont chargées de traiter les DCP, ni les autorités habilitées à obtenir des données dans le cadre d’enquêtes. Un destinataire est, par exemple, un organisme extérieur au Département et auquel le Département adresse des données personnelles.
Quel est le rôle du Délégué à la protection des données (« DPO ») ?
Le Département est pourvu d’un Délégué à la protection des données (DPO – sigle international) qui veille au respect des règles s’appliquant aux collectes et traitements des données et de le conseiller en matière de protection des données. Le DPO est aussi un point de contact pour la Cnil et pour toute personne, qui peut le saisir.
Pour aller plus loin : article 4 du RGPD.
Les 6 principes de traitement des DCP
Le Département applique ces six principes obligatoires pour ses traitements de DCP :
- Le caractère licite et transparent du traitement : pas de données collectées à votre insu.
- La finalité limitée : collectées pour des finalités déterminées, explicites et légitimes, les données ne doivent pas être traitées ultérieurement d’une manière incompatible avec ces finalités.
- La réduction des données : il n’est traité aucune donnée non nécessaire à la finalité.
- L’exactitude des données : en outre la personne a un droit de rectification (voir point V – 2)
- La durée de conservation des données est limitée et indiquée.
- Le principe d’intégrité et de confidentialité des données. En pratique, il est généralement désigné comme le « principe de sécurité ».
Pour aller plus loin : article 5 du RGPD.
Les 6 bases légales du traitement
Le Département ne traite des données personnelles que sur l’une des bases légales suivantes :
- Le consentement de la personne : ce consentement doit être libre, spécifique à un seul traitement, pour une finalité déterminée. Il doit être éclairé et univoque (non équivoque).
- L’existence d’un contrat : sile traitement est objectivement nécessaire à l’exécution de ce contrat.
- L’obligation légale : cette base est utilisée quand un texte précis existe.
- La sauvegarde des intérêts vitaux : de la personne concernée ou d’un tiers.
- La mission d’intérêt public : cette base concerne les traitements mis en œuvre par le Département pour l’exécution de ses missions, en particulier ceux qui sont tournés vers ses usagers.
- L’intérêt légitime : cette base légale concerne les traitements mis en œuvre par des organismes privés qui ne portent pas une atteinte importante aux droits et intérêts des personnes concernées. Le RGPD prévoit que l’intérêt légitime ne peut pas constituer la base légale d’un traitement mis en œuvre par une autorité publique dans l’exécution de ses missions, sauf cas particuliers encadrés par la Cnil.
Pour aller plus loin : article 6 du RGPD.
Les 6 mentions obligatoires pour toute collecte de données
Le Département doit, au moment de la collecte directe ou indirecte des données, porter à la connaissance des personnes concernées les mentions obligatoires énumérées aux articles 13 et 14 du RGPD :
- 6 mentions minimales ;
- 6 mentions complémentaires.
Cette obligation d’information s’applique de façon systématique (hors d’une demande de la personne).(Certaines de ces mentions ne figurent pas dans tous les cas)
Les 6 mentions obligatoires minimales :
- Identité et coordonnées du responsable du traitement et le cas échéant de son représentant ;
- Le cas échéant les coordonnées du Délégué à la protection des données ;
- La finalité du traitement ;
- La base juridique du traitement ;
- Les catégories de données traitées ;
- Les catégories de destinataires (voir la définition de destinataire au point I), y compris dans les Etats hors UE ou au sein d’organisations internationales.
Les 6 mentions complémentaires indiquées selon le besoin :
- La durée de conservation des données ou, lorsque cela n’est pas possible, les critères qui président à la détermination de cette durée ;
- L’existence des droits du demandeur au titre de son droit d’accès ;
- L’existence du droit, dans certains cas, de retirer son consentement à tout moment ;
- Le droit d’introduire une réclamation auprès de la Cnil ;
- La nature règlementaire ou contractuelle de la collecte ainsi que le caractère obligatoire ou non des données demandées ;
- L’existence ou non d’une décision automatisée.
Les 6 modalités de votre droit d’accès
Le droit d’accéder à vos données
Le Département doit vous répondre au plus tard dans un délai d’un mois. Ce délai peut être porté à trois mois dans certains cas exceptionnels pour des raisons qui vous sont notifiées dans le délai d’un mois.
Le droit de rectification
Il permet d’obtenir du Département, dans les meilleurs délais, de faire rectifier vos données à caractère personnel quand elles sont inexactes ou de les compléter.
Le droit à l’effacement (ou « droit à l’oubli »)
Ce droit n’est pas absolu puisque l’article 17 du RGPD prévoit quatre cas d’exceptions. Il s’applique en particulier dans le cas du retrait de consentement et du droit d’opposition.
Le droit à la limitation du traitement de vos données : dans certains cas (article 18 RGPD).
Le droit à la portabilité des données
Il vous permet de recevoir dans un format structuré, couramment utilisé et lisible par ordinateur les données personnelles vous concernant déjà fournies à un responsable de traitement, et de faire transmettre directement ces données à un autre responsable de traitement lorsque c’est techniquement possible.
Le droit d’opposition
Vous pouvez, pour des raisons tenant à votre situation particulière, vous opposer au traitement de vos données, sauf lorsque le traitement répond à une obligation légale ou lorsque ce droit d’opposition a été écarté par une disposition expresse de l’acte autorisant le traitement.
Toute personne peut définir le sort réservé à ses données après son décès.
Les données personnelles ne concernent que les personnes physiques vivantes. Les droits sur ces données s’éteignent donc au décès de la personne concernée. Cependant, cette dernière peut fixer des directives anticipées pour définir l’usage qu’il sera fait de ses données après son décès. Ces droits seront alors provisoirement maintenus dans les conditions de l’article 85 de la loi du 6 janvier 1978.
Les demandes d’exercice des droits peuvent être formulées :
Soit par écrit, par courrier signé accompagné de la copie d’un titre d’identité à l’adresse suivante :
Département du Finistère
A l’attention du Délégué à la protection des données
32, boulevard Dupleix – CS 29029 29196 Quimper Cedex
Téléphone : 02 98 76 20 20
Soit par courriel à l’adresse : donneespersonnelles@finistere.fr
Les engagements du Département
Le Département sécurise vos données par la détermination et la miseen œuvre des moyens nécessaires à la protection des systèmes de données à caractère personnel pour éviter toute intrusion malveillante et empêcher toute perte, altération ou divulgation de données à des personnes non autorisées. Le Département requiert les mêmes garanties de la part de ses sous-traitants.
En cas de violation des données, le Département en avise la Cnil et vous informe, dans les meilleurs délais, si la violation peut engendrer un risque élevé pour vos droits et libertés.
Le Département s’engage à vous informer, en particulier en appliquant lessix principes obligatoires rappelés eu point II du présent document. Pour les formulaires de saisie de données en ligne, le Département indique le caractère obligatoire ou facultatif des données qu’il demande.
Le Département met à disposition de ses usagers et de ses agents une information précise sur la politique de gestion des données à caractère personnel et les principes qui la composent et il s’assure régulièrement, pour les besoins de la pérennité de cette politique, de l’adéquation des principes qui la composent aux évolutions technologiques et règlementaires dans le champ des données personnelles.