La notion de traitement de données à caractère personnel. Par Debora Cohen, Avocat.

La notion de traitement de données à caractère personnel.

Par Debora Cohen, Avocat.

76 lectures 1re Parution:

Explorer : # protection des données # rgpd # traitement des données personnelles # sanctions rgpd

La notion de traitement de données est au cœur du Règlement général sur la protection des données.
Il convient de revenir sur sa définition et son régime juridique.

-

I. La définition de la notion de traitement de données par le Règlement général sur la protection des données.

L’article 4.2 du Règlement général sur la protection des données (ci-après "le RGPD") dispose qu’on entend par traitement :

« toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

En outre, il s’agit de toute intervention effectuée sur les données de la collecte à leur destruction.

Ainsi, chacun, dans le cadre de ses activités professionnelles ou associatives, effectue quotidiennement des opérations de traitement : collecte, saisie, enregistrement, stockage, modification, transmission, archivage, suppression etc.

Par exemple, dans le cadre de la gestion de la paie, le responsable RH collecte les données, les saisit dans un logiciel de paie, les enregistre, les transmet aux organismes sociaux, les transmet le cas échéant à un prestataire, les édite sous la forme d’un bulletin de salaires, transmet les bulletins de salaires aux salariés concernés, les conserve, les archive et les détruit.

Il en est de même pour le recruteur dans le cadre de son activité de recrutement ou le responsable d’inscription dans un établissement scolaire. À chaque étape, le responsable du traitement ou le sous-traitant doit veiller à ce que les opérations effectuées sur les données le soient en conformité avec le RGPD.

II. Les règles applicables au traitement de données.

a) Les principes.

Afin qu’il soit conforme au RGPD [1], le traitement doit respecter les principes fondamentaux suivants :

  • le principe de finalité : avoir une finalité déterminée et légitime ;
  • le principe de licéité : avoir une base légale (consentement, contrat ou exécution de mesures pré-contractuelles, respect d’une obligation légale, sauvegarde des intérêts vitaux, intérêt public, intérêt légitime) ;
  • le principe minimisation : collecter uniquement les données nécessaires au traitement ;
  • le principe de l’exactitude : s’assurer de la provenance des données et les mettre à jour lorsque c’est nécessaire ;
  • le principe de la durée de conservation limitée : ne pas conserver les données de façon illimitée ;
  • le principe de la transparence : informer systématiquement les personnes concernées sur le traitement de leurs données ;
  • le principe de sécurité : assurer la protection physique et logique des données.

b) L’obligation de tenir un registre des traitements.

Dans le cadre de chaque activité de traitement, le responsable du traitement ou le sous-traitant doit toujours s’assurer que les droits des personnes concernées sont respectés.
Ces droits sont notamment :

  • Le droit d’accès aux données à caractère personnel
  • Le droit de rectification des données ;
  • Le droit de suppression des données (ou droit à l’oubli) ;
  • Le droit de portabilité des données ;
  • Le droit de limitation du traitement ;
  • Le droit d’opposition au traitement ;
  • Le droit de retirer son consentement à tout moment ;
  • Le droit de faire une réclamation à la Cnil.

Afin de pouvoir démontrer le respect de ces principes, l’article 30 du RGPD prévoit que tous les organismes publics comme privés, et qu’importe leur taille, ont l’obligation de tenir un registre des traitements, dès lors qu’ils traitent des données personnelles.

Ce registre doit contenir :

  • Les parties prenantes ;
  • Les catégories de données traitées ;
  • À quoi servent ces données, qui accède aux données et à qui elles sont communiquées ;
  • Combien de temps elles sont conservées ;
  • Comment elles sont sécurisées.

Par dérogation, l’article 30 du RGPD prévoit que les entreprises de moins de 250 salariés doivent inscrire au registre les seuls traitements de données suivants :

  • Les traitements non occasionnels ;
  • Les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (système de géolocalisation, de vidéosurveillance, etc.) ;
  • Les traitements qui portent sur les données sensibles.

Outre cette obligation de tenir un registre des traitements, le responsable du traitement ou le sous-traitant doit accomplir d’autres obligations telles que :

  • S’assurer de la conformité de ses sous-traitants ;
  • Mettre en place des procédures ;
  • Respecter la vie privée dès la conception et par défaut ;
  • Encadrer les transferts de données en dehors de l’Union européenne ;
  • Réaliser une analyse d’impact en cas de nécessité…

III. Les sanctions en cas de manquement aux principes relatifs au traitement.

Lorsque, dans le cadre de ses activités, le responsable du traitement ou le sous-traitant, met en œuvre de tels traitements, il enfreint le RGPD et s’expose, en conséquence, aux sanctions prévues par ce Règlement.

Prévues à l’article 83 du RGPD, celles-ci peuvent être :

  • Un rappel à l’ordre ;
  • Une mise en demeure ;
  • Une injonction de se mettre en conformité, y compris sous astreinte ;
  • Une amende administrative pouvant aller jusqu’à 4% du chiffre d’affaires ou 20 millions d’euros mondial.

Le non-respect de ces principes est sanctionné par la Cnil.

Les décisions ci-dessous donnent un aperçu des manquements condamnables au sens du RGPD.

S’agissant du principe de finalité, la Cnil a prononcé, le 24 juillet 2018, une sanction pécuniaire de 30 000 euros, à l’encontre de l’Office Public de l’Habitat de Rennes [2] (OPH), pour avoir utilisé ses fichiers des locataires, pour envoyer un courrier à des fins politiques.

S’agissant du principe de licéité des traitements, la Cnil a condamné, le 5 septembre 2024 la société Cegedim Santé, d’une amende de 800 000 euros au motif qu’elle utilisait un téléservice permettant d’accéder à l’historique des remboursements de santé des patients et ne prévoyant pas la possibilité que les données soient simplement consultées par les médecins sans entraîner une collecte automatique.

S’agissant du principe de minimisation des données, le 9 janvier 2025, la Cour de justice de l’Union européenne (CJUE) a condamné la société SNCF Connect [3], pour sa non-conformité à l’article 6.1 du RGPD. L’entreprise collectait, parmi les données personnelles des clients, leurs civilités lors de leur achat en ligne en leur enjoignant de cocher une case indiquant « Monsieur » ou « Madame ».
La cour de justice a estimé que la collecte de la civilité des clients pour la personnalisation de la communication n’était pas indispensable à la fourniture du service de transport et n’était ainsi pas conforme au principe de minimisation des données.

S’agissant du principe d’exactitude des données, la Cnil, le 6 novembre 2024, a rappelé à l’ordre deux ministères [4] pour leur mauvaise gestion du fichier de traitements d’antécédents judiciaires (TAJ). Le Code de procédure pénale prévoit que certaines mises à jour de ce fichier sont obligatoires en fonction de la suite judiciaire donnée à l’affaire. Or, les parquets sanctionnés ne transmettaient pas automatiquement au gestionnaire du TAJ les décisions de relaxe, d’acquittement, de non-lieu et de classement sans suite contrevenant ainsi à l’obligation d’exactitude des données.

S’agissant du principe de conservation des données, la Cnil a condamné d’une amende de 100 000 euros la société PAP éditant le site pap.fr, au motif qu’elle avait défini une durée de conservation de dix ans pour les données de certains comptes clients ayant recours à des prestations payantes du site, sans que cette durée puisse être justifiée par les dispositions du Code de la consommation dont elle se prévalait.

S’agissant du principe de transparence, la Cnil a condamné le 9 avril 2024, la société Hubside Store à une amende de 525 000 euros, dans le cadre d’un démarchage téléphonique, notamment pour ne pas avoir transmis aux personnes démarchées les informations nécessaires sur la collecte et l’utilisation de leurs données personnelles (notamment l’identité, les coordonnées de l’organisme, les objectifs d’utilisation des données, les durées de conservation, la source des données, leurs droits ou encore leur possibilité d’adresser une plainte à la Cnil.

S’agissant du principe de sécurité, la Cnil a condamné, le 31 janvier 2024, un éditeur de site web d’une amende de 100 000 euros pour ne pas avoir mis en place des mesures techniques et organisationnelles adéquates pour assurer la sécurité des données des utilisateurs de son site. Cet éditeur prévoyait en effet des règles de complexité pour les mots de passe pour les comptes utilisateurs trop faibles et conservait en outre ces codes confidentiels en clair et sans chiffrement.

Debora Cohen, avocat au barreau de Paris, en protection des données personnelles et DPO externalisé
Mail : debora.cohen chez dcavocat.com
Site : https://www.dcavocat.com/

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

0 vote

L'auteur déclare ne pas avoir utilisé l'IA générative pour la rédaction de cet article.

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion (plus d'infos dans nos mentions légales).

Notes de l'article:

A lire aussi :

Explorer : # protection des données # rgpd # traitement des données personnelles # sanctions rgpd

  1. Dans la même rubrique
  2. Les Actualités juridiques
  3. Droit du numérique et des TIC
  4. Respect de la vie privée et protection des données personnelles

Anonymisation et pseudonymisation : deux méthodes, une grande différence dans le cadre du RGPD ! Par Jean Mindaa, Juriste.

12 mai 2025

Le plan stratégique 2025-2028 de la CNIL : IA, mineurs, cybersécurité. Par Gerard Haas, Avocat.

9 mai 2025

L’encadrement juridique du démarchage téléphonique : vers un « ouf » de soulagement pour les consommateurs à partir de janvier 2026. Par Alain Tamalgo, Juriste.

5 mai 2025

Les droits des personnes concernées sur leurs données personnelles. Par Debora Cohen, Avocat.

28 avril 2025

Vote électronique : la CNIL dévoile ses exigences de sécurité pour 2025. Par Gerard Haas, Avocat.

16 avril 2025

Vers une atteinte à la vie privée généralisée ? Par Victor Cabras, Juriste.

14 avril 2025

Village de la justice et du Droit

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, RH, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 156 460 membres, 28036 articles, 127 286 messages sur les forums, 2 730 annonces d'emploi et stage... et 1 600 000 visites du site par mois en moyenne. *


FOCUS SUR...

• 2e Congrès de l’innovation juridique "Sud de France" à Montpellier les 22 et 23 mai 2025.

• Nouveau : Guide synthétique des outils IA pour les avocats.




Tous les Articles publiés

Populaires en ce moment

Annonces d'Emploi

Forum

Formations à venir

LES HABITANTS

Membres

Professionnels du droit et autres inscrits

PROFESSIONNELS DU DROIT

Previous Next

 

Cabinet d'avocat

 

Association pour la prévention positive des cyberviolences

 

Réseau de professionnels du Droit

 

Collectif d'avocats et de médiateurs

 

Procédure d’appel, procédure civile, conseil, contentieux, modes amiables

 

Réseau de cabinets d’avocats indépendants

 

Bien plus que du droit.

 

Facilite l'accès aux professions du Droit

 

 

Agir en faveur de l’accès au droit

 

Cabinet d'Avocats

Solutions

Previous Next

 

Créateur de confiance juridique

 

Lettre recommandée électronique

 

Traducteurs assermentés

 

AI-powered Contract Management

 

Maintenance informatique spécialisée pour les professionnels du droit

 

Editeur juridique

 

Association de gestion et de comptabilité pour Avocats

 

Editeur juridique et de solutions de gestion pour les métiers du droit

 

Aides et Conseils à l'installation des avocats.

 

Offres pour les métiers du droit

 

Destruction et recyclage de documents confidentiels

 

Logiciels de conformité, risques et éthique

 

Solutions d'informations pour professionnels du droit.

 

Logiciels pour professionnels du droit.

 

1er service entièrement en ligne pour externaliser vos appels

Formateurs

Previous Next

 

Cabinet juridique et organisme de formation

 

Formation, recherche et innovation

 

Formations courtes ou longues à destination des professionnels du droit

 

L’école des nouveaux juristes !

 

Des formations spécialisées

 

Se former est une chance !

 

Se former aux métiers du Droit

 

La Compétence juridique se recrute !

Nouvelles parutions

Robert Badinter

Robert Badinter - L’œuvre d’un juste

« Un jour, je vous parlerai de la Justice...»

LexisNexis Presse

La Semaine Juridique - Édition Générale

Accédez à votre actualité juridique chaque semaine sous la plume d’auteurs de renom !

A côté du droit !

[Nouvelle parution] Sambre, l’autre rive.

Les coups de coeur des libraires juridiques (épisode 3).

Sélection Liberalis du week-end : Maximilien Luce, l’éclat d’un regard libre au Musée de Montmartre.

Régulièrement nous partageons ici avec vous quelques images du net...

A voir et à Écouter... sur le Village de la justice:

- Dans les coulisses des directions juridiques de EDF et L’ORÉAL.
- [Audio] Discussion sur les études privées de Droit.
- [Podcast] Comment défendre la Justice ? Réponse avec l’ancien garde des Sceaux Didier Migaud.
- [Documentaire] Engagées, un an dans les coulisses du métier d’avocat.

Le Village de la justice est le 1er site de la communauté des métiers du Droit, en accès libre, créé en 1997 (en savoir plus). Avocats, juristes d'entreprises et salariés, magistrats, étudiants, notaires, huissiers, fiscalistes, RH, experts et conseils etc, y trouvent de nombreuses informations et participent à la communauté, s'informent, établissent leur réseau, recrutent... Le premier Réseau du droit ! > Découvrez notre philosophie et fonctionnement ici.

Edité par Legi Team
Editeur - Publicité
Fil RSS général du Village
Gestion des cookies - RGPD
Mentions légales - CGV - CGU
RSE
Plan du Village de la Justice
Nous écrire

Copyright © Village de la justice et auteurs publiés ici.