Quelles personnes sont protégées par la loi ?

Il s’agit de toutes les personnes physiques qui font l’objet d’un traitement de données à caractère personnel.

Qu’est-ce qu’on entend par donnée à caractère personnel ?

Il s’agit de « toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne identifiée ou identifiable… ; une personne physique est réputée identifiable si elle peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique ».

Qu'est-ce qu'on entend par traitement de données à caractère personnel ?

Un traitement de données à caractère personnel consiste en « toute opération ou ensemble d’opérations effectués ou non à l’aide de procédés automatisés, et appliqués à des données, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »

Qui est responsable du traitement de données lorsqu'il est mis en œuvre ?

La loi définit le responsable du traitement comme étant « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens du traitement sont déterminés par ou en vertu des dispositions légales, le responsable du traitement est déterminé par ou en vertu des critères spécifiques conformément aux dispositions légales ».

Il s’agit donc en principe de la personne physique ou morale qui décide de mettre en place pour son compte le traitement de données.

Quelles règles et conditions sont à respecter par celui qui entend mettre en place un traitement de données à caractère personnel ?

La finalité poursuivie par le traitement doit être légitime

Le traitement de données personnelles n’est possible que s’il existe une raison suffisamment légitime pour le justifier.

Celui qui souhaite traiter des données doit en principe solliciter l’accord de la personne concernée. Néanmoins dans un certain nombre de cas un traitement de données est nécessaire par exemple pour la bonne exécution d’un contrat, pour respecter une obligation de service public ou une obligation légale, ou encore pour protéger la vie de la personne visée par le traitement.

La finalité du traitement doit être clairement établie et mise en évidence

L’utilisation des données personnelles doit être strictement limitée à la finalité explicitement déterminée au préalable.

Aussi le traitement doit être nécessaire pour atteindre les buts expressément fixés d’avance par l’auteur du traitement. Une transmission des données récoltées à des tiers n’est possible que si la finalité d’utilisation par ces tiers est exactement la même.

Le principe de proportionnalité et de nécessité

Ce principe implique que le traitement doit se limiter aux données pour lesquelles il existe un rapport direct avec la finalité initiale du traitement. Ces données doivent non seulement être utiles, mais aussi nécessaires par celui qui les traite. Donc les données traitées ne doivent pas excéder ce qui est nécessaire pour atteindre le but poursuivi. 

Les données traitées doivent être correctes et actuelles

Le traitement doit être loyal

La collecte, l’enregistrement, l’utilisation et la transmission des données personnelles doivent se faire de bonne foi, et non pas à l’insu de la personne concernée.

Ainsi l’utilisation ultérieure des données personnelles à des fins autres que celles initialement prévues est en principe interdite.

Sécurité et confidentialité des données

Les données personnelles doivent être traitées de manière confidentielle et être stockées à des endroits et sur du matériel sûrs.

Les données sensibles ne peuvent en principe pas être traitées

Les traitements de données qui mettent à jour les opinions, convictions, l’état de santé ou la vie sexuelle, sont interdits. La loi prévoit néanmoins quelques cas de figures exceptionnels où de tels traitements sont possibles.

Quand est-ce qu'un traitement de données personnelles peut être mis en œuvre ?

Selon la loi, un traitement de données personnelles ne peut être effectué que :

• s’il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, ou
• s’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le ou les tiers auxquels les données sont communiquées, ou
• s’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci, ou
• s’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, ou
• s’il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée, ou
• si la personne concernée a donné son consentement.

Dans quelles conditions est-ce qu'un traitement de données personnels à des fins de surveillance sur le lieu de travail peut être mis en place par un employeur ?

L’article L. 261-1 du Code du travail stipule ainsi qu’un traitement de données à caractère personnel à des fins de surveillance des salariés ne peut être mis en œuvre par l’employeur que dans les cas visés à l’article 6, paragraphe 1^er, lettres a) à f), du règlement (UE) 2016/679 (RGPD).

Selon le régime général posé par le RGPD, ce serait notamment :

• lorsque le traitement des données personnelles du salarié est nécessaire à l’exécution de son contrat de travail, ou encore
• lorsque l’employeur est soumis à une obligation légale rendant nécessaire le traitement des données personnelles du salarié, ou encore
• lorsqu’en raison de son intérêt légitime l’employeur pourrait justifier une surveillance,

qu’un traitement des données personnelles du salarié à des fins de surveillance pourrait être envisagé par l’employeur.

Notons que lorsque l’employeur invoque son intérêt légitime pour justifier la surveillance, la mise en œuvre de celle-ci nécessite que l’employeur mette en balance son propre intérêt légitime avec la nécessité de protéger les droits et libertés fondamentales du salarié concerné, tel son droit au respect de sa vie privée sur le lieu de travail, le droit au respect de son image etc.

Dans tous ces cas, il reste toujours à apprécier si la surveillance est proportionnelle et nécessaire par rapport à la finalité recherchée.

En plus du droit à l’information de la personne concernée, l’employeur doit, avant de mettre en place la surveillance, obligatoirement informer la délégation du personnel ou, à défaut encore, l’Inspection du travail et des mines (ITM).

Cette information préalable contient une description détaillée de la finalité du traitement envisagé, ainsi que des modalités de mise en œuvre du système de surveillance et, le cas échéant, la durée ou les critères de conservation des données, de même qu’un engagement formel de l’employeur de la non-utilisation des données collectées à une finalité autre que celle prévue explicitement dans l’information préalable.

Lorsque la surveillance est mise en place :

• pour les besoins de sécurité et de santé des salariés ;
• pour le contrôle de production ou des prestations du salarié, lorsqu’une telle mesure est le seul moyen pour déterminer le salaire exact, ou
• dans le cadre d’une organisation de travail selon l’horaire mobile

elle ne pourra se faire qu’avec l’accord de la délégation du personnel, conformément aux dispositions des articles L. 211-8, L. 414-9 du Code du travail, sauf lorsque par cette surveillance l’employeur répond à une obligation légale ou réglementaire.

Pour tout traitement de données mis en œuvre à des fins de surveillance sur le lieu de travail, la délégation du personnel, ou à défaut, les salariés concernés, peuvent, dans les 15 jours suivant l’information préalable, soumettre une demande d’avis préalable relative à la conformité du projet de traitement à des fins de surveillance du salarié dans le cadre des relations de travail à la Commission nationale pour la protection des données (CNPD), qui doit rendre son avis dans le mois de la saisine. Cette demande a un effet suspensif pendant ce délai. L’employeur ne pourra donc pas mettre en œuvre la surveillance avant d’avoir obtenu l’avis de la CNPD. Les salariés concernés par la surveillance ont en outre le droit d’introduire une réclamation auprès de la CNPD. Une telle réclamation ne constitue ni un motif grave, ni un motif légitime de licenciement.

Quels sont les droits de la personne concernée par un traitement de données ?

Toute personne concernée par un traitement de données dispose d’un certain nombre de droits. Ces droits sont largement augmentés avec le règlement (UE) 2016/679.

Il s’agit du droit à l’information, du droit d’accès, du droit de rectification, du droit à l’effacement des données, du droit à la limitation du traitement, du droit à la portabilité des données, du droit d’opposition, du droit de s’opposer au profilage et au traitement automatisé de sa demande, du droit à la réclamation et du droit à réparation.

Droit à l'information

Données recueillies directement auprès de la personne

La personne concernée a le droit d’être informée au moment où les données la concernant sont collectées auprès d’elle-même sur les éléments suivants :

• l’identité et les coordonnées du responsable du traitement ;
• le cas échéant, les coordonnées du délégué à la protection des données ;
• la finalité du traitement et sa base légale ;
• si le traitement est basé sur l’intérêt légitime du responsable du traitement, son intérêt légitime est à spécifier ;
• le ou les destinataires des données ;
• la durée de conservation des données, sinon les critères employés pour la déterminer ;
• l’existence de ses autres droits (droit d’accès, à la rectification, à l’effacement, à la limitation des données etc.) ;
• le caractère réglementaire, contractuel ou obligatoire ou non de la fourniture des données et les conséquences d’un éventuel refus ;
• l’existence d’une prise de décision automatisée ou d’un profilage ;
• le cas échéant l’utilisation des données à une autre fin.

Données non collectées auprès de la personne concernée

Si les données ne sont pas recueillies directement auprès de la personne concernée :

• la source des données doit être indiquée avec la précision si la source est accessible au public ou pas, et
• le responsable du traitement doit fournir les informations énumérées ci-avant :
  • dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, ou
  • si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication avec ladite personne, ou
  • s’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.

Notons en outre que toute personne a toujours le droit d’être informée sur demande dans un délai d’un mois, ainsi que d’être informée de toute violation de ses données.

Droit d'accès

La personne concernée a le droit d’accéder aux données traitées avec les informations relevant du droit à l’information et d’obtenir une copie gratuite des données. Précisons qu’en cas de demande de copies supplémentaires, le responsable du traitement pourra demander le paiement de frais raisonnables pour toute copie supplémentaire.

Droit de rectification

Il s’agit du droit de demander la rectification de données inexactes dans les meilleurs délais, ainsi que du droit d’obtenir que des données incomplètes soient complétées.

Droit à l'effacement des données dans les meilleurs délais

Ce droit joue dès que les données ne sont plus nécessaires pour la finalité visée, lorsque le traitement est basé sur le consentement et que le consentement est retiré, dans le cas de l’exercice justifié du droit d’opposition, lorsque le traitement de données est illicite, lorsque l’effacement est nécessaire pour garantir le respect d’une obligation légale, lorsque les données sont collectées dans le cadre de services proposés à des enfants/jeunes de moins de 16 ans.

Notons que des exceptions existent quant à l’exercice de ce droit et cela notamment dans les cas suivants :

• exercice du droit à la liberté d’expression/d’information ;
• nécessité de garantir le respect d’une obligation légale ;
• intérêt public dans le cadre de la santé publique ;
• archivage dans l’intérêt public, recherche scientifique ou historique, statistiques ;
• défense de droits en justice.

Droit d'opposition

Lorsque le traitement a lieu dans le cadre de l’exercice d’une mission publique ou que le traitement est basé sur l’intérêt légitime du responsable du traitement, la personne concernée a le droit de s’opposer pour des raisons tenant à sa situation particulière au traitement, sauf si l’intérêt public prime.

En outre, toute personne a le droit de s’opposer à un traitement de ses données à des fins de prospection, y compris au profilage lié à une telle prospection.

Droit à la limitation du traitement

Ce droit peut être exercé pendant la vérification des données suite à une mise en doute de l’exactitude des données ou lorsque le traitement est illicite et la personne concernée s’oppose à l’effacement, mais demande la limitation ou encore lorsque le responsable du traitement n’a plus besoin des données, mais que la personne concernée en a besoin pour la défense de ses droits en justice ou encore lorsque la personne concernée s’oppose au traitement et le traitement est alors limité pendant le temps nécessaire pour vérifier si des motifs légitimes du responsable du traitement prévalent.

Droit à la portabilité

Lorsque le traitement est fondé sur le consentement de la personne concernée ou lorsque le traitement est effectué à l’aide de procédés informatisés, la personne concernée a le droit de demander que les données soient d’office transférées par le responsable du traitement à un autre responsable du traitement.

Profilage et traitement automatisé de données

Toute personne a le droit de s’opposer à une décision basée sur un traitement automatisé, y compris le profilage, lorsqu’il produit des effets juridiques ou affecte la personne significativement de manière similaire. Sauf si le traitement est nécessaire à la conclusion/exécution d’un contrat ou fondé sur le consentement explicite de la personne ou lorsque le traitement est autorisé par le droit européen ou national du responsable du traitement.

ATTENTION AUX DONNÉES SENSIBLES : Elles ne peuvent faire l’objet d’un tel traitement que si la personne concernée a donné son consentement explicite ou dans l’intérêt public et que des mesures appropriées de protection des droits et libertés ont été prises.

Droit à la réclamation

Chaque personne physique peut introduire une réclamation auprès de la CNPD pour violation de ses droits sur base de la législation relative à la protection des données personnelles. La CNPD informe le plaignant de l’état d’avancement et de l’issue de la réclamation.

Droit à la réparation

Le responsable du traitement doit réparer le préjudice subi par la personne concernée, sauf à prouver qu’il n’est pas responsable.

Droit de recours

La loi prévoit aussi un droit de recours contre un responsable du traitement, voir même contre les décisions de la CNPD, ainsi que le droit de se faire représenter par un organisme/association sans but lucratif d’intérêt public et actif dans le domaine de la protection des droits et libertés des personnes en matière de protection des données personnelles.

Publication CSL

SocioNews

Téléchargez le N°6-2018 de cette newsletter ICI