personne se posant une question

Conformité RGPD – Ces questions que vous posez fréquemment – 3

Se conformer au RGPD n’est pas une tâche aisée, et les collaborateurs se perdent parfois dans la réglementation et les interdits. 

Fort de 5 ans d’expérience dans le domaine de la protection des données personnelles, Datanaos vous propose dans une série d’articles un petit tour des questions les plus fréquemment posées à nos délégués à la protection des données externalisés

Cet article est le troisième de la série commencée en février 2024. Votre question ne se trouve pas dans cet article ? Peut-être la trouverez vous dans l’un de nos articles précédents ? 

J’organise un évènement dinatoire, ai-je le droit de demander les allergies alimentaires ? 

Oui. 

Les allergies alimentaires sont considérées comme des données de santé au sens du RGPD, et sont donc des données sensibles que vous ne pouvez pas traiter pour n’importe quelle raison. 

Cette donnée étant liée à votre activité, et servant un but de protection de la santé des invités, il vous est possible de la récolter. Vous devrez cependant respecter plusieurs conditions : 

  • vos invités doivent avoir le choix de ne pas fournir cette donnée (dans ce cas, les invités devront s’assurer eux-mêmes de ne pas être allergiques aux plats proposés) ; 
  • vos invités doivent être informés de l’objectif de la récolte de la donnée, et de ses modalités de traitement (comme pour toute autre donnée par ailleurs) ; 
  • vous devez vous assurer tout particulièrement de la sécurité et de la confidentialité de cette donnée, et la supprimer dès l’évènement passé. 

Suis-je obligé de respecter les durées de conservation recommandées par la CNIL ? 

Dans ses référentiels, la CNIL présente de manière habituelle deux types de durées de conservation des données : les durées légales, et celles que la CNIL recommande lorsque la loi ne prévoit rien. 

Les durées légales doivent, bien sûr, être respectées. 

Quant aux durées recommandées par la CNIL (donc lorsque la loi ne prévoit rien), celles-ci peuvent être adaptées. La CNIL rappelle à ce titre dans plusieurs référentiels que les responsables du traitement peuvent choisir d’autres durées si celles recommandées ne semblent pas adaptées à leur situation particulière. 

Attention cependant, si vous souhaitez opter pour une durée de conservation autre que celle recommandée par la CNIL pour un traitement, vous aurez alors la charge de justifier de la nouvelle durée choisie. Cette justification sera appréciée par la CNIL en cas de contrôle. 

Je stocke mes données dans un Google Drive. Est-ce autorisé ? 

Le RGPD n’interdit pas l’utilisation d’un type d’outil particulier, que ce soit pour la collecte, le stockage ou le partage de l’information, mais impose aux organismes de sécuriser les données, et de respecter un cadre particulier pour les transferts de données en dehors de l’Espace Economique Européen.

Google, comme beaucoup d’entreprises américaines intervenant en Europe, est signataire des différents cadre légaux permettant l’éventuel transfert des données vers les Etats-Unis d’Amérique (actuellement, le traité transatlantique). Quand aux mécanismes de sécurité, les data centers dans lesquels sont hébergées les données respectent habituellement un grand nombre de normes de sécurité. Ne vous reste alors qu’à paramétrer correctement vos comptes, et à gérer correctement les permissions et droits d’accès. 

Je souhaite utiliser les données que j’ai récolté pour de nouveaux usages. Ai-je des formalités à respecter ? 

Vous devez normalement informer les personnes, au moment de la collecte des données ou du premier contact avec les personnes, de ce que vous allez faire de la donnée, et vous y tenir (principe de licéité, loyauté et transparence du RGPD). 

Dès lors que vous souhaitez utiliser des données, déjà collectées, pour de nouveaux usages (on parlera de “nouvelles finalités”), vous devez informer les personnes des nouvelles finalités pour lesquelles leurs données seront traitées, et si applicable, leur demander d’y consentir. 

A défaut, vous ne pouvez réutiliser la donnée.

En pratique, et au vu du nombre de fois où la question est posée, nous rencontrons assez peu de situations dans lesquels un responsable de traitement décide de procéder de la sorte. Les campagnes de consent revival des spécialistes du marketing ou de la communication montrent qu’il est en effet extrêmement compliqué d’obtenir un nouveau consentement par voie d’information, et décider de fonder le nouveau traitement de la donnée sur l’intérêt légitime du responsable du traitement plutôt que sur le consentement peut s’avérer risqué (pour rappel, la CNIL est juge de la justification de l’intérêt légitime poursuivi par le responsable du traitement). 

Ceci conclut notre troisième article sur les questions qui nous sont fréquemment posées. A bientôt pour plus de questions/réponses ! 

Depuis maintenant 5 ans Datanaos accompagne de nombreuses entreprises, associations et organismes publics dans leur conformité au RGPD. Audits, mise en conformité, formations, délégué à la protection des données externalisé, nous proposons un large éventail de prestations de qualité. N’hésitez pas à nous contacter pour vos projets !