Se conformer au RGPD n’est pas une tâche aisée, et les collaborateurs se perdent parfois dans la réglementation et les interdits.
Fort de 5 ans d’expérience dans le domaine de la protection des données personnelles, Datanaos vous propose dans une série d’articles, dont celui-ci est le premier, un petit tour des questions les plus fréquemment posées à nos délégués à la protection des données externalisés.
Le RGPD interdit-il les listes noires ?
Le principe d’une liste noire est de conserver des informations relatives à une personne concernée, afin de refuser de lui fournir un service ou produit en cas de contact.
A la surprise d’un grand nombre, non, le RGPD n’interdit pas aux organismes de tenir des listes noires, aussi parfois appelées listes rouges.
Le RGPD n’interdit pas qu’une telle liste puisse exister et être tenue, mais la réglementation et les recommandations de la CNIL en la matière encadrent cependant très fortement les conditions dans lesquelles une telle liste peut être tenue.
Ainsi, les conditions pour inscrire une personne sur une liste noire doivent être déterminées, fixes et être justifiées par un intérêt fort de l’organisme, et l’inscription sur celle liste doit être limitée à une période de temps la plus faible possible.
Comment forcer la personne à consentir lorsque le traitement des données est nécessaire ?
Selon le RGPD, et selon la CNIL, le consentement doit toujours être univoque, clair et explicite. Il n’est pas possible de “forcer” la personne à consentir, sauf à recueillir un consentement illicite.
Cette question est souvent posée lorsqu’on aborde la question des traitements mis en œuvre par des équipes RH ou des équipes métiers, dans le cadre de leurs attributions.
Sachez que le RGPD n’impose pas de récolter systématiquement le consentement de la personne au traitement de ses données.
Lorsque la loi vous impose de récolter et de transférer une donnée, ou lorsque vous avez signé un contrat avec une personne, et ne pouvez pas respecter vos obligations contractuelles sans traiter les données, vous pouvez traiter les données sans demander le consentement de la personne concernée.
D’autres cas existent, dans lesquels la récolte du consentement n’est pas nécessaire. Pour ne pas vous retrouver à ajouter des cases à cocher partout, n’hésitez pas à faire un point avec votre DPO.
Le RGPD interdit-il d’avoir des prestataires américains ?
Question un peu plus complexe s’il en est, elle est souvent entendue en formation.
Non, le RGPD n’interdit pas de faire appel à des prestataires américains pour une ou plusieurs activités de traitement de données personnelles.
Lorsqu’un prestataire situé dans un pays en dehors de l’Espace Economique Européen reçoit des données dans le cadre d’un traitement, les héberge, ou peut y accéder depuis son pays, on va considérer qu’il y a transfert de données à caractère personnel.
Le prestataire américain doit s’être fait connaître auprès de la FTC (Federal Trade Commission) aux Etats-Unis d’Amérique afin d’adhérer aux règles de protection des données du Traité Transatlantique. Un certain nombre de clauses doivent être présentes dans le contrat qui vous lie, notamment concernant la sécurité des données ou leur sort après la résiliation du contrat.
Allez, une dernière pour la route : est-ce qu’une donnée est toujours personnelle si elle est totalement publique et accessible sur Internet ?
De même, la question est souvent entendue en formation.
Oui, une donnée personnelle reste personnelle, et protégée par le RGPD et la Loi Informatique et Libertés, même si elle est librement accessible depuis Internet, ou se rapporte à une personnalité connue (joueur de foot, président d’une entreprise, personnel politique, présentateur télé, …).
Une donnée est considérée comme personnelle parce-qu’elle se rapporte à une personne physique, et permet de l’identifier directement ou indirectement. La qualification de donnée personnelle n’indique pas que la donnée doive être – ou soit censée être – secrète ou confidentielle.
Bien sûr dans le cas de données de personnalités, ou d’informations librement accessibles sur Internet, des aménagements au RGPD vont exister, ou d’autres réglementations permettant de les traiter plus simplement vont s’appliquer (liberté de la presse par exemple). Mais ces données resteront qualifiées de “données à caractère personnel”.
Ceci conclut notre premier article sur les questions qui nous sont fréquemment posées. A bientôt pour plus de questions/réponses !
Depuis maintenant 5 ans Datanaos accompagne de nombreuses entreprises, associations et organismes publics dans leur conformité au RGPD. Audits, mise en conformité, formations, délégué à la protection des données externalisé, nous proposons un large éventail de prestations de qualité. N’hésitez pas à nous contacter pour vos projets !