Dans la gestion quotidienne des traitements de données personnelles, il est commun de devoir transmettre ou mettre à disposition des informations à des destinataires. Ce peuvent être des sous-traitants, des partenaires commerciaux, les entités d’un même groupe ou même le grand public. Si d’aventure il s’avère nécessaire de faire évoluer le traitement, ou d’adapter ses processus, est-il possible de modifier unilattéralement ou conjointement les conditions de la mise à disposition des données ?
Oui, mais sous certaines conditions…
Qu’est-ce qu’une “mise à disposition” de données personnelles ?
La “mise à disposition” désigne toute opération par laquelle un responsable du traitement permet à un tiers d’accéder à des données personnelles. Cela peut prendre la forme d’une transmission active (par exemple : j’envoie un fichier contenant des données par e-mail) ou d’un accès passif (par exemple : je permet à des correspondants de consulter les données via une interface sécurisée).
Pourquoi le RGPD s’applique-t-il ?
Le Règlement général sur la protection des données (RGPD) encadre toute opération de traitement de données personnelles, y compris leur communication à des tiers. L’article 4 du RGPD définit d’ailleurs le “traitement” comme incluant la “communication par transmission, diffusion ou toute autre forme de mise à disposition”. Modifier les conditions de mise à disposition des données revient donc à faire évoluer un traitement de données déjà existant, nécessitant ainsi normalement une analyse de conformité en amont !
Comment puis-je modifier ces conditions de mise à disposition ?
Modifier les conditions de mise à disposition est possible, tant que cela reste conforme aux principes du RGPD, notamment :
Licéité, loyauté et transparence : les personnes concernées doivent être informées si de nouveaux destinataires peuvent accéder à leurs informations ;
Sécurité des données : vous devez vous assurer que les nouvelles méthodes de mise à disposition sont sécurisées – si le niveau de sécurité du traitement baisse en raison de l’évolution des conditions de mise à disposition, vous devez vous assurer que le niveau de sécurité reste tout de même acceptable ;
Limitation des finalités : les nouvelles méthodes de mise à disposition ne doivent modifier en profondeur le traitement, et surtout pas les objectifs pour lesquels les données sont traitées.
Quelles implications pratiques pour le responsable du traitement ?
Vérifier le fondement du traitement
Vous devez vérifier sur quels fondements de licéité se base la mise à disposition :
- un contrat : si des modalités particulières de mise à disposition étaient prévues, vous devrez vous entendre avec le destinataire sur les nouvelles méthodes – sinon, il suffit de le prévenir ;
- une mission de service public : prévenir les destinataires du changement de modalités est suffisant (il sera néanmoins conseillé de les prévenir en avance) ;
- l’intérêt légitime : une vérification de l’adéquation entre l’intérêt légitime justifié et les nouvelles modalités devra être effectuée.
Évaluer les impacts sécurité
Un changement dans la manière dont les données sont mises à disposition peut impacter la sécurité du traitement. Une évaluation des risques est alors nécessaire, voire une mise à jour de l’analyse d’impact (AIPD – si celle-ci était obligatoire).
Informer
Comme indiqué précédemment, il peut être nécessaire d’informer les personnes concernées ou les destinataires des nouvelles modalités de mise à disposition. Cette information doit toujours respecter les mentions légales prévues aux articles 12 à 14 du RGPD.
Lorsque le changement des modalités s’effectue sans incidence réelle sur les droits et libertés des personnes, ni sur les process convenus avec les destinataires, aucune information complémentaire n’est requise.
En résumé
Oui, il est possible de modifier les conditions de mise à disposition des données personnelles à des destinataires. Mais cela n’est pas anodin. Ces modifications doivent être pensées comme une évolution du traitement au sens du RGPD, et doivent donc être au moins documentées et sécurisées. En tant que responsable du traitement, il vous revient de vous assurer que cette évolution reste conforme au cadre légal et qu’elle n’augmente pas les risques pour les personnes concernées.
Des questions ? Besoin d’aide ? Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche de conformité et renforcer la confiance de vos clients dans la gestion de leurs données personnelles.