Professional Documents
Culture Documents
Obligations Et Sanctions
Obligations Et Sanctions
Plan :
1) Définition des données personnelles
2) Obligations
Personnes concernées
Principes à respecter
3) Sanctions CNIL et RGPD
Une personne est identifiée lorsque par exemple son nom apparaît dans un fichier.
Une personne est identifiable lorsqu’un fichier comporte des informations permettant
indirectement son identification
adresse IP,
nom,
n° d’immatriculation,
n° de téléphone,
photographie,
éléments biométriques tels que l’empreinte digitale, ADN,
numéro d’Identification Nationale É tudiant (INE),
ensemble d’informations permettant de discriminer une personne au sein
d’une population (certains fichiers statistiques) tels que, par exemple, le
lieu de résidence et profession et sexe et age,....).
informations dont le recoupement permet d’identifier une personne
précise. (ex. : une empreinte digitale, l’ADN, une date de naissance
associée à une commune de résidence
Des données que vous pourriez considérer comme anonymes peuvent constituer des
données à caractère personnel si elles permettent d’identifier indirectement ou par
recoupement d’informations une personne précise.
1
2) Obligations en matière de traitement des données personnelles
Les obligations sont définies dans l’art 6 de la Loi Informatique et liberté (voir poster
droits)
Un traitement ne peut porter que sur des données à caractère personnel qui satisfont
aux conditions suivantes :
1° Les données sont collectées et traitées de manière loyale et licite ;
2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont
pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un
traitement ultérieur de données à des fins statistiques ou à des fins de recherche
scientifique ou historique est considéré comme compatible avec les finalités initiales
de la collecte des données, s’il est réalisé dans le respect des principes et des
procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V
ainsi qu’aux chapitres IX et X et s’il n’est pas utilisé pour prendre des décisions à
l’égard des personnes concernées ;
3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour
lesquelles elles sont collectées et de leurs traitements ultérieurs ;
[…]
5° Elles sont conservées sous une forme permettant l’identification des personnes
concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour
lesquelles elles sont collectées et traitées.
Les droits des personnes concernées sont définis dans l’art 32 de la Loi Informatique et
Liberté
« I. - La personne auprès de laquelle sont recueillies des données à caractère personnel
la concernant est informée, sauf si elle l’a été au préalable, par le responsable du
traitement ou son représentant :
1° De l’identité du responsable du traitement et, le cas échéant, de celle de son
représentant ;
2° De la finalité poursuivie par le traitement auquel les données sont destinées ;
3° Du caractère obligatoire ou facultatif des réponses ;
2
4° Des conséquences éventuelles, à son égard, d’un défaut de réponse ;
5° Des destinataires ou catégories de destinataires des données ;
6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre (droits
des personnes à l’égard des traitements de données) ;
7° Le cas échéant, des transferts de données à caractère personnel envisagés à
destination d’un É tat non membre de la Communauté européenne.
Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent
porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.
3
La CNIL peut également dénoncer au Procureur de la République les infractions à la loi
informatique et libertés, prévues aux articles 226-16 à 226-24 du Code pénal.
Les sanctions effectives délivrées pour toute violation du RGPD sont définies dans
l’article 83 du RGPD