Mise en place de la RGPD

Thème 1 : Obligations et sanctions concernant la gestion des données personnelles

Plan :
1) Définition des données personnelles
2) Obligations
Personnes concernées
Principes à respecter
3) Sanctions CNIL et RGPD

1) Définition des données personnelles

Selon l’art. 2 de la loi "Informatique et libertés" :

" Constitue une donnée à caractère personnel toute information relative à une personne
physique identifiée ou qui peut être identifiée, directement ou indirectement, par
référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont
propres.
Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble
des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir
accès le responsable du traitement ou toute autre personne ".

Une personne est identifiée lorsque par exemple son nom apparaît dans un fichier.

Une personne est identifiable lorsqu’un fichier comporte des informations permettant
indirectement son identification
 adresse IP,
 nom,
 n° d’immatriculation,
 n° de téléphone,
 photographie,
 éléments biométriques tels que l’empreinte digitale, ADN,
 numéro d’Identification Nationale É tudiant (INE),
 ensemble d’informations permettant de discriminer une personne au sein
d’une population (certains fichiers statistiques) tels que, par exemple, le
lieu de résidence et profession et sexe et age,....).
 informations dont le recoupement permet d’identifier une personne
précise. (ex. : une empreinte digitale, l’ADN, une date de naissance
associée à une commune de résidence

Des données que vous pourriez considérer comme anonymes peuvent constituer des
données à caractère personnel si elles permettent d’identifier indirectement ou par
recoupement d’informations une personne précise.

 appel passé par un téléphone portable,

 connexion à Internet) et aussi des
 traces informatiques” facilement exploitables grâ ce aux progrès des
logiciels, et moteurs de recherche.

1
 2) Obligations en matière de traitement des données personnelles

Il y a traitement de données personnelles lorsque  vous:

collectez,
enregistrez,
organisez,
conservez,
modifiez,
combinez,
transmettez des données personnelles.

Exemples : une base de données, un tableau Excel, une installation de vidéosurveillance,

un système de paiement par carte bancaire ou reconnaissance biométrique, une
application pour smartphone, etc.

Un traitement de données à caractère personnel peut être informatisé ou non.

Les obligations sont définies dans l’art 6 de la Loi Informatique et liberté (voir poster
droits)

Un traitement ne peut porter que sur des données à caractère personnel qui satisfont
aux conditions suivantes :
1° Les données sont collectées et traitées de manière loyale et licite ;
2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont
pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un
traitement ultérieur de données à des fins statistiques ou à des fins de recherche
scientifique ou historique est considéré comme compatible avec les finalités initiales
de la collecte des données, s’il est réalisé dans le respect des principes et des
procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V
ainsi qu’aux chapitres IX et X et s’il n’est pas utilisé pour prendre des décisions à
l’égard des personnes concernées ;
3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour
lesquelles elles sont collectées et de leurs traitements ultérieurs ;
[…]
5° Elles sont conservées sous une forme permettant l’identification des personnes
concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour
lesquelles elles sont collectées et traitées.
Les droits des personnes concernées sont définis dans l’art 32 de la Loi Informatique et
Liberté

« I. - La personne auprès de laquelle sont recueillies des données à caractère personnel
la concernant est informée, sauf si elle l’a été au préalable, par le responsable du
traitement ou son représentant :
1° De l’identité du responsable du traitement et, le cas échéant, de celle de son
représentant ;
2° De la finalité poursuivie par le traitement auquel les données sont destinées ;
3° Du caractère obligatoire ou facultatif des réponses ;

2
 4° Des conséquences éventuelles, à son égard, d’un défaut de réponse ;
5° Des destinataires ou catégories de destinataires des données ;
6° Des droits qu’elle tient des dispositions de la section 2 du présent chapitre (droits
des personnes à l’égard des traitements de données) ;
7° Le cas échéant, des transferts de données à caractère personnel envisagés à
destination d’un É tat non membre de la Communauté européenne.

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent
porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

3) Sanctions en cas de non respect des obligations

Le pouvoir de sanction de la CNIL est défini aux articles 45 à 49 de la LCEN (2004)

Le pouvoir de sanction de la CNIL

La CNIL, peut prononcer diverses sanctions à l'égard des responsables de traitements

qui ne respecteraient pas la loi. Ces sanctions sont prononcées par une formation
restreinte (5 membres et un Président distinct du Président de la CNIL)

 Un avertissement, qui peut être rendu public.

Dans l'hypothèse où le Président de la CNIL a, au préalable, prononcé une mise en
demeure, et que le responsable de traitement ne s'y est pas conformé, la
formation restreinte peut prononcer, à l'issue d'une procédure contradictoire :
 Une sanction pécuniaire (sauf pour les traitements de l’É tat) d’un montant
maximal de 150.000€, et, en cas de récidive, jusqu’à 300.000 €. Cette sanction peut
être rendue publique ; la formation restreinte peut également ordonner l'insertion
de sa décision dans la presse, aux frais de l'organisme sanctionné. Le montant des
amendes est perçu par le Trésor Public et non par la CNIL.
 Une injonction de cesser le traitement.
 Un retrait de l’autorisation accordée par la CNIL en application de l’article 25
de la loi
En cas d'urgence et d'atteinte aux droits et libertés telles , la formation restreinte peut
décider, à l'issue d'une procédure contradictoire :

 l'interruption de mettre en œuvre le traitement,

 L'avertissement,
 le verrouillage des données pour trois mois.
 pour certains fichiers sensibles de l'Etat, l'information du Premier
Ministre afin qu'il prenne les mesures nécéssaires pour mettre fin aux
manquements.
En cas d’atteinte grave et immédiate aux droits et libertés, le président de la CNIL peut
demander, par référé, à la juridiction compétente, d’ordonner toute mesure de sécurité
nécessaire.

3
La CNIL peut également dénoncer au Procureur de la République les infractions à la loi
informatique et libertés, prévues aux articles 226-16 à 226-24 du Code pénal.

Les voies de recours

A compter de la date de notification de la décision de la formation

restreinte, l'organisme mis en cause dispose d'un délai de deux mois pour former un
recours devant le Conseil d'É tat contre la décision de la CNIL.

Sanctions dans le cadre de la RGPD

Les sanctions effectives délivrées pour toute violation du RGPD sont définies dans
l’article 83 du RGPD

 Amendes jusqu’à à 20 000 000 d’euros

ou, dans le cas d’une entreprise,

 4% du chiffre d’affaires mondial total de l’exercice précédent (le montant

le plus élevé étant retenu).

Le montant des amendes sera variable selon :

 la nature,
 la gravité,
 la durée de la violation
 le nombre de personnes affectées etle niveau de dommage qu’elles ont
subi.

Le degré de responsabilité du responsable de traitement ou du sous-traitant est

également pris en compte ainsi que les différentes mesures techniques et
organisationnelles déjà mises en place pour assurer la conformité de la société.