5 cas d'usage de données personnelles interdits

Bien que le Règlement Européen sur la Protection des Données (RGPD) régisse le traitement des données appartenant aux individus afin d'éviter toute atteinte aux droits et libertés des personnes.

Les situations où des données sont traitées alors qu'elles ne devraient pas l'être sont encore trop nombreuses… 

Le principe de minimisation des données

C'est un des principes phares du RGPD. Il implique que seules les données adéquates, pertinentes et nécessaires doivent être collectées. Pour garantir le respect de ce principe, le responsable de traitement doit spécifier les données dont il a besoin pour assurer les finalités visées. Une donnée dont l’utilisation ne contribue pas à atteindre l’objectif recherché doit être considérée comme n’étant pas nécessaire, voire inutile, et sa collecte est en principe interdite. Ce principe est en quelque sorte le corollaire du principe relatif à la limitation des finalités. En effet, pour garantir que la collecte soit limitée aux données adéquates et pertinentes, il faut au préalable définir les finalités de manière explicite.

À titre d’exemple, dans le cas où l’objectif consisterait à transmettre une lettre d’information par voie électronique, seule l’adresse mail du prospect ou du client est pertinente et la collecte du numéro de téléphone ne peut être justifiée dans ce cadre.

Des données conservées au-delà de la durée légale

Une autre situation dans laquelle des données interdites sont utilisées est celle du non-respect de l’exigence portant sur la durée de conservation. Afin de garantir un traitement conforme des données, l’organisme responsable du traitement doit définir la durée durant laquelle les données seront conservées. Si cette durée ne peut être déterminée au moment de la collecte, les informations portant sur les éléments pouvant la définir doivent a minima être mises à disposition des personnes concernées. Les données ne peuvent en aucun cas être conservées de manière indéfinie. 

La CNIL distingue trois périodes dans le cycle de vie de la donnée : la conservation en base active, l’archivage en base intermédiaire et l’archivage définitif. Toutes les données traitées ne sont pas forcément concernées par toutes ces étapes ; cela dépend de plusieurs paramètres liés tant aux traitements concernés qu’aux obligations légales. Des données qui peuvent présenter un intérêt en cas de contentieux, par exemple, doivent être archivées. L’archivage intervient une fois la durée de conservation atteinte, si les données présentent un intérêt pour l’organisme. Un processus doit être défini en interne afin d’éviter de conserver les données au-delà de la durée nécessaire et leur suppression doit se faire manuellement ou de manière automatique.

Des données appartenant à une catégorie particulière

Parmi les données personnelles qu’un responsable de traitement peut collecter, certaines appartiennent à une « catégorie particulière ». Ces données ne sont en effet pas concernées par l’autorisation générale de traitement des données personnelles et ont pour point commun un degré de sensibilité important. Leur traitement ou encore leur révélation peut ainsi être à l’origine de risques élevés pour les droits et libertés des personnes. Ce principe d’interdiction vise à limiter autant que possible les risques pouvant découler de l’usage de ces données. Des exceptions existent toutefois. Ainsi, pour pouvoir utiliser ces données, le consentement de la personne doit être collecté au préalable, sinon d’autres exceptions peuvent autoriser leur traitement. Le traitement d’une donnée sensible peut en effet être toléré dans le cadre du respect des obligations légales, de la sauvegarde des intérêts vitaux, pour des motifs d’intérêt public, etc.

Des données sans base légale

Selon le principe de licéité du traitement, les données ne peuvent être traitées que dans le cas où le responsable de traitement a le droit de le faire. Ceci exige de déterminer au préalable la base légale. Ces bases légales sont au nombre de six et sont prévues par le RGPD. Pour choisir la base légale, il faut mener une réflexion au regard de la situation spécifique et du contexte. Il peut s’agir des intérêts vitaux de la personne, de l’intérêt légitime poursuivi par le responsable de traitement, de l’exécution d’une mission d’intérêt public, etc. 

Par exemple, l’employeur a intérêt à gérer la messagerie électronique professionnelle et les données concernées peuvent être traitées sur ce fondement. Il est ainsi interdit d’utiliser les données dont le traitement ne peut être justifié par une base légale.

Les données ayant fait l’objet d’une demande de suppression/d’opposition

Le RGPD confère aux personnes concernées un certain nombre de droits afin de leur permettre de décider du sort de leurs données. L’individu peut donc réclamer de pouvoir accéder à ses données, rectifier les données incorrectes, effacer certaines données, s’opposer à un traitement, ou encore de se voir restituer ses données. Ainsi, lorsque la personne concernée effectue une demande de suppression des données, le responsable de traitement doit vérifier que toutes les conditions permettant à la personne de supprimer les données sont réunies.

À titre d’exemple, le droit à la portabilité ne concerne que les traitements dont la base légale est le consentement ou le contrat. Lorsque la personne s’oppose au traitement des données et que les conditions d’application du droit sont réunies sans que les mesures permettant de bloquer le traitement ne soient mises en place, ses données sont considérées interdites. 

L’usage de données interdites peut donc englober un large spectre de cas. Pour assurer un usage conforme des données, et garantir les droits des personnes concernées et les obligations de ceux qui effectuent les traitements, des processus doivent être mis en place. La méconnaissance de ces exigences peut entraîner des sanctions.