Une donnée (à caractère) personnel ⇒ Toute information relative à une personne

physique permettant de l’identifier soit directement soit indirectement

directement : image, nom, prénom, num de sécu sociale

indirectement : recoupement d'information

Données perso sensibles

* perçues comme sensible:
- numéro de sécu sociale
- données bancaires
* sensibles aux yeux du RGPD
- opinion philosophique/religieuse/politique/syndicale/vie sexuelle/ données en
santé/données en génétique/origine raciales ou ethnique
- - infraction, condamnation, mesures de sécurité - données biométriques

Bases légales d'1 TT de données personnelles

- consentement
- exécution d'1 contrat ou mesures précontractuelles
- respect d'1 obligation légale
- sauvegarde des intérêts vitaux
- exécution d'1 mission d'intérêt public
- intérêt légitime du RT (responsable de ttt)

Droits des personnes concernées Droit:

- à l'information
- d'accès
- de rectification
- d'opposition
- à la portabilité
- à la limitation
- à l'effacement
- de formuler une réclamation
- de demander une intervention humaine

Transfert de donnée hors de l'UE

- possible qd pays concerné dispose d'1 législation adéquate avec RGPD
(Jap/ARgentine/Nouvelle Z/Uruguay/Corée sud)
- autres pays -> transfert données -> encadrées -> CCT (clauses contractuelle types)
Délégué à la protection des donnée (DPO)
- issue du RGPD obligatoire dans établissements de santé
- mission = piloter la gouvernance des données personnelles + protéger données des
patients + salariés
- Role ⇒ conseiller avant mise en oeuvre d'un nv TTT // répertorier TTT des données
personnelles /// veiller au respect des droits des personnes /// contrôler le respect du
RGPD
- être un pt de contact de la CNIL
- sensibiliser les collaborateurs à la protection des données

Outils du DPO
- analyse d'impact
- registre des activités du TTT
- clauses et mentions protection des données
- plan de contrôle du DPO
- procédure de gestion des droits des personnes
- procédure en cas de violation des données

Il appartient à l’organisation de prendre toutes les mesures pour garantir la

conformité des traitements de données personnelles. Elle doit être en mesure de le
démontrer à tout moment en tenant un registre à jour de l’ensemble de ses
traitements.

Le RGPD instaure aussi un régime de coresponsabilité des sous-traitants.

Contractuellement, ces derniers s’engagent, entre autres, à mettre en œuvre les
mesures de protection adéquates et à alerter le responsable du traitement en cas de
fuite de données

- Seules les personnes physiques ont des données personnelles au sens du RGPD
- Les personnes morales sont donc exclues du droit à la protection des données
personnelles.
- Les données personnelles ne concernent pas les personnes dcd.
⇒ Le RGPD autorise les Etats à prévoir des règles spécifiques concernant le traitement des
données des personnes dcd (La FR l’a fait cf avant)

Adresse IP => DP Adresse IP→ concerne une machine , permet d’identifier l’abonné d’un
fournisseur d’accès internet (FAI) CJUE 19 OCT 2016 Breyre C. Allemagne
Juridiquement la donnée pseudonymisé = donnée personnelle CAR indirectement
indentifiable

Responsable de traitement = Personne physique ou morale qui seul ou conjointement

avec d’autres détermine les finalités et les moyens du traitement

Sous traitant = Personne physique ou morale qui traite des données pour le compte du
responsable de traitement

si l’identité du prestataire est connue par les personnes dont les données vont être traité ,
au même titre que le responsable du traitement = présomption de coresponsabilité de
traitement

Arrêt FONCIA 12 Mars 2014(relatif à la co-responsabilité) ⇒ CTRL sur le traitement des

données = Co-responsable de traitement

Loyauté,Licéité,Transparence s’exercent ⇒ au regard de la personne dont les données

vont être collectées.

Loyauté ⇒ L’obligation de collecter les données directement auprès de la personne

concernée. (sauf exception réglementé)

Lorsqu’une information est librement disponible sur internet, elle n’est pas utilisable de
facto par le responsable de traitement ⇒ demander le consentement !

● L’interdiction de collecté des données “sensibles”

Art.9 du RGPD → 4 Types de données qui ne peuvent en principe pas etre traité et collecté:
- Origine raciale / ethnique
- Opinions politiques / religieuses/ philosophiques ou l’appartenance syndicale
- Données génétiques/biométriques
- Données concernant la santé / vie sexuelle/ orientation sexuelle

Exceptions:
- La personne concernée à donné son consentement explicite au traitement de ces
données particulières, sauf lorsque le droit de l’UE /Etat prévoit que l’interdiction
ne peut jamais être levée.
- Lorsque le traitement est nécessaire à la sauvegarde des intérêts vitaux de la
personne concerné ( ⇒ même lorsque expression de consentement impossible)
- Traitement nécessaire pour des motifs d'intérêt publiques

L’interdiction de collecter des données “d’infractions”

L’interdiction de collecter le numéro de sécurité sociale (RGPD renvoie a la précision de
l’Etat)

La transparence ne renvoie pas spécialement au consentement:

- Parfois il est requis
- Parfois seule l’information de la collecte la rend licite

- Préciser la Nature de la finalité poursuivies à la fois lors de son contact avec la

personne dont les données sont connectés et dans le registre de traitement
- Le RPT doit s’assurer que la nature des informations collectés est proportionné à
la finalité poursuivies

Ne doivent être collectés que les données strictement nécessaire à la finalité mis en avant
par le RPT (Pas demandé + de donnée que nécessaire)

Cette question de la durée de conservation = source de contrainte pour le RPT

- Il faut nécessairement indiqué la durée au moment de la collecte de donnée
- Il faudra consigner cette durée dans le registre des activités de traitement

→ L’obligation de notifiation à l’autorité de controle compétente

—> La notification aux personnes concernées par la violation de leurs DP (si risque
elevé)

2 principes sont applicables pour le transfert de données :

- Le principe de libre circulation des données au sein de l’UE,

- Le principe d’interdiction de transferts de données vers des États qui ne

disposent d’un niveau de protection suffisant.

ART.6 §1 ⇒ Un traitement n’est licite que si une des conditions suivantes est respecté (6
options ) :
- La personne concerné à donner son consentement au traitement de ces DP
- Le traitement de donnée est nécessaire à l'exécution d’un contrat à laquelle la
personne est parte
- Traitement nécessaire au respect d’une obligation légale à le RDT est soumis
- Traitement nécessaire à la sauvegarde des intérêts vitaux de la personne concerné
- Traitement nécessaire à l'exécution d’une mission d'intérêt public ou relevant de
l’exercice de l’autorité public dont est investi le RDT
- Traitement nécessaire aux fins des interets legitimes (renvoie aux personnes privées)
poursuivies par le RDT
CES 6 FONDEMENTS SONT LES BASES LEGALES QUI PEUVENT JUSITIFIER UN
TRAITEMENT DE DP , ET UN RDT DE JUSTIFIER LA BASE UTILISER

Consentement== acte positif clair