PREMIERE PARTIE : LE CADRE DE LA REGLEMENTATION/

REGLEMENTAIRE SUR LA PROTECTION DES DONNEES A

CARACTERE PERSONNEL

1
CHAPITRE I : L’ARCHITECTURE INSTITUTIONNELLE DE
LA PROTECTION DES DONNEES A CARACTERE

Aux termes des dispositions des textes régissant la protection des données à
caractère personnel, chaque État Partie s’engage à mettre en place une autorité
chargée de la protection des données à caractère personnel. Ainsi en application
de ces dispositions, notamment l’article 28, paragraphe 1, point 1, de la directive
relative à la protection des données, l’article 1 paragraphe 1 du Protocole
additionnel à la Convention 108 pour la protection des personnes à l'égard du
traitement automatisé des données à caractère personnel, l’article 11 point 1 de la
convention de l’Union africaine sur la cyber-sécurité et la protection des données
à caractère personnel, l’article 14 point 1 de l’Acte Additionnel A/SA.1/01/10 du
16 février 2010 relatif à la protection des données à caractère personnel dans
l’espace de la CEDEAO, toutes les sections, sauf la Valée d’Aoste, ont mis en
place une autorité de protection des données à caractère personnel.
Les différents cadres constitutionnels, institutionnels et juridiques sont naturellement
liés à l'histoire de chaque pays. En effet, la mise en œuvre des textes internationaux
tend à combler les écarts entre les législations nationales, sans toutefois effacer
complètement leurs caractéristiques, du fait de la marge d’appréciation laissée par ces
textes, d’une mise en œuvre peu adéquate, et de l'interprétation nationale des principes
d'autant plus que, dans chaque cas la pression de l'opinion publique peut conduire à des
changements au niveau réglementaire ou législatif et influencer les pratiques. L’examen
de la transposition des directives montre qu'il existe une marge de manœuvre au niveau
national soit pour renforcer les contrôles et les options sécuritaires et/ou pour permettre
une gestion des données très libérale, soit pour donner la priorité à la protection des
données personnelles. De ce fait, à travers les différentes réponses, certains pays ont
adopté des textes spécifiques dans ce sens.

2
SECTION 1 : LES COMMISSIONS DE PROTECTION DES
DONNEES A CARACTERE PERSONNEL.
Au Gabon, la loi n°1/2011 du 25 septembre 2011 prévoit la mise en place d’une
autorité nationale de protection des données à caractère personnel dénommée,
Commission Nationale pour la Protection des données à Caractère personnel
(CNPDCP), mise en place depuis novembre 2012.
Au Sénégal, c’est la Commission Nationale de protection des Données
Personnelle qui voit le jour avec la loi n° 2008 – 12 du 25 janvier 2008.

PARAGRAPHE 1 : Les prérogatives des autorités publiques de

protection des données à caractère personnel

Les État ayant mis en place des autorités de protection des données à caractère
devaient accorder à celles-ci un large mandat tel que spécifié dans les textes
internationaux dont ils ont fait la transposition dans leur corpus juridique national.
Ainsi, ces autorités ont été dotées de diverses missions (A) et de pouvoirs (B).

A- LES MISSIONS DES AURORITES DE PROTECTIONS

Selon les réponses reçues, ces Autorités remplissent d’importantes missions en
matière de protection des données à caractère personnel notamment : le traitement
des données personnelles ; le respect des droits et des libertés fondamentales ; la
garantie de la dignité humaine, et des missions de sensibilisation de la population
et de tous les acteurs sur le traitement des données personnelles.
Pour ce faire, elles veillent au respect de la loi sur la protection des données à
caractère personnel. La CDP effectue des contrôle et vérifications telles que
prévues à l’article 25 de la loi 2008-12 du 25 janvier 2008 au Sénégal 1. Elles sont
1
Article 25.
Les membres de la Commission des Données Personnelles ainsi que les agents de service
assermentés ont accès, dans les conditions prévues par l’article 45 et suivants du Code de
Procédure Pénale, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, installations
ou établissements servant à la mise en œuvre d’un traitement des données à caractère

3
dirigées par le Comité des Commissaires chargés du contrôle. Les contrôleurs de
la CDP établissent des procès-verbaux après les missions de contrôle et de
vérification. Les procès-verbaux doivent contenir toutes les informations citées
dans les articles 162 du décret d’application de la loi 2008-12 et 16 du présent
règlement intérieur3.

B- LES POUVOIRS DES AUTORITES DE PROTECTION

Conformément aux textes ci-dessus cités, les Autorités de protection des données
personnelles disposent des pouvoirs règlementaires, de contrôle et de sanction en
personnel et qui sont à usage professionnel, à l’exclusion des parties de ceux-ci affectées au
domicile privé.
Le Procureur de la République territorialement compétent en est préalablement informé.
2
Article 16.
La Commission des Données Personnelles exerce les missions suivantes :
1) elle veille à ce que les traitements des données à caractère personnel soient mis en œuvre
conformément aux dispositions de la présente loi.
2) elle informe les personnes concernées et les responsables de traitement de leurs droits et
obligations. A cet effet,
a) elle reçoit les formalités préalables à la création de traitements des données à caractère
personnel ;
b) elle reçoit les réclamations, les pétitions et les plaintes relatives à la mise en œuvre des
traitements des données à caractère personnel et informe leurs auteurs des suites données à
celles-ci ;
c) elle informe sans délai le procureur de la République des infractions dont elle a
connaissance ;
d) elle peut, par décision particulière, charger un ou plusieurs de ses membres ou des agents
de ses services de procéder à des vérifications portant sur tout traitement et, le cas échéant,
d’obtenir des copies de tout document ou support d’information utile à sa mission ;
e) elle peut, dans les conditions définies aux articles 29 à 32 de la présente loi prononcer une
sanction à l’égard d’un responsable de traitement ;
f) elle répond à toute demande d’avis.
3) elle homologue les chartes d’utilisation qui lui sont présentées ;
4) elle tient un répertoire des traitements des données à caractère personnel à la disposition du
public ;
5) elle conseille les personnes et organismes qui ont recours aux traitements des données à
caractère personnel ou qui procèdent à des essais ou expériences de nature à aboutir à de tels
traitements ;
6) elle autorise, dans les conditions prévues par la présente loi, les transferts transfrontaliers
de données à caractère personnel ;
7) elle présente au gouvernement toute suggestion susceptible de simplifier et d’améliorer le
cadre législatif et réglementaire à l’égard du traitement des données ;
8) elle coopère avec les autorités de protection des données à caractère personnel des pays
tiers, participe aux négociations internationales en matière de protection des données à
caractère personnel ;
9) elle publie les autorisations accordées et les avis émis dans le répertoire des traitements des
données à caractère personnel ;
10) elle établit chaque année un rapport d’activités remis au Président de la République et au
Président de l’Assemblée nationale.
3
Article 17 : Les missions de contrôle Règlement intérieur de la Commission de protection des
données personnelles (CDP) du 26 août 2016

4
cas de non-respect de la loi. Au Gabon comme au Sénégal, les Autorités de
protection disposent de prérogatives leurs permettant de mener à bien leur
mission (confer article 25 de la loi du 25 janvier 2008 et de l’article 97 et suivants
de la loi du 25 septembre 2011).
Les Autorités disposent également d’un pouvoir de sanction pouvant être soit
disciplinaire (un avertissement à l'égard du responsable du traitement ne
respectant pas les obligations découlant de la présente loi ; une mise en demeure
de faire cesser les manquements constatés dans le délai qu'elle fixe) 4 soit une
amende pécuniaire pouvant aller d’un (1) million à cent (100) millions de Franc
CFA.

PARAGRAPHE 2: LE STATUT DES AUTORITES

ADMINISTRATIVES INDEPENDANTES
La mise en œuvre par les différents Etats d’un organe de protection des données à
caractère personnel repose sur des règles bien définies au préalable. Cela renvoie
essentiellement à sa composition(B), mais également à son autonomie (A) vis-à-
vis du pouvoir en place dans les différents Etats.

A-LE PRINCIPE D’AUTONOMIE DES ORGANES DE

PROTECTION
La mise en place de moyens spécifiques relève de la volonté de contrôler les
traitements de données. A ainsi été instituée la première autorité administrative
indépendante, dénommée Commission nationale de l’informatique et des libertés
(CNIL). Son indépendance vis-à-vis du pouvoir était justifiée dans la mesure où
le danger provenait essentiellement de l’État. Les Autorités de protection des
données à caractère personnelles exercent leurs activités en toute indépendance et
ne reçoivent aucune instruction des pouvoirs publics, en application des textes
internationaux, selon lesquels les États parties garantissent que leurs autorités
nationales de contrôle en matière de protection des données exercent en toute
indépendance les missions dont elles sont investies.

4
Article 101 de la loi n°1/2011 du 25 septembre 2011 relative à la protection des données à
caractère personnel au Gabon

5
En France, la CNIL est une Autorité Administrative Indépendante (AAI). Cette
indépendance est garantie par sa composition et son organisation. En outre, un
régime d’inamovibilité et d’incompatibilité frappe ses membres. Les AAI ne sont
pas soumises aux pouvoirs hiérarchiques des ministères. Elles ne reçoivent d’eux
ni ordres, ni consignes, ni conseils.
Au Gabon, la Commission Nationale Pour la Protection des Données à
Caractère Personnel est une autorité administrative indépendante et autonome.
Elle ne reçoit pas d’instructions et ne travaille que sous l’emprise de la loi qui
fonde son existence et son fonctionnement. Elle a toutefois pour interface auprès
du Gouvernement, le Ministère de l’Intérieur.
Au Sénégal Commission des Données Personnelles est une autorité
administrative indépendante chargée de veiller à ce que les traitements des
données à caractère personnel soient mis en œuvre conformément aux
dispositions de la présente loi. Elle informe les personnes concernées et les
responsables de traitement de leurs droits et obligations et s’assure que les TIC ne
comportent pas de menace au regard des libertés publiques et de la vie privée.

B-LA COMPOSITION ET LE MODE DE DESIGNATION DES

AUTORITES
L’indépendance des autorités s’est traduite dans la composition de la CNIL (en
France), douze de ses dix-sept membres étant désignés ou élus par les juridictions
ou assemblées auxquelles ils appartiennent5. Chargée spécialement de veiller à la
bonne application de la loi, la CNIL a été vite appréhendée comme « l’organe de
la conscience sociale face à l’emploi de l’informatique 6 ». Pourtant, le législateur
n’en a pas fait le rouage principal du régime de protection des informations.

5
La CNIL est encore aujourd’hui composée de 4 parlementaires (2 députés, 2 sénateurs), 2
membres du Conseil économique et social, 6 représentants des hautes juridictions (2 conseillers
d’État, 2 conseillers à la Cour de cassation et 2 conseillers à la Cour des comptes) et 5 personnes
qualifiées. Elle comprend en outre, avec voix consultative, le Défenseur des droits ou son
représentant depuis la loi n° 2011-334 du 29 mars 2011 relative au Défenseur des droits, JO n°
75 du 30 mars 2011, p. 5497.

6
Expression utilisée dans le rapport de la Commission Tricot, citée par N. LENOIR dans « La loi
78-17 du 6 janvier 1978 et la Commission nationale de l’informatique et des libertés. Eléments
pour un premier bilan de cinq années d’activité », La Revue administrative, 1985, p. 451.

6
Partant du postulat selon lequel la personne dont les données sont collectées en
est la meilleure gardienne, il a décidé de placer celle-ci au cœur du dispositif de
protection en l’investissant de droits spécifiques. Lui ont été octroyés un droit à
l’information préalable à toute mise en œuvre de traitement, un droit d’accès aux
données la concernant, un droit de rectification en cas d’erreur, un droit de
conservation limitée dans le temps des données l’intéressant et un droit
d’opposition. Ce faisant, la personne devenait capable de contrôler l’utilisation
des informations qui lui étaient relatives.
Au Gabon, les commissaires permanents sont au nombre de neuf (9). Ils sont
désignés comme suit : trois personnalités désignées par le Président de la
République, dont le Président de la Commission ; un Magistrat membre du
Conseil d'Etat désigné sur proposition du Président du Conseil d'Etat ; un
Magistrat membre de la Cour de Cassation désigné sur proposition du Premier
Président de la Cour de Cassation ; un Avocat désigné par l'Ordre des Avocats ;
un Médecin désigné par l'Ordre des Médecins ; un représentant des organisations
de défense des droits de l'homme désigné par ses pairs ; un expert en technologie
de l'information et de la communication désigné par le Ministre en charge de
l'Economie Numérique7.
S’agissant des Commissaires Non Permanents, ils sont désignés comme suit : un
(1) député désigné par le Président de l’Assemblée Nationale ; un (1) sénateur
désigné par le Président du Sénat ; un (1) Commissaire du Gouvernement désigné
par le Premier Ministre ; un (1) représentant du Patronat gabonais désigné par ses
pairs. Les Membres de la CNPDCP sont nommés par décret pris en Conseil des
Ministres pour un mandat de 5 ans renouvelable une fois. La Commission dispose
de la liberté de recruter ses collaborateurs. En effet, l’article 36 de la n°1/2011
stipule à cet égard que : « La Commission dispose d’un personnel pourvu par
l’Etat et peut recruter des agents conformément aux dispositions du code du
travail ».

SECTION 2 : LES ORGANES DE CONTROLE DES DONNEES

7
Article 17 de la loi n°001/2011 relative à la protection des données à caractère personnel du 25
septembre 2011 Gabon

7
PARAGRAPHE 1 : L’ETENDU DES COMPETENCES DES
ORGANES DE CONTROLE

PARAGRAPE 2 : LE REGIME DE RESPONSABILITE DES

ORGANES DE CONTROLE
Aujourd’hui, le numérique irrigue tous les domaines de la vie des citoyens, on est
tous connectés et tout peut se dématérialiser et cela se traduit par des données.
Dès lors, la CDP, ne doit plus se cantonner à un rôle d’autorisation, de contrôle et
de sanction, elle doit en plus assumer une mission d’accompagnateur, de conseil
et, in fine de porter des réflexions éthiques plus poussées dans une logique de Co
régulation de l’écosystème numérique.

CHAPITRE 2 : LE FONDEMENT DE LA PROCTECTION DES

DONNEES A CARACTERE PERSONNEL

Pour relever du champ d’application de la Réglementation relative à la protection des

données à caractère personnel, un organisme devra procéder à un traitement de données
à caractère personnel dans un périmètre géographique déterminé.

SECTION 1: L’IDENTIFICATION DES DONNEES

PROTEGEABLES ET NON PROTEGEABLES PAR LA
REGLEMENTATION

PARAGRAPHE 1 : LES CARACTERES DES DONNEES

PROTEGEABLES

A- LES DONNEES A CARACTERE PERSONNEL :

Toute information relative à une personne physique identifiée ou identifiable
directement ou indirectement, par référence à un numéro d’identification ou à un
ou plusieurs éléments, propres à son identité physique, physiologique, génétique,

8
psychique, culturelle, sociale ou économique 8,9 est considérée comme donnée à
caractère personnel.
Il est communément admis de définir une donnée à caractère personnel comme «
toute information relative à une personne physique identifiée ou qui peut être
identifiée, directement ou indirectement, par référence à un numéro
d’identification ou à un ou plusieurs éléments qui lui sont propres »10.
Ainsi définie, la notion même de donnée à caractère personnel peut faire l’objet
d’une appréhension simple qui, confrontée à la technique, peut être complexifiée
à souhait. Ainsi, si l’identification 11 ou «l’identifiabilité » des personnes
concernées par les données est au cœur de la définition de la notion de données à
caractère personnel12, certains spécialistes de la matière ont considéré que cette
identification ou cette identifiabilité était insuffisante et de proposer la «
contactabilité » comme critère de définition de la notion de données à caractère
personnel13. En guise de synthèse de ces deux critères, il sera proposé en
définitive le critère de la « concernabilité »14.
La notion de données à caractère personnel est très large, incluant des données
directement nominatives comme le nom et le prénom ou indirectement comme

8
Article 4 alinéa 6 de la loi n°2008-12 du 25 janvier 2008 (Sénégal)
9
Article 6 alinéa 7 de la loi n°1/2011 du 25 septembre 2011 relative à la protection des données
à caractère personnel au Gabon
10
Article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux
libertés, France
11
« Le concept de donnée personnelle est lié à la notion d’identification ». C. Guerrier, Les
aspects techniques de la régulation des données personnelles : la question du numéro IP, in La
régulation des données personnelles, LEGICOM, n° 42 – 2009/1, p. 128

12
F. Lesaulnier, L’information nominative, Thèse de doctorat en droit, Paris II, 4 juillet 2005.
L’identification est présentée ici comme un « sésame simple et unique » (p. 43). P.Y Marot, Les
données et informations à caractère personnel. Essai sur la notion et ses fonctions, Thèse de
doctorat en droit, Université de Nantes, 14 décembre 2007
13
La contactabilité comme nouveau critère de définition de la notion de données à caractère
personnel et d’application de la loi vaudrait chaque fois que « des données permettent ou non
de contacter un individu, d’influencer son comportement ou de prendre une décision vis-à-vis de
lui" peu importe que ces données permettent ou non l’identification des personnes. (Y. Poullet,
A. Rouvroy, D. Darquennes, Le droit à la rencontre des technologies de l’information et de
communication : le cas du RFID, in Cahiers Droit, Sciences & Technologies, n° 1, avril 2008, CNRS
Editions, pp. 129-130). Moins qu’une focalisation sur des données permettant d’identifier les
personnes, « c’est la possibilité, grâce à ces données, de prendre des décisions vis-à-vis de
certains individus identifiés ou non, identifiables ou non, qui doit être entourée de garanties » (Y.
Poullet, La protection des données : un nouveau droit constitutionnel ? Pour une troisième
génération de réglementations de protection des données, Jurisletter, n° 3, octobre 2005, p. 31).
14
Coulibaly Ibrahim, La protection des données à caractère personnel dans le domaine de la
recherche scientifique, Thèse de doctorat en droit privé, Université de Grenoble, 25 novembre
2011. Accessible à l’adresse : http://tel.archives-ouvertes.fr/tel-00798112. Voir l’introduction

9
des identifiants, des données biométriques, un numéro de carte bancaire ou des
données de localisation et bien entendu l’adresse IP
En laissant de côté ces aspects théoriques et complexes pour en venir aux aspects
plus pratiques et simples de la définition de la notion de données à caractère
personnel, nous citerons un arrêt jugement rendu par le tribunal de commerce
d’Abidjan pour illustrer les erreurs qui peuvent être commises dans
l’appréhension de la notion de donnée personnelle15.

B-LE PARTICULARISME DES DONNEES SENSIBLES

«Toutes les données à caractère personnel relatives aux opinions ou activités
religieuse, philosophique, politique, syndicale, à la vie sexuelle ou raciale, à la
santé, aux mesures d’ordre social, aux poursuites, aux sanctions pénales ou
administratives » 16;17 sont considérées comme données sensibles.18
La notion de données de santé suscitant beaucoup de débats, le législateur
européen a profité de ce texte pour en donner une définition, ainsi que des
données génétiques et biométriques :
« Les données à caractère personnel relatives aux caractéristiques génétiques
héréditaires ou acquises d’une personne physique qui donnent des informations
uniques sur la physiologie ou l’état de santé de cette personne physique et qui
résultent, notamment, d’une analyse d’un échantillon biologique de la personne
physique en question » Données génétiques
« Les données à caractère personnel résultant d’un traitement technique
spécifique, relatives aux caractéristiques physiques, physiologiques ou

15
Voir annexe
16
Article 4 alinéa 8 de la loi n°2008-12 du 25 janvier 2008 (Sénégal)
17
Article 6 aliéna 9 de la loi n°1/2011 du 25 septembre 2011 relative à la protection des données
à caractère personnel au Gabon ;
18
Article 9 du RGPD – Traitement portant sur des catégories particulières de données à caractère
personnel :Le traitement des données sensibles (appelées « catégories particulières »), qui
révèlent l’origine raciale ou ethnique, la religion, les opinions politiques, syndicales ou
religieuses, la génétique, la biométrie, la santé ou la sexualité, est interdit, sauf si :• la personne
concernée a donné son consentement ou a déjà rendu ces données publiques, ou si• le
traitement est nécessaire à la sauvegarde des intérêts vitaux d’une personne, ou si• le
traitement est effectué par une association ou un organisme syndical, religieux, politique, etc.,
pour la gestion de ses membres et de ses contacts, ou si• le traitement est nécessaire à
l’exercice de droits en matière de droit du travail ou de protection sociale, et autorisé par une
mesure légale ou conventionnelle, ou si• le traitement est nécessaire à l’exercice de droits en
justice, ou pour des motifs d’intérêt public, ou si• le traitement est nécessaire à la médecine
préventive ou aux soins et traitements de santé, ou si• le traitement est nécessaire à des fins
d’archivage d’intérêt public ou à des fins historiques, statistiques ou scientifiques

10
comportementales d’une personne physique, qui permettent ou confirment son
identification unique, telles que des images faciales ou des données
dactyloscopiques » Données biométriques
« Les données à caractère personnel relatives à la santé physique ou mentale
d’une personne physique, y compris la prestation de services de soins de santé,
qui révèlent des informations sur l’état de santé de cette personne » Données
concernant la santé

PARAGRAPHE 2 : LES DONNEES NON PROEGEABLES.

A- LES DONNEES ANONYMISEES OU PSEUDONYMISEES

Les données anonymisées sont exclues du champ d’application de la
réglementation. Il s’agit de données ne concernant pas une personne physique ou
de données personnelles ayant été rendues anonymes de manière irréversible,
c’est-à-dire via un processus permettant de garantir que la personne concernée ne
pourra pas être réidentifiée par la suite.
Cette catégorie de donnée doit être distinguée des données pseudonymisées.
Celles-ci restent qualifiées de données à caractère personnel car elles restent
attachées à la personne concernée à l’aide d’un identifiant. Les données sont dites
pseudonymes lorsqu’elles ne peuvent « plus être attribuées à une personne
concernée précise sans avoir recours à des informations supplémentaires ». Ces
données supplémentaires doivent, en outre, être « conservées séparément et
soumises à des mesures techniques et organisationnelles » afin de garantir
qu’une information ne soit pas attribuée à une personne physique. L’utilisation
de données pseudonymes permet cependant de réduire le risque pour les
personnes concernées. En effet, en cas de perte ou de vol, l’identité de l’individu
n’est pas directement exposée. Il est nécessaire de disposer de la table reliant les
identifiants à l’identité des individus.

B- L’EXCEPTION D’USAGE PRIVEE

11
Les activités purement personnelles ou domestiques sont exclues du champ
d’application de la réglementation. Les activités quotidiennes peuvent justifier de
collecter des données personnelles (par exemple la tenue d’un fichier d’adresses,
ou d’une liste de contacts, l’utilisation de réseaux sociaux, etc.). Pour autant, si ce
traitement est utilisé à des fins uniquement personnelles et « sans lien avec une
activité professionnelle ou commerciale », il n’est pas soumis au respect du
RGPD. À noter cependant que les responsables du traitement et les sous-traitants
proposant des outils ou des solutions technologiques pour procéder à ces
traitements doivent respecter le RGPD. Ainsi, le fabricant d’un bracelet
électronique utilisé à des fins purement personnelles par ses utilisateurs sera tenu
de mettre en œuvre le principe de Privacy by design et Privacy by default 19.

SECTION 2: L’OBJECTIF DE LA PROTECTION DES

DONNEES A CARACTERE PERSONNEL
Pour être admissible, tout traitement de données à caractère personnel doit
répondre à un certain nombre d'exigences de fond. Vous devez donc respecter les
principes suivants lorsque vous êtes amenés à traiter des données à caractère
personnel:

Pour envisager sereinement la mise en conformité d’un traitement de données

personnelles avec le Règlement européen relatif à la protection des données
(RGPD), il faut connaître les grands principes prévus par le texte.

Un des objectifs du législateur dans le cadre de cette réforme était de renforcer les
droits des personnes concernées et de leur rendre le contrôle de leurs données. Le
RGPD consolide donc les droits existants comme le droit à l’information et crée
parallèlement de nouveaux droits notamment le droit à la portabilité, à l’oubli et à
la limitation du traitement.

19
La protection de la vie privée dès la conception, Privacy by Design en anglais, est une approche
de l’ingénierie des systèmes qui prend en compte la vie privée tout au long du processus. Le
concept de “Privacy by Design” a pour objectif de garantir que la protection de la vie privée soit
intégrée dans les nouvelles applications technologiques et commerciales dès leur conception

12
PARAGRAPHE 1 : LES PRINCIPES DE SECURITE ET DE
CONFIDENTIALITE
Le principe de sécurité et de confidentialité : le responsable du fichier doit
garantir la sécurité et la confidentialité des informations qu'il détient. Il doit en
particulier veiller à ce que seules les personnes autorisées aient accès à ces
informations. le responsable des traitements de données doit s'assurer que les
données sont sécurisées et que des tiers non autorisés n'y aient pas accès ; cette
obligation s'étend en cas de sous-traitance de l’utilisation des données.

Les données personnelles doivent être traitées de façon à garantir une sécurité
appropriée des données à caractère personnel. En effet, vous devez assurer
l’intégrité et la confidentialité des données à l’aide de mesures techniques et
organisationnelles appropriées, notamment contre un traitement non-autorisé ou
illégal et contre la perte, destruction ou altération accidentelle des données.

A- LE PRINCIPE DE SECURITE

Principe de finalité : le responsable d'un fichier ne peut enregistrer et utiliser des

informations sur des personnes physiques que dans un but bien précis, légal et
légitime ; il faut choisir une finalité précise pour collecter des données ; les
données que les organismes collectent doivent être proportionnées au regard de la
finalité choisie. Les données personnelles doivent être collectées pour des
finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement
d’une manière incompatible avec ces finalités. Les objectifs poursuivis doivent
être choisis et connus avant le début du traitement. De plus, ils doivent être
définis de manière précise et se référer à un ou plusieurs buts précis (finalités
déterminées et explicites). En même temps, ils doivent correspondre à un ou
plusieurs des cas de figure légitimes prévus par le RGPD (finalités légitimes). En
principe, les données ne doivent pas être traitées pour des finalités
"incompatibles" avec ces finalités d'origine.

Le principe de proportionnalité et de pertinence ou d’exactitude : les

informations enregistrées doivent être pertinentes et strictement nécessaires au

13
regard de la finalité du fichier ; les données doivent être exactes, complètes et à
jour. Les données personnelles doivent être exactes, et si nécessaire, tenues à jour.
En effet, de bons résultats ne peuvent pas être atteints si le traitement se base sur
des données erronées ou caduques. Pour cela, vous devez prendre toutes les
mesures raisonnables afin de garantir que les données personnelles inexactes
soient rectifiées ou supprimées sans tarder. Les données à caractère personnel
doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des
finalités pour lesquelles elles sont traitées. Egalement appelé principe de nécessité
et de proportionnalité, la minimisation des données signifie que vous devez traiter
uniquement les données qui sont nécessaires (et non seulement utiles) à la
réalisation des finalités.

B- LE PRINCIPE DE CONFIDENTIALITE

Principe de durée limité de conservation des données : il n'est pas possible de

conserver des informations sur des personnes physiques dans un fichier pour une
durée indéfinie. Une durée de conservation précise doit être fixée, en fonction du
type d'information enregistrée et de la finalité du fichier ; les données ne doivent
pas être conservées au-delà de la durée nécessaire à l'exploitation des données
pour la finalité choisie (3 ans maximum). Les données à caractère personnel ne
doivent pas être conservées plus longtemps que nécessaire pour la réalisation des
finalités pour lesquelles elles sont collectées et traitées. Au-delà, les données
doivent être supprimées ou anonymisées. Vous devez donc déterminer une durée
de conservation proportionnée

PARAGRAPHE 2 : PRINCIPE DU RESPECT DES DROITS

DES PERSONNES
En cas de rectification ou d’effacement des données ou de limitation du
traitement, le responsable du traitement doit notifier l’information à chaque

14
destinataire des données « à moins qu’une telle communication se révèle
impossible ou exige des efforts disproportionnés.

Principe du respect du droit des personnes : les personnes doivent être informées
de l'existence du traitement de leur données et ces mêmes personnes ont le droit
d'accéder, de modifier ou supprimer ces données ; enfin, il est possible de
s'opposer à l'utilisation de ces données pour de la prospection commerciale. Les
données à caractère personnel doivent être traitées de manière licite, loyale et
transparente au regard de la personne concernée. La collecte, l’enregistrement,
l’utilisation et la transmission de données personnelles doivent se faire en
conformité au règlement, de bonne foi, et non pas à l’insu de la personne
concernée.

A- LE DROIT A L’INFORMATION
Le droit à l’information est le premier droit des personnes concernées et l’un des
plus importants. Il conditionne, en effet, l’exercice de l’ensemble des autres droits
par leur titulaire. Si la personne concernée ignore qu’une entreprise traite ses
données, elle ne sera pas en mesure de demander l’accès à ces informations, leur
rectification ou de s’opposer au traitement. L’article 13 20 fixe la liste des
informations à communiquer à la personne concernée. Le responsable du
traitement doit mentionner : son identité et ses coordonnées ainsi que le cas
échéant celles du DPO21; les finalités du traitement et sa base juridique (lorsque le
traitement repose sur l’intérêt légitime du responsable, cet intérêt doit être
précisé) ; les destinataires des données ; le cas échéant, l’existence d’un transfert
et les garanties mises en place pour permettre ce transfert ; la durée de
conservation des données (ou les critères utilisés pour déterminer cette durée) ;
les droits des personnes concernées (accès, rectification, droit de retirer son
consentement, etc.), RGPD : la protection des données à caractère personnel – le
20
Article 13
EU RGPD
"Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la
personne concernée
21
Délégué à la protection des données (abrégé DPD, ou DPO, pour Data Protection Officer) est la
personne chargée de la protection des données au sein d'une organisation.

15
droit d’introduire une réclamation auprès de la CNIL ; le fait que les données
soient obligatoires pour la conclusion d’un contrat et les conséquences de
l’absence de communication de ces informations ; l’existence d’une prise de
décision automatisée. L’article 14 est dédié aux informations à communiquer en
cas de collecte indirecte, c’est-à-dire dans l’hypothèse où les données ne sont pas
fournies directement par la personne mais par un tiers. Ces deux listes sont
pratiquement identiques, il faut cependant préciser, en cas de collecte indirecte,
les catégories de données et la source des données. Au vu du volume
d’information à transmettre, le CEPD22 précise, dans ses lignes directrices sur la
transparence, que l’information peut être délivrée « en couches ». Ce dispositif
permet d’afficher, en bas de page ou sur un formulaire de collecte en ligne, une
mention d’information plus courte avec des liens renvoyant à l’intégralité de la
mention. Ces informations pourront également « être fournies accompagnées
d’icônes normalisées » afin d’accroître leur lisibilité. C’est la Commission
européenne qui est chargée d’adopter ces icônes par actes délégués.

B- LE DROIT D’ACCES DE RECTIFICATION ET

D’OPPOSITION
La personne concernée a le droit d’interroger le responsable du traitement pour
savoir s’il traite des données la concernant et d’obtenir une copie de ces
informations. Cette communication doit être accompagnée d’une liste de mention
d’information figurant à l’article 15 (qui rappelle les informations à communiquer
en cas de collecte). Elle doit être faite dans des termes clairs et simples, ainsi les
codes sous lesquels l’information peut être stockée devront donc être traduits.

Le droit de rectification (art. 16) permet à la personne concernée d’obtenir la

modification de données la concernant qui seraient inexactes ou incomplètes
(sous réserve que la finalité du traitement le permette).

Elle peut enfin s’opposer au traitement de ses données. L’opposition est de droit
en matière de prospection commerciale. L’article 21 limite cependant les
traitements donnant lieu à l’exercice de ce droit à ceux : reposant sur l’exécution
d’une mission d’intérêt public ou relevant de l’intérêt public dont est investi le
22
Est une autorité de contrôle indépendante qui a pour mission première d’assurer que les
institutions et organes européens respectent le droit à la vie privée et à la protection des
données lorsqu’ils traitent des données à caractère personnel et élaborent de nouvelles
politiques.

16
responsable du traitement ; nécessaires aux fins des intérêts légitimes poursuivis
par le responsable du traitement ou par un tiers.

17