Logo Valoxy
Photo extérieur Valoxy

Rue du Pré Catelan
La Madeleine, Nord-Pas-de-Calais
Tél : +33 (0) 3 20 39 33 47

La protection des données personnelles
4.3 (86.67%) 12 votes

La protection des données personnelles

L’exploitation des données personnelles de l’internaute permet de générer une forte activité de marketing, avec la constitution de profils de consommateurs et la cession de fichiers. Il peut être très intéressant de stocker ces données, de les utiliser ou les vendre.

Néanmoins, la mise en œuvre d’un traitement de données, quelle qu’en soit la forme ou la finalité impose à toute entreprise de respecter des conditions non seulement strictes, mais également cumulatives. En effet, toutes les conditions doivent être respectées.

Valoxy fait le point pour vous.

Les conditions de l’exploitation des données personnelles

Un traitement loyal et licite

Le traitement ne peut porter que sur des données collectées et traitées de manière loyale et licite.

La loyauté se matérialise par une information.Tout traitement effectué à l’insu des intéressés, et toute absence d’information à leur égard entraîne  la qualification automatique de  » collecte déloyale et illicite « . Cette information doit, également, permettre  de garantir l’exercice du droit d’opposition à l’usage commercial des données.

De plus, la collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite. Cela suppose de respecter une transparence sur la mise en œuvre du traitement des données personnelles. Les personnes concernées doivent connaître l’existence des traitements et bénéficier, lorsque des données sont collectées auprès d’elles, d’une information effective et complète au regard des circonstances de cette collecte.

Les finalités de la collecte

Une collecte doit être effectuée pour des finalités déterminées, explicites et légitimes, leur traitement ultérieur devant être compatible avec ces finalités, sauf s’il est poursuivi des fins statistiques, scientifiques ou historiques.

Finalité de la collecteLe caractère déterminé de l’objectif suppose que l’entreprise procède à une évaluation précise en interne.

Le caractère explicite de la finalité suppose que l’information donnée soit claire et précise. L’objectif de la collecte doit être exprimé en des termes intelligibles pour tous. Cela suppose une explication préalable, qui  interviendra au plus tard au moment où la collecte des données personnelles aura lieu.

Enfin, le caractère légitime de l’objectif suppose que le traitement, à chaque étape et à chaque instant, repose au moins sur le consentement ou, à défaut,sur  l’une des conditions qui y dérogent (voir consentement).

La proportionnalité

La loi  ajoute que les données à caractère personnel doivent être adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont collectées et leurs traitements ultérieurs.

Sont sanctionnés systématiquement les cas où le responsable n’établit pas la preuve que les moyens utilisés  pour mettre en œuvre le traitement, sont  indispensables et ne se limitent pas à être utiles ou à simplifier sa gestion du traitement.

Le caractère des données

Les données personnelles doivent être exactes, complètes et  mises à jour par des mesures appropriées. Le responsable du traitement a donc l’obligation d’effacer ou de rectifier les données inexactes ou incomplètes.

Il a une obligation de vérification active de la véracité et de l’exactitude des données.

Durée de conservation

La loi requiert que la conservation de ces données n’excède pas la durée nécessaire à l’accomplissement de l’objectif pour lesquelles elles ont été collectées et traitées. Cela se justifie avec le droit à l’oubli, et, à l’issue du traitement, les données doivent être :
•    effacées
•    rendues anonymes sans ré identification possible
•    archivées sous certaines conditions

La loi n’impose pas de délai particulier.

Seule la CNIL prévoit que la fixation d’une durée de conservation ne saurait avoir pour objet ou pour effet de supprimer des données des utilisateurs alors qu’eux-mêmes en auraient encore l’usage.

Afin de limiter les risques, une solution consiste à se référer aux dispositions législatives ou réglementaires applicables au secteur d’activité concerné. Il n’est, en effet, pas rare que les durées de conservation soient expressément prévues par les textes eux-mêmes.

Il existe des exceptions :

–    Les données à caractère personnel conservées en vue d’être traitées à des fins historiques, statistiques ou scientifiques. Cela ne concerne que les archives publiques.

–    Il est possible de conserver des données à caractère personnel au-delà de la durée nécessaire au traitement et ce, même si les finalités poursuivies ne présentent pas de caractère historique, statistique ou scientifique sous réserve de 3 conditions :

•    Avoir obtenu l’accord exprès de la personne concernée

•    En l’absence de consentement exprès, obtenir une autorisation de la CNIL

•    En ce qui concerne les données dites « sensibles » (celles relatives aux origines raciales, ethniques, aux opinions politiques, philosophiques ou religieuses, à l’appartenance syndicale des personnes, à leur santé ou à leur vie sexuelle, ..), la conservation n’est possible que lorsque l’intérêt public l’impose et qu’elle ne s’applique qu’à des traitements ayant fait l’objet : soit d’une simple déclaration préalable auprès de la CNIL (et ce, uniquement en cas de situation d’urgence à une alerte sanitaire ; soit d’une autorisation délivrée directement par la CNIL ou soit après avis motivé et publié de la CNIL).

Le consentement

À côté de ces cinq conditions de licéité, la loi impose à l’entreprise d’obtenir, avant la mise en œuvre de cette opération, le consentement de la personne concernée, sous peine de sanction. Le consentement est une condition supplémentaire. L’obtention d’un consentement n’empêche pas de respecter les obligations concernant l’équité, la nécessité, la proportionnalité et la qualité des données.

consentement données personnellesLe consentement a plusieurs caractères : il doit être indubitable, c’est-à-dire explicite et indiscutable. Pour être valable, il faut également que le consentement soit donné sans contrainte. Il doit être l’expression du libre choix de la personne concernée.

Il doit être spécifique, cela signifie qu’il ne doit porter que sur le traitement envisagé. Il ne peut être général.  Le consentement doit enfin être informé. En pratique, ce critère impose que la personne dont les données font l’objet d’un traitement ait été informée clairement et au préalable, des caractéristiques de ce traitement.

Il existe des exceptions :

–    En cas de respect d’une obligation légale sous réserve que l’obligation soit effectivement imposée par la loi, et qu’elle ait un caractère véritablement contraignant. Cela signifie de ne pas pouvoir disposer de marges de manœuvre pour décider, ou non, de son application, enfin, l’obligation légale doit, elle-même, être suffisamment claire et précise.

–    En vue de la sauvegarde de la vie de la personne concernée

–    Dans le cadre de l’exécution d’une mission de service public

–    En raison de l’intérêt légitime poursuivi

–    Dans un cadre contractuel

Les interdictions de l’exploitation des données personnelles

La loi interdit que les opérations mises en œuvre portent sur des données personnelles jugées « sensibles », faisant apparaître directement ou indirectement les origines raciales ou ethniques, les opinions philosophiques ou politiques ainsi que les croyances religieuses, l’appartenance syndicale, ou qui sont relatives à la santé ou à la vie sexuelle des personnes concernées.

Il existe des exceptions :

–    En cas de consentement exprès de la personne concernée

–    En matière de santé, si cela concerne les traitements nécessaires à la sauvegarde de la vie humaine à la recherche et aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements et de gestion des services de santé, à condition qu’ils soient mis en œuvre par un professionnel de santé ou, à tout le moins, par une personne soumise au secret professionnel.

Exceptions interdiction données personnelles–    Si le responsable est une association ou un organisme à but non lucratif

–    En cas de données rendues publiques par la personne concernée

–    Les traitements statistiques réalisés par l’INSEE ou l’un des services statistiques ministériels

–    Les traitements nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice

–    L’interdiction de traiter des données sensibles peut être écartée si les données personnelles traitées sont appelées à faire l’objet à bref délai d’un procédé d’anonymisation

–    Les traitements autorisés et justifiés par l’intérêt public. Ces traitements doivent avoir fait l’objet d’une simple déclaration préalable auprès de la CNIL et ce, uniquement en cas de situation d’urgence à une alerte sanitaire ; d’une autorisation délivrée directement par la CNIL ou après avis motivé et publié de la CNIL.

Ainsi, si toutes ces conditions sont remplies, il est possible de disposer d’une mine d’informations sur les particuliers,  pouvant être réutilisées pour améliorer votre approche client, diversifier votre panel, toucher plus de clients, etc..

En cas de doute, n’hésitez pas à nous contacter.

protection des données personnelles

Laisser un commentaire

Pas de commentaire
Comments0
Facebook
Twitter
Google+0
Linkedin0
E-mail

Ne cherchez plus l'information...

Avec nos newsletters, vous allez rester au top de l’actualité .

Vous pourrez vous désinscrire à tout moment.