de liens

    Aller sur la page Recherche documentaire

    Thèmes

    de liens

    Mise en conformité au RGPD: le registre des traitements les questions à se poser

    Article

    1. Quelle est la finalité du traitement ?
    2. Est-ce que les données collectées et traitées sont proportionnelles à la finalité du traitement ?
    3. Jusqu’à quand les données collectées et traitées sont nécessaires au traitement ?
    4. Quelles sont les personnes autorisées ou habilitées à recevoir la communication des données en interne ou externe ?
    5. Quelles sont les mesures de sécurité nécessaires mises en œuvre compte tenu de la nature des données ?

    Les collectivités territoriales doivent tenir un registre des activités de traitement. Cette obligation résulte de l’application du règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), dans son article 30.

    La mise en place du registre des traitements implique de se poser un certain nombre de questions, qui rejoignent celles nécessaires au moment de la création d’un nouveau traitement.

    Quelle est la finalité du traitement ?

    Tout d’abord, il convient de préciser ce qu’est un traitement.

    Pour le RGPD (article 4) et la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (LIL) (article 2), un traitement correspond à toute opération ou tout ensemble d’opérations portant sur des données à caractère personnel contenues dans des fichiers effectués ou non à l’aide de procédés automatisés ou informatique comme notamment la collecte, l’enregistrement, l’organisation ou la structuration, la conservation, l’utilisation, la communication par transmission, la diffusion, la mise à disposition, le rapprochement ou l’interconnexion, la limitation ou le « verrouillage », l’effacement ou la destruction. Dès lors, toute action sur des données est un traitement.

    A quoi sert le traitement des données dans la collectivité ?

    Pourquoi a-t-elle besoin de traiter des données à caractère personnel dans ce cadre ?

    Le principe est que ces données ne peuvent être recueillies que pour une finalité déterminée, explicite et légitime (article 5-1 b du RGPD), correspondant aux missions de la collectivité. Ce principe vient limiter la manière dont le responsable du traitement pourrait éventuellement utiliser ou réutiliser ces données dans le futur.

    Les données à caractère personnel sont collectées pour un but, une mission de service public. Elles ne peuvent ainsi être utilisées ou réutilisées pour atteindre un autre objectif. Le principe de finalité conduit donc à limiter les utilisations faites des données.

    Déterminer la finalité du traitement, en décrivant de manière claire et précise l’objet du traitement de données personnelles et ses fonctionnalités, permet de lister les différents types de personnes (ex : agents, usagers, bénéficiaires, élus…) dont la collectivité collecte, traite et utilise leurs données à caractère personnel.

    Est-ce que les données collectées et traitées sont proportionnelles à la finalité du traitement ?

    Il s’agit, ici, de mesurer quelles sont les données nécessaires pour atteindre l’objectif fixé. Le RGPD (article 5-1 c) rappelle que les données à caractère personnel sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et traitées. Le principe de proportionnalité doit s’entendre comme une minimisation de la collecte et du traitement des données.

    Seules les données strictement nécessaires, utiles, indispensables à la réalisation de l’objectif doivent être collectées. En fait, elles doivent être limitées à ce qui est nécessaire.

    Ces données peuvent notamment concerner l’état civil, l’identité des personnes (nom, prénom, adresse, date et lieu de naissance…), des éléments d’information sur la vie professionnelle (carrière, formation, scolarité…) ou d’ordre économique et financier (revenus, données bancaires…). Le RGPD considère qu’une donnée est à caractère personnel dès que l’information se rapporte à une personne physique identifiée ou identifiable (article 4 1). Ainsi des données de connexion (adresse IP…), de localisation, liées à internet (cookies, mesures d’audience…) sont classifiées comme étant à caractère personnel.

    Jusqu’à quand les données collectées et traitées sont nécessaires au traitement ?

    La durée de conservation des données à caractère personnel doit être cohérente avec la finalité du traitement. Une fois que l’objectif poursuivi par la collecte et le traitement des données est atteint, il n’y a plus lieu de conserver les données. Elles doivent être supprimées.

    L’article 5-1 e du RGPD vient, en effet, indiquer que les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Des exceptions limitatives sont prévues (comme un traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques).

    La définition d’une durée de conservation adaptée au traitement permet aussi d’éviter que les données à caractère personnel deviennent excessives, imprécises ou fausses. Leur suppression contribue à réduire les couts de stockage et de sécurisation des données. La suppression effective doit être effectuée de manière sécurisée.

    Dans les faits, il faut considérer la durée de conservation de données à caractère personnel comme une limite maximale d’utilisation. Le reflexe est de supprimer régulièrement les données qui ne sont plus utilisées.

    Quelles sont les personnes autorisées ou habilitées à recevoir la communication des données en interne ou externe ?

    Il convient de délimiter les destinataires des données à caractère personnel collectées et traitées. Le RGPD (article 4-9) définit le destinataire comme « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers ». En interne, il peut s’agir d’élus, de services, de personnes habilitées, de la direction informatique par exemple.

    Il est utile de rappeler les acteurs mentionnés dans le RGPD et la LIL :

    • Le responsable de traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement» (article 4-7 du RGPD). Dans les collectivités territoriales, le responsable de traitement est le maire ou le président.
    • Le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite les données à caractère personnel pour le compte du responsable de traitement» (article 4-8 du RGPD). Ce sont essentiellement les prestataires de services informatiques (éditeurs de logiciels, hébergeurs, sociétés de sécurité informatique…). Le RGPD et la LIL précisent que tout traitement réalisé par un sous-traitant est régi par un contrat écrit ou tout acte juridique qui lie le sous-traitant vis-à-vis du responsable du traitement. L’article 28 du RGPD, les articles 60 et 61 de la LIL détaillent le rôle et les obligations du sous-traitant.
    • Le tiers est la « personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée (par la donnée collectée et/ou traitée), le responsable du traitement, le sous-traitant et les personnes qui, placée sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel» (article 4-10 du RGPD).

    Quelles sont les mesures de sécurité nécessaires mises en œuvre compte tenu de la nature des données ?

    Le responsable de traitement est tenu par une obligation de sécurité vis-à-vis des données à caractère personnel qu’il collecte et traite (article 32 du RGPD). Il convient donc d’anticiper trois principales atteintes à ces données : une atteinte à la confidentialité, une atteinte à l’intégrité, une atteinte à la disponibilité.

    Pour ce faire, il doit être défini des mesures pour prévenir tout accès illégitime, toute altération non désirée ou toute disparition inopinée. Ces mesures techniques et organisationnelles relèvent, conjointement, du responsable de traitement et de son sous-traitant, qui intervient en l’espèce.

    Les mesures appropriées sont déterminées en tenant compte des risques sur le traitement et peuvent être de nature organisationnelle, physique et technique (par exemple : contrôle d’accès, sauvegarde, chiffrement, sécurité des locaux…). La commission nationale informatique et libertés (CNIL) édicte un guide de la sécurité des données personnelles (édition janvier 2018). L’agence nationale de la sécurité des systèmes d’information (ANSSI) dispense aussi de nombreuses recommandations en l’espèce (comme le guide d’hygiène informatique version 2 -0 de septembre 2017).

     



    Nous vous rappelons que HGI-ATD ne répond qu'aux sollicitations de ses adhérents. Toute demande de documentation, conseil ou assistance ne respectant pas cette condition ne pourra aboutir.

    Paru dans :

    ATD Actualité n°293

    Date :

    1 mai 2019

    Mots-clés