Le règlement général sur la protection des données, son application

          1. Le Règlement général sur la protection des données

Le RGPD est l'aboutissement d'un processus normatif ancien (commencé en 1978) et l'arrêt Google SPAIN de 2014 pour le déréférencement. Le droit à l'oubli est apparu par cet arrêt et avec le RGPD.

Le RGPD doit s'appliquer en complément d'autres législations, notamment la loi de 1978 et la directive européenne relative aux données pénales du 27 avril 2016.  La loi du 20 juin 2018 a révisé la loi de 1978 en implémentant en droit national les marges de manœuvres nationales du RGPD et la transposition de la directive européenne pénale. La loi informatique et liberté doit faire l'objet d'une réécriture par ordonnance pour être plus intelligible (actuellement la parties archive a été rendue et l'ordonnance devrait arriver au premier semestre 2019).

  • Ces textes ne s'appliquent qu'aux personnes vivantes ; actuellement il n'y a pas de décret pour le sort des données après le décès (article 40-1 de la loi informatique et liberté).
  • Tout document administratif est un document archive.

 

Les archives définitives

« Sont considérés comme archives définitives les documents qui ont subi les sélections et éliminations définies aux articles R. 212-13 et R. 212-14 et qui sont à conserver sans limitation de durée (...) » (article R. 21212 du code du patrimoine). Les traitements relevant de l’intérêt public sont les traitements tels que la sélection, la collecte, la conservation ou encore la description des documents et données.

La réserve de l’article 17 du RGPD (la protection contre le droit à l’effacement) s’applique.

« Les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l'article 6 qu'en vue d'être traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ; le choix des données ainsi conservées est opéré dans les conditions prévues à l'article L. 212-3 du code du patrimoine (...) »

LIL, art. 6, 5° : [les données à caractère personnel] sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

= dérogation à l’obligation de destruction à l’issue de la durée de conservation dans le traitement initial (art. 5 du RGPD et art. 36 de la LIL).

Dérogations aux droits de rectification, d’opposition, à la limitation du traitement, à la portabilité, aux droits d’accès et de notification (marges de manœuvres prévues à l’article 89 du RGPD et inscrites à l’article 36 de la loi LIL révisée).

 

Qu'en est-il des archives courantes et intermédiaires au regard du RGPD ?

« Sont considérées comme archives courantes les documents qui sont d’utilisation habituelle pour l’activité des services, établissements et organismes qui les ont produits ou reçus » (art. R. 212-10 du code du patrimoine). 

« Sont considérés comme archives intermédiaires les documents qui : 1° ont cessé d'être considérés comme archives courantes ; 2° ne peuvent encore, en raison de leur intérêt administratif, faire l'objet de sélection et d'élimination conformément aux dispositions de l'article R. 212-14. » (art. R. 212-11 du code du patrimoine)

Les catégories de données destinées à l'élimination ainsi que les conditions de cette élimination sont fixées par accord entre l'autorité qui a produit ou reçu ces données et l'administration des archives. Comme les archives définitives, elles sont en effet placées, en tant qu’archives publiques, sous le contrôle scientifique et technique de l’État exercé par le directeur des archives départementales compétent.

Celles qui ne sont pas destinées à être conservées définitivement à l’issue de leur durée d’utilité administrative relèvent du droit commun, avec

  • droit d’effacement,
  • de rectification,
  • d’opposition,
  • droit à la limitation du traitement,
  • droit à la portabilité,
  • etc.

Cependant, ces droits sont limités dans certains cas : le droit d’effacement, par exemple, ne s’applique pas lorsque le traitement est nécessaire pour respecter une obligation légale ou pour exécuter « une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement » (art. 17 du RGPD).

 

          2. La mise en œuvre du RGPD : comment ?

  • Sans attendre : remplir l’obligation de transparence et permettre aux personnes concernées d’exercer leurs droits

Informer les personnes

À  chaque fois que des données personnelles sont collectées, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information.

L’information doit comporter les éléments suivants :

  • pourquoi les données sont collectées (« la finalité ») ;
  • ce qui autorise le service à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose, de l’« intérêt légitime ») ;
  • qui a accès aux données (indiquer des catégories : les services internes compétents, un prestataire, etc.) ;
  • Combien de temps les données sont conservées (exemple : « 5 ans après la fin de la relation contractuelle ») ;
  • Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ;
  • Si vous transférez des données hors de l’UE (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, on peut, par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité / page vie privée sur le site internet.

Permettre aux personnes d’exercer facilement leurs droits Lors de la diffusion d’informations par courriel sur une liste de distribution (liste protocolaire, listes thématiques, …), il faut porter une mention rappelant à l’usager son droit d’accès, de rectification, de modification et de suppression des données qui le concernent.

Exemple :

« Conformément à la loi Informatique et Libertés en date du 6 janvier 1978, vous disposez d'un droit d'accès, de rectification, de modification et de suppression des données qui vous concernent. Vous pouvez exercer ce droit en nous envoyant un courrier électronique ou postal. Si vous souhaitez supprimer vos données personnelles, cliquez ici. Si vous souhaitez les modifier ou rectifier, cliquez ici. »

  • Étape 1

La désignation d’un pilote : le délégué à la protection des données (ou DPD, en cours de recrutement par DIFAJE).

  • Étape 2 

La cartographie des traitements de données à caractère personnel. L’élaboration du registre des traitements permet de faire le point et de s’interroger sur les données dont le service a réellement besoin.

Le principe du registre est de constituer une fiche par activité. Pour chaque fiche de registre créée, vérifier que :

  • les données traitées sont nécessaires aux activités du service (par exemple, il n’est pas utile de savoir si les salariés ont des enfants, si l’on n’offre aucun service ou rémunération attachée à cette caractéristique) ;
  • aucune donnée dite « sensible » n’est traitée, ou, si c’est le cas, que l’on a le droit d’effectuer ce traitement (voir la fiche CNIL « Traitements de données à risque : êtes-vous concerné ? ») ;
  • seules les personnes habilitées ont accès aux données dont elles ont besoin ;
  • les données ne sont pas conservées au-delà de ce qui est nécessaire.

Il faut en profiter pour améliorer les pratiques !

Lors de la collecte de données :

- éliminer des formulaires de collecte et des bases de données toutes les informations inutiles ;

- redéfinir qui doit pouvoir accéder à quelles données dans le service ;

- poser des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications.

  • Étape 3

La priorisation des actions à mener. Sur la base du registre, identifier  les actions à mener pour se conformer aux obligations actuelles et à venir. Prioriser ces actions au regard des risques que font peser les traitements sur les droits et les libertés des personnes concernées.

  • Étape 4

La gestion des risques, pour les traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées : chaque traitement doit donner lieu à une analyse d’impact).

  • Étape 5

L’organisation des processus internes garantissant la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (par exemple : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).

  • Étape 6

La documentation de la conformité, afin d’en apporter la preuve en cas de contrôle. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Les données collectées lors de votre demande de recherche de documents conservés par les archives départementales de Meurthe-et-Moselle font l’objet d’un traitement informatique et non automatisé à des fins d’assurer la communication réglementaire d’archives en conformité avec l’article L.311-9 du Code des relations entre le public et l’administration. Des états statistiques dépersonnalisés sont édités afin de pouvoir répondre aux enquêtes des autorités de tutelles (enquête annuelle du Service interministériel des Archives de France) et d’améliorer le service rendu au public. Les archives départementales de Meurthe-et-Moselle collectent ces données à caractère personnel afin de remplir sa mission de service public de communication d’archives (Code du patrimoine, article R-212-4-1).

Les données vous concernant sont les suivantes :

Typologies de données collectées

Description des données collectées

Durée de conservation

État-civil, identité, données d'identification, images

Nom, prénom, adresse postale, courriel, n° de téléphone

Chrono papier secrétariat de direction : 10 ans et destruction intégrale

Chrono papier pôle recherche : 3 ans et destruction intégrale

Registre de chrono : 10 ans et versement en archives définitives

Vie personnelle

Date et lieu de naissance (justification de tiers autorisés)

Vie professionnelle

Nom de la structure administrative

Informations d’ordre économique et financier

Montant de la prestation de reproduction, chèque

Autres catégories de données

Date de la demande, résumé de la demande

Ce traitement de données a fait l’objet d’une inscription au registre des traitements (fiche n°3.2 des archives départementales de Meurthe-et-Moselle).

Vous disposez d’un droit d’accès, de rectification, d’opposition, d’effacement et de portabilité des données vous concernant auprès des archives départementales de Meurthe-et-Moselle en adressant votre demande à l’adresse suivante archives54@departement54.fr