News – Le principe d’exactitude

Le principe de l’exactitude des données est un des principes fondamentaux encadrant le traitement des données à caractère personnel.

Aux termes de la Règlementation, les données doivent être exactes et, si nécessaire, tenues à jour.

Toutes les mesures raisonnables doivent être prises pour rectifier les données dès lors qu’elles ne sont pas correctes (erreur dans les données, par exemple). Cela peut passer par une modification ou par la suppression des données obsolètes ou inexactes.

A ce titre, les données doivent également être mises à jour tout au long du traitement afin de s’assurer qu’elles sont et demeurent exactes.

C’est dans ce contexte que la CNIL s’est prononcée en décembre 2023, et a sanctionné l’absence de mise à jour de données par les ministères de l’Intérieur et des Outre-mer, de l’Europe et des Affaires étrangères concernant les demandes de visas passées et en cours. Les ministères utilisaient des copies locales d’un fichier de demandes de visa au lieu d’utiliser le fichier centralisé, entrainant de ce fait une absence de mise à jour des données. Dans ce cadre, les données que traitaient les Ministères n’étaient pas exactes.

En parallèle de ce principe d’exactitude, la Règlementation prévoit un droit de rectification permettant aux personnes concernées d’obtenir du responsable de traitement que les données les concernant soient modifiées, notamment en complétant les données par une déclaration complémentaire.

Rappelons à ce titre qu’un autre principe fondamental de la Règlementation est celui d’assurer la protection des données par défaut, et tout au long du traitement de données. S’assurer de disposer de mécanisme de rectification des données participe du respect de cette protection par défaut, par exemple via un espace dédié permettant aux personnes concernées de rectifier les données les concernant.

En effet, traiter des données inexactes pourrait être préjudiciable pour les personnes concernées. La CNIL a sanctionné le responsable de traitement du fichier automatisé des empreintes digitales. Ce fichier ne prenait pas en compte les décisions de relaxe, d’acquittement, de non-lieu et de classement sans suite qui avaient été rendues par les autorités judiciaires. Cela contrevenait à l’exigence de mise à jour des données, et donc d’exactitude des données.

  • Article 5 1) d. RGPD – Principes relatifs au traitement des données à caractère personnel
  • Article 4 4° Loi n°78-17
  • Article 16 RGPD Droit de rectification
  • Délibération SAN-2023-017 du 11 décembre 2023 concernant le ministère de l’Intérieur et des Outre-mer et le ministère de l’Europe et des Affaires étrangères
  • Délibération SAN-2021-016 du 24 septembre 2021 concernant le traitement X
  • Délibération SAN-2024-001 du 8 janvier 2024 relative à l’injonction prononcée à l’encontre de […] par la délibération n°SAN-2021-016 du 24 septembre 2021

Date de mise à jour : 09 septembre 2024

Deuxième rapport d’application du RGPD : la Commission européenne dresse le bilan

COM_2024_357_FIN_FR_TXT-1

4 ans après son premier rapport d’application du RGPD publié en 2020, la Commission européenne dresse son second bilan. Depuis 2020, de nombreux textes ont été adoptés par l’Union européenne concernant notamment le développement de l’intelligence artificielle, la facilitation de la recherche novatrice, ou encore la création d’un environnement numérique plus sûr. Bien que la Commission européenne salue ces évolutions, elle souligne dans ce bilan d’application qu’il reste des progrès à faire dans de nombreux domaines.

Un point particulièrement mis en lumière est le besoin d’une application cohérente de la règlementation relative à la protection des données, par les différents Etats membres de l’Union. La Commission relève différents points. Le RGPD a laissé la possibilité aux Etats membres d’adopter des législations sectorielles, amenant parfois à des contradictions entre les diverses règlementations nationales au sein même de l’Union européenne freinant ainsi la libre circulation des données.

Par ailleurs, chaque autorité de protection des données est libre d’adopter des lignes directrices reflétant son interprétation de la règlementation. Cela donne lieu à des divergences d’interprétation de la réglementation entre les autorités de protection des données, conduisant à une insécurité juridique. La Commission prend pour exemple les points de vue divergents de certains Etats membres sur la base juridique appropriée dans le cadre de la conduite d’un essai clinique notamment, ou encore sur la qualification des parties entre responsable de traitement et sous-traitant. De surcroit, la Commission relève que certaines autorités de protection des données publient parfois des lignes directrices au niveau national, qui sont contraires à celles du Comité européen de la protection des données. 

Afin d’améliorer l’application du RGPD, d’accroitre la cohérence qui lui fait parfois défaut et d’harmoniser les législations, la Commission a notamment proposer d’adopter un règlement sur les règles de procédure en juillet 2023. Cette proposition vise à mettre en place des voies de recours rapides pour les particuliers. La Commission a relevé que les autorités de protection des données renforçaient leur coopération, et avaient davantage recours au mécanisme de contrôle de cohérence, de façon informelle. Elle recense 1000 demandes d’assistance mutuelle formelles, contre 12 300 informelles. 

S’agissant toujours de l’application cohérente de la règlementation, la Commission relève également le besoin d’adopter des lignes directrices plus concises et qui répondent davantage à la pratique. En effet, selon les autorités de protection des données, les lignes directrices adoptées par le CEPD sont trop théoriques, et ne répondaient pas aux problèmes concrets que se posent les acteurs. Il est nécessaire que le CEPD consulte les parties prenantes afin de mieux appréhender les dynamiques du marché. Par exemple, il a été identifié la nécessité d’adopter des lignes directrices concernant l’anonymisation et la pseudonymisation, ou encore l’intérêt légitime et la recherche scientifique.

En conclusion, la Commission considère qu’il convient de se concentrer sur l’application rigoureuse du RGPD, par une interprétation et une application cohérente dans l’ensemble de l’Union, et également sur la coopération entre les différentes autorités.

Observatoire du métier de DPO : le point en 2024

enquete_dpo_2024-1

Depuis 2018, les enjeux liés au métier de délégué à la protection des données sont étudiés par la Commission nationale de l’informatique et des libertés (CNIL), l’Association française des correspondants à la protection des données (AFCDP) et la Délégation générale à l’emploi et à la formation professionnelle (DGEFP). Cette dernière étude, enregistre un record de participation, avec 3625 DPO répondants contre seulement 1811 lors de la dernière étude.

Si le nombre de DPO est en forte croissance depuis 2019 (21 000 en 2019 contre 34 440 début 2024), leur niveau de formation et de compétences reste un sujet prédominant. Dans cette étude, l’Agence nationale pour la formation professionnelle des adultes (l’AFPA), relève que le nombre de DPO a largement augmenté notamment au sein des plus petites structures. En revanche, il s’agit majoritairement de profils sans expertise juridique, ni informatique. Et ces DPO disposent également de moins de moyens que ceux qui sont nommés au sein de plus grosses structures (plus de 250 salariés). La CNIL s’inquiète des risques de cette évolution s’agissant de la capacité de ces profils de DPO à évaluer les risques, et mener à bien leurs missions.

En ce sens, la CNIL a indiqué qu’elle allait notamment renforcer sa vigilance sur les moyens alloués aux DPO pour réaliser leur mission. Elle veillera au conflit de priorité c’est-à-dire le temps disponible pour exercer la mission ainsi qu’au nombre d’organismes à gérer et aux possibilités qu’ils ont d’être formés.

Cette étude relève également la question de la formation avec un pourcentage élevé de DPO se sentant pas ou peu formés aux données personnelles : 68% des DPO récemment désignés, c’est-à-dire depuis un an ou moins, qui n’ont pas reçu de formation, ou pour les plus anciens, une formation Informatique et Libertés de 1 à 2 jours depuis 2016. Plus généralement, 55% des DPO qui ont participé à l’enquête en 2024 se sentent peu ou pas formés.

Un autre constat est celui du temps consacré par les DPO à leur mission : dans les petites structures, plus de 96% exercent à temps partiel, et presque les trois quarts indiquent ne pouvoir accorder que 25% de leur temps à cette mission. Par ailleurs, 86% des DPO exercent leurs fonctions seuls.

Pour rappel, le RGPD indique que le DPO est désigné sur la base de ses connaissances du droit et des pratiques en matière de protection des données. Cela implique des connaissances au moment de sa désignation, mais également la possibilité de se former pour maintenir ces connaissances et de les mettre à jour dans la mesure où le sujet des données personnelles évolue avec les années.

  • Etude 2024 – Evolution de la fonction de Délégué à la Protection des Données – AFPA
  • Article 37 du RGPD – Désignation du délégué à la protection des données

05 juillet 2024

News – Comment réutiliser des données publiées sur internet?

Les modalités d’ouverture et de réutilisation des données à caractère personnel sur internet ont été précisées par la CNIL dans ses recommandations parues début juin 2024.

Pour rappel, l’open data désigne un mouvement d’ouverture et de mise à disposition des données produites et collectées par les services publics comme les administrations, les établissements publics etc…

Une réutilisation des données ou utilisation secondaire des données, constitue un traitement dit « ultérieur », c’est-à-dire un traitement qui suit l’opération de collecte et qui a une finalité différente de celle justifiant la collecte initiale.

Dans tous les cas, la règlementation relative à la protection des données personnelles s’applique, dès lors que des données personnelles sont traitées :  le fait qu’il s’agisse d’open data (autrement dit de données publiées sur internet) n’a pas d’incidence. C’est ce que rappelle le Code des relations entre le public et l’administration, qui indique que dès qu’un traitement suppose la réutilisation de données personnelles, il faut respecter la Loi informatique et libertés.

Ces recommandations sont des ressources pour tous les acteurs, qu’il s’agisse de ceux qui diffusent les données, ou de ceux qui les réutilisent. Elles ne sont pas contraignantes mais constituent des guides permettant de s’assurer de la conformité du traitement envisagé. Par exemple, la CNIL y explique comment déterminer la base légale du traitement, ou encore comment concilier minimisation et open data.

Chacune de ces recommandations rappelle les principes fondamentaux à suivre dans le cadre de la mise en place de traitements liés à l’open data, des questions pratiques à se poser, et présente des cas d’usage. Dans les prochains mois, la CNIL a indiqué que ces cas d’usage pourraient évoluer et être complétés par d’autres thématiques. En effet, le travail concernant le partage des données se poursuit, et notamment s’agissant des sujets relatifs à la circulation des données à des tiers spécifiquement autorisés (Data Governance Act, Data Act, etc : partage de données d’intérêt général avec les pouvoirs publics par exemple).

  • Délibération n°2024-041 du 25 janvier 2024 portant adoption de deux recommandations relatives à l’application du règlement général sur la protection des données aux traitements d’ouverture et de réutilisation de données à caractère personnel publiées sur internet
  • Article L. 322-2 du Code des relations entre le public et l’administration
  • Sous-traitants : la réutilisation de données confiées par un responsable de traitement – CNIL

Données de santé et données de performance sportive : comment les articuler?

PDF Embedder requires a url attribute

Une donnée de santé est une donnée à caractère personnel relative à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèle des informations sur l’état de santé de cette personne.

Trois catégories de données entrent dans cette définition : les données de santé par nature, les données de santé par destination (devenues des données de santé du fait de leur utilisation sur le plan médical), et également les données qui, du fait de leur croisement avec d’autres données, deviennent des données de santé en permettant de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne.

Dans ce cadre, le domaine de la performance sportive fait appel à des données de santé. Aux fins de mesures de la performance sportive individuelle des sportifs, il est nécessaire de recueillir des données de santé : telles que la fréquence cardiaque, le poids, la taille, les habitudes alimentaires.

A cet égard, les données ainsi traitées entrent dans le cadre de l’interdiction de traitement édictée par l’article 9 du RGPD, et leur traitement doit donc reposer sur l’une des dérogations prévues par la Règlementation.

La plupart du temps, ces traitements reposent sur le consentement des sportifs. Attention la validité du consentement pourrait être remise en question sur le critère libre de ce dernier.

  • En effet la CNIL rappelle sur ce point que le consentement pourrait ne pas pouvoir être mobilisé s’agissant des sportifs de haut niveau, étant donné que ce consentement conditionnera probablement sa participation à la sélection opérée par son entraineur. En effet, le consentement ne serait alors pas libre, car si le sportif décidait de ne pas consentir, cela pourrait avoir des conséquences néfastes sur lui.

Il ne faut toutefois pas confondre :  si des données de santé sont collectées dans ce cadre, cela ne fait pas pour autant nécessairement entrer le traitement dans les traitements de données dans le domaine de la santé au sens de la règlementation, notamment dans la section III du chapitre 3 du titre II de la LIL . Ils ne sont mis en œuvre ni à des fins de prise en charge, ni à des fins de recherche. Dans ce cas, pas de formalité préalable auprès de la CNIL.

Une attention particulière à la finalité du traitement doit être portée : s’il a pour objectif de recenser les blessures liées à la pratique d’un sport déterminé, la CNIL rappelle qu’il est possible de le qualifier de traitement dans le domaine de la santé, et à ce titre qu’il devienne soumis aux dispositions applicables.

  • Article 4 du RGPD – Définitions
  • Article 9 du RGPD – Interdiction de traitement
  • Titre II, chapitre 3, Section 3 Traitements dans le domaine de la santé LIL