News – Le principe d’exactitude

Le principe de l’exactitude des données est un des principes fondamentaux encadrant le traitement des données à caractère personnel.

Aux termes de la Règlementation, les données doivent être exactes et, si nécessaire, tenues à jour.

Toutes les mesures raisonnables doivent être prises pour rectifier les données dès lors qu’elles ne sont pas correctes (erreur dans les données, par exemple). Cela peut passer par une modification ou par la suppression des données obsolètes ou inexactes.

A ce titre, les données doivent également être mises à jour tout au long du traitement afin de s’assurer qu’elles sont et demeurent exactes.

C’est dans ce contexte que la CNIL s’est prononcée en décembre 2023, et a sanctionné l’absence de mise à jour de données par les ministères de l’Intérieur et des Outre-mer, de l’Europe et des Affaires étrangères concernant les demandes de visas passées et en cours. Les ministères utilisaient des copies locales d’un fichier de demandes de visa au lieu d’utiliser le fichier centralisé, entrainant de ce fait une absence de mise à jour des données. Dans ce cadre, les données que traitaient les Ministères n’étaient pas exactes.

En parallèle de ce principe d’exactitude, la Règlementation prévoit un droit de rectification permettant aux personnes concernées d’obtenir du responsable de traitement que les données les concernant soient modifiées, notamment en complétant les données par une déclaration complémentaire.

Rappelons à ce titre qu’un autre principe fondamental de la Règlementation est celui d’assurer la protection des données par défaut, et tout au long du traitement de données. S’assurer de disposer de mécanisme de rectification des données participe du respect de cette protection par défaut, par exemple via un espace dédié permettant aux personnes concernées de rectifier les données les concernant.

En effet, traiter des données inexactes pourrait être préjudiciable pour les personnes concernées. La CNIL a sanctionné le responsable de traitement du fichier automatisé des empreintes digitales. Ce fichier ne prenait pas en compte les décisions de relaxe, d’acquittement, de non-lieu et de classement sans suite qui avaient été rendues par les autorités judiciaires. Cela contrevenait à l’exigence de mise à jour des données, et donc d’exactitude des données.

  • Article 5 1) d. RGPD – Principes relatifs au traitement des données à caractère personnel
  • Article 4 4° Loi n°78-17
  • Article 16 RGPD Droit de rectification
  • Délibération SAN-2023-017 du 11 décembre 2023 concernant le ministère de l’Intérieur et des Outre-mer et le ministère de l’Europe et des Affaires étrangères
  • Délibération SAN-2021-016 du 24 septembre 2021 concernant le traitement X
  • Délibération SAN-2024-001 du 8 janvier 2024 relative à l’injonction prononcée à l’encontre de […] par la délibération n°SAN-2021-016 du 24 septembre 2021

Date de mise à jour : 09 septembre 2024

Deuxième rapport d’application du RGPD : la Commission européenne dresse le bilan

COM_2024_357_FIN_FR_TXT-1

4 ans après son premier rapport d’application du RGPD publié en 2020, la Commission européenne dresse son second bilan. Depuis 2020, de nombreux textes ont été adoptés par l’Union européenne concernant notamment le développement de l’intelligence artificielle, la facilitation de la recherche novatrice, ou encore la création d’un environnement numérique plus sûr. Bien que la Commission européenne salue ces évolutions, elle souligne dans ce bilan d’application qu’il reste des progrès à faire dans de nombreux domaines.

Un point particulièrement mis en lumière est le besoin d’une application cohérente de la règlementation relative à la protection des données, par les différents Etats membres de l’Union. La Commission relève différents points. Le RGPD a laissé la possibilité aux Etats membres d’adopter des législations sectorielles, amenant parfois à des contradictions entre les diverses règlementations nationales au sein même de l’Union européenne freinant ainsi la libre circulation des données.

Par ailleurs, chaque autorité de protection des données est libre d’adopter des lignes directrices reflétant son interprétation de la règlementation. Cela donne lieu à des divergences d’interprétation de la réglementation entre les autorités de protection des données, conduisant à une insécurité juridique. La Commission prend pour exemple les points de vue divergents de certains Etats membres sur la base juridique appropriée dans le cadre de la conduite d’un essai clinique notamment, ou encore sur la qualification des parties entre responsable de traitement et sous-traitant. De surcroit, la Commission relève que certaines autorités de protection des données publient parfois des lignes directrices au niveau national, qui sont contraires à celles du Comité européen de la protection des données. 

Afin d’améliorer l’application du RGPD, d’accroitre la cohérence qui lui fait parfois défaut et d’harmoniser les législations, la Commission a notamment proposer d’adopter un règlement sur les règles de procédure en juillet 2023. Cette proposition vise à mettre en place des voies de recours rapides pour les particuliers. La Commission a relevé que les autorités de protection des données renforçaient leur coopération, et avaient davantage recours au mécanisme de contrôle de cohérence, de façon informelle. Elle recense 1000 demandes d’assistance mutuelle formelles, contre 12 300 informelles. 

S’agissant toujours de l’application cohérente de la règlementation, la Commission relève également le besoin d’adopter des lignes directrices plus concises et qui répondent davantage à la pratique. En effet, selon les autorités de protection des données, les lignes directrices adoptées par le CEPD sont trop théoriques, et ne répondaient pas aux problèmes concrets que se posent les acteurs. Il est nécessaire que le CEPD consulte les parties prenantes afin de mieux appréhender les dynamiques du marché. Par exemple, il a été identifié la nécessité d’adopter des lignes directrices concernant l’anonymisation et la pseudonymisation, ou encore l’intérêt légitime et la recherche scientifique.

En conclusion, la Commission considère qu’il convient de se concentrer sur l’application rigoureuse du RGPD, par une interprétation et une application cohérente dans l’ensemble de l’Union, et également sur la coopération entre les différentes autorités.

News – Le principe de minimisation

Le principe de minimisation des données est un des six principes fondamentaux encadrant le traitement des données à caractère personnel.

Selon ce principe, les données à caractère personnel faisant l’objet d’un traitement doivent être adéquates et pertinentes au regard de la finalité du traitement. Les données sont pertinentes si elles présentent un lien nécessaire avec les finalités poursuivies.

Les données doivent être limitées à ce qui est nécessaire au regard des finalités de traitement. Ce critère de nécessité s’entend aussi bien de la quantité de données collectées que de leur qualité. En d’autres termes, un nombre excessif de données collectées pourrait contrevenir au principe de minimisation.

  • Par exemple, un employeur qui demanderait, dès le stade de l’entretien d’embauche, les informations relatives au numéro de sécurité sociale d’un candidat à une offre de poste, ne respecterait pas le principe de minimisation. En effet, il est inutile de détenir le numéro de sécurité sociale du candidat tant qu’il n’a pas été sélectionné pour occuper le poste : ce dernier ne sert qu’à satisfaire certaines obligations salariales.
  • La CNIL a mis en demeure en avril 2024 une société pour non-respect du principe de minimisation des données. Plusieurs candidats avaient porté plainte en raison du nombre trop important de données qui étaient collectées par le recruteur : des informations concernant notamment le lieu de naissance, la nationalité et la situation familiale des candidats alors que les candidats n’avaient pas encore été choisis pour le poste. Afin de déterminer les données qu’il est possible de collecter, la CNIL a ainsi rappelé que le principe de minimisation impose de ne collecter que les données présentant un lien direct et nécessaire avec l’emploi proposé ou l’évaluation des aptitudes professionnelles.

En outre, le principe de minimisation suppose de ne traiter les données à caractère personnel s’il n’y a pas raisonnablement d’autre moyen d’atteindre la finalité. Ainsi, s’il est possible pour un centre d’appel d’enregistrer certaines conversations des appels entrants et sortants, à des fins de formation, d’évaluation ou pour se prévaloir d’éventuels litiges, l’enregistrement ne doit pas être réalisé en continu.

  • C’est ce que la CNIL a sanctionné dans le cadre de la procédure simplifiée en juin 2024. Un centre d’appel enregistrait systématiquement la totalité des conversations alors que la mise en place d’un enregistrement ponctuel et aléatoire était suffisante pour la formation des salariés, et pour la bonne exécution du service.
  • Article 5 du RGPD – Principes relatifs au traitement des données à caractère personnel
  • CNIL – Recrutement : la CNIL met en demeure une société de minimiser la collecte de données personnelles de candidats – 25 avril 2024
  • CNIL – La CNIL a prononcé neuf nouvelles sanctions dans le cadre de la procédure simplifiée – 5 juin 2024

Date de mise à jour : 15 juillet 2024

Observatoire du métier de DPO : le point en 2024

enquete_dpo_2024-1

Depuis 2018, les enjeux liés au métier de délégué à la protection des données sont étudiés par la Commission nationale de l’informatique et des libertés (CNIL), l’Association française des correspondants à la protection des données (AFCDP) et la Délégation générale à l’emploi et à la formation professionnelle (DGEFP). Cette dernière étude, enregistre un record de participation, avec 3625 DPO répondants contre seulement 1811 lors de la dernière étude.

Si le nombre de DPO est en forte croissance depuis 2019 (21 000 en 2019 contre 34 440 début 2024), leur niveau de formation et de compétences reste un sujet prédominant. Dans cette étude, l’Agence nationale pour la formation professionnelle des adultes (l’AFPA), relève que le nombre de DPO a largement augmenté notamment au sein des plus petites structures. En revanche, il s’agit majoritairement de profils sans expertise juridique, ni informatique. Et ces DPO disposent également de moins de moyens que ceux qui sont nommés au sein de plus grosses structures (plus de 250 salariés). La CNIL s’inquiète des risques de cette évolution s’agissant de la capacité de ces profils de DPO à évaluer les risques, et mener à bien leurs missions.

En ce sens, la CNIL a indiqué qu’elle allait notamment renforcer sa vigilance sur les moyens alloués aux DPO pour réaliser leur mission. Elle veillera au conflit de priorité c’est-à-dire le temps disponible pour exercer la mission ainsi qu’au nombre d’organismes à gérer et aux possibilités qu’ils ont d’être formés.

Cette étude relève également la question de la formation avec un pourcentage élevé de DPO se sentant pas ou peu formés aux données personnelles : 68% des DPO récemment désignés, c’est-à-dire depuis un an ou moins, qui n’ont pas reçu de formation, ou pour les plus anciens, une formation Informatique et Libertés de 1 à 2 jours depuis 2016. Plus généralement, 55% des DPO qui ont participé à l’enquête en 2024 se sentent peu ou pas formés.

Un autre constat est celui du temps consacré par les DPO à leur mission : dans les petites structures, plus de 96% exercent à temps partiel, et presque les trois quarts indiquent ne pouvoir accorder que 25% de leur temps à cette mission. Par ailleurs, 86% des DPO exercent leurs fonctions seuls.

Pour rappel, le RGPD indique que le DPO est désigné sur la base de ses connaissances du droit et des pratiques en matière de protection des données. Cela implique des connaissances au moment de sa désignation, mais également la possibilité de se former pour maintenir ces connaissances et de les mettre à jour dans la mesure où le sujet des données personnelles évolue avec les années.

  • Etude 2024 – Evolution de la fonction de Délégué à la Protection des Données – AFPA
  • Article 37 du RGPD – Désignation du délégué à la protection des données

05 juillet 2024

News – Comment réutiliser des données publiées sur internet?

Les modalités d’ouverture et de réutilisation des données à caractère personnel sur internet ont été précisées par la CNIL dans ses recommandations parues début juin 2024.

Pour rappel, l’open data désigne un mouvement d’ouverture et de mise à disposition des données produites et collectées par les services publics comme les administrations, les établissements publics etc…

Une réutilisation des données ou utilisation secondaire des données, constitue un traitement dit « ultérieur », c’est-à-dire un traitement qui suit l’opération de collecte et qui a une finalité différente de celle justifiant la collecte initiale.

Dans tous les cas, la règlementation relative à la protection des données personnelles s’applique, dès lors que des données personnelles sont traitées :  le fait qu’il s’agisse d’open data (autrement dit de données publiées sur internet) n’a pas d’incidence. C’est ce que rappelle le Code des relations entre le public et l’administration, qui indique que dès qu’un traitement suppose la réutilisation de données personnelles, il faut respecter la Loi informatique et libertés.

Ces recommandations sont des ressources pour tous les acteurs, qu’il s’agisse de ceux qui diffusent les données, ou de ceux qui les réutilisent. Elles ne sont pas contraignantes mais constituent des guides permettant de s’assurer de la conformité du traitement envisagé. Par exemple, la CNIL y explique comment déterminer la base légale du traitement, ou encore comment concilier minimisation et open data.

Chacune de ces recommandations rappelle les principes fondamentaux à suivre dans le cadre de la mise en place de traitements liés à l’open data, des questions pratiques à se poser, et présente des cas d’usage. Dans les prochains mois, la CNIL a indiqué que ces cas d’usage pourraient évoluer et être complétés par d’autres thématiques. En effet, le travail concernant le partage des données se poursuit, et notamment s’agissant des sujets relatifs à la circulation des données à des tiers spécifiquement autorisés (Data Governance Act, Data Act, etc : partage de données d’intérêt général avec les pouvoirs publics par exemple).

  • Délibération n°2024-041 du 25 janvier 2024 portant adoption de deux recommandations relatives à l’application du règlement général sur la protection des données aux traitements d’ouverture et de réutilisation de données à caractère personnel publiées sur internet
  • Article L. 322-2 du Code des relations entre le public et l’administration
  • Sous-traitants : la réutilisation de données confiées par un responsable de traitement – CNIL

News – Le principe de finalité

PDF Embedder requires a url attribute

QUE SIGNIFIE LE PRINCIPE DE LIMITATION DES FINALITES ?

Principe fondamental de la protection des données, la limitation des finalités est imposée par l’article 5 du Règlement général sur la protection des données (« RGPD »). Il s’agit de ne collecter des données que pour « des finalités déterminées, explicites et légitimes ».

Par ailleurs, l’utilisation ultérieure des données est permise dès lors que la nouvelle finalité est compatible avec la finalité initiale. Le RGPD prévoit la réalisation d’un test de compatibilité aux fins de déterminer la possibilité de réutiliser les données ainsi collectées.

A ce titre, le responsable de traitement devra donc se poser les questions suivantes avant de réutiliser des données pour une autre finalité :

  • Existe-t-il un lien entre la finalité initiale pour laquelle ont été collectées les données et la finalité ultérieure dans le cadre de laquelle elles vont être réutilisées ?
  • Dans quel contexte ont-été collectées les données initialement ? La relation entre le responsable de traitement et les personnes concernées dans le cadre de la collecte initiale a-t-elle changé dans le cadre de la réutilisation des données ?
  • Quelle est la nature des données traitées ? Des données sensibles sont-elles concernées ?
  • Quelles sont les conséquences possibles du traitement amené par la réutilisation des données sur les personnes concernées ?
  • Quelles sont les garanties appropriées mises en place dans le cadre de la réutilisation des données, par exemple le chiffrement ou la pseudonymisation ?

A noter toutefois qu’une finalité incompatible ne signifie pas interdiction de réutilisation : le responsable de traitement souhaitant réutiliser les données dans ce cadre devra alors réinformer les personnes concernées et, le cas échéant, obtenir leur accord. Voir en ce sens la décision de la CNIL du 11 octobre 2018 mettant en demeure cinq sociétés d’assurance pour détournement de finalités : elles utilisaient les données de paiement des allocations retraite pour faire de la prospection commerciale.

Par ailleurs, la règlementation présume la réutilisation des données à des fins archivistiques dans l’intérêt public, de recherche scientifique ou à des fins statistiques comme un traitement compatible. En ce sens les données collectées dans le cadre du soin pourraient alors être réutilisées à des fins de recherche pour améliorer la prise en charge de la pathologie sans que l’on puisse considérer ce traitement incompatible.

Rappelons enfin que ce principe de finalité va de pair avec le principe de transparence : en dehors de l’exigence de compatibilité des finalités, elles doivent être déterminées et explicites. A cet effet, les personnes concernées doivent en être informées spécifiquement. Les personnes concernées doivent être en mesure de comprendre les utilisations secondaires de leurs données.

  • Article 6 RGPD
  • Décision n°2018-333 du 11 octobre 2018

Qu’est ce qu’une donnée identifiante?

PDF Embedder requires a url attribute

La notion de données à caractère personnel est définie par la Règlementation comme « toute information se rapportant à une personne physique identifiée ou identifiable » (personne concernée).

Identifiée ou identifiable : qu’entend-on par-là ?

  • Directement : nom, prénom…
  • Indirectement : identifiant, numéro client, plaque d’immatriculation, numéro de téléphone,
  • A partir d’une seule donnée : ADN, photo  
  • A partir d’un croisement d’un ensemble de données : la personne opérée tel jour de telle pathologie dans tel établissement

La notion de donnée à caractère personnel s’entend très largement : la seule possibilité d’établir un lien avec une personne physique suffit. Pour déterminer si cette possibilité existe, l’ensemble des moyens raisonnablement susceptibles d’être employés par le responsable de traitement doit être pris en considération. Le RGPD précise que doit être pris en compte « l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci ».

La jurisprudence de la Cour de justice de l’Union Européenne (CJUE) a permis d’établir que le lien s’entend largement. La CJUE avait statué dans son affaire Breyer que la notion d’indirectement identifiant ne nécessitait pas que les informations permettant ladite identification soient dans les mains de la même personne.

Elle s’est également prononcée sur le caractère « de moyens raisonnablement susceptibles d’être utilisés » des informations à utiliser pour identifier une personne : l’arrêt Breyer avait notamment permis de considérer qu’une identification interdite par la loi, ou irréalisable en pratique n’est pas un moyen raisonnablement susceptible d’être utilisé. En effet, le juge européen avait conclu en l’espèce qu’une adresse IP dynamique était une donnée à caractère personnel pour le fournisseur d’accès à internet dès lors que ce dernier disposait de moyens légaux lui permettant d’identifier la personne concernée en combinant cette donnée aux autres données dont il dispose sur la personne concernée.

Le 7 mars 2024, la CJUE s’est à nouveau prononcée sur le sujet du caractère indirectement identifiant concernant un communiqué de presse relatif à une fraude dans le cadre du financement d’un projet de recherche. Dès lors que le communiqué de presse mentionnait des informations concernant la personne : son genre, sa nationalité, le montant de la subvention, la localisation de l’entité l’octroyant, il est possible d’identifier indirectement la personne concernée. Dans cet arrêt, la CJUE a également pris en compte l’intérêt que pouvait susciter le communiqué de presse auprès du public, et donc le fait que le public risquait de faire des recherches afin d’identifier la personne en question pour déterminer si cette dernière était ou non identifiable.

  • Article 4 du RGPD – Définitions
  • CJUE, 19 Octobre 2016, Affaire Breyer, C‑582/14
  • CJUE, 7 mars 2024, P – C‑479/22

Violation de données

LES VIOLATIONS DE DONNEES – BILAN ET RECOMMANDATIONS

Définies comme « une violation de la sécurité, entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données », les violations de données sont encadrées par le RGPD.

A ce titre, dès lors qu’elles sont susceptibles d’entrainer un risque pour les personnes concernées, elles doivent être notifiées à la CNIL, si possible, dans un délai de 72 heures à compter de leur connaissance par l’organisme. Une communication aux personnes concernées est également obligatoire si la violation entraine un risque élevé pour les personnes concernées.

  • Sur ce point, le Comité européen de la protection des données (CEPD) renvoie à ses lignes directrices sur l’analyse d’impact pour qualifier le risque important. Pour rappel, l’évaluation du  risque important est à l’égard des personnes concernées et non pour le responsable de traitement.

La CNIL dresse un bilan des notifications de violations de données intervenues depuis l’entrée en application du RGPD, il y a cinq ans. Elle y constate un nombre croissant de notifications, mais ne sait pas distinguer ce qui est dû à la prise en compte grandissante de la règlementation et de l’obligation de notifier de tels incidents de sécurité, de ce qui proviendrait de menaces grandissantes sur les données personnelles.

La CNIL fait le constat que plus de la moitié des violations de données proviennent d’actes malveillants, de piratage informatique, principalement par rançongiciels ou hameçonnage.

  • Aussi, il semble recommandé que les responsables de traitement s’assurent que leurs collaborateurs soient formés à la sécurité, et aux principes élémentaires de protection des données personnelles, leur permettant d’adopter les bons réflexes en cas d’incident.
  • Ce bilan fait écho à l’actualisation par la CNIL de son guide de sécurité sur les données personnelles, publié le 26 mars 2024. Cette actualisation a été enrichie notamment d’une nouvelle fiche sur le pilotage de la sécurité des données. La CNIL a également décidé de scinder son ancienne fiche 4 sur « Tracer les opérations et gérer les incidents » en deux fiches distinctes relatives à la traçabilité des opérations, et une autre concernant la gestion des incidents et les violations.

La CNIL revient également sur les délais liés aux violations de données. Si le délai posé par la règlementation est de 72 heures après la connaissance par l’organisme de cette dernière, en pratique la CNIL constate que pour 75% des violations, les notifications interviennent dans les 11 jours de la qualification de l’incident.

  • La bonne pratique à adopter, comme le rappelle la CNIL dans ce bilan, est d’établir une première notification même partielle dans le délai imparti, qui sera complétée par la suite.
  • Article 32 et 33 du Règlement Général sur la Protection des Données
  • Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679, CEPD
  • Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, CEPD
  • Violations de données personnelles : bilan de 5 années de RGPD, CNIL
  • Guide de sécurité des données personnelles – Version 2024

Version du 22 mai 2024

Mise à jour du référentiel HDS – Ce qui change – Mai 2024

Le référentiel de certification pour l’hébergement de données de santé à caractère personnel (HDS) défini par arrêté du 11 juin 2018 prévoit les exigences de sécurité notamment applicables aux prestations d’hébergement de données. Est paru au journal officiel du 16 mai 2024 la nouvelle version du référentiel, par arrêté du 26 avril 2024.  

Pour rappel, cette certification est obligatoire pour « toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, réalise cet hébergement dans les conditions prévues au présent article. » (Article L.1111-8 du Code de la santé publique)

Cette nouvelle version du référentiel précise notamment les activités d’hébergement, propose une matrice de correspondance SecNumCloud, clarifie les rôles des acteurs dans l’hébergement… et surtout : l’exigence d’héberger les données au sein de l’Espace Economique Européen (EEE). Cette exigence de territorialité n’existait pas précédemment ; jusqu’à présent, seul le référentiel SNDS imposait cette exigence (exigence 3.2 du référentiel SNDS). Désormais, le référentiel HDS prévoit que seuls des accès à distance pourront être réalisés depuis des pays en dehors de l’EEE, à condition de prévoir les garanties appropriées (décision d’adéquation, ou à défaut clauses contractuelles types, BCR, arrangement administratif, etc).

Par ailleurs, outre la souveraineté des données, cette nouvelle version renforce les exigences de transparence de l’hébergeur sur ce sujet. En effet, désormais l’hébergeur a la charge de lister à son client, tant les législations extra-européennes qui pourraient exiger un accès non autorisé par le droit de l’Union aux données hébergées, que les mesures mises en œuvre pour pallier ce risque, et les risques résiduels. En sus, une information publique sur ce sujet devra figurer sur le site internet de l’hébergeur, et sera reprise par l’ANSSI dans la liste des hébergeurs certifiés.  

Cette nouvelle version renforce également les exigences contractuelles à la charge de l’hébergeur, notamment des exigences relatives à la protection des données. Il est ainsi conseillé de se référer aux clauses contractuelles types de la commission européenne s’agissant de la sous-traitance, et aux recommandations du Comité européen de la protection des données concernant les mesures de sécurité.

  • Arrêté du 6 mai 2024 relatif au référentiel de sécurité applicable au Système national des données de santé
  • Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil (Texte présentant de l’intérêt pour l’EEE)
  • Recommandations 01/2020 du Comité européen de la protection des données sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE

Données de santé et données de performance sportive : comment les articuler?

PDF Embedder requires a url attribute

Une donnée de santé est une donnée à caractère personnel relative à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèle des informations sur l’état de santé de cette personne.

Trois catégories de données entrent dans cette définition : les données de santé par nature, les données de santé par destination (devenues des données de santé du fait de leur utilisation sur le plan médical), et également les données qui, du fait de leur croisement avec d’autres données, deviennent des données de santé en permettant de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne.

Dans ce cadre, le domaine de la performance sportive fait appel à des données de santé. Aux fins de mesures de la performance sportive individuelle des sportifs, il est nécessaire de recueillir des données de santé : telles que la fréquence cardiaque, le poids, la taille, les habitudes alimentaires.

A cet égard, les données ainsi traitées entrent dans le cadre de l’interdiction de traitement édictée par l’article 9 du RGPD, et leur traitement doit donc reposer sur l’une des dérogations prévues par la Règlementation.

La plupart du temps, ces traitements reposent sur le consentement des sportifs. Attention la validité du consentement pourrait être remise en question sur le critère libre de ce dernier.

  • En effet la CNIL rappelle sur ce point que le consentement pourrait ne pas pouvoir être mobilisé s’agissant des sportifs de haut niveau, étant donné que ce consentement conditionnera probablement sa participation à la sélection opérée par son entraineur. En effet, le consentement ne serait alors pas libre, car si le sportif décidait de ne pas consentir, cela pourrait avoir des conséquences néfastes sur lui.

Il ne faut toutefois pas confondre :  si des données de santé sont collectées dans ce cadre, cela ne fait pas pour autant nécessairement entrer le traitement dans les traitements de données dans le domaine de la santé au sens de la règlementation, notamment dans la section III du chapitre 3 du titre II de la LIL . Ils ne sont mis en œuvre ni à des fins de prise en charge, ni à des fins de recherche. Dans ce cas, pas de formalité préalable auprès de la CNIL.

Une attention particulière à la finalité du traitement doit être portée : s’il a pour objectif de recenser les blessures liées à la pratique d’un sport déterminé, la CNIL rappelle qu’il est possible de le qualifier de traitement dans le domaine de la santé, et à ce titre qu’il devienne soumis aux dispositions applicables.

  • Article 4 du RGPD – Définitions
  • Article 9 du RGPD – Interdiction de traitement
  • Titre II, chapitre 3, Section 3 Traitements dans le domaine de la santé LIL