Imprimer
PDF

La Foire aux Questions des DCP

 bouton3    Qu’est-ce qu’une donnée à caractère personnel ?

La loi qualifie de donnée à caractère personnel, « toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, relative à une personne physique identifiée ou indentifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique ».
Une donnée à caractère personnel est donc une donnée qui permet d’identifier un individu ou une donnée relative à une personne déjà identifiée.
Exemple : Nom ; prénom ; numéro de téléphone ; numéro de CNI ; voix, image ; donnée biométrique etc.

bouton3    Qu’est-ce qu’une donnée sensible ?

Les données sensibles sont celles qui font apparaitre, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes ou sont relatives à la santé ou la vie sexuelle decelles-ci.

bouton3    Qu’est-ce qu’un traitement ?
Constitue un traitement de données à caractère personnel, toute opération de : collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, communication, rapprochement, interconnexion, etc. 

bouton3    Qu’est-ce que la biométrie ?
La biométrie recouvre l’ensemble des procédés tendant à identifier un individu à partir de la mesure de l’une ou de plusieurs de ses caractéristiques physiques, physiologiques ou comportementales : l’ADN, la rétine, l’iris, l’empreinte digitale, la reconnaissance faciale, la géométrie du contour de la main, la voix, l’écriture manuscrite.
Tous les traitements comportant des données biométriques doivent faire l’objet d’une autorisation préalable de l’ARTCI, Autorité de Protection désignée par la loi.

bouton3    Qu’est-ce qu’un responsable du traitement ?
C’est une personne physique (un médecin, un commerçant…) ou une personne morale, publique ou privée, (une entreprise, une administration, un établissement hospitalier
…) ou toute autre organisation ou association (syndicat, fédération...) qui, seul ou conjointement avec d’autres, prend la décision de traiter des données à caractère personnel et en détermine les finalités.
Un responsable du traitement se caractérise donc par son autonomie dans la mise en place et la gestion d’un traitement. C’est lui qui décide de créer ou de supprimer le traitement. Il doit donc veiller au respect de toutes les obligations imposées par la loi. C’est sur le responsable du traitement que pèsent les obligations prévues par la loi.

bouton3    Qu’est-ce que la finalité d’un traitement de données à caractère personnel ?
La finalité d’un traitement est l’objectif poursuivi par le responsable du traitement. La personne concernée doit savoir à quoi serviront ses données. La finalité doit être déterminée, légitime et explicite lors de la collecte.
Le responsable du traitement doit, avant de mettre en œuvre un traitement, s’interroger sur les catégories de données à collecter pour pouvoir atteindre les finalités qu’il s’est fixées.
La collecte des données ne doit pas aller au-delà de ce qui est nécessaire au regard de la ou des finalités poursuivies.

bouton3    Un traitement peut-il poursuivre plusieurs finalités ?
Oui. Il est possible pour un organisme, au sein d’une déclaration unique, de regrouper un ensemble de traitements présentant des finalités identiques ou liées entre elles.
Par exemple, tel peut être le cas de différents traitements liés à la gestion du personnel comme le recrutement, la paie ou la formation.

bouton3    Quelles sont les conditions de mise en œuvre d’un traitement ?
Les conditions de mise en œuvre d’un traitement sont :
-    la légitimité du traitement;
-    la loyauté et licéité du traitement;
-    la détermination spécifique de la finalité du traitement et des conditions de réutilisation des données ;
-   le respect du principe de proportionnalité dans la collecte et le traitement des données, celles-ci devant être pertinentes, adéquates et non-excessives au regard des finalités de la collecte et des traitements ;
-    l’exactitude et la mise à jour des données qui doivent être également complètes ;
-    la durée de conservation, sous une forme permettant l’identification des personnes concernées, proportionnée à la finalité ;
-    la confidentialité et la protection des données traitées.

bouton3    En quoi un traitement peut-il être considéré comme loyal et licite ?
Le traitement loyal et licite de données suppose que les personnes concernées puissent connaître l’existence des traitements et bénéficier d’une information effective et complète au regard des circonstances de ce traitement.

bouton3    La collecte de données sensibles est-elle autorisée ?
L’article 21 de la loi de protection des données à caractère personnel pose le principe de l’interdiction de collecter ou de traiter des données sensibles.
Cet article prévoit néanmoins plusieurs exceptions dans les cas suivants, sous réserve de la soumission préalable du traitement à une autorisation délivrée par l’ARTCI :
-    les traitements de données à caractère personnel portant sur des données manifestement rendues publiques par la personne concernée;
-    les traitements des données génétiques ou relatives à l’état de santé lorsqu’ils sont nécessaires à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement;
-     les traitements, notamment des données génétiques, lorsqu’ils sont nécessaires à la contestation, à l’exercice ou à la défense d’un droit en justice de la personne concernée;
-    les traitements de données à caractère personnel lorsqu’une procédure judiciaire ou pénale est ouverte mais uniquement lorsque le traitement des données à caractère personnel a pour finalité la constatation des faits ou la manifestation de la vérité;
-     les traitements effectués dans le cadre des activités légitimes d’une fondation, d’une association ou de tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse, mutualiste ou syndicale. Le traitement doit toutefois se rapporter aux seuls membres de cet organisme ou aux personnes entretenant avec celui-ci, des contacts réguliers liés à sa finalité. Par ailleurs, les données ne doivent pas être communiquées à des tiers sans le consentement des personnes concernées.
Il convient, par conséquent, de considérer que, sauf si le traitement entre dans l’une de ces exceptions, toute collecte de données sensibles est strictement interdite.

bouton3     Peut-on traiter les données qu’on a collectées pour d’autres finalités ?
Non. Lorsque la finalité change, il faut revenir vers l’Autorité de Protection pour faire une déclaration ou obtenir une autorisation selon le cas.

bouton3    Qu’est-ce qu’un fichier ?
Constitue un fichier de données à caractère personnel, tout ensemble structuré de données accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique permettant d’identifier une personne déterminée.

bouton3    Quels sont les rôles du responsable du traitement en matière de protection des données à caractère personnel ?
Le responsable du traitement est notamment chargé :
-    de veiller au respect des principes de la protection des données personnelles tel que prévu par la Loi du 19 juin 2013 relative à la protection des données personnelles ;
-    de procéder à l’accomplissement des formalités auprès de l’Autorité de protection des données personnelles (dépôt des déclarations, demandes d’autorisation …) ;
-    d’informer les personnes de l’existence des droits que la loi leur confère (droits d’accès, de rectification et d’opposition) et de répondre aux sollicitations qu’il reçoit d’elles dans ce cadre ;
-    de désigner un Correspondant à la protection des données personnelles ;
-    d’établir un rapport annuel pour le compte de l’Autorité de protection des données.

bouton3  Le responsable du traitement doit-il effectuer une nouvelle déclaration ou une nouvelle demande d’autorisation en cas de modification des informations visées à l’article 9 de la loi PDCP ?
Oui. Le responsable du traitement est tenu d’informer l’ARTCI de tout changement affectant les informations figurant dans la déclaration ou demande d’autorisation.

bouton3  Qu’est-ce qu’un sous-traitant ?
Le responsable du traitement peut décider de déléguer tout ou partie des activités de traitement à une organisation extérieure.
Le sous-traitant est donc, d’une part, une personne physique ou morale distincte du responsable du traitement et, d’autre part, une personne physique ou morale qui traite les données à caractère personnel pour le compte du responsable du traitement, sans possibilité de faire quelque traitement que ce soit que le responsable n’a pas préalablement expressément autorisé.
Le sous-traitant a pour mission d’exécuter des tâches sur les instructions et sous la responsabilité du responsable de traitement, exportateur des données.
En cas de recours à un sous-traitant, le responsable du traitement doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer.

bouton3  Quelles sont les obligations du responsable du traitement ?
Outre le respect des principes attachés à la licéité de la collecte des données personnelles le responsable du traitement est tenu de faire droit au demande d’accès, de rectification, d’opposition, de suppression et d’effacement des données formulées par les personnes concernées et ce dans les conditions prévues par la Loi.

  •   Obligations de sécurité

Le responsable du traitement est tenu de prendre toute précaution à l’égard des données, notamment d’assurer leur sécurité, et d’empêcher qu’elles soient déformées, endommagées, ou que des tiers y aient accès.

  •    Information des personnes dont les données personnelles font l’objet d’un traitement

Le responsable du traitement est tenu de fournir à la personne dont les données font l’objet d’un traitement, au plus tard, lors de la collecte de différentes informations telles que son identité, les catégories de données concernées, les finalités du traitement, les destinataires, la possibilité de refuser de figurer sur le fichier, l’existence d’un droit d’accès, la durée de conservation des données, l’éventualité de tout transfert de données à destination d’un pays tiers.

  •    Réponse aux sollicitations des personnes dont les données personnelles font l’objet d’un traitement

Le responsable du traitement est tenu de fournir aux personnes concernées :
-    les informations permettant de connaître et contester un traitement;
-    la confirmation que des données à caractère personnel les concernant font ou non l’objet d’un traitement ;
-    la communication des données à caractère personnel les concernant et l’indication de leur origine ;
-    les informations sur la finalité du traitement ;
-    les informations relatives aux catégories de données et destinataires de celles-ci.

  •   Obligation technique

Le responsable du traitement est tenu de prendre toute mesure utile pour s’assurer que les données à caractère personnel traitées peuvent être exploitées quel que soit le support technique utilisé.

bouton3  Le responsable du traitement doit-il justifier des précautions prises pour assurer la sécurité informatique et la confidentialité des données à caractère personnel ?
Oui. Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données, et, notamment, empêcher qu’elles ne soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

bouton3  Qu’est-ce que le correspondant à la protection des données à caractère personnel?
Le correspondant à la protection des données est un interlocuteur spécialisé en matière de protection de données à caractère personnel, tant pour le responsable des traitements que dans les rapports de ce dernier avec l’Autorité de protection.
Son rôle consiste à devenir le relais de l’Autorité de protection dans l’entreprise. A cet effet, il a un rôle de conseil et de suivi dans la légalité de déploiement des projets informatiques et peut réaliser des audits et une certaine médiation.

bouton3  Quelle est la mission du correspondant à la protection des données à caractère personnel ?
Le correspondant veille au respect des obligations prévues par la loi de protection des données à caractère personnel pour les traitements au titre desquels il a été désigné.
Les fonctions du correspondant à la protection consistent à :
-    tenir à jour la liste des traitements effectuées ;
-    détenir une copie des codes et mots de passe pour l’accès aux fichiers relatifs aux traitements effectué ;
-    assurer l’accès à ces données à toute personne concernée qui en en fait la demande ;
-    veiller au respect de la législation en vigueur ;
-   signaler au responsable du traitement, les violations constatées de la législation en matière de protection des données à caractère personnel ;
-    notifier à l’ARTCI toute violation de la législation en matière de protection des données à caractère personnel préalablement signalée et non corrigée dans un délai de trois mois à compter du signalement.


bouton3   Le responsable des traitements peut-il être désigné comme correspondant à la protection des données à caractère personnel ?
Non. Le correspondant à la protection des données doit exercer sa mission en toute indépendance.
Le correspondant ne reçoit aucune instruction pour l’exercice de sa mission. Le responsable des traitements ou son représentant légal ne peut donc pas être désigné comme correspondant.

bouton3  Le correspondant à la protection des données à caractère personnel peut-il être sanctionné par l’employeur?
Non. Le correspondant à la protection des données personnelles ne peut faire l’objet d’aucune sanction ni d’opposition de la part du responsable du traitement du fait de l’accomplissement de ses missions.
LA PROTECTION
DES DONNEES
A CARACTEREUESTIONS

bouton3  Qui désigne le correspondant à la protection des données à caractère personnel, le responsable du traitement ou l’ARTCI ?
Le correspondant à la protection des données à caractère personnel est désigné par le responsable de la mise en œuvre des traitements à caractère personnel.
Cette désignation est notifiée à l’ARTCI.

bouton3  L’ARTCI donne-t-elle son agrément pour le choix du correspondant à la protection des données à caractère personnel ?
Oui et non. S’agissant des correspondants à la protection des données à caractère personnel, personne physique, l’ARTCI se prononce sur la désignation du correspondant dans un délai de trente jours. L’ARTCI peut alors faire opposition ou non à la désignation du correspondant.
En revanche, les personnes morales désignées correspondant à la protection des données à caractère personnel doivent être agréées par l’ARTCI.

bouton3  Qu’est-ce qu’une personne concernée ?
Toute personne qui fait l’objet d’un traitement de données à caractère personnel.

bouton3  Quels sont les droits reconnus par la loi à la personne concernée ?
La loi reconnaît aux personnes dont les données à caractère personnel sont traitées des droits spécifiques suivants :
-    le droit à l’information ;
-    le droit d’opposition ;
-    le droit d’interrogation ;
-    le droit d’accès ;
-    le droit de rectification ;
-    le droit à l’oubli.

bouton3  Qu’est-ce que le droit à l’information ?
Toute personne a le droit de savoir si des données à caractère personnel la concernant font ou non l’objet d’un traitement. Le droit à l’information sur ses propres données à caractère personnel vise aussi bien la collecte des données que leur utilisation.
La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement, au plus tard lors de la collecte et ce, quels que soient les moyens et supports employés :
-    de l’identité du responsable du traitement et, le cas échéant, celle de son représentant dûment mandaté ;
-    de la ou des finalités déterminées au traitement auquel les données dont destinées ;
-    des catégories de données concernées ;
-    du ou des destinataires auxquels les données sont susceptibles d’être communiquées ;
-    de la possibilité de refuser de figurer sur le fichier en cause ;
-    de l’existence d’un droit d’accès aux données concernant la personne et d’un droit de rectification de ces données ;
-    de la durée de conservation des données ;
-    de l’éventualité de tout transfert de données à destination de pays tiers.
L’information obligatoire délivrée par le responsable du traitement doit l’être de façon claire.

bouton3  Qu’est-ce que le droit d’accès ?
Le droit d’accès est le droit pour une personne concernée d’interroger le responsable d’un traitement pour savoir si des données à caractère personnel la concernant font l’objet ou pas d’un traitement et, dans l’affirmative, de prendre connaissance de ces informations et d’en obtenir la communication.
Le droit d’accès est un droit discrétionnaire. Celui qui l’exerce n’a donc à justifier d’aucun motif.

bouton3  Qu’est-ce que le droit à l’oubli ?
La durée de conservation des données à caractère personnel ne doit pas excéder ce qui est nécessaire à la finalité du traitement. La loi de protection de données à caractère personnel pose donc un droit à l’oubli.
L’article 33 de la loi dispose ainsi que « la personne concernée a le droit d’obtenir du responsable du traitement, l’effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données, en particulier en ce qui concerne des données à caractère personnel que la personne concernée avait rendues disponibles lorsqu’elle était mineure, ou pour l’un des motifs suivants :
-    les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ;
-    la personne concernée a retiré le consentement sur lequel est fondé le traitement ou lorsque le délai de conservation autorisé a expiré et qu’il n’existe pas d’autre motif légal au traitement des données ;
-    la personne concernée s’oppose au traitement des données à caractère personnel la concernant lorsqu’il n’existe pas de motif légal audit traitement ;
-    le traitement des données n’est pas conforme aux dispositions de la loi ;
-    pour toute autre motif légitime ».
La loi prévoit des obligations supplémentaires à l’égard des responsables du traitement en ce qu’ils doivent, lorsqu’ils ont rendu les données publiques, prendre toutes les mesures raisonnables, y compris techniques, en vue d’informer les tiers qui traitent lesdites données qu’une personne concernée a demandé leur effacement.
L’effacement des données doit se faire sans délai par le responsable du traitement. Pour ce faire, ce dernier doit mettre en place des mécanismes appropriés assurant la mise en œuvre du respect du droit à l’oubli numérique et à l’effacement des données à caractère personnel, à moins que le responsable du traitement examine régulièrement la nécessité de conserver ces données.
L’ARTCI, dans sa mission d’Autorité de protection des données à caractère personnel, adopte des mesures et des lignes directrices permettant notamment de préciser les conditions de la suppression des liens vers les données devant être effacées, des copies ou des reproductions de celles-ci existant sur des services de communication électroniques accessibles au public.
La loi prévoit cependant des exceptions à l’application du droit à l’oubli lorsque la conservation des données à caractère personnel est nécessaire :
-    soit à l’exercice du droit à la liberté d’expression ;
-    soit pour des motifs d’intérêt général dans le domaine de la santé publique, conformément à la loi ;
-    soit au respect d’une obligation légale de conserver les données à caractère personnel prévue par la législation en vigueur à laquelle le responsable du traitement est soumis.

bouton3  Qu’est-ce que le droit de rectification ?
Toute personne physique, justifiant de son identité, peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou supprimées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.

bouton3  Qu’est-ce que le droit d’opposition ?
Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.
De plus, elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées par le responsable du traitement à des fins de prospection, notamment commerciale.
De même, la personne concernée peut s’opposer à la communication ou à l’utilisation de ses données à caractère personnel par un tiers ou pour le compte d’un tiers. Elle devra avoir été au préalable informée par le responsable du traitement de cette communication ou utilisation par un tiers avant la première communication des données à celui-ci.
Il existe donc 3 types d’opposition :
-    l’opposition pour motifs légitimes ;
-    l’opposition à la prospection, sans avoir à se justifier ;
-    l’opposition à la communication ou à l’utilisation de ses données à/par des tiers.

 

Mise à jour le Mardi, 28 Mars 2017 15:49