Les contenus de la région '' vous seront proposés par défaut, en plus des contenus nationaux sur tout le site. Ce choix s'appliquera également lors de vos prochaines visites.

Principes fondamentaux

​​​​​​​​​​​​​​​​​​​​Les grands principes de la protection des données restent pour l'essentiel inchangés mais ils sont réaffirmés et renforcées par le RGPD (art. 5). Chaque traitement de données à caractère personnel doit être analysé à la lumière de ces principes dès la phase de conception des projets qui impliquent un traitement de données personnelles, puis tout au long de la vie du projet. Cette analyse doit être documentée afin de répondre aux exigences de conformité et de responsabilité dictées par le règlement.

A+ / A-

Responsabilité

Le principe de responsabilité (l’accountability pour les anglo-saxons) est une innovation majeure du RGPD. Il porte une nouvelle façon d’appréhender la protection des données personnelles et le basculement d’un régime de formalités préalables statique à un régime de conformité globale dynamique.

Le principe de responsabilité se traduit par un renversement de la charge de la preuve. L’Inserm doit être en mesure de démontrer à tout moment que les traitements mis en œuvre sous sa responsabilité respectent l’ensemble des principes de protection des données personnelles définis par le RGPD et, pour ce faire, doit documenter l’ensemble des démarches entreprises. L’établissement devra être en mesure de produire la documentation en cas de contrôle. Le simple fait de ne pas être en mesure de produire la documentation qui atteste de la conformité est passible de sanctions alors même qu’il n’y a pas eu de violation de données.

Ce principe se traduit notamment par :

  • la définition de politiques de protection des données et de sécurité des systèmes d’information ;
  • l’obligation de mener analyse d’impact pour les traitements qui présentent des risques élevés,
  • la tenue d’un registre des activités de traitement ;
  • la déclaration des violations de données personnelles ;
  • la prise en compte des principes de Privacy by design et Privacy by default.

La responsabilité en bref

Les principes fondamentaux de la protection des données personnelles reconduits et renforcés. Le responsable de traitement ( RT) est responsable du respect des principes et doit être en mesure de le démontrer.

  • Limitation des finalités : une finalité déterminée, explicite, légitime.
  • Licéité du traitement : une base légale explicitée.
  • Minimisation des données : des données adéquates, pertinentes, non excessives, exactes et mises à jour.
  • Limitation de la conservation des données : des conservations illimitées prohibées.
  • Loyauté et transparence du traitement respect des droits de la personne.
  • Sécurité des données : confidentialité disponibilité.

Limitation de la finalité

Le​RGPD exige que les données soient :

  • « collectées pour des finalités déterminées, explicites et légitimes », et
  • ne soient pas « traitées ultérieurement de manière incompatible avec ces finalités ».

La finalité correspond à l’objectif du traitement (ex : gestion des recrutements, de la paie, objectif principal poursuivi par la recherche, protection des biens et des personnes…). Une même collecte peut répondre à plusieurs objectifs distincts (ex : soins/recherche).

La ou les finalités doivent être :

  • déterminées préalablement, ce qui exclut toute collecte de données au hasard ou à des fins préventives ;
  • explicites, c’est-à-dire portées à la connaissance de la personne concernée de manière compréhensible et suffisamment claire ;
  • légitimes au regard de la nature et à l’activité de l’organisme mettant en œuvre le traitement.

Compatibilité de la finalité de recherche scientifique avec une finalité initiale différente

Les informations recueillies pour une finalité peuvent être réutilisées pour poursuivre un autre objectif à condition que cet objectif soit compatible avec la finalité initiale.

Le RGPD et la loi Informatique et Libertés posent une présomption de compatibilité des traitements ultérieurs avec les finalités initiales pour trois catégories de traitements :

  • les traitements à des fins de de recherche scientifique ou historique ;
  • les traitements à des fins statistiques ;
  • les traitements archivistiques répondant à un intérêt public.

Point de vigilance

La compatibilité des finalités de recherche scientifique avec ce​lles pour lesquelles les données ont été initialement collectées facilite la réutilisation secondaire des données mais elle ne dispense pas les chercheurs de respec​ter les conditions de licéité, d’informer les personnes concernées et d’obtenir une autorisation s’il y a lieu pour le nouveau traitement mis en place (RGPD, art.5 ; LIL, art. 6.2).

Elle les dispense de collecter eux-mêmes les données sur la base du consentement des personnes et leur permet de se rapprocher de responsables de traitement ayant collecté de manière licite des données personnelles afin qu’elles leur soient remises pour être réutilisées.

Licéité du traitement

Les données à caractère personnel doivent être traitées de manière licite, c’est-à-dire permise par la loi.

Loyauté et transparence du traitement

L’exigence de loyauté et de transparence renvoie à l’information des personnes concernées – cf. Respect des droits des personnes concernées – et vise à éviter les traitements occultes ou cachés. Un traitement déloyal exposera son auteur à un risque de sanction.

Minimisation des données

Les données doivent être “adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées”. Egalement appelé principe de pertinence et de proportionnalité, le principe de minimisation des données vise à garantir que ne seront collectées que les données qui sont strictement nécessaires pour atteindre l’objectif poursuivi et à exclure toute collecte réalisée “à toutes fins utiles” ou dans l’éventualité où ces données pourraient un jour se révéler utiles. Il est donc nécessaire au moment du montage d’un projet de mener une réflexion sur le besoin de collecter des données et de le justifier, particulièrement lorsqu’il s’agit de données identifiantes ou sensibles.​

Quelques règles de bonnes pratiques pour respecter le principe de minimisation des données :

  1. Bannir toute collecte de données à titre préventif ;
  2. Pseudonymiser les données toutes les fois où leur conservation sous une forme directement nominative n’est pas nécessaire ;
  3. Limiter au maximum les zones de commentaires libres et les questions ouvertes et privilégiez les menus déroulants, les thesaurus existants ; si ces zones de commentaires sont indispensables, documentez l’analyse et sensibilisez les personnes à même de les remplir sur les données pertinentes qui doivent y figurer ;
  4. Motiver systématiquement la pertinence de la collecte de catégories particulières de données et de données nominatives (noms, prénoms, adresse postale ou électronique nominative) qui donnera lieu à un contrôle particulier de la CNIL (lors de l’instruction du dossier ou en cas de contrôle).

Exactitude des données

Les données doivent être exactes et, si nécessaire, tenues à jour. Le responsable du traitement doit donc s’assurer que les données dont il dispose sont exactes et, le cas échéant, supprimer les données obsolètes.

Limitation de la conservation des données

Le RGPD prévoit que les données sont “conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées” (art. 5). Une dérogation est toutefois admise par le texte applicable à la recherche scientifique.

Sécurité des données

La sécurité des données a été érigée par le RGPD en principe de base de la protection des données. Cette exigence est donc renforcée. Les données doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel […] à l’aide de mesures techniques ou organisationnelles appropriées ». (art. 5).

Cette obligation incombe aux responsables de traitement et aux sous-traitants qui doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Le caractère approprié des mesures de sécurité à mettre en place s’apprécie au regard de :

  • de la nature, de la portée, du contexte et des finalités du traitement ; 
  • de l’état des connaissances, des coûts de mise en œuvre ;
  • des risques (probabilité et gravité) pour les droits et libertés des personnes.

La sécurité vise à garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement. Le RGPD mentionne notamment au titre des mesures à mettre en place selon les besoins (art. 32) : 

  • La pseudonymisation et le chiffrement des données à caractère personnel (qui doivent être mis en place par défaut pour la recherche sauf justification) ;
  • Le Plan de reprise et de continuité d’activité ;
  • Les procédures d’audit.

Cette liste n’est pas exhaustive. Les mesures de sécurité doivent être revues régulièrement pour être ajustées en fonction de l’évolution des risques.

De cette obligation de sécurité découle l’obligation nouvelle de notifier à la CNIL certaines brèches de sécurité. Cette brèche devra également dans certains cas être communiquée à la personne concernée.

Princ​ipales références en matière de sécurité

Normes internationales

  • ISO/IEC 27001 : exigences pour un système de management de la sécurité de l’information (SMSI)
  • ISO/IEC 27002 : catalogue de bonnes pratiques pour la sécurité de l’information​