Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis le 25 mai 2018, est le nouveau cadre juridique de l’Union européenne qui gouverne la collecte et le traitement des données à caractère personnel. Il instaure des restrictions pour les entreprises de toutes tailles dans l’utilisation et le traitement des données personnelles de leurs clients, prospects et salariés. Comprendre les implications du RGPD, notamment en ce qui concerne la date de naissance, est essentiel pour les entreprises et les individus.
Qu'est-ce qu'une Donnée Personnelle ?
Est considérée comme "donnée à caractère personnel" toute information permettant de faire le lien directement ou indirectement avec une personne physique. Le texte ne précise pas le type de support (numérique ou papier). Concrètement, une donnée à caractère personnel peut être un nom, un prénom, une date de naissance, mais aussi un pseudonyme, un numéro de sécurité sociale, une plaque d’immatriculation de véhicule, un numéro de téléphone, une adresse IP, un historique de navigation, une géolocalisation, une photographie ou un avatar.
La Date de Naissance : Une Donnée Personnelle Sensible
La date de naissance est une information unique qui permet d'identifier de manière précise un individu. En Suisse, la nouvelle loi sur la protection des données (nLPD) ainsi que le règlement général sur la protection des données (RGPD) de l'Union européenne encadrent le traitement des données personnelles, y compris la date de naissance.
Justification de la Collecte
En fonction du site sur lequel vous vous trouvez, renseigner sa date de naissance n’est pas toujours quelque chose d’obligatoire. Avec le RGPD, l'information des personnes est renforcée. Le responsable du fichier doit être transparent avec les personnes dont il traite les données. Ainsi, si une date de naissance est demandée dans un formulaire, elle doit être justifiée. Par exemple, si un commerçant demande à ses clients leur date de naissance, il doit leur expliquer qu’il souhaite les faire bénéficier d’une promotion pour leur anniversaire mais qu’ils sont libres de donner, ou non, cette information.
Nécessité d'un Âge Minimum
En dehors des sites d’achat, un âge minimum est parfois requis, ce qui justifie de renseigner la date de naissance de manière obligatoire. C’est le cas avec Google lors de la création d’un compte. Il faut un âge minimal. En France, cet âge est fixé à 15 ans. Le géant de la tech vous demande alors votre date de naissance pour vérifier que vous avez l’âge requis. Idem avec des cagnottes en ligne, comme Leetchi. La plateforme collecte les données de ses utilisateurs (nom, prénom, date de naissance, etc.) afin de s’assurer de leur majorité.
Lire aussi: Valérie Darmon : Journaliste et Bien-être
Obligations et Droits Liés au RGPD
Le RGPD crée un cadre de confiance et renforce les droits des usagers quant à l’utilisation de leurs données à caractère personnel.
Droit d’Information
Toute personne a le droit de connaître les données collectées (qui la concernent) et la finalité de leur traitement. Avec le RGPD, l'information des personnes est renforcée. Des finalités du fichier : les personnes doivent comprendre à quoi vont servir les données collectées. Du caractère obligatoire ou facultatif des réponses. Des destinataires ou catégories de destinataires des données. Qui accède ou reçoit les données ? De la durée de conservation des données : combien de temps les données seront conservées par l'organisme.
Consentement
Avant de procéder au recueil de données à caractère personnel, le responsable de traitement doit obtenir le consentement des personnes concernées. La preuve du consentement doit être matérialisée. Toutefois, dans le cadre d’une mission d’intérêt public (éducation, santé…), le consentement parental n’est pas requis pour pouvoir collecter, traiter et conserver les données des élèves, dès lors que l’application utilisée est conforme au RGPD.
Droit d’Opposition et de Rectification
Toute personne a le droit de s’opposer au traitement de ses données à caractère personnel, ou de retirer son consentement à tout moment, pour des motifs légitimes, sauf si le traitement répond à une obligation d’intérêt public (éducation, santé…). Toute personne peut demander à corriger certaines informations la concernant. L’usager dont les données ont été collectées peut, à tout moment, s’opposer à ce que l’établissement ou le service utilise certaines données. L’usager peut demander à ce que les données le concernant soient corrigées si les sont inexactes ou incomplètes.
Droit d’Accès et de Portabilité
Toute personne peut accéder à l’ensemble des informations la concernant, et en obtenir une copie. Le responsable de traitement est tenu de répondre à cette demande dans un délai de deux mois. Les données recueillies doivent pouvoir être, à la demande de la personne concernée, restituées sous forme structurée, exportables et importables sur un service analogue. Ce droit ne s’applique pas au traitement nécessaire à une mission d’intérêt public (éducation, santé) ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement (traitement mis en œuvre par le ministère, un service académique, ou bien le chef d’établissement ou le DASEN dans l’exercice de leur fonction). Ce droit offre à l’usager la possibilité de récupérer une partie de ses données dans un format lisible. L’usager est libre de stocker.
Lire aussi: Catherine Fruchon-Toussaint : Une carrière discrète
Protection des Mineurs
Lorsque le mineur est âgé de moins de 15 ans, le consentement au traitement doit être donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale, pour les traitements réalisés sur un(des) service(s) de la société de l’information (réseaux sociaux, drives, blog, site web…). La loi "Informatique et liberté" du 14 mai 2018 fixe l’âge de la majorité numérique à 15 ans en France : un mineur peut consentir seul à un traitement de données à caractère personnel, à compter de l’âge de quinze ans. Il peut alors retirer son accord et demander l’effacement de ses données, sauf pour un traitement d’intérêt public (éducation, santé…).
Mesures de Sécurité et de Confidentialité
Les données sensibles, y compris la date de naissance, doivent être stockées de manière sécurisée et chiffrée pour éviter tout accès non autorisé. Les entreprises doivent élaborer et mettre en œuvre des politiques de confidentialité claires pour guider le traitement des données personnelles. Les mesures de sécurité, informatique mais aussi physique, doivent être adaptées en fonction de la sensibilité des données et des risques qui pèsent sur les personnes en cas d’incident. Les serveurs doivent être protégés en lieu sûr, répliqués, et visibles seulement des personnes habilitées.
Les Responsabilités des Acteurs
Le Responsable du Traitement
Le responsable du traitement est "la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement". Il s’agit de la personne qui détermine la réponse aux questions suivantes : à quoi va servir le traitement ?
Le Délégué à la Protection des Données (DPO)
Dans le cadre du RGPD, les entreprises ont besoin d’une personne désignée comme responsable des questions de protection des données et, dans certains cas, une entreprise peut avoir besoin de nommer officiellement un DPO ou « Délégué à la protection des données » avant de procéder à un traitement à grande échelle des données à caractère personnel.
Le DPD veille en toute indépendance au respect du RGPD et plus largement de l'ensemble des normes applicables par les responsables des traitements ou des sous-traitants en matière de protection des données à caractère personnel. Ses analyses et conseils s'étendent aux sous-traitants et prestataires prenant part aux traitements mis en place par les responsables de traitement. Le DPD informe sans délai les responsables de traitement de tout risque que le non-respect de ses recommandations ou toute initiative des utilisateurs ou de concepteurs de traitements feraient courir à l'institution. Le DPD pilote, de façon maîtrisée et indépendante, toute action permettant de juger du degré de conformité au RGPD, de mettre en évidence les éventuelles non-conformités, de vérifier la bonne application de procédures, méthodes ou consignes relatives à la protection des données personnelles. Le DPD reçoit les réclamations éventuelles des personnes concernées par les traitements et veille au respect du droit des personnes.
Lire aussi: L'engagement de Cassandre Mallay : un portrait
Le Sous-Traitant
"Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement." Le contrat, ou l’autre acte juridique, se présente sous une forme écrite, y compris en format électronique. "Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données sont imposées à cet autre sous-traitant. Les sous-traitants proposant des logiciels de vie scolaire possèdent souvent eux-mêmes des sous-traitants (hébergement des données…).
Durée de Conservation des Données
Une durée maximale de conservation des données doit être définie. Cette durée varie selon les différents objectifs (en base active) et les éventuelles obligations légales de conservation. La durée de conservation des données doit être limitée au strict minimum.
Risques et Sanctions
Dans le cadre du RGPD, si des données personnelles sont accidentellement ou illégalement perdues, détruites, modifiées ou endommagées, l’entreprise doit en informer la CNIL dans un délai de 72 heures. La violation de données à caractère personnel doit être communiquée par le responsable de traitement : à l’autorité de contrôle, la CNIL, dans un délai de 72 heures (week-end compris) après en avoir pris connaissance.
Anonymisation et Pseudonymisation
Un processus d'anonymisation de données personnelles vise à rendre impossible toute identification des individus au sein de jeux de données. Il s'agit donc d'un processus irréversible. Par défaut, il est recommandé de ne jamais considérer des jeux de données brutes comme anonymes. Ces traitements de données impliquent dans la plupart des cas une perte de qualité sur le jeu de données produit. L'avis G29 sur les techniques d'anonymisation décrit les principales techniques d’anonymisation utilisées aujourd’hui, ainsi que des exemples de jeux de données considérés à tort comme anonymes. Il est important de signaler qu'il n'existe pas de solution universelle pour l'anonymisation des données personnelles.
La pseudonymisation se réfère à un réalisé de manière à ce qu'on ne puisse plus attribuer les données relatives à une personne physique sans avoir recours à des informations supplémentaires. Le RGPD insiste sur le fait que ces informations supplémentaires doivent être conservées séparément et être soumises à des mesures techniques et organisationnelles afin d'éviter la ré-identification des personnes concernées. En pratique, un processus de pseudonymisation consiste à remplacer les données directement identifiantes (nom, prénom, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro dans un classement, etc.) afin d'en réduire leur sensibilité. Les données résultant d'une pseudonymisation sont considérés comme des données personnelles et restent donc soumises aux obligations du RGPD. Toutefois, le règlement européen encourage l'utilisation de la pseudonymisation dans le cadre du traitement des données personnelles.
Conseils et Précautions
Il est important de faire attention aux sites où on renseigne sa date de naissance, car elle reste une donnée personnelle et sensible. Vérifier si le champ à remplir est facultatif ou obligatoire. Si ce n’est pas le cas, la case est donc optionnelle, nulle obligation de la remplir.
tags: #rgpd #données #personnelles #date #de #naissance