Traitement des données

Le RGPD stipule-t-il que nous devons pour chaque traitement demander et obtenir le consentement de la personne dont les données doivent être traitées ?

Nombreux sont ceux qui se posent cette question à propos des nouvelles règles du RGPD. Une fois n'est pas coutume en matière juridique, la réponse sera brève : non, vous n'avez pas chaque fois besoin d'une autorisation explicite pour traiter des données personnelles.

Données personnelles

Le but est de renforcer la protection de la vie privée du citoyen en édictant des règles uniformes à l'échelle de l'Union européenne. D'une part, le citoyen disposera d'un meilleur contrôle sur l'utilisation de ses données personnelles. D'autre part, le RGPD instaure un cadre légal clair, une norme valable dans toute l'Europe, afin que les entreprises sachent comment s'y prendre pour garantir la confidentialité.

Traitement des données

Dans le RGPD, il est question du « traitement des données à caractère personnel ». Les données à caractère personnel sont « toutes les informations se rapportant à une personne physique qui permettent de l'identifier directement ou indirectement ». Il s'agit notamment du nom, du numéro d'identification, des données de localisation, des numéros de téléphone, des adresses e-mail et des identifiants en ligne (p.ex. obtenus par l'entremise de tracking cookies).

La liste des données possibles ne s'arrête naturellement pas là. Le règlement RGPD concerne aussi les données relatives à l'identité physique, génétique, psychologique, culturelle ou sociale de la personne physique, mais ces éléments ne sont pas (ou peu) utilisés dans notre secteur.

Remarque importante : vous avez intérêt à vérifier les données que vous tenez concernant vos salariés et que vous partagez avec votre secrétariat social. Il en va de même des données recueillies auprès des personnes qui sollicitent un emploi dans votre entreprise.

Les règles de base du traitement

Indépendamment du fait que la personne concernée a donné ou non son consentement au traitement de ses données, certaines règles doivent être TOUJOURS respectées :

Le consentement de l'intéressé et ses équivalents

Consentement

La règle la plus élémentaire est qu'il n'y a pas de traitement licite tant que la personne intéressée n'a pas donné son consentement au traitement de ses données personnelles.
Contrairement à la situation antérieure, le consentement doit être le résultat d'une démarche active et claire de l'intéressé.

Exemple : vous collectez des données de vos clients, notamment l'adresse e-mail, dont vous vous servez pour diffuser un mailing mensuel avec une description de vos services et promotions.

Exceptions

Avons-nous toujours besoin du consentement du client ? Dois-je lui demander explicitement si je peux utiliser ses données pour lui envoyer une facture concernant les services qu'il m'a commandés ?
Non, il existe heureusement des exceptions logiques. Sur ce plan, le RGPD n'a rien inventé : ces exceptions figurent déjà dans la législation actuelle en la matière.

Obligation contractuelle

La principale exception est sans doute que l'autorisation n'est pas requise lorsque le traitement est nécessaire à l'exécution d'une convention à laquelle la personne concernée est partie.

Si un client vous achète des services, cela fait naître une relation contractuelle. Vous fournissez le service, et le client vous rétribue pour votre prestation. Pour obtenir cette rétribution, il faut que le client puisse vous payer. Cela passe par l'envoi d'une facture (sur papier ou électronique) portant diverses informations nécessaires. Lorsque vous traitez les données du client pour établir et envoyer la facture, vous le faites pour exécuter le contrat passé avec le client. Dans un tel cas, vous n'avez pas besoin du consentement du client.

Si vous collaborez avec un réseau de revendeurs, vous conservez probablement les coordonnées d'un grand nombre de personnes travaillant chez ces revendeurs. Quand vous devez contacter ces personnes pour régler des questions pratiques, en principe, vous n'avez pas besoin d'autorisation de traitement, à condition que celui-ci s'inscrive dans la mise en œuvre de votre collaboration.

Obligation légale

Une autre exception concerne l'existence d'une obligation légale imposant le traitement.

Encore un exemple : vous collectez une foule d'informations de vos salariés, vous les enregistrez dans un fichier, et vous transmettez celui-ci à votre secrétariat social. Vous faut-il pour cela un consentement explicite ? Non, car votre secrétariat social a besoin des données pour calculer les salaires et payer vos employés. Les secrétariats sociaux doivent aussi transmettre des copies des documents salariaux aux autorités. Le fisc est parfaitement au courant de ce que vous gagnez. Vous vous en êtes déjà aperçu si vous utilisez Tax-on-Web. Dans cet exemple, il est clairement question d'une obligation légale à respecter, l'équivalent du consentement de la personne concernée.

Autres exceptions

Il reste 3 autres exceptions. Passons-les brièvement en revue :

  • Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique ;
  • Le traitement est nécessaire pour accomplir une tâche d'intérêt général ;
  • Le traitement est nécessaire pour défendre les intérêts légitimes du responsable de traitement ou d'un tiers.

Ces 3 dernières exceptions sont beaucoup plus vagues. Il est certain qu'elles vont susciter à l'avenir quelques frictions. Qu'est-ce qu'un intérêt légitime ? Puis-je conserver toutes les données transactionnelles de mes clients sous prétexte qu'on pourrait un jour me les demander dans le cadre d'une enquête judiciaire ?

WHOIS

Chez DNS Belgium, nous connaissons un cas très clair relevant de cette catégorie : la demande de données whois de titulaires particuliers. Depuis quelques années, dans whois, nous n'affichons plus les coordonnées de contact (à part l'adresse e-mail) des titulaires particuliers.

Cela ne signifie pas que ces éléments soient définitivement verrouillés. Via un formulaire web, il est possible de demander à DNS Belgium les coordonnées de contact du détenteur d'un nom de domaine.
Naturellement, la demande doit être dûment motivée, et nous n'y accédons qu'après vérification par notre service juridique. Imaginez qu'un particulier enregistre un nom de domaine correspondant à la marque d'une entreprise. Celle-ci souhaite s'opposer à une violation (potentielle) de ses droits et veut en conférer avec le titulaire. Problème : l'entreprise ne dispose pas des coordonnées du titulaire. Grâce au formulaire web, le conseil de l'entreprise va soumettre à DNS Belgium une demande fondée dans le but d'obtenir les coordonnées du titulaire.
Il s'agit manifestement d'une situation où la protection des intérêts vitaux ou légitimes d'un tiers rend indispensable le traitement des données personnelles.

Les cas qui précèdent illustrent bien que le consentement de la partie concernée n'est pas toujours indispensable au traitement de ses données.   

 

 

WHOIS

Recherche qui fournit des informations sur le détenteur du nom de domaine, l’agent d’enregistrement, le serveur de nom ainsi que des informations sur le statut du nom de domaine.

registre

Organisation qui gère les noms de domaine. Un registre maintient la base de données contenant des informations sur une (ou plusieurs) extension(s) telle que .be, .com, .org, .vlaanderen, etc.

SPAM

Nom désignant l’ensemble des messages électroniques (e-mails) indésirables.

DNS

Domain Name System, littéralement Système de Noms de Domaine. Le DNS est le protocole internet qui assure la conversion entre les noms de domaine et les adresses IP et vice versa.