Changer d'édition

Protection des données: ce qui va changer pour les utilisateurs
Économie 8 min. 04.04.2018 Cet article est archivé

Protection des données: ce qui va changer pour les utilisateurs

Le consommateur qui veut savoir ce qu'une société détient devra d'abord s'adresser au responsable du 
traitement des données ou au DPO, avant de se tourner vers la CNPD.

Protection des données: ce qui va changer pour les utilisateurs

Le consommateur qui veut savoir ce qu'une société détient devra d'abord s'adresser au responsable du 
traitement des données ou au DPO, avant de se tourner vers la CNPD.
Shutterstock
Économie 8 min. 04.04.2018 Cet article est archivé

Protection des données: ce qui va changer pour les utilisateurs

Thierry LABRO
Thierry LABRO
Le règlement européen sur la protection des données (GDPR) s'appliquera au Luxembourg à partir du 25 mai. Pour le consommateur, qu'est-ce que ça change? Voici le 2e article de notre série consacrée au sujet.

Qu'est-ce qu'une donnée à caractère personnel?

Toute information se rapportant à une personne physique et permettant de l'identifier. Par exemple: nom, adresse, numéro de téléphone, numéro d'identifiant, données de localisation, date de naissance.

Qu'est-ce que le traitement de données?

Toute opération, effectuée ou pas à l'aide de procédés automatisés. Par exemple, la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation, la modification, l'extraction, la consultation ou l'utilisation de données.

Quand le traitement est-il considéré comme possible?

Dans six cas, les données peuvent être traitées pour une finalité précise et claire et leur utilisation ne doit pas excéder le nécessaire pour obtenir la finalité:

  • quand la personne a donné son accord. Le responsable du traitement doit prouver qu'il a obtenu un consentement explicite et la personne qui donne son accord peut aussi le retirer à tout moment. Les enfants de moins de 16 ans ne peuvent donner leur accord que via leur représentant légal;
  • quand le traitement est nécessaire à l'exécution du contrat (ex: donner son adresse pour être livré);
  • quand le traitement est nécessaire à une obligation légale (vérifier l'identité pour un banquier);
  • quand le traitement est nécessaire aux intérêts vitaux d'une personne (allergies);quand le traitement est lié à l'exécution d'une mission d'intérêt public (l'administration fiscale doit traiter un certain nombre de données pour récupérer l'impôt);
  • ou quand le traitement est nécessaire aux intérêts légitimes du responsable du traitement (un commerçant veut avoir un fichier client pour des activités de prospection). Ce dernier cas est «large et flou».

Y a-t-il des cas où il est interdit de traiter des données personnelles?

Oui, il est interdit de traiter des données sur l'origine raciale ou ethnique, sur les opinions politiques, sur les convictions religieuses ou philosophiques, des données génétiques, des données biométriques ou des données concernant la santé, la vie sexuelle ou l'orientation sexuelle.

Mais il existe des exceptions, assez nombreuses. C'est néanmoins possible si la personne concernée donne son accord explicite ou si elle les rend elle-même publiques, si cela est nécessaire à l'exercice de droits liés au travail, à la sécurité sociale ou à la protection sociale, si cela préserve les intérêts vitaux ou si cela rentre dans le cadre des activités légitimes et garanties par une fondation ou organisme à but non lucratif poursuivant un but politique, philosophique, religieux ou syndical (seulement pour les membres).

Une deuxième série d'exceptions est prévue dans les cas où cela a une influence pour la «vie collective».

Par exemple l'exercice d'un droit en justice, l'action des juridictions, les motifs d'intérêts publics prévus par la loi, l'intérêt pour la médecine préventive, la médecine du travail, les diagnostics médicaux, la prise en charge sanitaire et sociale et ces contrats conclus avec un professionnel de la santé; ou la protection contre les menaces transfrontalières de santé (épidémies, qualité des médicaments); ou, enfin à des fins d'archives dans l'intérêt public, de recherches scientifiques, historiques ou statistiques.


Un mois avant le «Big Bang»
Dès le 25 mai, les particuliers pourront demander des comptes à ceux qui détiennent des données sur eux dans le cadre du «GDPR». L'affaire Facebook est tombée à pic pour sensibiliser l'opinion publique. Du côté des entreprises, on est parfois loin du compte...

Il existe quand même des traitements dont l'Etat est responsable?

Oui, on les appelle les «traitements spéciaux» et c'est à l'Etat de décider lui-même des règles. On y retrouve le traitement relatif aux condamnations pénales et aux infractions (le casier judiciaire), dans le cadre de la liberté d'expression (pour les journalistes et écrivains), dans le cadre du traitement et accès du public aux documents officiels, pour le numéro d'identification national, à des fins d'archives dans l'intérêt public, de recherches scientifiques, historiques ou statistiques ou dans le cadre des relations au travail.

Le lieu de travail est-il un endroit à part?

  • L'employeur peut traiter des données à des fins de surveillance dans cinq cas: pour la sécurité et la santé des travailleurs, pour la protection des biens de l'entreprise, pour contrôler la production (uniquement sur les machines), pour le contrôle temporaire de la production ou des prestations du travailleur (quand c'est le seul moyen de fixer la rémunération de ce travailleur) ou quand cela aide à l'organisation du travail selon l'horaire mobile.
  • Mais la codécision est prévue dans les entreprises de plus de 150 salariés pour les besoins de sécurité et de santé des salariés, le contrôle de la production et l'organisation selon l'horaire mobile. Là, la délégation ou les salariés concernés peuvent demander à la Commission nationale de protection des données (CNPD) un avis préalable, qui doit se prononcer dans le mois. Une conciliation s'engage en cas de divergence.
  • Le consentement de la personne ne rend pas le traitement légitime et l'employeur doit informer le comité mixte ou la délégation du personnel ou l'Inspection du travail et des mines (la délégation après les prochaines élections sociales). Une violation de l'article 261-1 pourrait se traduire par une peine d'emprisonnement de huit jours à un an et/ou une amende de 251 à 125.000 euros d'amende.

Comment puis-je défendre mes droits?

La première étape consiste à contacter le responsable du traitement des données sur la base des dix droits du GDPR (voir ci-dessous) en étant aussi précis que possible. Conserver une copie de ce courrier ou de ces démarches et de toutes les preuves qui pourraient être utiles en cas de contestation, qui sera alors prise en charge par la CNPD. Celle-ci met d'ailleurs en ligne sur son site un formulaire type en huit pages qui aide à comprendre les informations qui seront nécessaires en cas de souci.


Sur le même sujet

Protection des données: le casse-tête des entreprises
Le nouveau règlement européen sur la protection des données n'est pas encore entré en vigueur que les géants du net le contournent déjà. Les entreprises multiplient les efforts pour être en règle. Le prix à payer serait souvent trop élevé.
Protection des données: un mois avant le Big Bang
Dès le 25 mai, les particuliers pourront demander des comptes à ceux qui détiennent des données sur eux, grâce à la nouvelle réglementation européenne en la matière. Voici le premier article d'une série que nous consacrons à ce sujet.
Tine A.Larsen, CNPD: «Il faut trouver l'équilibre»
La présidente de la Commission nationale pour la protection des données tente de rassurer les entreprises sur leur mise en conformité avec le règlement général applicable au 25 mai prochain. En tant que régulateur, Tine A. Larsen souhaite trouver l'équilibre entre libre circulation des données et protection des droits fondamentaux.
La présidente de la Commission nationale pour la protection des données Tine A. Larsen a reçu le Luxemburger Wort dans son bureau à Belval.