[RGPD] QUELLES OBLIGATIONS SUR LES DONNÉES DÉJÀ COLLECTÉES ?
Les nouvelles règles soulèvent de nombreuses questions auprès des entreprises qui se demandent si les dossiers « papier » y sont soumis, quelles sont les modalités d’information des individus, comment fonctionne le consentement, ou encore quels sont les grands principes qui régissent les traitements de données à caractère personnel. Aujourd’hui, intéressons-nous à l’application du RGPD aux données personnelles déjà récoltées et aux mesures à prendre, ou pas, pour être conforme.
Pour toute interrogation que vous pourriez avoir concernant le RGPD : contactez-nous à cette adresse et nous nous efforcerons d’y répondre à travers nos publications.
L’obligation de consentement sur les données personnelles déjà collectées
Si un traitement de données personnelles se base sur le consentement des individus, il est nécessaire de recueillir ce consentement au moment de l’obtention des données personnelles (voire l’article 7 du RGPD). Or, il se trouve que pour les données déjà récoltées par le responsable du traitement au moment de l’application du Règlement, le consentement est supposé avoir déjà été récolté.
Le responsable du traitement est alors face à un dilemme. Doit-il redemander, individuellement, à chaque individu producteur des données d’à nouveau délivrer son consentement ? Ce qui peut être lourd à mettre en place selon le volume de données à traiter. Ou alors peut-il simplement permettre aux individus dont les données ont été récoltées avant le RGPD de connaître les informations prévues par l’article 13, incluant le fondement juridique du traitement et la possibilité de retirer leur consentement à tout moment ?
Il est probable que, pour les données personnelles déjà récoltées et traitées, le renvoi visible à un texte clair et précis contenant toutes les informations sur le traitement témoigne de la bonne connaissance, par l’individu, du fait que c’est son consentement qui permet au traitement de ses données d’exister. Cette interprétation devra encore être confirmée par la CNIL notamment.
L’obligation d’information sur les données personnelles déjà récoltées
C’est un petit peu la même problématique que pour l’obligation de consentement qui se pose. En effet le texte de l’article 13 du RGPD indique que les informations à fournir aux individus sont délivrées « au moment où les données en question sont obtenues« . Dans le cas de données déjà récoltées lors de l’entrée en vigueur du Règlement, cette obligation est donc dépassée.
Cependant, chaque responsable de traitement devrait prévoir la création d’une page d’informations entièrement dédiée à la politique de protection des données personnelles mise en oeuvre. Cette page délivrerait ainsi toutes les mentions que les individus qui ont délivré des données personnelles avant le 25 mai 2018 auraient dû recevoir sur le RGPD leur avait été applicable.
Le responsable de traitement pourra, s’il le souhaite ou par excès de zèle, procéder à une information individuelle de chaque personne, mais cela peut représenter une charge conséquente de travail. Il semble plus simple de porter à la connaissance de tous les utilisateurs de l’existence d’une page unique d’informations.
Les données personnelles récupérées avant l’application du RGPD n’échappent donc pas aux nouvelles règles. C’est simplement leur mise en oeuvre qui pourrait être modifiée dans la pratique. Le responsable de traitement devra pouvoir démontrer qu’il a créé les mesures nécessaires pour assurer aux individus la possibilité de connaître les mentions obligatoires et d’appliquer éventuellement leurs droits.