COMMISSION DE PROTECTION DES DONNÉES PERSONNELLES

S’assurer que tout ce qui permet d’identifier une personne physique soit sécurisé et confidentiel.

Les obligations du service public

OBLIGATION D’INFORMATION

Chacun a un droit de regard sur vos données personnelles. Toutefois, le droit à l’information ne s’applique pas : 

- aux données recueillies et utilisées lors d'un traitement mis en œuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement ;

- lorsque le traitement est nécessaire à la prévention, la recherche, la constatation et la poursuite de toute infraction ;

- lorsque le traitement est nécessaire à la prise en compte d’un intérêt économique ou financier important de l’Etat, y compris dans les domaines monétaire, budgétaire, douanier et fiscal.

 

OBLIGATION DE GARANTIR LE DROIT D’ACCES

Chacun a le droit de savoir si ses données personnelles font l’objet d’un traitement.

Toutefois, lorsqu’un traitement intéresse la sûreté de l’Etat, la défense ou la sécurité publique, le droit d’accès s’exerce de manière indirecte. Il appartient à la CDP, saisie de la demande d’accès de désigner l’un de ses membres pour mener les investigations nécessaires. Par la suite, il sera notifié au requérant, sauf dispositions législatives et réglementaires contraires, le résultat des vérifications effectuées.

 

OBLIGATION DE GARANTIR LE DROIT D’OPPOSITION

Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. Toutefois, le droit d’opposition ne s'applique pas lorsque le traitement répond à une obligation légale.

 

OBLIGATION DE RECTIFICATION ET DE SUPPRESSION

Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou supprimées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

 

OBLIGATION DE CONFIDENTIALITE

Le traitement des données est confidentiel. Il est effectué exclusivement par des personnes qui agissent sous l’autorité du responsable du traitement et seulement sur ses instructions.

Le responsable du traitement assure la disponibilité et l’exactitude des données collectées.

Pour la réalisation du traitement, le responsable doit choisir des personnes présentant, au regard de la préservation de la confidentialité des données, toutes les garanties tant de connaissances techniques et juridiques que d’intégrité personnelle. Un engagement écrit (clauses de confidentialité) des personnes concernées, y compris les sous-traitants, est obligatoire.

 

OBLIGATION DE SECURITE

Le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Il prend, en particulier, toute mesure visant à :

• garantir que, pour l’utilisation d’un système de traitement automatisé de données, les personnes autorisées ne puissent accéder qu’aux données à caractère personnel relevant de leur compétence ;

• garantir que puisse être vérifiée et constatée l’identité des tiers auxquels des données peuvent être transmises ;

• garantir que puisse être vérifiée et constatée à posteriori l’identité des personnes ayant eu accès au système d’information et quelles données ont été lues ou introduites dans le système, à quel moment et par quelle personne ;

• empêcher toute personne non autorisée d’accéder aux locaux et aux équipements utilisés pour le traitement des données ;

• empêcher que des supports de données puissent être lus, copiés, modifiés, détruits ou déplacés par une personne non autorisée ;

• empêcher l’introduction non autorisée de toute donnée dans le système d’information ainsi que toute prise de connaissance, toute modification ou tout effacement non autorisés de données enregistrées ;

• empêcher que des systèmes de traitements de données puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données ;

• empêcher que, lors de la communication de données et du transport de supports de données, les données puissent être lues, copiées, modifiées ou effacées de façon non autorisée ;

• sauvegarder les données par la constitution de copies de sécurité ;

• rafraîchir et si nécessaire convertir les données pour un stockage pérenne ;

• éviter des erreurs techniques ou la destruction accidentelle ou non autorisée des données à caractère ;

• empêcher la falsification, le vol ou l’utilisation illicite des données à caractère personnel.

L’obligation de sécurité est une exigence majeure aux yeux du législateur. C’est pourquoi le dossier de demande d’avis, d’autorisation ou de déclaration adressé à la Commission des Données personnelles doit impérativement comporter tous les éléments permettant à celle-ci d’apprécier les mesures de sécurité prises par le responsable du traitement, telles que :

  • les mesures de sécurité physique et logique ;
  • la description complète de l’architecture ;
  • le schéma des flux des données collectées et traitées ;
  • le cas échéant, la copie des clauses de confidentialité conclues avec les sous traitants.

Abonnez-vous à la newsletter

Votre adresse électronique sera conservée par les services de la Commission uniquement pour vous envoyer la lettre d'information CDP. Conformément à la législation en vigueur, vous pouvez, à tout moment, utiliser le lien de désabonnement intégré dans la newsletter.

©2016 Commission de Protection des Données Personnelles