Décision individuelle automatisée
Une «décision individuelle automatisée» est une décision qui affecte une personne de manière significative et qui est fondée exclusivement sur un traitement automatisé de données à caractère personnel dans le but d’évaluer cette personne. Cette évaluation peut porter sur différents aspects personnels, tels que le rendement au travail, la solvabilité, la fiabilité, le comportement, etc.
L’article 22 du règlement (UE) 2016/679 et l’article 24 du règlement (UE) 2018/1725 établissent le droit pour les personnes de s’opposer à des décisions les concernant qui sont exclusivement fondées sur un traitement automatisé, à moins que certaines conditions ne soient remplies ou que des garanties appropriées ne soient mises en place.
Destinataire
Selon l'article 2, point g) du règlement (CE) n° 45/2001, on entend par destinataire "la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit la communication de données, qu'il s'agisse ou non d'un tiers; les autorités qui sont susceptibles de recevoir communication de données dans le cadre d'une mission d'enquête particulière ne sont toutefois pas considérées comme des destinataires."
La notification d'un traitement doit comprendre des informations sur les destinataires des données à caractère personnel. Un destinataire peut être un tiers (à l'exception des autorités qui, dans le cadre d'une enquête particulière, reçoivent communication de données et qui sont alors considérées comme de simples tiers).
Prenons, à titre d'exemple, les fiches de paie des fonctionnaires des institutions et organes de l'UE: celles-ci sont adressées non seulement aux employés, mais aussi à l'institution ou à l'organe concerné, et les données (compilées) sont transmises à Eurostat.
Voir également: Questions et réponses sur le transfert de données à caractère personnel.
Directive 95/46/CE sur la protection des données
La directive 95/46/CE du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (également appelée "directive sur la protection des données") constitue l'acte législatif de base, au niveau de l'UE, dans le domaine de la protection des données.
Il s'agit d'un instrument-cadre, en ce sens que la directive est mise en œuvre au moyen des lois nationales adoptées dans les États membres de l'UE.
Elle vise à protéger les droits et libertés des personnes à l'égard du traitement de données à caractère personnel, et définit à cet effet des orientations permettant de déterminer à quelles conditions le traitement est licite. Ces orientations concernent principalement :
- la qualité des données;
- la licité du traitement;
- le traitement portant sur des catégories particulières de données;
- les informations à fournir à la personne concernée;
- le droit d'accès aux données dont dispose la personne concernée [glossaire];
- le droit d'opposition au traitement des données;
- la confidentialité et la sécurité du traitement;
- la notification du traitement à une autorité de contrôle.
La directive énonce en outre les principes régissant le transfert de données à caractère personnel vers des pays tiers et prévoit la création d'autorités chargées de la protection des données dans chaque État membre de l'UE.
Directive 2009/136/CE "vie privée et communications électroniques"
La directive 2009/136/CE entrée en vigueur en mai 2011 concerne le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Elle est plus communément désignée sous le nom de "directive vie privée et communications électroniques" et modifie la Directive 2002/58/CE.
La directive "vie privée et communications électroniques" porte sur le traitement des données à caractère personnel et la protection de la vie privée, et contient notamment des dispositions relatives à:
- la sécurité des réseaux et des services,
- la confidentialité des communications,
- l'accès à des informations stockées,
- le traitement de données relatives au trafic et de données de localisation,
- l'identification de la ligne appelante,
- les annuaires publics d'abonnés, et
- les communications commerciales non sollicitées ("spam").
Les principales modifications apportées à la directive de 2002 comprennent une règle exigeant la notification des violations de données (par exemple quelqu'un dont les données personnelles sont perdues, modifiées ou consultées illégalement tout en étant traitées par son fournisseur de communications électroniques devrait être informé si cette violation est susceptible de l'affecter négativement) et une extension de la directive pour couvrir également les différentes étiquettes électroniques, le renforcement des règles d'application, etc.
Données à caractère personnel
Conformément à l'article 3 (1), du Règlement (UE) 2018/1725, on entend par données à caractère personnel "toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale".
Le nom et le numéro de sécurité sociale sont deux exemples de données à caractère personnel qui se rapportent directement à une personne. La définition couvre toutefois un champ plus vaste et englobe également, par exemple, les adresses électroniques et le numéro de téléphone professionnel d'un travailleur. Les informations sur les invalidités physiques, celles qui figurent dans les dossiers médicaux et dans l'évaluation d'un employé constituent d'autres exemples de données à caractère personnel.
Les données à caractère personnel traitées dans le cadre de l'activité professionnelle de la personne concernée demeurent personnelles (ou individuelles) dans le sens où elles continuent à être protégées par la législation en vigueur en matière de protection des données, laquelle vise à protéger la vie privée et l'intégrité des personnes physiques. Par conséquent, la législation sur la protection des données ne couvre pas les personnes morales (hormis les cas exceptionnels où les informations relatives à une personne morale concernent une personne physique).
Données PNR
Le sigle PNR (pour Passenger Name Record) sert à désigner les données des dossiers passagers.
Ces informations sont collectées par les compagnies aériennes ou les agences de voyage au moment où le passager effectue une réservation, avant le voyage. Elles sont à distinguer des informations préalables sur les passagers ("données API"), qui sont collectées à un stade ultérieur, au moment de l'embarquement.
Outre le nom du passager, les données PNR comprennent toutes les informations nécessaires à la réservation, telles que:
- l'agence de voyage qui s'est chargée de la réservation;
- l'itinéraire (y compris les connexions);
- les vols (numéros, dates, horaires);
- les groupes de personnes enregistrées sous le même numéro de réservation;
- les coordonnées du passager (numéro de téléphone, adresse, etc.);
- les informations relatives au paiement ou à la facturation;
- les réservations d'hôtel ou de voiture;
- les demandes relatives à des services spécifiques (telles que numéro de siège, repas spécial, assistance médicale);
- les informations relatives aux "grands voyageurs".
Les autorités répressives ont manifesté un intérêt pour la collecte des données PNR dans le but de lutter contre le terrorisme et les autres formes de criminalité. L'Union européenne a conclu des accords avec des pays tiers qui exigent ce type d'informations, afin d'instaurer des garanties minimales en matière de protection des données lors de leur utilisation. Le groupe de travail "Article 29" et le CEPD ont rendu des avis officiels sur ces accords.
Voir également:
- les accords;
- les avis du groupe de travail;
- les avis du CEPD : PNR Canada, PNR européen et PNR Australie.
Données relatives au trafic
Les données relatives au trafic sont les données traitées en vue de l'acheminement d'une communication par un réseau de communications électroniques.
Les données nécessaires pour transmettre la communication varieront selon les moyens de communication utilisés, mais elles comprennent généralement les coordonnées, la date, l'heure et les données de localisation.
Bien qu'il convienne de distinguer les données relatives au trafic des données relatives au contenu, ces deux catégories de données sont très sensibles, puisqu'elles fournissent des informations sur des communications confidentielles. Elles font donc l'objet d'une protection particulière, décrite aux articles 5 et 6 de la directive 2009/136/CE "vie privée et communications électroniques"
Droit à l'information
Toute personne a le droit de savoir que des données à caractère personnel la concernant font l'objet d'un traitement et de connaître la finalité de ce traitement. Ce droit à l'information est essentiel car il détermine l'exercice d'autres droits.
Le droit à l'information fait référence aux informations qui sont fournies à une personne concernée , que les données aient été ou non collectées auprès de cette dernière.
Les informations qui doivent être fournies concernent l'identité du responsable du traitement , la ou les finalités du traitement, les destinataires, ainsi que l'existence du droit d'accès aux données et le droit de rectification de ces données.
Le droit à l'information de la personne concernée est limité dans certains cas, par exemple pour des raisons de sécurité publique ou pour la prévention, la recherche, la détection et la poursuite d'infractions pénales, y compris la lutte contre le blanchiment d'argent.
Dans le cadre du traitement de données au sein des institutions européennes (voir articles 15 et 16 du Règlument (EU) 2018/1725), l'exigence relative à ce droit est souvent satisfaite au moyen d'une déclaration de confidentialité.
Droit à limitation du traitement
La limitation du traitement est l'opération par laquelle le responsable du traitement procède au gel desdites données à un moment donné et pour une durée déterminée. Seules les personnes compétentes ont accès aux données verrouillées.
Comme prévu par l'article 20 du Règlement (UE) 2018/1725, la personne concernée a le droit d'obtenir du responsable du traitement la limitation du traitement:
- lorsqu'elle en conteste l'exactitude, ce qui permet au responsable du traitement d'en vérifier l'exactitude, y compris l'exhaustivité; ou
- lorsque leur traitement est illicite et que la personne concernée s'oppose à leur effacement et exige à la place leur limitation du traitement; ou
- lorsque les données ne sont plus utiles au responsable du traitement pour qu'il s'acquitte de sa mission, mais qu'elles doivent être conservées à titre probatoire; ou
- lorsqu'elle s’est opposée au traitement en vertu de l’article 23, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
Des données à caractère personnel limitées ne peuvent faire l'objet d'un traitement qu'à des fins de preuve, ou avec le consentement de la personne concernée, ou en vue de protéger les droits d'un tiers.
Droit d'accès
Le droit d'accès est le droit pour toute personne concernée d'obtenir du responsable d'un traitement la confirmation que des données la concernant font l'objet d'un traitement, la ou les finalités de ce traitement, ainsi que la logique qui sous-tend tout processus de décision automatisé la concernant.
Ce droit permet également à la personne concernée de recevoir communication, sous une forme intelligible, des données faisant l'objet du traitement et des informations relatives à ce traitement.
Ce droit peut être exercé sans contraintes inutiles, à tout moment et gratuitement. Le responsable du traitement doit répondre à la demande d'accès d'une personne concernée à ses données à caractère personnel sans retard injustifié et, en tout état de cause, dans un délai d'un mois à compter de la réception de la demande (ce délai pouvant être prolongé de deux mois supplémentaires si nécessaire). Voir les articles 17 et 14 du règlement (UE) 2018/1725.
Droit de rectification
Le droit de rectification est le droit d'obtenir du responsable du traitement la rectification, sans délai, des données à caractère personnel inexactes ou incomplètes (article 18 du Règlument (EU) 2018/1725).
Complément essentiel au droit d'accès , le droit de rectification est important afin de garantir un niveau élevé en termes de qualité des données.
Pour exercer son droit de rectification, la personne concernée doit généralement écrire au responsable du traitement. Si, à titre d'exemple, elle doit modifier son adresse ou si elle constate que des informations la concernant sont inexactes, elle peut exercer son droit de rectification en contactant le responsable du traitement qui est en possession de ces données.
Droit d'opposition
Selon l´article 23 point 1 du Règlement (EU) 2018/1725) „La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 5, paragraphe 1, point a), y compris un profilage fondé sur cette disposition. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice. “
Ce droit est explicitement porté à l´attention de la personne concernée au plus tard au moment de la première communication et est présenté séparément de toute autre information et sous une forme claire. (voir article 23 point 2 du Règlement (EU) 2018/1725)
La personne concernée peut utiliser des procédés automatisés par spécifications techniques pour exercer son droit d`opposition dans le cadre de l`utilisation de la société de l`information sans préjudice des articles 36 et 37 (voir article 23 point 3 du Règlement (EU) 2018/1725)
Selon l´article 23 point 4 du Règlement (EU) 2018/1725) „Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public.“