Le traitement des données personnelles par les musées

​Pour sensibiliser le public aux problématiques liées à la collecte et au traitement des données personnelles dans un monde connecté, la Cité des sciences a organisé l'exposition Terra Data[1]. A l'entrée, un choix était offert au visiteur : s'engager dans la voie de la reconnaissance faciale et de la géolocalisation lors de son parcours ou bien faire une visite classique. L'objectif était la prise de conscience de l'ampleur des possibilités offertes par les données personnelles, mais aussi des dangers que leur traitement peut présenter pour la vie privée ou même professionnelle des personnes concernées. L'évolution de la réglementation sur les données personnelles et la récente doctrine de la CNIL sont l'occasion de rappeler à quel point le traitement des données personnelles est à la fois une opportunité et un enjeu pour les institutions muséales.

I.Un nouveau cadre réglementaire

Depuis le 25 mai 2018 a été mis en place un cadre réglementaire unique au sein de l'Union Européenne relatif à la protection des données personnelles. Ainsi le règlement général sur la protection des données (RGPD)[2] remplace la directive 95/46/CE qui est donc abrogée.

Le RGPD est d'application directe, sans nécessité de transposition. Toutefois, le législateur français a souhaité faire usage des marges de manœuvres octroyées par le règlement. Ainsi, la loi n° 78-17 du 6 janvier 1978 dite « Informatique et Libertés » a été modifiée par la loi n° 2018-493 du 20 juin 2018[3]. Le RGPD est applicable à tous les organismes qui ont un établissement sur le territoire de l'Union. Les musées français, qu'ils soient publics ou privés sont donc concernés. Le RGPD a renforcé les principes fondamentaux en matière de protection des données personnelles, notamment en introduisant de nouveaux droits au profit des personnes concernées. Il simplifie les formalités administratives tout en multipliant certaines obligations organisationnelles. Le règlement renforce, par ailleurs, significativement les sanctions administratives applicables en cas de manquement : elles peuvent aller, pour les entreprises, jusqu'à 4 % du chiffre d'affaires mondial ou 20 000 000 euros, la somme la plus importante des deux étant retenue.

A. Pratiques impliquant un traitement de données personnelles

La notion de données personnelles est très large. Il peut s'agir de toute information se rapportant à une personne physique identifiée ou identifiable, comme par exemple le nom et prénom, mais également, un numéro de téléphone, une adresse IP ou bien des éléments relatifs à son identité physique, économique, culturelle ou sociale[4].

On considère qu'il y a un traitement de données personnelles dès qu'est mise en place une opération, effectuée ou non à l'aide de procédés automatisés, tels que la collecte, l'enregistrement, la structuration, ou la conservation de données personnelles. Ainsi, la simple existence d'une liste de personnes à contacter pour un vernissage d'exposition constitue un traitement de données personnelles.

Dans le cadre de leurs missions, les musées sont amenés à traiter des données personnelles à plusieurs fins, dont notamment les suivantes :

La gestion du public. – Le public est aujourd'hui au cœur des préoccupations des structures muséales. Afin de fidéliser leurs visiteurs et en attirer de nouveaux dans le cadre concurrentiel d'une offre culturelle abondante, les musées sont parfois amenés à adopter des dispositifs marketing. Cette politique se fonde sur une connaissance accrue du public qui est établie à partir d'études, faites aussi bien au sein de l'organisation elle-même, que par des prestataires extérieurs. Sont ainsi identifiées des catégories de publics regroupées suivant des critères de segmentation de plus en plus précis qui permettent aux musées de proposer aux visiteurs une offre culturelle spécifique ou d'appliquer une politique tarifaire individualisée. Beaucoup de musées sont aujourd'hui dotés de véritables bases CRM qui répertorient les caractéristiques des visiteurs.

Les données des visiteurs proviennent de sources différentes, dont notamment le site Internet du musée, la boutique en ligne, les formulaires papiers, les enquêtes de satisfaction, etc. De nouvelles pratiques de géolocalisation indoor et de mesure d'audience se sont également développées[5]. Celles-ci peuvent être fondées sur des technologies différentes entrainant[6] ou pas[7] la collecte de données personnelles. La CNIL a déjà eu l'occasion de se prononcer sur ces problématiques[8] et a publié des recommandations relatives aux conditions de conformité de ces traitements[9].

Le mécénat. – source indispensable de financement des musées, le mécénat, implique également un traitement de données personnelles : celles des donateurs, personnes physiques[10]. Au-delà des données d'identification et de contact, les musées sont amenés à collecter des informations relatives à la situation familiale, professionnelle, financière ou bien les préférences culturelles de ses donateurs. Ces données peuvent être utilisées afin de satisfaire les exigences fiscales liées au mécénat, mais également à des fins de prospection et d'élaboration d'une offre spécifiquement réservées aux mécènes.

La gestion des collections. – Un traitement de données personnelles est susceptible d'être associé aux collections des musées. Sont par exemple concernées les données personnelles concernant les artistes, archéologues et chercheurs associés aux collections ou les données contenues dans les documents d'archives[11].

La sécurité. – Les musées sont susceptibles de collecter des données personnelles qui sont spécifiquement liées aux conditions de sécurité imposées dans ce type d'institutions, comme par exemple la vidéosurveillance et la gestion des accès. Récemment, la CNIL a mis en place un règlement type ayant pour finalité le contrôle d'authentification biométrique sur les lieux de travail[12] qui est également susceptible de concerner les institutions culturelles[13] notamment en ce qui concerne l'accès aux locaux les plus sensibles telles que les réserves.

Des traitements de données personnelles peuvent également être nécessaires en cas de gestion des accidents au sein du musée (urgences médicales, infractions, etc.).

Les ressources humaines. – Comme toute institution, qu'elle soit de nature publique et privée, les musées traitent les données du personnel et des agents extérieurs, notamment pour les besoins de gestion de la paie, de la santé au travail, des congés, etc.

B. Qualification des musées au regard du traitement des données personnelles

Afin de déterminer les obligations des musées conformément au RGPD, il convient dans un premier temps de déterminer leur rôle. Ils peuvent être qualifiés en tant que :
- responsables de traitement déterminant les moyens et les finalités du traitement ;
- responsables de traitement conjoints, notamment dans le cas de partenariats ;
- sous-traitants dans le cas où ils traitent les données pour le compte d'un tiers.

Les statuts juridiques hétéroclites des musées qui leur confèrent une indépendance plus ou moins importante[14] rendent la détermination du responsable du traitement parfois difficile. C'est notamment le cas lorsque les musées sont regroupés dans des structures juridiques et décisionnelles plus larges dans lesquelles la gestion des données personnelles peut être plus ou moins mutualisée[15]. Il faut donc se poser la question de la structure qui détermine les moyens et les finalités du traitement, c'est-à-dire, les catégories de données collectées, les paramètres de la collecte, etc. Il est à noter qu'un musée peut être qualifié de responsable de traitement, indépendamment de l'existence d'une personnalité morale, dès lors qu'il a une certaine autonomie dans la détermination des moyens et finalités des traitements. Il peut également être qualifié de responsable conjoint avec l'entité juridique qui l'encadre, comme par exemple dans le cas d'une mairie pour un musée municipal. Ainsi, par exemple les musées municipaux n'ont parfois pas de site Internet propre, mais sont dépendants de celui de la mairie, ou sont intégrés à une programmation culturelle municipale. Dans ce cas, la mairie peut être considérée comme seul responsable de traitement ou bien comme responsable de traitement conjoint.

Dans tous les cas, il convient d'encadrer contractuellement les relations des différents intervenants dans le traitement en matière de protection des données, conformément aux exigences du RGPD. C'est le cas des traitements conjoints[16], mais également de la sous-traitance[17], où le musée doit s'assurer que ses prestataires présentent les garanties nécessaires quant à la mise en œuvre des mesures techniques et organisationnelles appropriées. Des clauses contractuelles types relatives à la protection des données personnelles doivent notamment être inclues dans le cadre des marchés publics. Sur ce point, le ministère de l'Economie et des Finances a actualisé le formulaire de déclaration de sous-traitance afin d'y intégrer les exigences du RGPD[18].

II.La mise en conformité au RGPD

Pour être conformes au RGPD, les organismes doivent respecter, de manière générale, un certain nombre de principes essentiels. Il s'agit, tout d'abord de la protection des données dès la conception d'un projet. Ensuite, la protection des données par défaut qui impose au responsable de traitement, d'adopter le plus haut niveau de protection des données des personnes concernées. Il convient enfin de respecter le principe de minimisation qui impose la collecte de données adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées.

En plus de ces principes généraux, la mise en conformité au RGPD suppose le respect de certaines étapes incontournables :

A. La conformité des traitements

1. La base de licéité

Conformément à l'article 6 du RGPD, il convient d'identifier et de documenter la base de licéité sur laquelle se fonde le traitement. Il peut s'agir du consentement des personnes concernées, de l'exécution d'un contrat, d'une obligation légale, de la sauvegarde des intérêts vitaux de la personne, de l'intérêt légitime du responsable du traitement ou de l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.

Dans le cas des musées, l'intérêt légitime et le contrat seront les bases de licéité qui seront le plus souvent retenues, notamment pour ce qui concerne les traitements relatifs aux ressources humaines, à la sécurité, au mécénat et même à la prospection commerciale. Le consentement est exigé dans de rares cas (une éventuelle géolocalisation, profilage ou traitement de catégories particulières de données, etc.).

2. Les données sensibles

Parmi les données collectées, il convient d'accorder une attention particulière aux catégories particulières de données[19], dont le traitement est en principe interdit en raison de leur nature sensible sauf sous certaines conditions (ex : l'obtention du consentement spécifique de la personne concernée). Les musées vont être le plus souvent amenés à traiter des données de santé relatives, soit au personnel du musée, soit aux visiteurs handicapés qui font l'objet d'une offre adaptée à leurs besoins. Un autre type de traitement qui est souvent susceptible d'être mis en place est la gestion des incivilités et des données d'infraction. Un régime plus contraignant et des mesures de sécurité renforcées s'appliquent au traitement de ces données qui doivent être collectées dans la mesure strictement nécessaire au traitement envisagé.

Par ailleurs, une grande partie de l'offre culturelle muséale est de nature pédagogique et il est donc possible que des données de mineurs soient collectées. Or, suivant le considérant 38 du RGPD les données des enfants méritent une protection spécifique. Notamment, en cas d'offre directe de services de la société de l'information aux enfants de moins de 15 ans[20] et lorsque le traitement repose sur le consentement comme base de licéité, les consentements de l'enfant et du titulaire de l'autorité parentale sont requis. C'est le cas quand le musée propose une offre sur Internet destinée aux mineurs de moins de 15 ans, comme par exemple le téléchargement d'une application mobile. En revanche, le consentement n'est a priori pas nécessaire en cas de données collectées lors d'une visite scolaire ou d'un atelier.

Certains musées peuvent, en outre, détenir des documents d'archives qui contiennent des données sensibles. Cela est notamment le cas des musées de la police, des musées judicaires ou bien des musées mémoriaux. A titre d'exemple, nous pouvons citer plusieurs délibérations de la CNIL[21], concernant des demandes d'autorisation de traitement de données sensibles contenues dans des archives relatives à la persécution ou aux génocides appartenant à la Préfecture de la Police ou au Mémorial de la Shoah. La CNIL considère que les traitements à des fins de recherche et commémoration se justifient par l'intérêt public. Elle soumet cependant leur traitement à des garanties particulières[22].

3. La durée de conservation

La conservation des données personnelles doit être limitée au strict minimum nécessaire pour la finalité du traitement qu'il convient de déterminer en tenant compte des recommandations de la CNIL[23]. Ainsi par exemple, en ce qui concerne les visiteurs ou autres consommateurs d'offres culturelles, il est recommandé de conserver leurs données à des fins de marketing pendant une durée de trois ans à compter de la fin de la relation (dernier produit acheté, dernier email consulté). En ce qui concerne les prospects, cette durée est de trois ans à partir du dernier contact émanant du prospect. Pour s'assurer que les durées de conservation sont effectivement respectées, il est conseillé de mettre en place des processus d'effacement automatisés. Il est également possible de conserver ces données pour des durées plus longues. Dans ce cas, il faut que cette durée corresponde à un besoin particulier qu'il conviendra de documenter. Un archivage des données est possible sous conditions, en cas notamment d'obligation légale, d'intérêt historique, scientifique ou statistique.

4. L'analyse d'impact

Enfin, conformément à l'article 35 du RGPD, lorsqu'un traitement, compte tenu de sa nature, de sa portée, du contexte et de ses finalités est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit effectuer une analyse d'impact relative à la protection des données personnelles (« AIPD » ; data protection impact assessment « DPIA », ). La CNIL a mis en place une liste de situations[24] dans lesquelles la réalisation d'un DPIA est obligatoire. C'est par exemple le cas des traitements de données sensibles, de la surveillance systématique ou de la géolocalisation.

B. Le principe de responsabilité (« accountability »)

Un aspect essentiel de la mise en conformité au RGPD est le principe de « responsabilité » (« accountability »). Celui-ci remplace le régime préexistant de déclarations systématiques des traitements à la CNIL. Le principe de responsabilité désigne l'obligation pour les organisations de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Celui-ci se traduit, d'une part par l'établissement d'une documentation de la conformité, et d'autre part par la mise en place d'une gouvernance au sein des organisations concernées.

1. Le registre des traitements

L'élément central de la documentation de la conformité est l'établissement d'un registre des traitements qui permet de recenser les différents traitements des données personnelles. Celui-ci est obligatoire pour tous les organismes de plus de 250 employés agissant en qualité de responsables de traitement ou de sous-traitants. Cependant, même les institutions de moins de 250 employés peuvent être tenues d'établir un registre, lorsque le traitement de données personnelles n'est pas occasionnel, porte sur des données sensibles ou peut présenter un risque élevé pour les droits et libertés des personnes physiques. Dès qu'un musée est doté d'une base de données de visiteurs ou a mis en place une offre de marketing ciblée, il est probable qu'il soit considéré comme remplissant ces conditions. Ainsi, il est conseillé même aux musées, qui se situent en deçà du seuil de 250 employés, de mettre en place un registre des traitements qui doit être établi par finalités et doit être conforme aux exigences de l'article 30 du RGPD[25]. Le registre des traitements n'est pas un document figé et il fait l'objet d'une mise à jour permanente conformément à l'évolution des pratiques de l'organisme. Par exemple, l'implémentation d'un nouveau programme de fidélité qui suppose la collecte de données personnelles doit être intégrée au registre préexistant.

2. La sensibilisation du personnel

En plus de la documentation des traitements, les musées doivent également mettre en place des procédures internes afin de s'assurer le respect de la réglementation sur la protection des données personnelles. Une politique de sensibilisation du personnel est donc nécessaire ce qui se traduit notamment par des formations et l'établissement de procédures relatives aux règles à suivre, par exemple dans le cadre de la collecte des données ou la gestion des demandes des personnes concernées.

3. La désignation d'un délégué à la protection des données (DPD)

La désignation d'un DPD sera obligatoire, conformément à l'article 37 1. a) du RGPD, en ce qui concerne les musées publics. Il peut s'agir aussi bien d'une personne interne ou externe à l'institution et il est tout à fait possible de désigner une seule personne pour plusieurs institutions différentes[26]. Sous certaines conditions[27], les organismes privés peuvent également être obligés de nommer un DPD. Dans les cas où la nomination d'un DPD ne serait pas obligatoire, il est tout de même conseillé de désigner une personne en charge des problématiques de données personnelles, notamment afin de répondre aux éventuelles demandes et plaintes de la part des personnes concernées. Les missions du DPD ou autre référent sont, entre autres, d'assister le responsable du traitement dans l'exécution de ses obligations, de contrôler le respect du RGPD au sein de l'institution, ainsi que de coopérer avec l'autorité de contrôle en cas de besoin. Les coordonnées du DPD doivent être mises à disposition des personnes concernées : il sera ainsi leur point de contact privilégié en ce qui concerne la protection de leurs données personnelles.

C. Le respect des droits des personnes concernées

Un des apports essentiels du RGPD est le renforcement des droits des personnes concernées[28].

1. L'information

Les personnes concernées doivent être informées avant le traitement de leurs données personnelles de manière transparente, compréhensible et aisément accessible. L'information[29] concerne, entre autres, l'identité et les coordonnées du responsable du traitement, la finalité, les destinataires, la durée de conservation, les droits des personnes concernées.

Concrètement, le musée doit informer les personnes concernées sur tous les supports de la collecte : par exemple en intégrant des mentions d'information sur le site Internet du musée, sur les formulaires de contact, les livres d'or numériques. Les notices d'information déjà existantes sur les sites de nombreux musées doivent être mises à jour et enrichies conformément aux exigences du RGPD.

2. Le consentement

Dans le cas où le traitement des données est fondé sur le consentement de la personne concernée, par exemple en cas de traitement des données sensibles, celui-ci doit répondre aux exigences de l'article 7 du RGPD : il doit être exprès, libre, spécifique et éclairé. Il est à noter que la personne concernée peut retirer son consentement à tout moment sachant que le responsable de traitement doit lui permettre de le faire de manière simple.

Le consentement des personnes concernées est également exigé pour la prospection commerciale par voie électronique[30]. Un consentement (opt-in) est nécessaire sauf en cas de prospection entre professionnels ou de prospection pour des produits et services analogues à l'égard d'une personne qui est déjà cliente du musée. Dans ce dernier cas, il suffit de donner à celle-ci une possibilité de s'opposer à la prospection (opt-out). Ainsi, par exemple si une personne a déjà assisté à une conférence ou un concert dans le musée, celui-ci peut lui envoyer de la prospection pour des événements similaires, tout en lui laissant la possibilité de s'opposer à cette prospection en cliquant, par exemple, sur un lien dans l'e-mail envoyé.

3. Autres droits des personnes concernées[31]

Il convient de noter que le RGPD consacre également au profit des personnes concernées un droit d'accès aux données et un droit de rectification qui doit pouvoir être exercé dans les « meilleurs délais », mais également un droit d'effacement et un droit de portabilité[32]. La personne concernée bénéficie également d'un droit de limitation ou d'opposition au traitement. Elle a droit, sous certaines conditions, de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé[33].

Les musées sont tenus non seulement d'informer les personnes concernées de leurs droits mais également de mettre en place les moyens nécessaires pour leur permettre de les exercer dans les meilleurs délais.

D. Garantie de la sécurité des traitements et notification des failles de sécurité

Tant le responsable du traitement que le sous-traitant doivent prendre les mesures pour garantir un niveau de sécurité adapté des données et mettre en œuvre les mesures techniques et organisationnelles appropriées conformément à l'article 32 du RGPD.

Il convient notamment de mettre en place des mesures informatiques et techniques permettant d'assurer la sécurité des données telles que le chiffrement, l'accès par mot de passe, le badge électronique. Il est par ailleurs nécessaire de mettre en œuvre une ségrégation des accès aux données. Par exemple, le personnel chargé de la gestion des ressources humaines ne doit pas avoir accès aux données des visiteurs du musée. Il est par ailleurs recommandé de procéder à des mesures de pseudonymisation et anonymisation des données quand cela est possible.

En outre, il convient de notifier la CNIL en cas de violation des données personnelles dans un délai de 72 heures. Pour respecter cette contrainte, le responsable de traitement doit mettre en place une procédure de gestion des violations de données personnelles et établir la gouvernance appropriée (personnes en charge, rôles respectifs, etc.). Il convient également, conformément à l'article 34 du RGPD, de notifier la violation de données aux personnes concernées, lorsque cette violation est susceptible de les exposer à un risque important au regard de leurs droits et libertés.

Peut notamment constituer une violation des données une perte des données[34], une attaque informatique, une fuite de données, mais également une diffusion de données par inadvertance comme dans le cas de l'envoi d'un e-mail de communication en laissant visibles les e-mails des destinataires.

E. Le transfert des données en dehors de l'Union Européenne

Le RGPD impose des conditions strictes relativement au transfert des données en dehors de l'Union Européenne[35]. Le transfert de données dans un contexte muséal peut avoir lieu dans le cadre d'un partenariat international, d'une exposition itinérante ou bien des chantiers de fouilles archéologiques en dehors de l'Union Européenne. L'hébergement des données sur des serveurs situés en dehors de l'Union Européenne est également considéré comme un transfert de données.

Le transfert est possible en cas de décision d'adéquation de la part de la Commission, ce qui signifie que le pays ou l'organisme en question assure un niveau de protection adéquat[36]. Un tel transfert ne nécessite pas d'autorisation spécifique. En cas d'absence de telle décision, les transferts doivent faire l'objet d'un encadrement, qui dans le cas des musées va consister en des clauses contractuelles types[37] qui peuvent être incluses dans les contrats avec les différents partenaires. En cas de recours à un prestataire informatique externe, il est recommandé de prévoir contractuellement que celui-ci s'oblige à conserver les données au sein de l'Union européenne. Dans tous les cas, les personnes concernées doivent être informées de l'existence du transfert en dehors de l'Union Européenne.

Ce qu'il faut retenir :

Loin de l'image du « temple » abritant des collections, les musées sont aujourd'hui des structures actives évoluant dans un contexte particulièrement concurrentiel. Que cela soit dans le cadre de leur politique de gestion du public, leur recherche de financement ou dans celui de leurs activités scientifiques, ceux-ci sont amenés à traiter de nombreuses données personnelles. Cela a indéniablement contribué à enrichir et augmenter l'impact de l'offre muséale. Il s'agit cependant d'une opportunité qui implique des responsabilités et le respect d'une réglementation, qui est certes complexe, mais qui ne peut que contribuer à la relation de confiance entre le musée et son public.

Cet article a été publié en octobre 2020, l'article se situe en p°552-559 dans Dalloz IP/IT​.

[1] Cité des sciences et de l'industrie, Terra data, nos vies à l'ère du numérique, du 4 avril 2017 au 7 janvier 2018.

[2] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[3] Décrets d'application n° 2018-687 du 1er août 2018 et n° 2019-536 du 29 mai 2019.

[4] RGPD, art. 4.

[5] Par exemple, l'application « Louvre : ma visite » permet au public de se repérer dans les salles du musée.

[6] Collecte du numéro d'identification des téléphones portables ou des technologies de reconnaissance faciale.

[7] Dispositifs de mesure de la fréquentation sans aucun moyen d'identification, par exemple tapis ou tourniquets automatiques.

[8] Décision relative à la société JCDecaux qui souhaitait collecter les identifiants des téléphones des personnes passant à côté de ses panneaux publicitaires : refus de la part de la CNIL (délib. n° 2015-255 du 12 janv. 2017 ; conf. CE 8 févr. 2017, n° 393714).

[9] CNIL, « Dispositifs de mesure d'audience et de fréquentation dans des espaces accessibles au public : la CNIL rappelle les règles », 24 févr. 2020, disponible sur le site de la CNIL.

[10] Les données relatives aux personnes morales ne sont pas considérées comme étant des données personnelles.

[11] Toutefois, il est à noter que le RGPD ne concerne que les données des personnes vivantes.

[12] CNIL, Délib. n° 2019-001 du 10 janv. 2019, JORF n° 0074 du 28 mars 2019, texte n° 99.

[14] La plus grande partie des musées en France n'ont pas de personnalité morale propre. Uniquement quelques grands musées nationaux ont le statut d'établissements publics.

[15] Plusieurs musées peuvent être regroupés au sein d'un même établissement public (ex : le musée du Louvre et le musée Delacroix) ou d'une structure privée telle que la SA Culturespaces.

[16] RGPD, art. 26.

[17] Les contrats conclus avec des sous-traitants doivent comporter les mentions obligatoires prévues par l'article 28 du RGPD.

[18] CNIL, « Intégration du RGPD à la commande publique : une 1re étape franchie », 19 nov. 2018, disponible sur le site de la CNIL.

[19] RGPD, art. 9. – Il s'agit notamment des données relatives à la santé, l'origine ethnique, les opinions politiques, les conventions religieuses et d'autres.

[20] RGPD, art. 8 ; L. n° 78-17, art. 7-1. La notion de service de la société de l'information concerne tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire de services.

[21] V. not. CNIL, délib. n° 2015-073 du 26 févr. 2015 ; délib. n° 2017-057 du 9 mars 2017.

[22] Notamment une limitation de l'accès, de l'usage et de diffusion des données.

[23] CNIL, «Guide Pratique : durées de conservation », juillet 2020, disponible sur le site de la CNIL.

[24] CNIL, délib. n°2018-326 du 11 oct. 2018 portant adoption de lignes directrices sur les analyses d'impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD).

[25] L'article 30 du RGPD impose certaines mentions obligatoires, comme par exemple, l'identification du responsable du traitement, les finalités du traitement, la catégorie de données collectées, les destinataires des données, les mesures de sécurité, etc.

[26] RGPD, art. 37 3.

[27] Notamment en cas de traitements à grande échelle de données sensibles ou nécessitant un suivi systématique de personnes concernées.

[28] RGPD, art. 7; art. 12 à 23.

[29] RGPD, art. 13.

[30]RGPD, art. 21 2 ; dir. 2002/58/CE du 12 juill. 2002, « ePrivacy », art. 13. Cette directive fait objet d'une réforme en cours : la proposition de règlement dit « E-Privacy » (2017/0003) qui ne modifie pas substantiellement les règles relatives à la prospection commerciale.

[31] RGPD, art. 15 à 23.

[32] Il s'agit du droit de demander la transmission des données à un autre responsable de traitement.

[33] RGPD, art. 22. Il s'agit d'un traitement effectué sans intervention humaine qui est susceptible de produire des effets juridiques ou d'affecter de manière significative la personne concernée (ex : recrutement effectué exclusivement par logiciel).

[34] Pour une liste de violation de données, V. G29, Lignes directrices sur la notification de violation de données à caractère personnel en vertu du règlement (UE) 2016/679, 3 oct. 2017, rev. 6 févr. 2018, WP 250.

[35] RGPD, art. 44 à 49.

[36] RGPD, art. 45.

[37] Dans un récent arrêt, la CJUE reconnaît la validité des clauses contractuelles types. Elle impose cependant aux parties de s'assurer que la législation dans le pays destinataire ne s'oppose pas à leur application et que les personnes concernées bénéficient donc d'un niveau de protection équivalent à celui garanti par le RGPD : CJUE 16 juill. 2020, DPC c. Facebook Ireland Ltd et M. Schrems, aff. C-311/18.