Traitement de données à caractère personnel

Cette page décrit la façon dont doivent être mis en œuvre les traitements lorsque des données à caractère personnel sont concernées.

Les administrations porteuses de la démarche ou du droit faisant l'objet de proactivité doivent être considérées comme responsables de traitement, au sens de la réglementation en matière de protection des données à caractère personnel.

Ces administrations sont ainsi soumises aux dispositions du RGPD et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.

Le cadre général du CRPA laisse aux administrations une marge de manœuvre importante quant au choix de mise en œuvre des traitements ayant pour finalité l’information proactive ainsi que, le cas échéant, leurs modalités.

Dans le cadre de la démarche proactive, les principes de minimisation et de proportionnalité des données impliquent que la collecte de celles-ci par les administrations doit être limitée à ce qui est strictement nécessaire.

Quel peut-être le fondement de licéité du traitement ?

La plupart du temps, il s'agira d'un traitement basé sur la mission d’intérêt public ou sur une obligation légale si l’administration à l’obligation d’informer ou attribuer proactivement un avantage ou une prestation (ex. : chèque énergie, art. L124-1 code de l’énergie).

Néanmoins, il est nécessaire de vous questionner sur ce fondement en fonction du texte qui fonde votre collecte indirecte.

Dois-je faire une analyse d'impact sur la vie privée (AIPD) ?

Oui, si vous traitez des données personnelles et que vous collectez indirectement ces données auprès d'autres administrations.

La Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise, prévoit que les "traitements de profilage faisant appel à des données provenant de sources externes" doivent faire l'objet d'une AIPD. Or une partie des traitements réalisés dans le cadre de la proactivité peuvent rentrer dans cette catégorie.

LogoL'analyse d’impact relative à la protection des données (AIPD)
Méthode et outil de la CNIL

Dernière mise à jour