Article réservé aux abonnés Archimag.com

Réaliser ses missions de veille dans le respect du RGPD

  • veille_rgpd.jpg

    rgpd-veille-regles-juridiques
    C’est généralement le DPO de la structure qui tient le registre des activités de traitement de données personnelles mises en œuvre, prévu à l’article 30. (Canva)
  • La veille informative est une des fonctions les plus valorisées de nos métiers. Un point souvent négligé, sinon ignoré, est l’application du Règlement général sur la protection des données (RGPD). Voici les principales règles à respecter.

    mail Découvrez Le Push du Veilleur, la newsletter thématique gratuite d'Archimag dédiée aux professionnels de la veille et de la documentation !

    Le Règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018, ne s’applique pas qu’aux fichiers d’adresses de prospection commerciale ou aux fichiers de clients ou de patients.

    Dès qu’il y a « traitement » de données concernant des personnes physiques, comme par exemple consigner nommément la demande de veille d’un utilisateur, le RGPD s’applique dans toutes ses facettes, et ce que les données soient traitées de manière informatique ou manuelle.

    Ainsi, lorsque des sujets de veille sont formulés par des demandeurs, il convient de respecter la protection de leurs données à caractère personnel. Dès que des données - une veille sur une thématique précise, par exemple - émanent d’une personne physique, il y a « traitement de données à caractère personnel » au sens de l’article 4, points 1 et 2 du RGPD.

    Peu importe que ce traitement se fasse dans un cadre professionnel ou privé, le RGPD s’applique à tout traitement.

    Organiser les fonctions de veille en fonction du RGPD

    Il importe de penser le système de veille en fonction de sa conformité au RGPD : notion de protection des données dès la conception — article 25, point 1.

    Définir une durée de conservation des données

    Il faudra notamment définir une durée de conservation des données concernant les personnes consommatrices de la veille. Il faudra mettre en place des règles garantissant une durée de conservation qui n’excède pas celle justifiée par la finalité de la collecte (article 5, point 1, e).

    À retrouver : Bases de données des durées de conservation des documents

    Dans notre cas, ce sera la durée de la mission de veille. Si celle-ci est prévue sans date, il conviendra d’appliquer un délai de conservation calculé à partir de l’arrêt de la veille pour la personne. Par exemple, prévoir que les données seront supprimées un an après que la personne a signalé d’arrêter les suivis de veille pour elle, ou après son départ de l’entreprise.

    Aménager le consentement des personnes concernées

    Toute personne transmettant des données la concernant (à commencer par ses prénom et nom, mais aussi les sujets de veille associés) doit consentir expressément à leur traitement et à leur conservation ; une trace doit en être conservée (article 7). Et la personne peut retirer à tout moment ce consentement aussi simplement qu’elle l’a donné (article 7, point 3).

    En pratique, le consentement doit être recueilli au moment de la formulation des sujets de veille par l’intéressé, et conservé de manière à apporter la preuve du consentement à tout moment. Si les données sont collectées via un formulaire en ligne (plateforme de veille, intranet, internet…), ce formulaire comportera une case à cocher pour le consentement qui générera dans le système une trace écrite pérenne qui tiendra lieu de preuve.

    Penser à la sécurité des données

    À ce titre, il conviendra de s’assurer que seules les personnes habilitées à gérer la veille aient accès aux données des personnes ayant commandité de sujets de veille. En pratique, il faudra prévoir des accès limités à ces personnes dans le système informatique, ou encore s’assurer que les dossiers au format papier soient conservés hors de portée des personnes étrangères au service (par exemple, dans des armoires fermées à clé quand on quitte les bureaux…).

    Penser la protection accrue des données sensibles

    Toutes les demandes collectées ne concernent pas les données sensibles : sont interdites de traitement, sauf accord écrit, les données qui font apparaître les origines raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, la santé, la vie ou l’orientation sexuelle, les données génétiques et biométriques des personnes concernées.

    Il faudra dans ce cas recueillir l’accord écrit des personnes concernées (article 9, 2, a).

    Lire aussi : Il faut sauver le soldat DPO !

    Pour la confidentialité des demandes, deux cas de figure se présentent donc :

    • demandes de veille classiques : hormis l’éventuel caractère stratégique et confidentiel des demandes, la confidentialité au regard du RGPD existe et il convient de la respecter ;
    • demandes de veille portant sur des données sensibles de l’article 9, 1 : obtenir l’accord spécifique, distinct du consentement général déjà prévu. En pratique, les deux consentements seront recueillis distinctement, même si c’est sur le même bordereau ou formulaire en ligne, avec deux cases à cocher (article 7, 2).

    Données sensibles : distinguer personnes internes et externes à l’entreprise ?

    Le RGPD tendant à protéger la vie privée des personnes, même au travail, il n’y a pas à distinguer les personnels de l’entreprise et les demandeurs extérieurs. Mais en pratique, il y aura lieu d’être plus vigilant sur les demandes émanant des personnes extérieures, spécialement sur les sujets de veille à traiter, qui peuvent facilement entrer dans le cadre de l’interdiction de traiter des données sensibles.

    L’exemple d’une demande de suivi d’informations sur un parti politique ou sur certaines orientations sexuelles est emblématique. Même si la demande ne constitue pas en soi une déclaration de la personne sur ses opinions politiques ou sa propre orientation sexuelle, le risque de rapprochement existe.

    C’est pourquoi certains types de données sont interdites de traitement (article 9), sauf à recueillir l’accord express des demandeurs. Le risque est plus grand à l’égard des demandeurs externes que vis-à-vis des personnels qui suivent en général des thématiques de veille liées à leurs missions. Mais si ces missions internes interfèrent avec les données sensibles telles que définies par le RGPD, il faudra respecter les règles.

    La question du profilage

    Le RGPD a prévu les cas où les personnes feraient l’objet de décisions purement automatisées ou de profilage (article 22). Un système de veille générant une diffusion sélective d’information (DSI) en fonction du profil défini par l’utilisateur lui-même organise un profilage des données traitées pour chaque demandeur. Pour se couvrir, il conviendra d’en informer les personnes concernées, comme rappelé ci-dessous.

    Lire aussi : 45 ans de la Cnil et 5 ans du RGPD : le bilan

    L’information des « personnes concernées »

    Lorsque des personnes internes ou externes à l’entreprise formulent des demandes de veille, elles doivent être informées d’un certain nombre de points (articles 13 à 15).

    Si la plupart de ces mentions peuvent figurer dans une charte interne pour les personnels de l’entreprise qui en auront ainsi connaissance, celles-ci doivent impérativement être portées à la connaissance des personnes extérieures, au plus tard en même temps qu’elles formulent leurs demandes de veille. En pratique, ces mentions apparaîtront sur le formulaire de demande de veille, sur papier ou en ligne.

    Principales informations à mentionner (article 13) :

    • le responsable du traitement : en général, c’est le responsable de l’entreprise. Il répond juridiquement des traitements mis en œuvre ;
    • l’identité et les coordonnées du Délégué à la protection des données (DPD ou DPO pour Data Protection Officer) ;
    • les finalités des traitements : ici, assurer les missions de veille régulières pour les besoins des personnes concernées ;
    • les destinataires des demandes : préciser les personnes ou catégories de personnes habilitées à gérer les demandes de veille (par exemple, les personnels de la cellule veille) et prendre en conséquence toutes mesures pour éviter que d’autres personnes n’y accèdent (sécurité des données) ;
    • la durée de conservation des données ;
    • le droit d’accès de la personne aux données la concernant prévu à l’article 15 ;
    • le droit de retirer son consentement à tout moment ;
    • le droit d’introduire une réclamation auprès de la Cnil ;
    • l’existence d’un profilage, issu des demandes de veille.

    Lire aussi : IA génératives : un danger pour la protection des données personnelles

    Penser au registre des traitements

    C’est généralement le DPO de la structure qui tient le registre des activités de traitement de données personnelles mises en œuvre, prévu à l’article 30. Il faut donc l’avertir de la création de tels traitements : lors de la mise en place de fonctions de veille, ou lors des modifications importantes ayant un impact sur ces traitements, si par exemple sont à présent traitées des informations entrant dans la cadre des données sensibles.

    À retenir

    Il convient de bien veiller au respect des données à caractère personnel des commanditaires de sujets de veille : données nominatives, éventuellement associées à des thématiques de veille qui sont confidentielles et peuvent même relever des données sensibles, super-protégées par le RGPD.

    Lire aussi : « Les aspects juridiques des fonctions de veille : panorama complet »

    Sources juridiques

    RGPD, articles 4, 7, 9, 13 à 15, 22 et 30.

    ->eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !
    business-intelligence-comment-lancer
    Dans un monde où l’information est devenue la clé de la réussite, la business intelligence (BI) est un marqueur de différenciation pour les organisations : son vaste éventail d’outils et de technologies qui aident les organisations à prendre des décisions éclairées en se basant sur des données précises constitue un marché en plein essor
    Acheter ce numéro  ou  Abonnez-vous
    À lire sur Archimag
    Les podcasts d'Archimag
    Le Syndicat intercommunal d'énergies de Maine-et-Loire (SIÉML) s’est lancé dans un grand projet d’archivage électronique en 2023. L’opportunité de réduire l’impact carbone tout en optimisant les processus est apparue au cours du projet. Agnès Arendo, archiviste et déléguée à la protection des données du SIÉML, revient sur la mise en route et les grandes étapes de ce chantier.

    Serda Formation Veille 2023